Kamu Siber Güvenlik Günü

Transkript

1 01 Kasım 2013, Kamu Siber Güvenlik Günü Mariye Umay Akkaya Yazılım Test ve Belgelendirme Dairesi Başkan V.

2 Sunum İçeriği 1. Bilişim Teknolojileri ve Siber Güvenlik Belgelendirmeleri 2. Siber Güvenlik Eylem Planı Madde 12/b için Yapılanlar 3. Siber Güvenlik Eylem Planı Madde 12/a için Yapılanlar 4. Sonuç ve Yol Haritası

3 TSE BİLİŞİM TEKNOLOJİLERİ ve SİBER GÜVENLİK BELGELENDİRMELERİ

4 TS ELEKTRONİK BELGE YÖNETİMİ, ISO 25051YAZILIM PAKETLERİ SERTİFİKASYONLARI 4

5 YAZILIM SÜREÇLERİ SERTİFİKASYONLARI-SPICE (ISO CMMI)-5 seviye 5

6 26 ülkede geçerli-bt Ürün Güvenliği-Ortak Kriterler Sertifikasyonu-Common Criteria 6

7 Kripto Algoritma ve Modül Sertifikasyonları (ISO FIPS 140-2) 7

8 BİLGİ TEKNOLOJİLERİ ve GÜVENLİĞİ BELGELENDİRMELERİ ORTAK KRİTERLER: TS ISO/IEC serisi BT ürünlerinin güvenliği için değerlendirme kriterleri (Ortak Kriterler)-7 SEVİYE SPICE: TS ISO SPICE Yazılım Süreç Değerlendirilmesi (ISO CMMI) -5 SEVİYE BİLİŞİM TEKNOLOJİSİ: TS Elektronik Belge Yönetimi TS ISO/IEC 25051Yazılım Paketleri Belgelendirmesi TS ISO İnsan Sistem Ergonomik Etkileşimi, WCAG kriteri, ISO/IEC 40500, Tsek 194 UYGUNLUK DEĞERLENDİRMESİ: TS ISO/IEC Yazılım Yaşam Döngüsü TS ISO/IEC Sistem Yaşam Döngüsü KRİPTO MODÜL BELGELENDİRMESİ (ISO FIPS 140-2)- 4 SEVİYE TS ISO/IEC 19790, TS ISO/IEC Temel Seviye Güvenlik Belgelendirmesi Saha Güvenlik Belgelendirmesi Qweb Belgelendirmesi Sızma Testi Yapan Personel ve Firmaların Sertifikasyonu Yazılım Geliştirici ve Testçilerin Sertifikasyonu 8

9 VERDİĞİMİZ SERTİFİKA TÜRLERİ

10 SİBER GÜVENLİK BELGELENDİRMELERİ

11 TS ISO/IEC COMMON CRITERIA: BT ÜRÜN GÜVENLİĞİ SERTİFİKASYONU EAL7: HIGH EAL6: HIGH EAL5: MODERATE EAL4: ENHANCED BASIC EAL3: BASIC EAL2: BASIC EAL1: BASIC YÜKSEK ATAK POTANSİYELİ, WHITE BOX TEST, YÜKSEK KALİTE DÜŞÜK ATAK POTANSİYELİ, BLACK BOX TEST, DÜŞÜK KALİTE 11

12 Ortak Kriterler Değerlendirme Seviyeleri ve Süreleri EAL1: 2-3 ay EAL2: 3-4 ay EAL3: 4-5 ay EAL4: 6-7 ay EAL5: 8-10 ay 12

13 Ortak Kriterlerde 14 Ürün Grubu: (Yazılım ve/veya donanım) -Erişim Kontrol Cihazları ve Sistemleri -Biometrik Sistemler ve Cihazlar -Sınır Koruma Cihazları ve Sistemleri -Veri Koruma -Veritabanları - Tespit Cihazları ve Sistemleri -Akıllı Kartlar-Entegre Devre - Akıllı Kart İşletim Sistemleri - Akıllı Kart Okuyucuları - Anahtar Yönetim Sistemleri - Ağ ve Ağla ilgili Cihazlar ve Sistemler -İşletim Sistemleri -Sayısal İmzalı Ürünler - Güvenilir Hesaplama -Web Uygulamaları HER BİR ÜRÜN GRUBU AYRI UZMANLIK GEREKTİRMEKTE, BU SEBEPLE ÜNİVERSİTELERDEN ve UZMANLARDAN OLUŞAN TOPLAM 22 DIŞ İNCELEME UZMANI HAVUZU OLUŞTURULMUŞTUR. 13

14 CCRA: Ortak Kriterler Tanıma Anlaşması CCRA: Arrangement on the Recognition of Common Criteria Certificates of IT Security till EAL 4 26 üye ülke Certificate Authorising Member (15 ülke) Certificate Consuming Member (11 ülke)

15 CCRA: Arrangement on the Recognition of Common Criteria Certificates of IT Security SERTİFİKA ÜRETİCİLİĞİ & MÜŞTERİLİĞİ SERTİFİKA ÜRETİCİLERİ 1. Türkiye- 3 (2 aday) 2. Almanya Amerika 9 4. İtalya Fransa 5 6. Güney Kore 5 7. Japonya 4 8. Norveç İngiltere Kanada Avustralya ve Yeni Zelanda İspanya İsveç Hollanda Malezya Hindistan SERTİFİKA MÜŞTERİLERİ 1. Avusturya 2. Çek Cumhuriyeti 3. Danimarka 4. Finlandiya 5. Yunanistan 6. Macaristan 7. İsrail 8. Singapur 9. Pakistan ADAY: Çin 15

16 TÜRKİYE- SERTİFİKA ÜRETİCİSİ- AUTHORISING COUNTRY TÜRKİYE 17 KASIM 2010`DA ORTAK KRİTERLER KAPSAMINDA SERTİFİKA ÜRETEN ÜLKE OLDU. DÜNYADA 15 ÜLKE ARASINA GİRDİ. SERTİFİKALANAN ÜRÜNLER ULUSLAR ARASI TANINIR GÜVENLİ ÜRÜN OLDU. (İHRACAT) 16

17 Onaylı Ortak Kriterler Laboratuvarlarımız LİSANSLI LABORATUVARLARIMIZ: TÜBİTAK BİLGEM OKTEM EPOCHE & ESPRI (İspanya) CYGNACOM (Amerika) ADAY LABORATUVARLAR: APPLUS LGAI (İspanya) BEAM TEKNOLOJİ (Türkiye) 17

18 Taşeron BT Laboratuarlarımız TÜBİTAK BİLGEM YTKDM EPOCHE & ESPRI ODTÜ İBE Ayrıca 1 adet Başvuruda Laboratuar mevcuttur: Akıllı Kart Erişim Cihazları Birlikte Çalışabilirlik Laboratuarı (TÜBİTAK BİLGEM UEKAE)

19 ORTAK KRİTERLER-BELGELENDİRİLEN ÜRÜNLER Ürün geliştirici Ürün Adı Ürün Tanımı Garanti Seviyesi Laboratuvar EGA PKI E-İmza Kök Sertifikası Yazılımı LABRİS LABRIS Güvenlik Ağ Geçidi Yönetim Merkezi Yazılımı Güvenlik Ağ Geçidi Yönetim Merkezi Yazılımı EAL 3+ EAL 4+ TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TUBİTAK BİLGEM UEKAE AKİS Pasaport V1.0 Akıllı Kart işletim sistemi EAL4+ TÜBİTAK BİLGEM OKTEM TUBİTAK BİLGEM UEKAE ESYA v1.0, ESYA v2.0 PKI EAL4+ TÜBİTAK BİLGEM OKTEM

20 ORTAK KRİTERLER-BELGELENDİRİLEN ÜRÜNLER Ürün geliştirici Ürün Adı Ürün Tanımı Garanti Seviyesi TUBİTAK BİLGEM UEKAE TUBİTAK BİLGEM UEKAE TUBİTAK BİLGEM UEKAE TUBİTAK BİLGEM UEKAE KKEC v a UKTÜM UKT23T64H v4.0 KEC_F PP UKİS V1.2.2 Akıllı Kart Erişim Cihazı Akıllı kart tüm devresi Akıllı Kart Erişim Cihazı Gömülü Yazılımı Koruma Profili Ulusal Akıllı Kart işletim sistemi ve eid, PKI Uygulamaları EAL4+ EAL5+ EAL4+ EAL4+ ASELSAN AŞ. VAG v1.0.6 EAL 4+ Laboratuvar TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM EPOCHE & ESPRİ

21 ORTAK KRİTERLER-BELGELENDİRİLEN ÜRÜNLER Ürün geliştirici Ürün Adı Ürün Tanımı Garanti Seviyesi TUBİTAK BİLGEM UEKAE TUBİTAK BİLGEM UEKAE TUBİTAK BİLGEM UEKAE TAMARA AKİS Pasaport V1.4 N N AKİS V1.2.2 I AKİS V1.2.1 USBK Cryptobridge v2.0 Model A101 and Model A103 Akıllı Kart işletim sistemi temassız, ICAO 9303 uyumlu Akıllı kart işletim sistemi Akıllı kart işletim sistemi Veri Koruma Ürünü EAL4+ EAL4+ EAL4+ EAL 2 Laboratuvar TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM

22 ORTAK KRİTERLER-DEĞERLENDİRMESİ DEVAM EDEN ÜRÜNLER Ürün geliştirici Ürün Adı Ürün Tanımı Garanti Seviyesi TUBİTAK BİLGEM UEKAE TUBİTAK BİLGEM UEKAE TUBİTAK BİLGEM UEKAE UEKAE Atik Serisi HSM HSM Flow Control Firmware v2.0 UKTÜM UKT23T64H v.5.0 UKTÜM UKT23T64S v1.0 Hardware Security Module Flow Control Firmware Kontaklı Akıllı kart tüm devresi Kontaklı Akıllı kart tüm devresi EAL 4+ EAL5+ EAL5+ Laboratuvar TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TUBİTAK BİLGEM UEKAE AKiS v1.4i Pasaport Akıllı Kart İşletim Sistemi- (komposit değ.) EAL 4+ TÜBİTAK BİLGEM OKTEM

23 Ürün geliştirici Ürün Adı Ürün Tanımı Garanti Seviyesi LABRIS Güvenlik Ağ Labris Tek. Güvenlik Ağ Geçidi Yönetim Bilişim Ltd. Şti. Geçidi Yönetim Merkezi Yazılımı EAL 4+ Merkezi Yazılımı SİSOFT Sağlık Bilgi Sistemleri TUBİTAK BİLGEM UEKAE TUBİTAK BİLGEM UEKAE NETSAFE NATEK ORTAK KRİTERLER-DEĞERLENDİRMESİ DEVAM EDEN ÜRÜNLER Sisocare (Sisohbys) v2.0 AKİS V 2.2 I AKİS V 2.2 N NetSafe Management Software Log Yönetim Yazılımı Sisoft HBYS EAL 2 Akıllı kart işletim sistemi- (komposit değ.) Akıllı kart işletim sistemi- (komposit değ.) EAL4+ EAL4+ EAL 4+ EAL 3 Laboratuvar BEAM TEKNOLOJİ TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM BEAM TEKNOLOJİ TÜBİTAK BİLGEM OKTEM

24 (ISO FIPS 140-2,3) Kripto Modülleri İçin Güvenlik Gereksinimleri (TS ISO/IEC 19790) Kripto Modülleri İçin Test Gereksinimleri (TS ISO/IEC 24759) Kripto Modül/Algoritma Doğrulama Programı (CMVP/CAVP))

25 19790-Kripto Modülleri İçin Güvenlik Gereksinimleri Güvenlik Seviyesi 1 Güvenlik Seviyesi 2 Güvenlik Seviyesi 3 Güvenlik Seviyesi 4

26 SCS-Smart Card Security Turkey Consourtium Amaç: SOGIS-MRA ya girmek PAYDAŞLAR: TSE TÜBİTAK İTÜ TOBB ETÜ SABANCI

27 adet Konferans/Seminer/Çalıştay

28 SİBER GÜVENLİK EYLEM PLANI Madde 12 için YAPILANLAR TSE «Sorumlu»

29 ULUSAL SİBER GÜVENLİK STRATEJİSİ VE EYLEM PLANI MADDE 12/a ve 12/b için YAPILANLAR ( , Resmi Gazete) tarihinde TSE YKK ile «Siber Güvenlik Özel Komitesi» kuruldu. Komitede akademisyenler, kamu ve özel sektör uzmanları toplam 30 Dış Uzman var. 28 yeni Konuda Çalışmalara başlanıldı. «Ulusal Koruma Profili Havuzu» Projesi. Mayıs-Ekim toplam 20 adet çalıştay

30 ULUSAL SİBER GÜVENLİK STRATEJİSİ VE EYLEM PLANI MADDE 12/b ve YAPILANLAR 12. Siber güvenlik konusunda ürünlerin ve hizmet sağlayıcıların akredite edilmesi Kamu kurumları tarafından kullanılan ve siber güvenlik açısından kritik öneme sahip bilgi teknolojileri ve bilgi sistemleri ürünlerinin ve bunların sahip olması gereken asgari güvenlik gereksinimlerinin belirlenmesi ve belgelendirmenin yapılması Ağustos TSE (S) - Ulaştırma, Denizcilik ve Haberleşme Bakanlığı (İ) - TURKAK (İ) - TÜBİTAK (İ)

31 ISO/IEC COMMON CRITERIA: PP-Koruma Profili: Asgari Güvenlik Gereksinimleri Varlıklar Varsayımlar Tehditler Politikalar Güvenlik Hedefleri Çevre İçin Güvenlik Hedefleri TOE Güvenlik Hedefleri BT Güvenlik Gereksinimleri 31 Kullanıcı adı, Parola, Şifreleme, Anahtarları, Sertifikalar, Kayıtlar Cihazın korumalı odada kullanılması Kriptanaliz Yetkisiz erişim Araya girme SSL ile haberleşme Bilinçli kullanıcı, Fiziksel güvenli ortam Kimlik doğrulması, Yetkilendirme, Şifreli saklama

32 DETAYLI GÖRÜŞÜLEN KURUMLAR SAĞLIK BAKANLIĞI Bilişim Sistemleri Genel Müdürlüğü (HBYS, AHBS PPs) BİLİM SANAYİ VE TEKNOLOJİ BAKANLIĞI Metroloji ve Standardizasyon Genel Müdürlüğü (Akıllı Sayaçlar PP) Tübitak Bilgem Uekae (Akıllı Kartlar PPs) MALİYE BAKANLIĞI Gelir İdaresi Başkanlığı (IP Tabanlı Yazar Kasa PP) ÇEVRE VE ŞEHİRCİLİK BAKANLIĞI Coğrafi Bilgi Sistemleri Genel Müdürlüğü (CBS PP) BAŞBAKANLIK Devlet Arşivleri Genel Müdürlüğü (EBYS PP) SGK

33 2013 YENİ AR-GE PROJELERİ ve ULUSAL KORUMA PROFİLİ HAVUZU PROJESİ 1. Güvenli E-Ticaret Belgelendirmesi* 2. Güvenli HBYS (Hastane Bilgi Yönetim Sistemleri)* Belgelendirmesi 3. Güvenli EBYS Belgelendirmesi* 4. Kart Erişim Cihazları ( KEC) ve EKDS Belgelendirmesi 5. Güvenli Coğrafi Bilgi Sistemleri ( CBS ) Belgelendirmesi* 6. Akıllı Sayaçlar Güvenliği Belgelendirmesi* 7. Site Certification ( Ortak Kriterler Ürün Yaşam Döngüsü Belgesi) TÜM BT ÜRÜNLERİ İÇİN

34 ULUSAL KORUMA PROFİLİ HAVUZU 8) 1 st Level Security Certification (Bilişim Teknolojileri Ürünleri Temel Seviye Güvenlik Belgelendirmesi-TÜM BT ÜRÜNLERİ İÇİN) 9) E-Kimlik Koruma Profili* 10) GEM Koruma Profili* 11) Mobile ID Koruma Profili* 12) Secure IC Koruma Profili* 13) Embedded OS Koruma Profili* 14) IP Tabanlı Yazar Kasa Belgelendirmesi

35 ULUSAL KORUMA PROFİLİ HAVUZU 15)Yazılım Geliştiriciler ve Testçiler için Kriterlerin Belirlenmesi* 16) Qweb-Web Sitelerinin Belgelendirmesi 17) Cloud Computing Belgelendirmesi 18) E-Pasaport Koruma Profili 19) E-İmza Koruma Profili 20) E-Ehliyet Koruma Profili 21) BT ürünleri Açıklıkları Kütüphanesi

36 ULUSAL KORUMA PROFİLİ HAVUZU 22) Sızma Testleri Kriterleri 23) SSL kriterleri 24) Penetrasyon Testi Yapan Firmalar ve Personellerin Belgelendirmesi 25) Biyometrik Ürünler için Koruma Profili 26) Web Servisleri Koruma Profili 27) Web Uygulamaları Koruma Profili 28) Tedarik Zinciri Belgelendirmesi ve Yazılım Test Laboratuvarı

37 YAZILIM TEST LABORATUVARI Yazılım Fonksiyonel Testleri Yazılım Performans Testleri Yazılım Güvenlik-Sızma Testleri Siyah Kutu Testleri Beyaz Kutu Testleri ISO/IEC Sızma Testleri

38 ULUSAL SİBER GÜVENLİK STRATEJİSİ VE EYLEM PLANI MADDE 12/a 12. Siber güvenlik konusunda ürünlerin ve hizmet sağlayıcıların akredite edilmesi Bilgi sistemlerinin güvenlik testlerini yapan, siber güvenlik konusunda eğitim ve danışmanlık veren, siber güvenlik konusunda belirlenecek diğer alanlarda hizmet sunan gerçek ve tüzel kişilerde bulunması gereken asgari özelliklerin belirlenmesi ve belgelendirme sürecinin tasarlanması Eylül Ulaştırma, Denizcilik ve Haberleşme Bakanlığı (İ) - TURKAK (İ) - TÜBİTAK (İ) - TSE (İ)

39 Madde 12/a için Yapılanlar: Sızma Testi (Pen-Test) yapan personel ve firmalar için İdari Kriterler hazırlandı Teknik Kriterler hazırlanmakta 2 adet Çalıştay düzenlendi Sızma Testi yapan personellere Teorik ve Pratik sınav yapabilmek için CTF (Capture the Flag) Laboratuvarı kurulacaktır.

40 ULUSAL SİBER GÜVENLİK STRATEJİSİ VE EYLEM PLANI MADDE 10 - Yazılım güvenliği ile ilgili eğitimlerin hazırlanması ve yazılım geliştiricilere Aralık 2013 verilmeye başlanması 10 Yazılım Güvenliği Programının Yürütülmesi - Kritik altyapılar için geliştirilen yazılımlar için güvenli yazılım geliştirme temel kurallarının yayımlanması - Kritik altyapılar için geliştirilen yazılımların güvenlik değerlendirmeleri için ilgili kurumların Aralık 2013 TÜBİTAK (S) Ulaştırma, Denizcilik ve Haberleşme Bakanlığı (İ) TSE (İ) bünyesinde gerekli teknik altyapının Mart 2014 kurulmasına yönelik fizibilitenin hazırlanarak Siber Güvenlik Kuruluna sunulması Siber Güvenlik

41 SORU CEVAP Siber Güvenlik

42 TEŞEKKÜR EDERİM Mariye Umay AKKAYA TSE Yazılım Test ve Belgelendirme Dairesi Başkan V. ; cc@tse.org.tr 42