tÜrk standardlari enstİtÜsÜ bİlİŞİm ... · •12207-15288-yazılım süreçdeğ. uygunluğu...

TÜRK STANDARDLARI ENSTİTÜSÜBİLİŞİM TEKNOLOJİLERİ BELGELENDİRMELERİ

1

Mariye Umay AKKAYA

TÜRK STANDARDLARI ENSTİTÜSÜBilişim Teknolojileri Belgelendirme Müdürlüğü

13 Kasım 2012- Ankara

GÜNDEM• TSE-Bilişim Teknolojisi Belgelendirmeleri• CBS ve Güvenlik-PP• Bilgi Güvenliğine Giriş• Ortak Kriterler Tarihçesi (Dünyada ve

Türkiye`,de)• Ortak Kriterlere taraf Ülkeler• Ortak Kriterler Nedir, Ne Sağlar?• Dünya İstatistiği• Ürünlerimiz , Son Durum

TSE-BİLİŞİM TEKNOLOJİLERİ BELGELENDİRMELERİTS 13298 ELEKTRONİK BELGE YÖNETİMİ, ISO 25051-

YAZILIM PAKETLERİ SERTİFİKASYONLARI

3

26 ülkede geçerli-BT Ürün Güvenliği-Ortak Kriterler Sertifikasyonu

4

Kripto Algoritma ve Modül Sertifikasyonları

5

YAZILIM SÜREÇLERİSERTİFİKASYONLARI-SPICE

6

TSE -BİLGİ TEKNOLOJİSİBELGELENDİRMELERİ

• ORTAK KRİTERLER (Bilgi Teknolojisi Ürünleri Güvenliği Belgelendirmesi)

• SPICE (Yazılım Süreç Belgelendirmesi)• BİLİŞİM TEKNOLOJİSİ (Yazılım

Belgelendirmesi)• 12207-15288-Yazılım Süreç Değ. Uygunluğu• KRİPTO MODÜLLERİ BELGELENDİRMESİ

BİLGİ TEKNOLOJİLERİ ve GÜVENLİĞİ BELGELENDİRMELERİ

ORTAK KRİTERLER:• TS ISO/IEC 15408 serisi BT ürünlerinin güvenliği için

değerlendirme kriterleri (Ortak Kriterler)SPICE:• TS ISO 15504-SPICE Yazılım Süreç Değerlendirilmesi (CMMI

planlanmakta)BİLİŞİM TEKNOLOJİSİ:• TS 13298 Elektronik Belge Yönetimi• TS ISO/IEC 25051Yazılım Paketleri Belgelendirmesi• TS ISO 9241-151 Web Sayfalarının BelgelendirmesiUYGUNLUK DEĞERLENDİRMESİ:• TS ISO/IEC 12207 Yazılım Yaşam Döngüsü• TS ISO/IEC 15288 Sistem Yaşam DöngüsüKRİPTO MODÜL BELGELENDİRMESİ:• TS ISO/IEC 19790, TS ISO/IEC 24759

8

VERDİĞİMİZ SERTİFİKA TÜRLERİ

Onaylı CC Laboratuarlarımız

10

• Ömmm

Ayrıca 3 adet Başvuruda CC Laboratuarı mevcuttur:• APPLUS LGAI (İspanya)• BEAM TEKNOLOJİ (Türkiye)• CYGNACOM (Amerika)

Taşeron BT Laboratuarlarımız

Ayrıca 2 adet Başvuruda BT Laboratuarı mevcuttur: • Birlikte Çalışabilirlik Laboratuarı (TÜBİTAK)• ODTÜ İBE Laboratuarı

COĞRAFİ BİLGİ SİSTEMLERİ

CBS-KAVRAMLARBilgi: Verinin İşlenmiş HaliSistem: Ortak bir amaç için etkileşimli faaliyetlerin ve varlıkların oluşturduğu bir gruptur.Bilgi Sistemi: Bilginin toplanıp işlenmesi ve kullanır hale dönüştürülmesini sağlayan sistemdir.Coğrafi Bilgi: Yeryüzü üzerindeki doğal ve yapay detaylara ilişkin, belli bir referans sistemindeki konum koordinatları ile ifade edilen mekânsal(grafik) veriler ve bunlara ait tanımsal(öznitelik) verilerden oluşur.Coğrafi Bilgi Sistemi: Her türlü coğrafi referanslı bilginin etkin olarak elde edilmesi, depolanması, güncellenmesi, kullanılması, analizi ve görüntülenmesi için bilgisayar donanımı, yazılımı, personel ve yöntemlerin organize olarak bir araya toplanmasıdır.

CBS

• Coğrafi Bilgi Sistemi (CBS) : Dünya üzerindeki karmaşık sosyal, ekonomik, çevresel vb. sorunların çözümüne yönelik mekana/konuma dayalı karar verme süreçlerinde kullanıcılara yardımcı olmak üzere, büyük hacimli coğrafiverilerin; toplanması, depolanması, işlenmesi, yönetimi, mekansal analizi, sorgulaması ve sunulması fonksiyonlarınıyerine getiren donanım, yazılım, personel, coğrafi veri ve yöntem bütünüdür.

CBS uygulamaları• Kent Bilgi Sistemi, • Orman Bilgi Sistemi, • Karayolları Bilgi Sistemi, • Arazi Bilgi Sistemi, • Tapu ve Kadastro Bilgi Sistemi, • Lojistik Bilgi Sistemi, • İç Güvenlik Bilgi Sistemi, • Araç İzleme Bilgi Sistemi,

CBS uygulamaları

• Kampüs Bilgi Sistemi, • Deprem Bilgi Sistemi, • Harita Bilgi Sistemi, • Trafik Bilgi Sistemi, • vb.

Coğrafi Bilgi Sistemleri Adımları

• CBS için harcanan zaman, emek ve maliyetin;• %80’ini veri toplama• %15’ini veri depolama, işleme ve analiz• %5’ini veri sunuşu kaplamaktadır.

CBS NEDEN POPÜLER?

• Bilgisayar teknolojisinde yeni gelişmelere olan yüksek ilgi • CBS’nin coğrafi bilgiye verdiği ileri teknoloji hissi• Oldukça çarpıcı ve etkileyici olan haritaların artık bilgisayar

ortamında olması• Bilgisayar maliyetlerinin düşmesi, buna karşın hız ve

kapasitenin artması• CBS’nin, bilgisayar uzmanı olması gerekmeyen geniş kitlelerce

kullanılabiliyor olması• CBS’nin çevreyi anlamak ve yönetmek için önemli bir araç

olduğunun anlaşılması

CBS’nin YAYGIN KULLANIM ALANLARI

• Belediyeler• Mühendislik Uygulamaları• Ormancılık• Tarım, arazi kullanımı ve rekolte tahmini• Çevre• Hidroloji, su kirliliği• Jeoloji• Ulaşım, navigasyon sistemleri• Planlama• Arkeoloji• Askeri uygulamalar vs.

CBS ve INTERNET• Günümüzde teknolojinin ulaştığı son nokta, CBS’nin internet

ortamına taşınmasına imkan sağlamaktadır. İnternet üzerinden CBS uygulamalarında, CBS teknolojisi coğrafi sorgulama ve analiz imkanı sağlarken, internet de bu bilgiye zamandan ve mekandan bağımsız olarak ulaşma ve bilgiyi kullanma imkanı sunmaktadır.

• İnternet üzerinden coğrafi verinin dağıtımı çeşitli şekillerde yapılmaktadır:

• Download edilebilir ham veri• Statik haritalar• Dinamik web tarayıcıları• Gelişmiş sorgulama ve analiz imkanı veren sistemler

Sayısal Coğrafi Bilgi Standartları Neler İçermeli?

ISO 191XX•Terminoloji Standardı-•Veri Yapısı ve Veri Modeli Standardı•Sınıflandırma Standardı•Duyarlılık Standardı•Geometri Standardı•Gösterim Standardı•Veri Kalitesi Standardı•Birim ve Referans Standardı•Değişim Ortamı Standardı•Değişim Formatı StandardıYazılım Güvenlik Testi Standardı ISO 15408-COMMON CRITERIA

ISO 19101…19117

ISO 19100 ler…

ISO 19113: Kalite İlkeleri

ISO 19114:Kalite Değerlendirme Raporu

ISO 19115: Metaveri

ISO19119:Coğrafik Bilgi-Servisler

BİLGİ GÜVENLİĞİ

İnternet Kullanıcı Sayısı

26

Her

Yüz

han

edek

i Int

erne

t Kul

lanı

cısı

İnte

rnet

’e b

ağla

nan

kulla

nıcı

sayı

sı(M

ilyon

)

International Telecommunication Union / ICT Statistics http://www.itu.int/ITU-D/ict/statistics/index.html

27

Bilgi Sistemleri - Günümüzde

28

Geleceğin Hackerları

29

1980 1985 1990 1995 2000 2005 2010 ……..

Yüksek

İnternetten Kaynaklanan Tehditler

Düşük

SALDIRI ETKİ DÜZEYİ

SALDIRGAN BİLGİ DÜZEYİ

Saldırıların etki derecesi artarken, giderek daha bilgisiz kimseler tarafından gerçekleştirildikleri görülmektedir.

30

Hedefli Ataklar (İran - Stuxnet)• Temmuz 2010’da keşfedilmiştir. • 4 tane o güne kadar bilinmeyen açıklık (zero-day)

kullanılmıştır. • SCADA sistemlerine zarar veriyor (SIEMENS PCS7)• USB aracılığı ile kapalı ağa bulaşmıştır.

31

Siber Saldırılar

Çin’in dünyanın herhangi bir yerine, herhangi bir zamanda sayısal operasyon yapabilecek niyeti ve kabiliyeti bulunmaktadır.

Çin’in sayısal savaş teknikleri ABD’nin karşı koyamayacağı hatta farkedemeyeceği kadar karmaşık ve ileri düzeydedir.

ISO/IEC 15408-COMMON CRITERIA

BT Ürün GüvenliğiOrtak Kriterler Standardı

32

TS ISO/IEC 15408-Ortak Kriterler-COMMON CRITERIA

• BİLİŞİM TEKNOLOJİSİÜRÜNLERİ İÇİN GELİŞTİRİLMİŞ GÜVENLİK DEĞERLENDİRME STANDARDIDIR.

• Geliştiriciyi, Üründeki ve Sistemdeki olası GÜVENLİK ZAYIFLIKLARINI minimuma düşürecek bir METODOLOJİYE uymaya ZORLAR.

33

Ortak Kriterler Standardı : Genel Bilgiler ve Kavramlar

34

• Tüketici(Consumer)

• Ürün geliştirici (Developer)

• Değerlendirici(Evaluator)

BİLİNÇLİ

Sertifikasyon Makamı

• Ortak Kriterler bilgi teknolojileri ürünlerinin güvenlik seviyelerinin tespit edilmesi ve bağımsız laboratuarlarda test edilebilmesi için geliştirilmişolan, temelini TCSEC ve ITSEC standartlarından alan ve Uluslararası Standartlar Organizasyonu'nun (ISO) 1999 yılında Uluslararası Bilgi Teknolojileri Güvenlik Değerlendirme Standardı olarak kabul ettiği (ISO 15408) güvenlik standardıdır.

Ortak Kriterler Standardı Tarihçesi?

TURKISH STANDARDS INSTITUTION CCCS 35

Ortak Kriterler Standardı (ISO)


37

CC DÜNYA TARİHÇESİ

SERTİFİKA ÜRETİCİLİĞİ & MÜŞTERİLİĞİ

38

SERTSERTİİFFİİKA KA ÜÜRETRETİİCCİİLERLERİİ1. T1. Tüürkiyerkiye-- 2 (3 aday)2 (3 aday)2. Almanya 2. Almanya -- 12123. Amerika 3. Amerika –– 994. 4. İİtalya talya -- 665. Fransa 5. Fransa –– 556. G6. Güüney Kore ney Kore –– 557. Japonya 7. Japonya –– 448. Norve8. Norveçç -- 449. 9. İİngiltere ngiltere –– 3310. Kanada 10. Kanada –– 3311. Avustralya ve Yeni Zelanda 11. Avustralya ve Yeni Zelanda –– 3312. 12. İİspanya spanya -- 3313. 13. İİsvesveçç -- 2 2 14. Hollanda 14. Hollanda –– 1115. Malezya15. Malezya--22

SERTSERTİİFFİİKA MKA MÜÜŞŞTERTERİİLERLERİİ1. Avusturya1. Avusturya2. 2. ÇÇek Cumhuriyetiek Cumhuriyeti3. Danimarka3. Danimarka4. Finlandiya4. Finlandiya5. Yunanistan5. Yunanistan6. Macaristan6. Macaristan7. Hindistan7. Hindistan8 .8 .İİsrailsrail9. Singapur9. Singapur10. Pakistan10. Pakistan

ADAY: ADAY: ÇÇinin

CCRA: Arrangement on the Recognition of Common Criteria Certificates of IT Security

Onaylı CC Laboratuarlarımız

39

• Ömmm

Ayrıca 3 adet Başvuruda CC Laboratuarı mevcuttur:• APPLUS LGAI (İspanya)• BEAM TEKNOLOJİ (Türkiye)• CYGNACOM (Amerika)

• Türk Standardları Enstitüsü Türkiyenin milli çok kapsamlıstandardizasyon ve sertifikasyon kuruluşudur ve birçok konuda ulusal ve uluslar arası akreditasyona sahiptir.

• KYS (ISO 9001), BGYS (ISO 27001), Ürün Belgelendirme (ISO 45011) vs. TSE`de bu uluslar arası akreditasyon konularında belgelendirme yapılmaktadır.

• Türk Ortak Kriterler Belgelendirme Sistemi Tarihçesi ve BaşarıAdımları……

TÜRKİYE`DE ORTAK KRİTERLER TSE-ORTAK KRİTERLER BELGELENDİRME SİSTEMİ

(OKBS) 1/3

40

• Türkiye`de Ortak Kriterler programı ilk defa 2001 yılında Genel Kurmay Başkanlığı(TGS) tarafından Türk Silahlı Kuvvetleri için başlatıldı.

• Türkiye’nin belgelendirme kuruluşu olarak TSE, 2003 yılında CCRA’ya imzaladığı anlaşma ile “Sertifika Müşterisi” olarak üye olmuştur.

• Türkiye`de ilk Kamu Ortak Kriterler Değerlendirme Laboratuarı 2003’te TUBİTAK UEKAE bünyesinde Ortak Kriterler Test Merkezi(OKTEM) adı altında bağımsız olarak çalışmalarına başladı.

TSE OKBS TARİHÇESİ 2/3

41

• Ortak Kriterler Belgelendirme Sistemi(OKBS) 2005 yılında TSE Ürün Belgelendirme Merkezi altında kuruldu.

• TSE, 2008 yılında CCRA’da yapılan düzenleme gereğince “Sertifika Üreten Ülke – Authorizing Country” olmak için başvuruda bulundu.

• 12-16 Nisan 2010 tarihleri arasında TSE OKBS, CCRA tarafından yapılan Uluslar arası Tetkikten (Shadow Assesment) “Başarı” ile geçti.

• 17 Kasım 2010 tarihinde Türkiye`nin “Sertifika Üreten Ülke –Authorizing Country” olarak resmi duyurusu yapıldı.

TSE OKBS TARİHÇESİ 3/3

42

TÜRKİYE- “SERTİFİKA ÜRETİCİSİ”• TÜRKİYE 17 KASIM 2010`DA ORTAK KRİTERLER

KAPSAMINDA “SERTİFİKA ÜRETEN ÜLKE”OLDU.

• DÜNYADA 15 ÜLKE ARASINA GİRDİ.• SERTİFİKALANAN ÜRÜNLER “ULUSLAR ARASI

TANINIR GÜVENLİ ÜRÜN” OLDU.

43

DEĞERLENDİRME ve BELGELENDİRME PROSESLERİ- TARAFLAR


• OKBS- OKDL ve Üretici arasındaki hiyerarşi şekildeki gibidir.

• Ortak Kriterler Belgelendirme Sistemi (OKBS) üretici/sponsor ve Ortak Kriterler Test Laboratuarları arasındaki koordinasyonu sağlar.

• TSE OKBS; TÜRKAK`tan TS EN ISO/IEC 17025akreditasyonu almış ve TSE`ye başvurmuş Ortak Kriterler laboratuarlarını (OKDL) lisanslar.

45

• BİLİŞİM TEKNOLOJİSİ ÜRÜNLERİ İÇİNGELİŞTİRİLMİŞ GÜVENLİK DEĞERLENDİRME STANDARDIDIR.

• ISO/IEC 15408 ve ISO/IEC 18045 STANDARTLARIDIR.

Ortak Kriterler Nedir?TS ISO/IEC 15408

46

Ortak Kriterler StandardıÜrün İçin….

47

• GİZLİLİK(Confidentiality)

• BÜTÜNLÜK(Integrity)

• KULLANILABİLİRLİK(Availability)

kontrollerini gerçekleştirir.

Ortak Kriterler StandardıNe Yapar?

48

• TASARIM SÜRECİNİ SORGULAR.• TESLİM & KURULUM SÜRECİNİ SORGULAR.• TASARIM DOKÜMANLARININ İÇERİK YETERLİLİĞİNİ

SORGULAR.• KAYNAK KODU SORGULAR.• KILAVUZ DOKÜMANLARI SORGULAR.• YAŞAM DÖNGÜSÜ MODELİNİ SORGULAR.• GELİŞTİRME ARAÇLARINI SORGULAR.• GELİŞTİRME ORTAMININ GÜVENLİĞİNİ SORGULAR.• TEST DOKÜMANLARINI SORGULAR(Fonksiyonel, Bağımsız ve

Sızma Testleri).

TS ISO/IEC 15408-Ortak Kriterler Ne Sağlar?

• Özetle, BT ürününün yeterli bir geliştirme ortamında gerçeklenip gerçeklenmediğini kontrol eder, var olan tehditleri analiz eder, Fonksiyonel, Bağımsız ve Sızma testleri (Açıklık Analizi çalışması) yapar ve ürüne uygun garanti seviyesini verir.

• 7 Güvenlik Seviyesi vardır. (EAL)

49

BT-Ortak Kriterlerde 14 Ürün Grubu:(Yazılım ve/veya donanım)

- Erişim Kontrol Cihazları ve Sistemleri - Biometrik Sistemler ve Cihazlar- Sınır Koruma Cihazları ve Sistemleri- Veri Koruma - Veritabanları- Tespit Cihazları ve Sistemleri- Akıllı Kartlar-Entegre Devre - Akıllı Kart İşletim Sistemleri - Akıllı Kart Okuyucuları- Anahtar Yönetim Sistemleri - Ağ ve Ağla ilgili Cihazlar ve Sistemler-İşletim Sistemleri- Sayısal İmzalı Ürünler - Güvenilir Hesaplama

HER BİR ÜRÜN GRUBU AYRI UZMANLIK GEREKTİRMEKTE, BU SEBEPLE ÜNİVERSİTELERDEN ve GENELKURMAY`dan TOPLAM 22 DIŞ İNCELEME UZMANI HAVUZU OLUŞTURULMUŞTUR.

50

Ortak Kriterlerde Bazı Ürün Gruplarımız

• Ortak Kriterler tanımlanmış, garanti seviyesi gittikçe artan ve Değerlendirme Garanti Seviyesi (EAL) olarak bilinen 7 adet Güvenlik Seviyesi (garanti paketi)sağlamaktadır:

• EAL 1• EAL 2• EAL 3• EAL 4• EAL 5• EAL 6• EAL 7

ORTAK KRİTERLER GÜVENLİK SEVİYELERİ7 Garanti Seviyesi

52

EAL PAKETLERİ ARASI FARKLAR

• EAL7:• EAL6:• EAL5:• EAL4:• EAL3:• EAL2:• EAL1:

53

YÜKSEK KALİTE

GELİŞTİRME FAZI TEMELLİ:

DÜŞÜK KALİTE

TASNİF DIŞI


• EAL7:• EAL6:• EAL5:• EAL4:• EAL3:• EAL2:• EAL1:

54

WHITE BOX TEST

DEĞERLENDİRME FAZI TEMELLİ:

BLACK BOX TEST

TASNİF DIŞI


• EAL7: HIGH• EAL6: HIGH• EAL5: MODERATE• EAL4: ENHANCED BASIC• EAL3: BASIC• EAL2: BASIC• EAL1: BASIC

İŞLETİM FAZI TEMELLİ:YÜKSEK ATAK POTANSİYELİ, WHITE BOX TEST, YÜKSEK KALİTE

DÜŞÜK ATAK POTANSİYELİ, BLACK BOX TEST, DÜŞÜK KALİTE

55

Ortak Kriterler Değerlendirme Seviyeleri ve Süreleri• EAL1: 2-3 ay

• EAL2: 3-4 ay

• EAL3: 4-5 ay

• EAL4: 6-7 ay

• EAL5: 8-10 ay

56

EAL Seviyelerine göre BT Ürünleri (1997-2012)

BT Ürün Kategorilerine Göre(1997-2012) Toplam = 1672

EAL Seviyelerine göre PP ler(1997-2012)

Kategorilerine Göre PP Dağılımı (1997-2012)Toplam = 221

ORTAK KRİTERLER-BELGELENDİRİLEN ÜRÜNLER

Ürün geliştirici Ürün Adı Ürün Tanımı Garanti Seviyesi Laboratuvar

EGA PKI E-İmza Kök SertifikasıYazılımı

EAL 3+ TÜBİTAK BİLGEM OKTEM

LABRİS LABRIS Güvenlik AğGeçidi Yönetim Merkezi Yazılımı

Güvenlik AğGeçidi Yönetim Merkezi Yazılımı


TUBİTAK BİLGEM UEKAE

AKİS Pasaport V1.0

Akıllı Kart işletim sistemi EAL4+ TÜBİTAK

BİLGEM OKTEM

TUBİTAK BİLGEM UEKAE ESYA v1.0 PKI EAL4+ TÜBİTAK

BİLGEM OKTEM

Ürün geliştirici Ürün Adı Ürün Tanımı Garanti Seviyesi

Laboratuvar


AKİS Pasaport V1.4 N

Akıllı Kart işletim sistemi temassız, ICAO 9303 uyumlU

EAL4+ TÜBİTAK BİLGEM OKTEM

TUBİTAK BİLGEM UEKAE AKİS V1.2.2 I

Akıllı kart işletim sistemi EAL4+ TÜBİTAK

BİLGEM OKTEM


AKİS V1.2.1 N

Akıllı kart işletim sistemi EAL4+ TÜBİTAK

BİLGEM OKTEM

TAMARA

USBK Cryptobridge v2.0 Model A101 and Model A103

Veri Koruma Ürünü EAL 2 TÜBİTAK

BİLGEM OKTEM



Laboratuvar


KKEC v1.41.06A

Akıllı Kart Erişim Cihazı EAL4+ TÜBİTAK

BİLGEM OKTEM


UKTÜM UKT23T64H v4.0

Akıllı kart tüm devresi EAL5+ TÜBİTAK

BİLGEM OKTEM

TUBİTAK BİLGEM

UEKAEKEC_F PP

Akıllı Kart Erişim CihazıGömülü YazılımıKoruma Profili


TUBİTAK BİLGEM UEKAE UKİS V1.2.2

Ulusal AkıllıKart işletim sistemi ve eID, PKI Uygulamaları


ASELSAN AŞ. VAG v1.0.6 EAL 4+ EPOCHE & ESPRİ



Laboratuvar


UEKAE Atik Serisi HSM HSM Flow Control Firmware v2.0

Hardware Security Module Flow Control Firmware



UKTÜM UKT23T64H v.5.0

KontaklıAkıllı kart tüm devresi



UKTÜM UKT23T64S v1.0

KontaklıAkıllı kart tüm devresi



AKiS v1.4i Pasaport

Akıllı Kart İşletim Sistemi-(komposit değ.)


ORTAK KRİTERLER-DEĞERLENDİRMESİ DEVAM EDEN ÜRÜNLER


Laboratuvar

Labris Tek. Bilişim Ltd. Şti.

LABRIS Güvenlik AğGeçidi Yönetim Merkezi Yazılımı

Güvenlik AğGeçidi Yönetim Merkezi Yazılımı

EAL 4+ BEAM TEKNOLOJİ

SİSOFT Sağlık Bilgi Sistemleri

Sisocare(Sisohbys)

v2.0Sisoft HBYS EAL 2 TÜBİTAK

BİLGEM OKTEM

TUBİTAK BİLGEM UEKAE AKİS V 2.2 I

Akıllı kart işletim sistemi-(komposit değ.)


TUBİTAK BİLGEM UEKAE AKİS V 2.2 N

Akıllı kart işletim sistemi-(komposit değ.)


NETSAFENetSafe

Management Software

EAL 4+ BEAM TEKNOLOJİ

ORTAK KRİTERLER-DEĞERLENDİRMESİ DEVAM EDEN ÜRÜNLER

EAL Seviyelerine Göre Yüzdeler

Ürün Gruplarına göre Yüzdeler

OKBS 2012-SON DURUM • 12 ürün sertifikalandırılmış, • 1 PP sertifikalı, 1 PP başvuruda (IP tabanlı yazar Kasa) • 9 ürün değerlendirmede• 4 PP geliştirilmekte.• Sertifika üreten ülkelerin değerlendirip, sertifikalandırdığı

ürünler “Uluslar arası geçerli Güvenli BT Ürünü” olmaktave www.commoncriteriaportal.org adresinde yayınlanmaktadırlar.

• 2 adet Lisanslı CC lab. mevcut.• 3 adet Aday CC lab.

68

• TOE (Target of Evaluation): Değerlendirme Hedefi-(Ürün)

• ST (Security Target): Güvenlik Hedefi, TOE güvenlik iddialarının belirtildiği dokümandır.

• PP (Protection Profile): Koruma Profili, CC standardına uygun olarak yazılmış Teknik Şartnamelerdir. ST ler için şablon dokümanlardır.

• CPP (Colloborative PP)-ZORUNLU OLACAK

Genel Kavramlar (1/3)

69

70

PROFİLİ (PROTECTION PROFILE, PPKORUMA)

• CC dilinde yazılmış teknik şartnamelerdir.

• Tüketici tarafından hazırlanır.

• Genel ürün ailesini tanımlar (firewall, akıllı kart, işletim sistemi).

• Ürünün BT ortamını tanımlar.

• Varsayımları ve tehditleri tanımlar.

• Mevcut varsayımlar altında var olan tehditleri karşılamak için güvenlik gereksinimlerini tanımlar.

71

Güvenlik Hedefleri

BT Güvenlik Gereksinimleri Tehditler

Politikalar

Varsayımlar Çevre İçin Güvenlik Hedefleri

TOEGüvenlik Hedefleri

Varlıklar

PP-Koruma Profili

Kullanıcı adı, Parola, Şifreleme, Anahtarları,Sertifikalar,Kayıtlar

Cihazın korumalıodada kullanılması

KriptanalizYetkisiz erişimAraya girme

SSL ile haberleşme

Bilinçli kullanıcı, Fiziksel güvenli ortam

Kimlik doğrulması,Yetkilendirme,Şifreli saklama

COLLOBORATIVE PROTECTION PROFILES-CPP ler

• DÜNYADA ORTAK KORUMA PROFİLLERİHAZIRLANACAK VE ÜLKELERDE ZORUNLU HALE GETİRİLECEK

• BUNLARDAN BİRİ DE «SMART METERS» EAL 2 düzeyinde

73

TSF

ST-Güvenlik Hedefi

Güvenlik Hedefleri

BT Güvenlik Gereksinimleri Tehditler

Politikalar

Varsayımlar Çevre İçin Güvenlik Hedefleri

TOEGüvenlik Hedefleri

Varlıklar

Ortak Kriterler Değerlendirme Seviyeleri-Test Süreleri

• EAL1: 2-3 ay

• EAL2: 3-4 ay

• EAL3: 4-5 ay

• EAL4: 6-7 ay

• EAL5: 8-10 ay

74

ORTAK KRİTERLER LABORATUARI OLMAK İÇİN ISO/IEC 17015 AKREDİTASYONU ŞARTTIR.

75

Üretici-OKDL-OKBS

TEŞEKKÜR EDERİM

Mariye Umay AKKAYATSE-Bilişim Teknolojileri Belgelendirme Müdürü

[email protected], [email protected] ; [email protected]

http://bilisim.tse.org.tr 77

tÜrk standardlari enstİtÜsÜ bİlİŞİm ... · •12207-15288-yazılım süreçdeğ. uygunluğu...

Documents