İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik SANGFOR
EN

Yazılım Güvenliği Uyumluluk Adımları


Yazılım güvenliği uyumluluk çalışmaları kuruluşların tehditleri belirlemesine ve azaltmasına yardımcı olur ve maksimum koruma ve verimlilik için mevcut süreçleri iyileştirmenin yollarını önerir. Bu çalışmanın sağladıkları aşağıda verildiği gibidir:

- Potansiyel tehlikelerin en aza indirilmesi

- Kullanıcı gizliliğinin sağlanması

- Güvenilirliği artırma

- Marka tutarlılığının sağlanması

- Genel güvenlik duruşunun iyileştirilmesi

Güvenli yazılım geliştirme süreçlerinin analizi ve uyumluluğu izlenmesi gereken adımlar aşağıda verilmiştir.

1.Varlıkların ve Süreçlerin Tespiti

Kullanılan uygulamalar veya yazılım geliştirilme süreçleri tespit edilerek varlık envanterine kaydedilmelidir. Yazılımlar için minimum yazılımların adı, sürümü, yayımcısı, destek alınan tedarikçi sözleşme bilgileri (bakım süresi, kapsamı vb.), lisans bilgileri ve edinim tarihi bilgileri, yazılımın yüklendiği donanım bilgileri envanterde yer almalıdır. Ayrıca bu varlık ve süreçlerin risk değerlendirmesi yapılmalıdır.

- Kurum içinde geliştirilen uygulamalar
- Kurum dışında geliştirilen uygulamalar
- Paket edilen uygulamalar (işletim sistemleri, donanım yazılımları, üçüncü parti yazılımlar, uygulama yazılımları vb.)

2.Mevcut Durum ve Boşluk Analizi

Mevcut yazılım geliştirme süreçleri analiz edilir. Bu aşamada uluslararası kabul görmüş kontrol listeleri ve denetim soruları kullanarak mülakat ve teknik analiz yöntemleri kullanılabilir.

Teknik analizler:

-Uygulama güvenlik testleri

-Tersine mühendislik

-Penetrasyon testi

-Statik/Dinamik Kod Analizleri

-Yük testi

Güvenli yazılım geliştirme standartları:

DDO-Bilgi ve İletişim Güvenliği Rehberi (Türkiye de kurumlar ve kritik altyapıya sahip kuruluşlar için uyumluluğu zorunludur.)
TÜBİTAK Güvenli Yazılım Geliştirme Rehberi
T.C. ULAŞTIRMA VE ALTYAPI BAKANLIĞI Sivil Havacılık Genel Müdürlüğü Güvenli Yazılım Geliştirme Rehberi
NIST Güvenli Yazılım Geliştirme Çerçevesi
ISO/IEC 27001:2022 Bilgi Güvenliği Yönetim Sistemi
- CIS Critical Security Control 16: Uygulama Yazılımı Güvenliği
PCI-DSS 6.3: Güvenli Yazılım Geliştirme

3.Uyumluluk Yol Haritası Belirleme

Boşluk analizi sonucunda tespit edilen eksikliklerin giderilmesi için gereken faaliyetler belirlendikten sonra planlama yapılır. Planlamalar kapsamında ilgili tüm yasal, düzenleyici ve sözleşmeden doğan gereksinimler dikkate alınır. Bu yol haritası, yapılması gereken adımların sıralandığı ve önceliklendirildiği bir rehber niteliği taşır.

4.Yazılım Güvenliği Süreçleri

Geliştirilen veya tedarik edilen yazılımların güvenliğini sağlamak için gerekli süreçler belirlenir, test edilir ve uygulanabilir prosedürler haline getirilir.

İlginizi çekebilecek diğer makaleler:

Standartlarla Güvenli Yazılım Geliştirme

Yazar: Nazlıcan Tanın/Beyaznet Denetim Hizmetleri ve Teknolojileri Uzmanı