Bilgi Teknolojisi Güvenliği Kriterleri (Ortak Kriterler) Eğitimi

BT ÜRÜNLERİ GÜVENLİK SEVİYESİ BELGELENDİRMESİ

Yazılım ürünlerinin güvenlik değerlendirmeleri için uluslararası alanda kullanılmakta olan ISO/IEC 15408 (Ortak Kriterler) Güvenlik Değerlendirme Standardı, 25’den fazla ülkede özellikle BT ürünlerin güvenlik gereksinimleri ve belgelendirmesi için kullanılmaktadır. Bu standart özellikle gelişmiş ülkelerin de desteği ile bu alandaki tek standart olarak, gelecekte BT ürünlerinin güvenlik belgelendirmeleri dünyada zorunlu standart olma yolundadır.

Common Criteria-CC-(Ortak Kriterler), ISO/IEC 15408 standardı BT ürün ve/veya sistem güvenlik seviyelerinin belgelendirilmesi için kullanılırken, ISO/IEC 18045-Common Evaluation Methodology-CEM(Ortak Değerlendirme Metodu) standardı ise, ISO/IEC 17025 standardından akredite bağımsız laboratuvarlarda, BT ürünlerinin güvenlik değerlendirmeleri ve testleri için geliştirilmiş ve kullanılmaktadır.

Uluslararası geçerliliği ve tanınırlığı olan bu standardların belgelendirme işlemi Ortak Kriterler Tanıma Sözleşmesini (Common Criteria Recognition Arrangament-CCRA) imzalayarak sertifika üretici ülkelerin değerlendirmelerini ve belgelendirmelerini kabul etmiş, lisanslı akredite Ortak Kriterler Laboratuvarları ve Ortak Kriterler Belgelendirme Sistemleri tarafından gerçekleştirilmektedir.

Bu standart ile sertifikalanmış ürünler, belirlenen tehditlere karşı güvenlik gereksinimlerinin yeterli olduğu ve bu gereksinimlerin ürün üzerinde doğru olarak uygulandığı konusunda temel güvence vermektedir.

ORTAK KRİTERLER SERTİFİKA MAKAMI

Ortak Kriterler Sertifika Makamı, Ortak Kriterler Laboratuvarlarının teknik yeterliliğini ve birbirleri ile tutarlılığını sağlar, düzenli lisanslama denetimleri yapar.

Ortak Kriterler Sertifika Makamı, bir BT ürününün iddia ettiği değerlendirme garanti seviyesi ile ilgili Ortak Kriterler standardının (ISO/IEC 15408) ve Ortak Değerlendirme Metodolojisinin (ISO/IEC 18045) şartlarına uygunluğunun, 26 ülkenin taraf olduğu Ortak Kriterler Tanıma Anlaşması (CCRA) ve ilgili prosedürleri çerçevesinde bir Ortak Kriterler Test Laboratuvarı tarafından değerlendirilmesi ile gerçekleştirilen belgelendirme türüdür.
BT ürünlerinin, Ortak Kriterler ve Değerlendirme Metodolojisine (CEM-ISO/IEC 18045) göre test ve değerlendirmesini Ortak Kriterler Değerlendirme Laboratuvarları yapar.

ISO/IEC 15408 Bölüm 1, Giriş ve Genel Model,

ISO/IEC 15408 Bölüm 1, Giriş ve Genel Model, Bu bölüm BT güvenlik değerlendirmelerinin temel prensiplerini tanımlar ve genel bir değerlendirme modeli sunar. Güvenlik hedefinin (Security Target) oluşturulması, kritik varlıklar, tehditler, güvenlik hedefleri, güvenlik gereksinimlerinin seçilmesi ve tanımlanması, ve ürünlerin veya sistemlerin üst düzey spesifikasyonlarının yazılması konularını içermektedir.

ISO/IEC 15408 Bölüm 2, Güvenlik Fonksiyonel Gereksinimleri,

değerlendirme hedefinin güvenlik fonksiyonel gereksinimlerini tanımlar.

  • FAU: Security audit (Güvenlik denetimi)
  • FCO: Communication (İletişim)
  • FCS: Cryptographic support (Kriptografi desteği)
  • FDP: User data protection (Kullanıcı verilerinin korunması)
  • FIA: Identification and authentication (Tanıma ve kimlik doğrulama)
  • FMT: Security management (Güvenlik yönetimi)
  • FPR: Privacy (Gizlilik)
  • FPT: Protection of the TSF (TSF’ nin korunması)
  • FRU: Resource utilisation (Kaynak kullanımı)
  • FTA: TOE access (TOE erişimi)
  • FTP: Trusted path/channels (Güvenilir yollar/kanallar)

ISO/IEC 15408 Bölüm 3, Güvenlik Garanti Gereksinimleri,

ISO/IEC 15408 Bölüm 3, Güvenlik Garanti Gereksinimleri, Güvenlik garanti bileşenleri tanımlanmaktadır. Koruma Profillerinin ve Güvenlik Hedeflerinin değerlendirme garanti seviyelerini de içermektedir.

  • ADV: Development (Geliştirme)
  • AGD: Guidance documents (Kılavuz Dokümanları)
  • ALC: Life cycle support (Hayat döngüsü desteği)
  • APE: Protection Profile Evaluation (Koruma Profili Değerlendirme)
  • ASE: Security Target (Güvenlik Hedefi)
  • ATE: Tests (Testler)
  • AVA: Vulnerability assessment (Açıklık değerlendirmesi)

EAL1

EAL 1 seviyesi, BT ürünün veya sistemin doğru çalıştığına dair güvenin yeterli olduğu ve güvenlik tehditlerinin ciddi olmadığı durumlarda kullanılmaktadır.

EAL2

EAL 2 seviyesi, değerlendirme yapabilmek için ürün geliştirici tasarım bilgilerini ve test sonuçlarını değerlendirme laboratuvarına iletmelidir. Bu seviye, ürün geliştiriciler, düşük ve orta düzey seviye arasında bir güvenlik gereksinimi duyuyorlar ise ve ürünün geliştirme dokümanlarının tamamına ulaşamıyorlar ise uygulanmaktadır. Kara kutu testleri yapılır.

EAL3

EAL 3 seviyesinde standart, ürün geliştiriciye tasarımda garanti sağlayabilmesini sağlar. EAL 3 değerlendirmesi üreticinin test sonuçlarının onaylanması ve açıklıkların kanıtlanmasını içeren gri kutu testleri ile desteklenmektedir. Ek olarak, geliştirme ortamı kontrolleri ve ürünün konfigürasyon yönetimi delilleri değerlendirmeler için gerekmektedir.

EAL4

EAL 4 seviyesi ticari ürün geliştirme yöntemlerinden maksimum garanti elde etmeyi hedefler. EAL4 var olan ürün geliştirme altyapısını değiştirmeden ulaşılabilecek en yüksek garanti seviyesidir. EAL4 değerlendirmesi ürünün alt düzey tasarımı ile desteklenen bir süreçtir. Yapılan testler bağımsız açıklık analizleri, geliştirme kontrolleri, yaşam döngüsü, tanımlama teknik araçları ve otomatik konfigürasyon yönetimi ve beyaz kutu testleri ile desteklenir.