TÜRK STANDARDI TURKISH STANDARD

Transkript

1 TÜRK STANDARDI TURKISH STANDARD TS ISO/IEC Nisan 2006 ICS BİLGİ TEKNOLOJİSİ - GÜVENLİK TEKNİKLERİ- BİLGİ TEKNOLOJİSİ (IT) GÜVENLİĞİ İÇİN DEĞERLENDİRME KRİTERLERİ - BÖLÜM 1: GİRİŞ VE GENEL MODEL Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model TÜRK STANDARDLARI ENSTİTÜSÜ Necatibey Caddesi No.112 Bakanlıklar/ANKARA

2 Bugünkü teknik ve uygulamaya dayanılarak hazırlanmış olan bu standardın, zamanla ortaya çıkacak gelişme ve değişikliklere uydurulması mümkün olduğundan ilgililerin yayınları izlemelerini ve standardın uygulanmasında karşılaştıkları aksaklıkları Enstitümüze iletmelerini rica ederiz. Bu standardı oluşturan Hazırlık Grubu üyesi değerli uzmanların emeklerini; tasarılar üzerinde görüşlerini bildirmek suretiyle yardımcı olan bilim, kamu ve özel sektör kuruluşları ile kişilerin değerli katkılarını şükranla anarız. Kalite Sistem Belgesi İmalât ve hizmet sektörlerinde faaliyet gösteren kuruluşların sistemlerini TS EN ISO 9000 Kalite Standardlarına uygun olarak kurmaları durumunda TSE tarafından verilen belgedir. Türk Standardlarına Uygunluk Markası (TSE Markası) TSE Markası, üzerine veya ambalâjına konulduğu malların veya hizmetin ilgili Türk Standardına uygun olduğunu ve mamulle veya hizmetle ilgili bir problem ortaya çıktığında Türk Standardları Enstitüsü nün garantisi altında olduğunu ifade eder. TSEK Kalite Uygunluk Markası (TSEK Markası) TSEK Markası, üzerine veya ambalâjına konulduğu malların veya hizmetin henüz Türk Standardı olmadığından ilgili milletlerarası veya diğer ülkelerin standardlarına veya Enstitü tarafından kabul edilen teknik özelliklere uygun olduğunu ve mamulle veya hizmetle ilgili bir problem ortaya çıktığında Türk Standardları Enstitüsü nün garantisi altında olduğunu ifade eder. DİKKAT! TS işareti ve yanında yer alan sayı tek başına iken (TS 4600 gibi), mamulün Türk Standardına uygun üretildiğine dair üreticinin beyanını ifade eder. Türk Standardları Enstitüsü tarafından herhangi bir garanti söz konusu değildir. Standardlar ve standardizasyon konusunda daha geniş bilgi Enstitümüzden sağlanabilir. TÜRK STANDARDLARININ YAYIN HAKLARI SAKLIDIR.

3 Ön söz Bu standard; ISO tarafından kabul edilen, ISO/IEC (2005) standardı esas alınarak, TSE Bilgi Teknolojileri ve İletişim İhtisas Grubu nca TS ISO/IEC (2002) standardının revizyonu olarak hazırlanmış ve TSE Teknik Kurulu nun 13 Nisan 2006 tarihli toplantısında kabul edilerek yayımına karar verilmiştir. Bu standardın daha önce yayımlanmış bulunan baskıları geçersizdir. Bu standardın kabulü ile TS ISO/IEC (2002) iptal edilmiştir. ISO/IEC Bilgi teknolojisi - Güvenlik teknikleri Bilgi teknolojisi (IT) güvenliği için değerlendirme kriterleri genel başlığı altında aşağıdaki bölümlerden oluşmaktadır: - 1. Bölüm: Giriş ve genel model - 2. Bölüm: Güvenlik fonksiyonel gereksinimleri - 3. Bölüm: Güvenlik garanti gereksinimleri Bu standardda kullanılan bazı kelime ve/veya ifadeler patent haklarına konu olabilir. Böyle bir patent hakkının belirlenmesi durumunda TSE sorumlu tutulamaz.

4 İçindekiler 0 Giriş Kapsam Terimler ve tarifler Varlıklar Atama Garanti Saldırı potansiyeli Artırma Kimlik doğrulama verisi Yetkilendirilmiş kullanıcı Sınıf Bileşen Bağlanırlık Bağımlılık Öğe Değerlendirme Değerlendirme Garanti Düzeyi (EAL) Değerlendirme makamı Değerlendirme programı Uzantı Dış IT varlığı Aile Biçimsel Kılavuz dokümantasyon İnsan kullanıcı Kimlik Biçimsel olmayan İç iletişim kanalı İç TOE aktarımı TSF arası aktarımlar Yineleme Nesne Kurumsal güvenlik politikaları Paket Ürün Koruma Profili (PP) Referans denetleyicisi Referans doğrulama mekanizması Ayrıntılandırma Rol Gizli bilgi Güvenlik özelliği Güvenlik fonksiyonu (SF) Güvenlik fonksiyonu politikası (SFP) Güvenlik amacı Güvenlik hedefi (ST) Seçim Yarı biçimsel Fonksiyon gücü (SOF) SOF-temel SOF-orta SOF-yüksek Özne Sistem Değerlendirme hedefi (TOE) TOE kaynağı TOE Güvenlik fonksiyonları (TSF) TOE Güvenlik fonksiyonları arayüzü (TSFI) TOE Güvenlik politikası (TSP)... 5

5 2.57 TOE güvenlik politikası modeli TSF kontrolünün dışındaki aktarımlar Güvenli kanal Güvenli yol TSF verileri TSF Kontrol kapsamı (TSC) Kullanıcı Kullanıcı verisi Zorunlu Bilgi için Gerekir Önerilir ebilmek (may) ebilmek (can) Semboller ve kısaltmalar Genel bakış Giriş Değerlendirme bağlamı ISO/IEC in yapısı Genel model Güvenlik bağlamı ISO/IEC yaklaşımı Güvenlik kavramları ISO/IEC tanımlayıcı malzeme ISO/IEC gereksinimleri ve değerlendirme sonuçları Giriş PP'ler ve ST'lerdeki gereksinimler TOE'deki gereksinimler Uyum sonuçları TOE değerlendirme sonuçlarının kullanılması Ek A Koruma Profillerinin belirlenmesi Ek B Güvenlik hedeflerinin belirlenmesi Kaynaklar... 41

6

7 Bilgi teknolojisi - Güvenlik teknikleri- Bilgi teknolojisi (IT) güvenliği için değerlendirme kriterleri - Bölüm 1: Giriş ve genel model 0 Giriş ISO/IEC bağımsız güvenlik değerlendirmelerinin sonuçları arasında karşılaştırma olanağı tanımaktadır. Bunu da IT (BT) ürünleri ve sistemlerinin güvenlik fonksiyonları ve güvenlik değerlendirmesi sırasında uygulanan garanti kriterleri için ortak bir gereksinim kümesi sağlayarak gerçekleştirir. Değerlendirme işlemi, bu ürünlerin ve sistemlerin güvenlik fonksiyonlarının ve bunlara uygulanan garanti kriterlerinin, bu gereksinimleri yerine getirdiğine dair bir güven düzeyi sağlar. Değerlendirme sonuçları, kullanıcıların IT ürünü ya da sisteminin, amaçladıkları uygulama için yeterince güvenli ve kullanımı sırasında oluşabilecek güvenlik risklerinin kabul edilebilir olup olmadığını belirlemesine yardım edebilir. ISO/IEC 15408, IT güvenlik fonksiyonlarıyla ürünler ve sistemler geliştirilmesinde kılavuz olarak ve ticari ürünlerin ve sistemlerin bu fonksiyonlarla alınmasında işe yaramaktadır. Değerlendirme sırasında bu tür bir IT ürünü ya da sistemi, Değerlendirme Hedefi (Target of Evaluation - TOE) olarak bilinmektedir. Bu tür TOE'ler arasında, örneğin, işletim sistemleri, bilgisayar ağları, dağıtık sistemler ve uygulamalar yer almaktadır. ISO/IEC 15408, bilgilerin izinsiz bir şekilde açıklanması, değiştirilmesi ya da kullanım kaybına karşı koruma sorunuyla ilgilidir. Bu üç tür güvenlik sorunuyla ilgili koruma kategorileri genelde, sırasıyla, gizlilik, bütünlük ve kullanılabilirlik olarak adlandırılmaktadır. ISO/IEC ayrıca bu üçünün dışındaki IT güvenlik özelliklerine de uygulanabilir. ISO/IEC 15408, bu bilgiye karşı, kötü niyetli olsun olmasın, insan etkinliklerinden kaynaklanan tehditler üzerinde yoğunlaşmaktadır ama insanlardan kaynaklanmayan bazı tehditlere de uygulanabilir. Buna ek olarak, ISO/IEC diğer IT alanlarında da uygulanabilir ama IT güvenliğinden oluşan dar alanın dışında başarılı olma iddiasında bulunmamaktadır. ISO/IEC 15408, donanım, bellenim ya da yazılımlarda kullanılan IT güvenlik kriterlerine uygulanabilmektedir. Değerlendirmenin belirli özelliklerinin sadece uygulamanın bazı yöntemlerine uygulanması amaçlandığında, bu durum ilgili kriter ifadelerinde belirtilmektedir. 1 Kapsam Bu Standard, IT ürünleri ve sistemlerinin güvenlik özelliklerinin değerlendirilmesinde ISO/IEC in temel olarak kullanılmasını kapsar. Bu tür ortak bir kriterler temeli oluşturulmasıyla, bir IT güvenlik değerlendirmesinin sonuçları daha geniş bir kitle için anlamlı hale gelmektedir. Özel teknikler gerektirdikleri ya da IT güvenliğinin biraz dışında yer aldıkları için bazı konular ISO/IEC in kapsamı dışında kabul edilmektedir. Bunlardan bazıları aşağıda belirtilmiştir: a) ISO/IEC 15408, IT güvenlik kriterleriyle doğrudan ilgili olmayan idari güvenlik önlemlerine ait güvenlik değerlendirme kriterleri içermemektedir. Ama, bir TOE'nin güvenliğinin önemli bir bölümünün genelde idari kriterlerle, örneğin kurumsal, personelle ilgili, fiziksel ve iş yapma yöntemleriyle ilgili kontrollerle gerçekleştirilebileceği de kabul edilmektedir. TOE'nin çalışma ortamındaki idari güvenlik kriterleri, güvenli kullanım varsayımları olarak kabul edilmektedir ve bunlar IT güvenlik kriterlerinin belirlenen tehditlere karşı mücadele yeteneğinde etkiye sahiptir. b) IT güvenliğinin teknik fiziksel yönlerinin değerlendirilmesi, örneğin elektromanyetik yayılma kontrolü özel olarak incelenmemiştir, ama ele alınan kavramlardan birçoğu bu alana da uygulanabilecektir. Özellikle de, ISO/IEC 15408'de TOE'nin fiziksel korunmasının bazı yönleri ele alınmaktadır. c) ISO/IEC ne değerlendirme metodolojisini, ne de kriterlerin değerlendirme makamları tarafından uygulanabileceği, idari ya da yasal çerçeveyi ele almaktadır. Ama, ISO/IEC in böyle bir çerçeve ve böyle bir metodoloji bağlamında değerlendirme amacıyla kullanılması beklenmektedir. d) Değerlendirme sonuçlarının ürün ya da sistemlere onay verilmesinde kullanılması için yöntemler ISO/IEC in kapsamı dışındadır. Ürün ya da sistem onayı, idari bir işlemdir ve burada bir IT ürünü ya da sisteminin kendi tam çalışma ortamında çalışması için onay verilmektedir. Değerlendirme, ürün ya da sistemin IT güvenlik bölümleri ve çalışma ortamının IT elemanlarının güvenli çalışmasını doğrudan etkileyecek bölümleri üzerinde yoğunlaşmaktadır. Değerlendirme işleminin sonuçları, bu nedenle onay işlemi için değerli veriler sağlamaktadır. Ama, IT ile ilişkili olmayan ürünlerin ya da sistemlerin güvenlik özellikleri ve bunların IT güvenlik bölümleriyle ilişkisinin değerlendirilmesi bakımından diğer teknikler daha uygun olduğu için, onay veren kuruluşlar bu özellikler için başka yöntemler kullanmalıdır. 1

8 e) Şifrelemeyle ilgili algoritmaların doğal özelliklerinin değerlendirilmesi için kriterler konusu ISO/IEC 15408'de yer almamaktadır. Bir TOE'nin içinde yer alan şifrelemenin matematik özelliklerinin bağımsız bir şekilde incelenmesi gerekirse, ISO/IEC in uygulandığı değerlendirme programının bu tür değerlendirmeler için yöntemler belirlemesi gerekir. ISO/IEC in bu bölümü IT güvenliği işlevsel ve garanti gereksinimlerini ifade etmenin iki biçimini tanımlar. Koruma profili (PP) yapısı bu güvenlik gereksinimlerinin genelleştirilmiş yeniden kullanılabilir kümelerinin oluşturulmasına izin verir. PP olası tüketiciler tarafından, kendi ihtiyaçlarını karşılayacak IT güvenlik özellikleri olan ürünlerin belirtimi ve tanımlanması için kullanılabilir. Güvenlik hedefi (ST) güvenlik hedeflerini ifade eder ve değerlendirme hedefi (TOE) olarak adlandırılan değerlendirilecek belirli bir ürün veya sistem için güvenlik işlevlerini belirler. ST, değerlendiriciler tarafından ISO/IEC ile uyumlu gerçekleştirilen değerlendirmeler için temel olarak kullanılır. 2 Terimler ve tarifler Bu standardın amaçları bakımından aşağıdaki terimler ve tarifler uygulanır. Not - Bu madde, sadece ISO/IEC in içinde özel bir şekilde kullanılan terimleri içermektedir. ISO/IEC 15408'deki terimlerin çoğu ya genel olarak kabul edilen sözlük tanımlarına göre ya da ISO güvenlik sözlüklerinde ya da diğer iyi bilinen güvenlik öğeleri kolleksiyonlarındaki yaygın olarak kabul edilen tanımlara göre kullanılmaktadır. ISO/IEC 15408'de kullanılan ortak terimlerin bazıları, sözlükte tanımlanmaya gerek duyulmasa da, açıklık sağlaması bakımından kullanıldıkları bağlamda açıklanmaktadır. ISO/IEC ve ISO/IEC 'te özel bir şekilde kullanılan terimler ve kavramların kullanımıyla ilgili açıklamalar her birinin "paradigma" alt maddelerinde bulunabilir. 2.1 Varlıklar Bir TOE'nin karşı önlemleri tarafından korunacak bilgi ya da kaynaklar. 2.2 Atama Bir bileşendeki belirlenen parametrenin belirtimi. 2.3 Garanti Bir ürünün güvenlik hedeflerine ulaştığına dair güven veren nedenler. 2.4 Saldırı potansiyeli Bir saldırı olması durumunda, saldırının, saldırganın becerisi, kaynakları ve amacı göz önüne alınarak hesaplanan başarı potansiyeli. 2.5 Artırma ISO/IEC ten bir EAL ya da garanti paketine bir ya da daha fazla garanti öğesinin (öğelerinin) eklenmesi. 2.6 Kimlik doğrulama verisi Bir kullanıcının iddia ettiği kimliği doğrulamak için kullanılan bilgi. 2.7 Yetkilendirilmiş kullanıcı TSP'ye uygun olarak bir işlem gerçekleştirebilen kullanıcı. 2.8 Sınıf Aynı konuda yoğunlaşmış ailelerden oluşan grup. 2.9 Bileşen Bir PP, ST ya da paket içinde yer alabilecek en küçük seçilebilir öğeler kümesi Bağlanırlık TOE'nin, TOE dışındaki IT varlıklarıyla etkileşimine imkân tanıyan özelliği. Bu da teller üzerinden ya da telsiz olarak, herhangi uzaklıkta herhangi bir ortam ya da yapılanışta veri değişimini içermektedir. 2

9 2.11 Bağımlılık Gereksinimler arasında, diğer gereksinimlerin hedeflerine ulaşabilmesi için bağımlı olunan gerekliliğin normal bir şekilde yerine getirilmesinin gerektiği bir ilişki Öğe Bölünemeyen bir güvenlik gereksinimi Değerlendirme Bir PP, ST ya da TOE'nin tanımlanmış kriterlere göre değerlendirilmesi Değerlendirme Garanti Düzeyi (EAL) ISO/IEC in önceden tanımlanmış garanti ölçeğinde bir noktayı temsil eden ISO/IEC teki garanti öğelerinden oluşan paket Değerlendirme makamı Bir değerlendirme programı yoluyla ISO/IEC 15408'i belirli bir topluluk için uygulayan ve böylece standardları belirleyen ve söz konusu topluluktaki grupların gerçekleştirdiği değerlendirmelerin kalitesini kontrol eden grup Değerlendirme programı ISO/IEC in bir değerlendirme makamı tarafından belirli bir topluluk içinde uygulandığı idari ve düzenleyici çerçeve Uzantı Bir ST ya da PP'ye ISO/IEC de yer almayan fonksiyonel gereksinimlerin ve/veya ISO/IEC te yer almayan garanti gereksinimlerinin eklenmesi Dış IT varlığı TOE'nin dışında olan ve TOE ile etkileşime giren güvenilmez ya da güvenilir bir IT ürünü ya da sistemi Aile Güvenlik hedeflerini paylaşan ama vurgu ya da duyarlılık bakımından farklı olabilen bir grup öğe Biçimsel Yerleşik matematiksel kavramlara dayalı olarak tanımlanmış anlamlarla sınırlı bir sözdizimine sahip bir dilde ifade edilen Kılavuz dokümantasyon Kılavuz dokümantasyon, TOE nin dağıtım, kurulum, yapılandırma, işletim, yönetim ve kullanımını, bu etkinlikler TOE nin kullanıcıları, yöneticileri ve bütünleştiricilerine uygulandığından açıklar. Kılavuz dokümanın kapsam ve içeriğine ilişkin gereksinimler bir PP ya da ST de tanımlanır İnsan kullanıcı TOE ile etkileşimde olan herhangi bir kişi Kimlik Yetkilendirilmiş bir kullanıcıyı benzersiz bir şekilde ayırt eden bir gösterim (örneğin bir dizgi) ki bu, söz konusu kullanıcının tam ya da kısaltılmış adı veya takma adı olabilir Biçimsel olmayan Doğal dilde ifade edilen İç iletişim kanalı TOE'nin ayrılmış bölümleri arasında bir iletişim kanalı İç TOE aktarımı TOE'nin ayrılmış bölümleri arasında veri iletişimi. 3

10 2.27 TSF arası aktarımlar TOE ile diğer güvenilir IT ürünlerinin güvenlik fonksiyonları arasında veri iletişimi Yineleme Bir bileşenin değişen çalışmalarda birden fazla kullanılması Nesne TSC içinde bilgi içeren ya da alan ve bunun üzerine öznelerin işlem yaptığı bir varlık Kurumsal güvenlik politikaları Bir kuruluş tarafından kendi çalışmalarında uygulanan bir ya da daha fazla güvenlik kuralı, yordamı, uygulaması ya da yönergesi Paket Belirlenmiş bir dizi güvenlik hedefine ulaşmak için bir araya getirilmiş yeniden kullanılabilir fonksiyonel bileşimler ya da garanti bileşenleri (örneğin bir EAL) Ürün Birçok sistemde kullanılmak ya da sistemin içine yerleştirilmek üzere tasarlanmış bir fonksiyonellik sunan bir IT yazılımı, bellenimi ve/veya donanımı paketi Koruma Profili (PP) Belirli müşteri ihtiyaçlarını karşılayan bir TOE kategorisi için uygulamadan bağımsız bir dizi güvenlik gerekliliği Referans denetleyicisi TOE erişim kontrol politikalarını uygulayan bir soyut makine kavramı Referans doğrulama mekanizması Referans denetleyicisi kavramının aşağıdaki özelliklere sahip uygulaması: Karıştırılamaz, her zaman başvurulabilir ve kapsamlı bir inceleme ve teste tabi tutulabilecek kadar basit Ayrıntılandırma Bir bileşene ayrıntıların eklenmesi Rol Kullanıcı ile TOE arasında izin verilen etkileşimleri oluşturan önceden belirlenmiş kurallar Gizli bilgi Belirli bir SFP yi uygulamak için sadece yetkili kullanıcılar ve/veya TSF tarafından bilinmesi gereken bilgi Güvenlik özelliği TSP'nin uygulanması için kullanılan özneler, kullanıcılar ve/veya nesnelerle bağlantılı bilgi Güvenlik fonksiyonu (SF) TSP'nin yakından bağlantılı bir kurallar alt kümesini uygulamak için güvenilmesi gereken TOE'nin bir bölümü ya da bölümleri Güvenlik fonksiyonu politikası (SFP) SF tarafından uygulanan güvenlik politikası Güvenlik amacı Belirlenmiş tehditlere karşı koymak ve/veya belirlenmiş örgüt güvenlik politikaları ve varsayımlarını uygulamak için bir amaç beyanı Güvenlik hedefi (ST) Belirlenmiş bir TOE'nin değerlendirilmesinde temel alınacak bir dizi güvenlik gereği ve özelliği. 4

11 2.44 Seçim Bir bileşendeki listeden bir ya da daha fazla öğenin seçilmesi Yarı biçimsel Ölçülü sözdizimine sahip bir dilde tanımlanmış anlamlarla ifade edilen Fonksiyon gücü (SOF) Beklenen güvenlik davranışını, temelinde yatan güvenlik mekanizmalarına doğrudan saldırarak alt etmek için gereken en az çabayı ifade eden bir TOE güvenlik fonksiyonunun niteliği SOF-temel İnceleme sonucunda, fonksiyonun, düşük saldırı potansiyeline sahip saldırganlar tarafından TOE güvenliğinde tesadüfen oluşturulan ihlallere karşı yeterli koruma sağladığını gösterdiği bir TOE gücü düzeyi SOF-orta İnceleme sonucunda, fonksiyonun, ortalama saldırı potansiyeline sahip saldırganlar tarafından TOE güvenliğinde doğrudan ve kasıtlı ihlallere karşı yeterli koruma sağladığını gösterdiği bir TOE gücü düzeyi SOF-yüksek İnceleme sonucunda, fonksiyonun, yüksek saldırı potansiyeline sahip saldırganlar tarafından TOE güvenliğinde planlı ve organize ihlallere karşı yeterli koruma sağladığını gösterdiği bir TOE gücü düzeyi Özne TSC içinde işlemlerin gerçekleştirilmesine neden olan bir varlık Sistem Belirli bir amaca ve çalışma ortamına sahip özel bir IT kurulumu Değerlendirme hedefi (TOE) Bir değerlendirmeye konu olan bir IT ürünü ya da sistemi ve bununla ilgili yönetici ve kullanıcı kılavuzu belgeleri TOE kaynağı TOE'de kullanılabilir ya da tüketilebilir herhangi bir şey TOE Güvenlik fonksiyonları (TSF) TSP'nin doğru bir şekilde uygulanmasında güvenilmesi gereken TOE'nin bütün donanım, yazılım ve belleniminden oluşan bir küme TOE Güvenlik fonksiyonları arayüzü (TSFI) TSF'nin aracılık ettiği ya da TSF'den bilgi edinildiği, TOE kaynaklarına erişimi sağlayan etkileşimli (insanmakine arayüzü) ya da programlı (uygulama programlama arayüzü) bir dizi arayüz TOE Güvenlik politikası (TSP) Bir TOE nin kapsamı içinde varlıkların yönetilmesini, korunmasını ve dağıtılmasını düzenleyen kurallar TOE güvenlik politikası modeli TOE tarafından uygulanacak güvenlik politikasının yapısal bir temsili TSF kontrolünün dışındaki aktarımlar TSF'nin kontrolü altında olmayan kuruluşlara veri iletilmesi Güvenli kanal Bir TSF ile uzaktaki güvenilir bir IT ürününün, TSP yi destekleyecek gerekli güvenle iletişim kurma yolu Güvenli yol Bir kullanıcı ile bir TSF nin TSP yi destekleyecek yeterli güvenle iletişim kurma yolu. 5

12 2.61 TSF verileri TOE tarafından ve TOE için üretilen, TOE nin çalışmasını etkileyebilecek veriler TSF Kontrol kapsamı (TSC) Bir TOE ile ya da bir TOE nin içinde oluşabilecek ve TSP nin kurallarına tabi etkileşimler kümesi Kullanıcı TOE'nin dışında olan ve TOE ile etkileşime giren herhangi bir varlık (insan kullanıcı ya da dış IT varlığı) Kullanıcı verisi Kullanıcı tarafından ve kullanıcı için yaratılan, TSF nin çalışmasını etkilemeyen veri Zorunlu Zorunlu metin standardın kapsamını tanımlar ve koşulları belirler (ISO/IEC Direktifleri, Bölüm 2). Açıkça bilgi için ifadesi kullanılmadıkça, tüm ISO/IEC metni zorunludur. Gereksinimleri karşılama ile ilgili her metin zorunlu olarak kabul edilir Bilgi için Bilgi için verilen metin standardın anlaşılması ya da kullanımına yardımcı olmayı amaçlayan ek bilgi sağlar (ISO/IEC Direktifleri, Bölüm 2). Bilgi için verilen metin gereksinimleri karşılama ile ilgili değildir Gerekir Gerekir sözcüğü, zorunlu metin içerisinde, standarda uyum için gereksinimlerin kesin olarak izlenmesini ve hiçbir sapmaya izin verilmeyeceğini belirtir (ISO/IEC Direktifleri, Bölüm 2) Önerilir Önerilir sözcüğü, zorunlu metin içerisinde, birçok olasılık içinden, diğerlerinden bahsetmeksizin ya da bunları dışlamaksızın, özellikle uygun olduğu için birinin tavsiye edildiğini veya belirli bir eylemin tercih edildiğini ama gerekli olmadığını belirtir (ISO/IEC Direktifleri, Bölüm 2). ISO/IEC gerekli olmama ifadesini bir başka olasılık seçeneğinin, neden tercih edilen seçeneğin seçilmediğinin bir açıklamasını gerektirdiğini ifade etmek anlamında yorumlamaktadır ebilmek (may) -ebilmek eki, zorunlu metin içerisinde, dokümanın sınırları içinde izin verilebilir bir eylem biçimini belirtir (ISO/IEC Direktifleri, Bölüm 2) ebilmek (can) -ebilmek eki, zorunlu metin içerisinde, zorunlu, fiziksel ya da tesadüfi olabilirlik ve yapılabilirlik deyimlerini belirtir (ISO/IEC Direktifleri, Bölüm 2). 3 Semboller ve kısaltmalar Aşağıdaki kısaltmalar ISO/IEC in birden fazla bölümünde ortaktır: EAL IT PP SF SFP SOF ST TOE Değerlendirme Garanti Düzeyi Bilgi Teknolojisi Koruma Profili Güvenlik Fonksiyonu Güvenlik Fonksiyonu Politikası Fonksiyon Gücü Güvenlik Hedefi Değerlendirme Hedefi 6

13 TSC TSF TSFI TSP TSF Kontrol Kapsamı TOE Güvenlik Fonksiyonları TSF Arayüzü TOE Güvenlik Politikası 4 Genel bakış Bu maddede ISO/IEC in ana kavramları açıklanmaktadır. Hedef kitle, değerlendirme bağlamı ve malzemeleri sunmakta benimsenen yaklaşım belirtilmektedir. 4.1 Giriş IT ürünleri ya da sistemlerinde bulunan bilgiler kuruluşların misyonlarında başarılı olmasına imkan tanıyan kritik kaynaklardır. Buna ek olarak, bireyler, IT ürünlerinde ya da sistemlerindeki kişisel bilgilerinin özel kalması, gerektiğinde kendilerine açık olması ve yetkili olmayan kişiler tarafından değiştirilmemesi şeklinde makul bir beklenti içindedir. IT ürünleri ya da sistemleri, bilgilerin istenmeyen ya da haksız bir şekilde dağıtılması, değiştirilmesi ya da kaybı gibi zararlara karşı korunmasını sağlamak için, bilgi üzerinde uygun kontrolü sağlarken fonksiyonlarını da yerine getirmelidir. IT güvenliği terimi bu ve buna benzer zararların önlenmesi ve azaltılmasını kapsayacak şekilde kullanılmaktadır. Birçok IT müşterisi IT ürünleri ya da sistemlerinin güvenliğine olan güvenlerinin uygun olup olmadığına karar verecek bilgi, uzmanlık ya da kaynaktan yoksundur ve bu kişiler sadece bunları geliştirenlerin iddialarına güvenmek istemeyebilirler. Bu nedenle kullanıcılar, güvenliğiyle ilgili bir inceleme isteyerek bir IT ürünü ya da sisteminin güvenlik kriterlerine olan güvenlerini artırmayı seçebilir (yani, güvenlik değerlendirmesi). ISO/IEC 15408, uygun IT güvenlik kriterlerini seçmekte kullanılabilir ve güvenlik gereksinimlerinin değerlendirilmesi için kriterleri de içermektedir ISO/IEC in hedef kitlesi IT ürünleri ve sistemlerinin güvenlik özelliklerinin değerlendirilmesine genel olarak ilgi duyan üç grup vardır: TOE kullanıcıları, TOE geliştiricileri ve TOE değerlendiricileri. Bu belgede sunulan kriterler bu üç grubun ihtiyaçlarını destekleyecek şekilde yapılandırılmıştır. Hepsi de bu ISO/IEC in ana kullanıcıları olarak kabul edilmektedir. Bu üç grup, kriterlerden aşağıdaki paragraflarda belirtildiği şekilde yararlanabilir Kullanıcılar ISO/IEC 15408, kullanıcıların kurumsal ihtiyaçlarını ifade etmek için IT güvenlik gereksinimleri seçimini destekleyen tekniklerde önemli bir rol oynar. ISO/IEC 15408, değerlendirmenin kullanıcıların ihtiyaçlarını karşılamasını sağlamak için yazılmıştır, çünkü değerlendirme işleminin temel amacı budur. Kullanıcılar değerlendirmelerin sonuçlarını, değerlendirmesi yapılan bir ürün ya da sistemin kendi güvenlik ihtiyaçlarını karşılayıp karşılamadığına karar vermekte yardım amacıyla kullanabilir. Bu güvenlik ihtiyaçları genelde hem risk analizi hem de kendi politikalarına göre belirlenir. Kullanıcılar ayrıca değerlendirme sonuçlarını farklı ürünler ya da sistemleri karşılaştırmak için de kullanabilir. Garanti gereksinimlerinin hiyerarşik bir şekilde sunulması bu ihtiyacı destekler. ISO/IEC 15408, kullanıcılara, özellikle de kullanıcı grupları ve ilgili topluluklarda, Koruma Profili (PP) adı verilen uygulamadan bağımsız bir yapı sunmaktadır ve burada bir TOE de IT güvenlik kriterleri için kendi özel gereksinimlerini ifade edebilirler Geliştiriciler ISO/IEC in geliştiricilere kendi ürünleri ya da sistemlerinin hazırlanmasında ve değerlendirilmesinde yardımcı olması ve her bir ürün ya da sistem tarafından yerine getirilmesi gereken güvenlik gereksinimlerinin belirlenmesinde destek olması hedeflenmektedir. İlgili bir değerlendirme metodolojisinin, potansiyel olarak, değerlendirme sonuçları için ortak bir tanım üzerinde anlaşmasıyla birlikte, ISO/IEC in TOE geliştiricisi dışında bir kişiyi, geliştiricinin TOE sini değerlendirmeye hazırlamakta ve değerlendirmesinde, desteklemesine de imkan tanıması mümkündür. ISO/IEC yapıları, TOE nin, değerlendirilen belirli güvenlik fonksiyonları ve garantileri yoluyla, belirtilen gereksinimlere uyduğunu iddia etmekte kullanılabilir. Her bir TOE gereksinimi Güvenlik Hedefi (ST) adı 7

14 verilen uygulamaya bağlı bir yapı içinde yer alır. Bir ya da daha fazla PP, geniş bir kullanıcı kitlesinin taleplerini yerine getirebilir. ISO/IEC 15408, bir geliştiricinin TOE ye ekleyebileceği güvenlik fonksiyonlarını tarif etmektedir. ISO/IEC 15408, TOE nin değerlendirilmesini desteklemek için gerekli kanıtları desteklemek için sorumluluklar ve hareketlerin belirlenmesinde kullanılabilir. Ayrıca bu kanıtların içeriği ve sunumunu da tanımlamaktadır Değerlendiriciler ISO/IEC 15408, TOE lerin kendi güvenlik ihtiyaçlarına uygunluğu hakkında karar vermek için değerlendiriciler tarafından kullanılacak kriterleri içermektedir. ISO/IEC de değerlendiricinin gerçekleştireceği genel çalışmalar ve bu çalışmaların gerçekleştirileceği güvenlik fonksiyonları tanımlanmaktadır. ISO/IEC bu çalışmaların gerçekleştirilmesinde izlenecek yolları belirtmez Diğerleri ISO/IEC 15408, TOE lerin IT güvenlik niteliklerinin belirlenmesi ve değerlendirilmesine yönelik olsa da, IT güvenliğine ilgi duyan ya da bu alanda sorumluluğa sahip herkes için kullanışlı bir kaynak malzeme olabilir. ISO/IEC deki bilgilerden yararlanabilecek ek ilgi grupları şunlardır: a) Kurumsal IT güvenlik politikaları ve ihtiyaçlarını belirlemek ve bunlara uymaktan sorumlu sistem koruyucuları ve sistem güvenlik yetkilileri, b) Bir sistemin güvenliğinin uygunluğunu değerlendirmekten sorumlu iç ve dış denetçiler, c) IT sistemlerinin ve ürünlerinin güvenlik içeriğinin belirlenmesinden sorumlu güvenlik mimarları ve tasarımcıları, d) Bir IT sisteminin belirli bir ortamda kullanımını kabul etmekten sorumlu onaylayıcılar, e) Bir değerlendirme istemekten ve bunu desteklemekten sorumlu değerlendirme sponsorları ve f) IT güvenliği değerlendirme programlarının yönetimi ve kontrolünden sorumlu değerlendirme makamları. 4.2 Değerlendirme bağlamı Değerlendirme sonuçları arasında daha fazla karşılaştırılabilirlik elde etmek için değerlendirmelerin, standardları belirleyen, değerlendirmelerin kalitesini kontrol eden ve değerlendirme ortamları ve değerlendiricilerin uyması gereken düzenlemeleri yöneten yetkili bir değerlendirme programı çerçevesinde gerçekleştirilmesi gerekmektedir. ISO/IEC 15408, düzenleyici çerçeve için gereksinimler belirtmemektedir. Ama, bu tür değerlendirmelerin sonuçlarının karşılıklı olarak tanınması amacına ulaşmak için, farklı değerlendirme otoritelerinin düzenleyici çerçeveleri arasında uyumluluk olması gerekecektir. Şekil 1, değerlendirmelerin bağlamını oluşturan ana öğeleri göstermektedir. Ortak bir değerlendirme metodolojisi kullanılması sonuçların tekrarlanabilirliği ve tarafsızlığına katkıda bulunur ama tek başına yeterli değildir. Değerlendirme kriterlerinin birçoğu uzmanlığa dayalı kararlar verilmesini ve konu hakkında geniş bilgi sahibi olunmasını gerektirir ki bu bakımdan uyum sağlanması daha zordur. Değerlendirme bulgularının tutarlılığını artırmak için, son değerlendirme sonuçları bir onay işlemine sunulabilir. Onay işlemi değerlendirme sonuçlarının bağımsız bir şekilde denetlenerek son onayın ya da kabulün gerçekleştirilmesini sağlar. Verilen sertifika normalde herkese açıktır. Onay işleminin IT güvenlik kriterlerinin uygulanmasında daha fazla tutarlılık elde edilmesi için bir yol olduğu unutulmamalıdır. Değerlendirme programı, metodolojisi ve onay işlemi, değerlendirme programları uygulayan değerlendirme otoritelerinin sorumluluğundadır ve ISO/IEC in kapsamı dışındadır. 8

15 Şekil 1 - Değerlendirme bağlamı 4.3 ISO/IEC in yapısı ISO/IEC 15408, aşağıda belirtildiği gibi ayrı ama birbiriyle ilgili bölümler halinde sunulmaktadır. Bölümlerin tarifinde kullanılan terimler Madde 5 te açıklanmaktadır. a) Bölüm 1, Giriş ve genel model, ISO/IEC in sunuş bölümünü oluşturmaktadır. IT güvenliği değerlendirmesinin genel kavramlarını ve ilkelerini açıklamakta ve genel bir değerlendirme modeli sunmaktadır. Bölüm 1 ayrıca IT güvenlik hedeflerinin ifade edilmesi, IT güvenlik gereksinimlerinin seçilmesi ve tanımlanması ve ürünlerle sistemler için yüksek düzeyde belirtimler yazılması için yapılar sunmaktadır. Buna ek olarak, ISO/IEC in her bölümünün kullanışlılığı her hedef kitleye göre tarif edilmektedir. b) Bölüm 2, Güvenlik fonksiyonel gereksinimleri, TOE ler için fonksiyonel gereksinimleri ifade etmenin standard bir yolu olarak bir dizi fonksiyonel bileşeni oluşturmaktadır. Bölüm 2 fonksiyonel bileşenleri, aileleri ve sınıfları katalog halinde sunmaktadır. c) Bölüm 3, Güvenlik garanti gereksinimleri, TOE ler için garanti gereksinimlerini ifade etmenin standard bir yolu olarak bir dizi garanti bileşenini oluşturmaktadır. Bölüm 3 garanti bileşenlerini, aileleri ve sınıfları bir katalog halinde sunmaktadır. Bölüm 3 ayrıca PP ler ve ST ler için değerlendirme kriterlerini tanımlamakta ve TOE ler için garantiyi sınıflandırmak için önceden tanımlanmış ISO/IEC ölçeğini tanımlayan değerlendirme garanti düzeylerini sunmaktadır ki bunlara Değerlendirme Garanti Düzeyleri (EAL) adı verilmektedir. ISO/IEC in yukarıda sıralanan üç bölümünü desteklemek için başka tür belgelerin de yayınlanması beklenmektedir ki bunlar içinde teknik açıklama malzemeleri ve kılavuz belgeler de vardır. Aşağıdaki çizelgede üç önemli hedef kitle grubunu ISO/IEC in nasıl ilgilendireceği sunulmaktadır. 9

16 Çizelge 1 IT güvenliği için değerlendirme kriterleri yol haritası Bölüm 1 Bölüm 2 Bölüm 3 Kullanıcılar Geliştiriciler Değerlendiriciler Genel bilgi ve TOE ler Genel bilgi ve referans için gereksinimleri amacıyla kullanım. geliştirirken ve PP ler için kılavuzluk güvenlik belirtimlerini yapısı. oluştururken referans olarak kullanım. Güvenlik fonksiyonları için gereksinim ifadelerini oluştururken kılavuzluk ve referans olarak kullanım. Gerekli garanti düzeylerini belirlerken kılavuz olarak kullanım. TOE ler için fonksiyonel gereksinimleri yorumlarken ve fonksiyonel belirtimleri oluştururken referans olarak kullanım. TOE lerin garanti gereksinimlerini yorumlarken ve garanti yaklaşımlarını belirlerken referans olarak kullanım. Genel bilgi ve referans amacıyla kullanım. PP ler ve ST ler için kılavuzluk yapısı. Bir TOE nin iddia edilen güvenlik fonksiyonlarına gerçekten uygun olup olmadığını belirlerken değerlendirme kriterlerinin zorunlu ifadesi olarak kullanım. TOE lerin garantisini belirlerken ve PP ler ile ST leri değerlendirirken değerlendirme kriterlerinin zorunlu ifadesi olarak kullanım. 5 Genel model Bu madde ISO/IEC de kullanılan genel kavramları sunmaktadır ki bunlar arasında kavramların kullanılacağı bağlamlar ve kavramların uygulanması için ISO/IEC yaklaşımı da bulunmaktadır. ISO/IEC ve ISO/IEC bu kavramların kullanımını daha da açmaktadır ve tarif edilen yaklaşımın kullanıldığını kabul etmektedir. Bu madde IT güvenliğiyle ilgili biraz bilgi sahibi olunduğunu varsaymaktadır ve bu alanda öğretici bir metin olmayı amaçlamamaktadır. ISO/IEC 15408, bir dizi güvenlik kavramı ve terminolojisini kullanarak güvenliği tartışmaktadır. Bu kavramlar ve terminoloji hakkında bilgi sahibi olunması ISO/IEC in etkili olarak kullanılabilmesi için ön koşuldur. Ama, bu kavramlar çok geneldir ve ISO/IEC in uygulanabildiği IT güvenlik sorunları sınıfını sınırlandırması amaçlanmamaktadır. 5.1 Güvenlik bağlamı Genel güvenlik bağlamı Güvenlik, varlıkların tehditlerden korunmasıyla ilgilidir ve burada tehditler, korunmuş varlıkların kötüye kullanım potansiyeli olarak sınıflandırılmaktadır. Bütün sınıflardaki tehditlerin göz önünde bulundurulması önerilir; ama güvenlik alanında kötü niyetli ve diğer insan etkinlikleriyle ilgili tehditlere daha fazla önem verilmektedir. Şekil 2 de yüksek düzeyde kavramlar ve ilişkiler gösterilmektedir. 10

17 Şekil 2 - Güvenlik kavramları ve ilişkileri İlgili varlıkların korunması bu varlıklara değer veren mal sahiplerinin sorumluluğudur. Gerçek ya da varsayılan tehdit unsurları da bu varlıklara değer verebilir ve bu varlıkları mal sahibinin çıkarlarına aykırı bir şekilde kötüye kullanmaya çalışabilir. Mal sahipleri bu tür tehditleri, varlıklarının sahibi açısından değeri azalacak şekilde, varlıklarına zarar verme potansiyeli olarak algılayacaktır. Güvenlikle ilgili zarar verme genel olarak, herhangi bir sınırlama getirmeksizin, şunları içerir: Varlıkların yetkilendirilmemiş alıcılara açıklanmamasıyla zarar verme (gizliliğin kaybı), yetkili olmayan kişilerin yaptığı değişikliklerle varlıklara zarar vermesi (bütünlüğün kaybı) ya da yetkili olmayan kişilerin varlıklara erişimden mahrum bırakması (sürekliliğin kaybı). Varlıkların sahipleri olası tehditleri inceleyerek kendi ortamları için hangilerinin geçerliliği olduğunu belirleyecektir. Bunun sonuçları riskler olarak bilinmektedir. Bu inceleme risklere karşı alınacak karşı önlemlerin seçilmesinde ve risklerin kabul edilebilir bir düzeye düşürülmesinde yardımcı olabilir. Karşı önlemler açıklıkları azaltmak ve varlık sahiplerinin güvenlik politikalarını uygulamak için alınır (ya doğrudan ya da diğer tarafları yönlendirerek dolaylı olarak). Karşı önlemlerin uygulanmasından sonra, hala açıklıklar kalabilir. Bu tür açıklıklar, varlıklara karşı risk oluşturan tehdit kaynakları tarafından kötüye kullanılabilir. Varlık sahipleri diğer kısıtlamalarla bu riski en aza indirmeye çalışacaktır. 11

18 Şekil 3 - Değerlendirme kavramları ve ilişkileri Varlık sahipleri varlıklarını belirlenen tehditlere karşı açık hale getirmeden önce, karşı önlemlerin, varlıklara olan tehditlere karşı yeterli olduğundan emin olmak isteyecektir. Varlık sahiplerinin kendileri, karşı önlemleri her bakımdan değerlendirebilecek yetenekte olmayabilir ve bu nedenle karşı önlemlerin değerlendirilmesini isteyebilirler. Değerlendirmenin sonucu, karşı önlemlerin korunmuş varlıklardaki riskleri azaltmak bakımından hangi düzeyde garanti sağlandığını belirten bir açıklamadır. Bu ifade, karşı önlemlere bir garanti notu verir ve bu garanti de düzgün çalıştığında güven sağlayıcı bir temel sunan karşı önlemlerin nitelikleridir. Bu ifade, varlık sahibi tarafından varlıkların tehditlere açılması riskini kabul edip etmeme kararını verirken kullanılabilir. Şekil 3 te bu ilişkiler gösterilmektedir. Varlık sahipleri normalde bu varlıklar için sorumlu kabul edilir ve varlıkları tehditlere açık hale getirme risklerini kabul kararını savunabilecek durumda olmaları önerilir. Bu da, değerlendirmeden çıkan sonuç ifadelerinin savunulabilir olması anlamına gelmektedir. Bu nedenle, değerlendirmenin kanıt olarak belirtilebilecek tarafsız ve tekrarlanabilir sonuçlar sağlaması gerekir Bilgi teknolojisi güvenlik bağlamı Birçok varlık, bilginin sahipleri tarafından belirtilen gereksinimlere uygun olarak IT ürünleri ya da sistemleri tarafından saklanan, işlenen ve iletilen bilgiler şeklindedir. Bilgi sahipleri, bu tür bilgi temsilinin (veriler) yayılmasının ve değiştirilmesinin sıkı bir şekilde kontrol edilmesini isteyebilir. Bilgi sahipleri IT ürünü ya da sisteminin, verilere karşı tehditleri etkisiz hale getirmek için, güvenlikle ilgili genel karşı önlemlerin bir bölümü olarak, IT ye özel güvenlik kontrollerini uygulamasını talep edebilir. 12

19 IT sistemleri belirli ihtiyaçlara uygun olarak alınır ve oluşturulur ve ekonomik nedenlerle mevcut IT ürünlerinden en fazla şekilde yararlanmaya çalışabilir, örneğin işletim sistemleri, genel amaçlı uygulama bileşenleri ve donanım platformları. Bir sistem tarafından kullanılan IT güvenliği karşı önlemleri, temel IT ürünlerinin fonksiyonlarını kullanabilir ve IT ürünü güvenlik fonksiyonlarının doğru bir şekilde kullanılmasına bağlı olabilir. Bu nedenle, IT ürünleri IT sistem güvenliği değerlendirmesi kapsamında değerlendirmeye alınabilir. Bir IT ürünü, çoklu IT sistemlerine eklendiğinde ya da eklenmesi düşünüldüğünde, bu tür bir ürünün güvenlik yönlerinin bağımsız olarak değerlendirilmesinde ve değerlendirilen ürünlerin bir katalogunun oluşturulmasında maliyet avantajları bulunmaktadır. Bu tür bir değerlendirmenin sonuçlarının, söz konusu ürünü çoklu IT sistemlerine eklerken, ürünün güvenliğiyle ilgili gereksiz tekrar inceleme çalışması gerektirmeyecek şekilde ifade edilmesi önerilir. Bir IT sistemi onaylayıcısına, bilginin sahibi tarafından, IT ve IT dışı güvenlikle ilgili karşı önlemlerin birlikte veriler için yeterli koruma sağlayıp sağlamadığını belirleme ve buna bağlı olarak da sistemin çalışmasına izin verip vermeme yetkisi verilmiştir. Onaylayıcı, IT karşı önlemlerinin yeterli koruma sağlayıp sağlamadığını ve belirtilen karşı önlemlerin IT sistemi tarafından düzgün bir şekilde uygulanıp uygulanmadığını belirlemek için IT karşı önlemlerinin değerlendirilmesini isteyebilir. Bu değerlendirme, onaylayıcıya verilen ya da onaylayıcının koyduğu kurallara bağlı olarak farklı şekillerde ve zorluk derecelerinde olabilir. 5.2 ISO/IEC yaklaşımı Geliştirme, değerlendirme ve kullanım süreçleri sırasında alınabilecek önlemlerle IT güvenliğine güvenilmesi sağlanabilir Geliştirme ISO/IEC herhangi bir özel geliştirme metodolojisi ya da kullanım ömrü modelini zorunlu tutmamaktadır. Şekil 4 te güvenlik gereksinimleriyle TOE arasındaki ilişki hakkında temel varsayımlar gösterilmektedir. Bu şekil, tartışma için bir bağlam sağlamak amacıyla kullanılmaktadır ve bir metodolojiyi (örneğin, çağlayan) diğerine (örneğin, prototipleme) tercih ediyor gibi değerlendirilmemelidir. IT geliştirme aşamasında uygulanan güvenlik gereksinimlerinin kullanıcıların güvenlik hedeflerine katkıda bulunmakta etkili olması gerekir. Geliştirme sürecinin başlangıcında uygun gereksinimler oluşturulmazsa, sonuçta elde edilen son ürün ne kadar iyi geliştirilirse geliştirilsin, potansiyel kullanıcılarının hedeflerine uygun olmayabilir. 13

20 Şekil 4 - TOE geliştirme modeli Bu süreç, güvenlik hedefinde ifade edilen bir TOE özet belirtiminde güvenlik gereksinimlerinin iyileştirilmesine dayanmaktadır. Her bir alt iyileştirme düzeyi ek tasarım ayrıntılarına sahip bir tasarım açılımını temsil etmektedir. En az soyut olan temsil TOE uygulamasının kendisidir. ISO/IEC belirli bir tasarım temsili dizisini zorunlu kılmamaktadır. ISO/IEC in istediği, yeterli düzeyde parçalanmış olarak yeterli tasarım temsili yapılması ve gerekli yerlerde: a) Her bir iyileştirme düzeyinde üstteki düzeylerinin bütünüyle yerine getirildiğinin (yani, daha yüksek bir soyutlukta tarif edilen bütün TOE güvenlik fonksiyonları, özellikleri ve davranışlarının alt düzeyde olduğunun) gösterilmesi, b) Her bir iyileştirme düzeyinde daha yüksekteki düzeylerin tam olarak yerine getirildiğinin gösterilmesi (yani, alt soyut düzeyde tanımlanan, daha yüksekteki düzey tarafından istenmeyen hiçbir TOE güvenlik fonksiyonu, özellik ve davranış bulunmaması). ISO/IEC garanti kriterleri, fonksiyonel belirtim, yüksek düzeyde tasarım, düşük düzeyde tasarım ve uygulamanın tasarım soyutluk düzeylerini belirler. İstenen garanti düzeyine bağlı olarak geliştiricilerden geliştirme metodolojisinin ISO/IEC garanti gereksinimlerini nasıl sağladığını göstermeleri istenebilir. 14

21 Şekil 5 - TOE değerlendirme süreci TOE değerlendirmesi Şekil 5 te tarif edilen TOE değerlendirme işlemi geliştirmeyle paralel olarak gerçekleştirilebilir ya da geliştirmenin ardından yapılabilir. TOE değerlendirmesinin temel girdileri aşağıdadır: a) TOE değerlendirmesinin temeli olan ST nin içinde yer aldığı TOE kanıtları kümesi, b) Değerlendirilmesi istenen TOE, c) Değerlendirme kriterleri, metodolojisi ve programı. Buna ek olarak, bilgilendirici malzeme (örneğin ISO/IEC in uygulama notları) ve değerlendirici ile değerlendirme topluluğunun IT güvenliği raporunun da değerlendirmede göz önünde bulundurulması yüksek bir olasılıktır. Değerlendirme sürecinin sonucu, TOE nin, değerlendirme kriterleri tarafından belirlenen, TOE ile ilgili değerlendirici bulgularını belgeleyen bir ya da daha fazla raporla, ST de belirtilen güvenlik gereksinimlerini yerine getirip getirmediğini doğrulamaktadır. Bu raporlar TOE nin temsil ettiği ürün ya da sistemin gerçek ya da potansiyel müşterilerinin ve ayrıca geliştiricilerin işine yarayacaktır. Bir değerlendirmeyle elde edilen güven düzeyi, karşılanan garanti gereksinimlerine bağlıdır (yani, Değerlendirme Garanti Düzeyi ne). Değerlendirme iki şekilde daha iyi IT güvenliği ürünleri sağlayabilir. Değerlendirmenin amacı TOE de geliştiricinin düzeltebileceği hataları ya da açıklıkları belirlemek ve bu şekilde gelecekteki çalışması sırasında güvenlik sorunları olasılığını azaltmaktır. Ayrıca değerlendirmenin sıkı denetimine hazırlanırken, geliştirici TOE nin tasarımına ve geliştirilmesine daha fazla dikkat edebilir. Bu nedenle, değerlendirme süreci, başlangıçtaki gereksinimler, geliştirme süreci, son ürün ve çalışma ortamına, dolaylı da olsa, güçlü bir olumlu etkide bulunur. 15

22 5.2.3 Kullanım Kullanıcılar, değerlendirmesi yapılmış TOE leri kendi ortamlarında kullanmayı tercih edebilir. Bir TOE bir kez kullanılmaya başlandıktan sonra daha önce bilinmeyen hataların ya da açıklıkların ortaya çıkması mümkündür ya da ortamla ilgili varsayımların gözden geçirilmesi gerekebilir. Çalışma sonucunda, geliştiricinin TOE yi düzeltmesini ya da güvenlik gereksinimlerini ya da ortamla ilgili varsayımlarını yeniden tanımlamasını gerektirecek geri besleme sağlanabilir. Bu tür değişiklikler, TOE nin yeniden değerlendirilmesini ya da çalışma ortamının güvenliğinin arttırılmasını gerektirebilir. Bazı durumlarda, TOE ye yeniden güvenilebilmesi için sadece gerekli güncellemelerin değerlendirilmesi gerekebilir. Her ne kadar ISO/IEC de garantinin sürdürülmesi ile ilgili kriterler bulunsa da, yeniden değerlendirmeyle ilgili, değerlendirme sonuçlarının yeniden kullanılmasının da içinde bulunduğu ayrıntılı yöntemler ISO/IEC in kapsamı dışındadır. 5.3 Güvenlik kavramları Değerlendirme kriterleri en çok, güvenli TOE geliştirme ve değerlendirmesini destekleyen mühendislik işlemleri ve düzenleyici çerçevelerde işe yarar. Bu alt madde sadece örnek olması ve yol göstermesi amacıyla yer almaktadır ve bu alt maddenin analiz işlemleri, geliştirme yaklaşımları ya da ISO/IEC in içinde kullanılabileceği değerlendirme programlarını kısıtlaması amaçlanmamaktadır. ISO/IEC 15408, IT kullanıldığında ve IT öğelerinin varlıkları koruma yeteneği hakkında endişeler olduğunda uygulanabilir. Varlıkların güvende olduğunu göstermek için, güvenlik endişeleri, en soyuttan çalışma ortamındaki son IT uygulamasına kadar bütün düzeylerde ele alınmalıdır. Bu temsil düzeyleri, aşağıdaki alt maddelerde tarif edildiği gibi, güvenlik sorunları ve konularının nitelenmesine ve tartışılmasına imkan tanır, ama bunların kendileri son IT uygulamasının gerçekten istenen güvenlik davranışını gösterdiğini ve bu nedenle güvenilebileceğini göstermez. ISO/IEC 15408, bazı temsil düzeylerinin, TOE'nin o düzeyde temsil edilmesi için bir gerekçe içermesini gerektirmektedir. Yani, böyle bir düzey, bir üst düzeyle uyum içinde olduğunu, kendisinin tamamlanmış, doğru ve kendi içinde tutarlı olduğunu gösteren makul ve inandırıcı bir açıklama içermelidir. Hemen yanındaki üst düzey temsille uyumu gösteren gerekçe ifadeleri, TOE'nin doğru olduğu iddiasına katkıda bulunmaktadır. Güvenlik amaçlarına uyumu doğrudan gösteren gerekçeler, TOE'nin tehditlere karşı etkili olduğu ve kurumsal güvenlik politikasını uyguladığı iddiasını desteklemektedir. ISO/IEC 15408, farklı temsil düzeylerini Şekil 6'da tarif edildiği gibi katmanlaştırmaktadır ki bu da bir PP ya da ST'yi geliştirirken güvenlik gereksinimlerinin ve özelliklerinin hangi yollarla elde edileceğini göstermektedir. Bütün TOE güvenlik gereksinimleri, temel olarak TOE'nin amacı ve bağlamının göz önünde bulundurulmasından kaynaklanmaktadır. Bu çizelge, PP'ler ve ST'lerin geliştirilme yollarını sınırlama amacı taşımamaktadır, sadece bazı analitik yaklaşımların sonuçlarının PP'lerin ve ST'lerin içeriğiyle ilgili olduğunu göstermektedir. 16

23 Şekil 6 - Gereksinimler ve belirtimlerin türetilmesi Güvenlik ortamı Güvenlik ortamı, ilgili olduğu belirlenen bütün yasaları, kurumsal güvenlik politikalarını, gelenekleri, uzmanlık ve bilgiyi içerir. Bu nedenle TOE nin kullanılmasının amaçlandığı bağlamı tanımlar. Güvenlik ortamı ayrıca güvenlik için ortamda bulunan ya da bulunduğu kabul edilen tehditleri de içerir. 17

24 Güvenlik ortamını oluşturmak için PP ya da ST yazarının aşağıdakileri göz önünde bulundurması gerekir: a) TOE güvenliğiyle ilgili, fiziksel ve personelle ilgili güvenlik düzenlemelerinin de içinde bulunduğu TOE çalışma ortamının bütün yönlerini belirleyen TOE fiziksel ortamı, b) Güvenlik gereksinimlerinin ya da politikalarının uygulanacağı TOE öğesi tarafından korunması gereken varlıklar; bunlar arasında doğrudan belirtilen varlıklar, örneğin dosyalar ve veritabanları, ayrıca dolaylı olarak güvenlik gereksinimlerine tabi varlıklar, örneğin yetkilendirme kanıtları ve IT uygulamasının kendisi yer alır, c) Ürün tipi ve TOE nin amaçlanan kullanımıyla ilgili TOE amacı. Güvenlik politikaları, tehditleri ve risklerinin araştırılması TOE ile ilgili aşağıdaki güvenliğe özgü açıklamaların yapılabilmesine imkan tanımalıdır: a) TOE nin güvenli kabul edilebilmesi için TOE nin ortamı tarafından karşılanması gereken varsayımların ifadesi. Bu ifade TOE değerlendirmesi için kabul edilmiş bir gerçek olarak görülebilir. b) Varlıkların güvenliğine karşı tehditlerle ilgili bir ifade, güvenlik analiziyle TOE ile ilgili olarak algılanan bütün tehditleri belirtir. ISO/IEC 15408, bir tehdidi bir tehdit kaynağı, öngörülen saldırı yöntemi, saldırıya temel oluşturan açıklıklar ve saldırı altındaki varlığın belirlenmesi bakımlarından ele alır. Güvenlikle ilgili riskleri, her bir tehdidin gerçek bir saldırıya dönüşmesi olasılığı, böyle bir saldırının başarılı olma olasılığı ve oluşabilecek herhangi bir zararın sonuçları bakımlarından inceleyerek bunların özelliklerini belirler. c) Uygun kurumsal güvenlik politikalarıyla ilgili bir ifade, ilgili politikaları ve kuralları belirtir. Bir IT sistemi için bu politikalar açık bir şekilde referanslarla gösterilebilir ama genel amaçlı bir IT ürünü ya da ürün sınıfı için kurumsal güvenlik politikası ile ilgili gerçekleştirilebilecek varsayımların oluşturulması gerekebilir Güvenlik amaçları Güvenlik ortamı analizinin sonuçları, belirlenen tehditlere karşı güvenlik amaçlarını ve belirlenen kurumsal güvenlik politikası ve varsayımlarını belirtmekte kullanılabilir. Güvenlik amaçlarının TOE'nin belirtilen çalışma amacı ya da ürün amacıyla ve fiziksel ortamıyla ilgili eldeki bilgilerle uyumlu olması önerilir. Güvenlik amaçlarının belirlenmesinin amacı, güvenlikle ilgili bütün endişeleri gidermek ve güvenliğin hangi yönlerinin doğrudan TOE ya da ortamı tarafından ele alındığını belirtmektir. Bu sınıflandırma, mühendislik muhakemesi, güvenlik politikası, ekonomik etkenler ve risk kabulü kararlarını içeren bir sürece dayanmaktadır. Ortam için güvenlik amaçları IT alanı içinde ve teknik olmayan ya da yöntemle ilgili yollardan gerçekleştirilir. IT güvenlik gereksinimleriyle sadece TOE ve onun IT ortamıyla ilgili güvenlik amaçları ele alınmaktadır IT güvenlik gereksinimleri IT güvenlik gereksinimleri, güvenlik hedeflerinin iyileştirilerek TOE için bir dizi güvenlik gerekliliği ve ortam için güvenlik gereksinimleri haline getirilmesidir ki, bunların gerçekleştirilmesi durumunda, TOE'nin güvenlik amaçlarına ulaşması sağlanacaktır. ISO/IEC 15408, güvenlik gereksinimlerini fonksiyonel gereksinimler ve garanti gereksinimleri olarak ayrı kategorilerde sunmaktadır. Fonksiyonel gereksinimler TOE'nin özel olarak IT güvenliğini destekleyen fonksiyonları üzerinde uygulanmakta ve istenen güvenlik davranışını tanımlamaktadır. ISO/IEC fonksiyonel gereksinimleri tanımlanmaktadır. Fonksiyonel gereksinimlere örnekler arasında tanıma, doğrulama, güvenlik denetimi ve kökenin reddedilememesi yer almaktadır. 18