IEC NEDİR? Uluslararası Elektroteknik Komisyonu (The International Electrotechnical Commission-IEC); elektrik, elektronik ve ilgili teknolojiler için



Benzer belgeler
Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri. Mustafa YILMAZ

Bilgi Teknolojileri Ürün Güvenliği İçin Ortak Kriterler Sertifikasyonu ve Türkiye

TÜRKİYE DE YAZILIM/DONANIM VE SİSTEM GÜVENLİĞİ DEĞERLENDİRME ÇALIŞMALARI

TSE BİLİŞİM TEKNOLOJİLERİ STANDARTLARI VE BELGELENDİRMELERİ

TSE BİLİŞİM TEKNOLOJİLERİ STANDARTLARI VE BELGELENDİRMELERİ

TSE BİLİŞİM TEKNOLOJİLERİ STANDARTLARI VE BELGELENDİRMELERİ

TÜRK STANDARDLARI ENSTİTÜSÜ

TÜRK STANDARDLARI ENSTİTÜSÜ BİLİŞİM TEST VE BELGELENDİRME ÜCRET TARİFESİ

PROCEEDING BOOK BİLDİRİ KİTABI

TÜRK STANDARDLARI ENSTİTÜSÜ

SPICE TS ISO/IEC Kerem Kemaneci Ankara

T. C. KAMU İHALE KURUMU

BİLİŞİM SEKTÖRÜNDE ÜRÜN BELGELENDİRMESİ. Belgelendirilen Ürün Grupları ORTAK KRİTERLER BELGESİ

TS EN ISO/IEC Kullanılabilir Arayüz Sertifikası Verilmesi Süreci

TÜRK STANDARDLARI ENSTİTÜSÜ BİLİŞİM TEST VE BELGELENDİRME ÜCRET TARİFESİ

TÜRK STANDARDLARI ENSTİTÜSÜ BİLİŞİM TEST VE BELGELENDİRME ÜCRET TARİFESİ

TÜRK STANDARDLARI ENSTİTÜSÜ BİLİŞİM TEST VE BELGELENDİRME ÜCRET TARİFESİ

ELEKTRONİK İMZADA GÜVENLİK VE STANDARTLAR

Laboratuvar Akreditasyonu

DEMİRYOLU SEKTÖRÜNDE ÜRÜN BELGELENDİRME SÜREÇLERİ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER

Laboratuvar Akreditasyonu

TÜRK STANDARDLARI ENSTİTÜSÜ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

Sağlık Bilgi Teknolojileri ve Yazılım Süreç Yönetimi

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

TÜRK AKREDİTASYON KURUMU. Personel Akreditasyon Başkanlığı

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

Bilgi Güvenliği Yönetim Sistemi

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

YETERLİLİK DENEYLERİ VE LABORATUARLAR ARASI KARŞILAŞTIRMA PROGRAMLARI PROSEDÜRÜ Doküman No.: P704 Revizyon No: 04 Yürürlük Tarihi:

Kamu Siber Güvenlik Günü

Tetkik Gün Sayısı Tespiti

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

TÜRK STANDARDLARI ENSTİTÜSÜ BİLİŞİM TEKNOLOJİLERİ BELGELENDİRMELERİ

BGYS-PL-01 BİLGİ GÜVENLİĞİ POLİTİKASI

ISO 13485:2016 TIBBİ CİHAZLAR KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

TÜRK STANDARDLARI ENSTİTÜSÜ SİBER GÜVENLİK EYLEM PLANI VE SİBER GÜVENLİK BELGELENDİRMELERİ

ENTEGRE YÖNETİM SİSTEMİ YAZILIMI

ISO/IEC BİLGİ TEKNOLOJİLERİ GÜVENLİK DEĞERLENDİRME KRİTERLERİ

Notice Belgelendirme Muayene ve Denetim Hiz. A.Ş Onaylanmış Kuruluş 2764

Elektronik Belge Yönetimine Geçiş Sürecinde Kurumsal Sorumluluklar ve Yol Haritası. Tekirdağ 25 Haziran 2012

Yazılım Geliştirme Projelerinde Kontrolörlük / Müşavirlik Hizmetleri. Y.Müh. Kadriye ÖZBAŞ ÇAĞLAYAN, PMP Y.Müh. Ahmet DİKİCİ, PMP

KALİTE EL KİTABI PERSONEL BELGELENDİRME

Erma Yazılım EBYS Sistemi. (Elektronik Belge Yönetim Sistemi) Dijital Arşivleme. Otomasyonu

ESİS Projesi. Kaynaklar Bakanlığı

MIS 325T Servis Stratejisi ve Tasarımı Hafta 7:

P704. Revizyon No : 05 Yürürlük Tarihi : Yeterlilik Deneyleri ve Laboratuvarlar Arası Karşılaştırma Programları Prosedürü

TETKİK SÜRELERİ BELİRLEME TALİMATI

T. C. KAMU İHALE KURUMU

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Planlama - Destek

T. C. KAMU İHALE KURUMU

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

Bilgi Güvenliği Eğitim/Öğretimi

Yrd. Doç. Dr. Ayça Tarhan. Hacettepe Üniversitesi Bilgisayar Mühendisliği Bölümü

KALİTE YÖNETİM SİSTEMLERİ YAZILIMI

İÇ TETKİKÇİ DEĞERLENDİRME SINAVI

T.C. ÇEVRE VE ŞEHİRCİLİK BAKANLIĞI Coğrafi Bilgi Sistemleri Genel Müdürlüğü. Hüseyin BAYRAKTAR

ĠÇĠNDEKĠLER VE ÇAPRAZ REFERANS ÇĠZELGE:

w w w. a n k a r a b t. c o m

BDDK-Bilgi Sistemlerine İlişkin Düzenlemeler. Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler

ARAŞTIRMA VE GELİŞTİRME DAİRESİ BAŞKANLIĞI TARAFINDAN PİLOT SEÇİLEN BÖLGELERDE YÜRÜTÜLEN ÇALIŞMALAR

Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ BİRİNCİ BÖLÜM. Genel Hükümler

PERSONEL BELGELENDİRME PROSEDÜRÜ (GENEL ŞARTLAR)

Kurumsal Belleklerin Geleceği Dijitalleştirme-Elektronik Arşiv-Elektronik Belge Yönetimi Sempozyumu

BİLGİ GÜVENLİĞİ POLİTİKASI

ISO NEDİR? TSE, ISO nun üyesi ve Türkiye deki tek temsilcisidir. EN NEDİR?

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

Nizamettin OĞUZ.

TÜRK AKREDİTASYON KURUMU R20.08

KAYISI ARAŞTIRMA İSTASYONU MÜDÜRLÜĞÜ EK 3.4 KALİTE YÖNETİM / İÇ KONTROL BİRİMİ

ISO/IEC BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ. Terimler Ve Tarifler.

T.C. KUZEY ANADOLU KALKINMA AJANSI. Elektronik Yazışma ve Belge Yönetim Sistemi Yönergesi

Yazılım Mühendisliği 1

HAZIRLAYANLAR: DENİZ YALVAÇ ALPER ÖZEN ERHAN KONAK

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

Kamu Bilişim Tedariğinde Standardlara ve İş Hedeflerine Uyumluluk

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri

Kriptoloji Kavramları ve Kripto Analiz Merkezi Gökçen Arslan

TÜRK AKREDİTASYON KURUMU. 24. İŞ SAĞLIĞI ve GÜVENLİĞİ HAFTASI

LABORATUVAR AKREDİTASYON BAŞKANLIĞI

ÖN TETKİK PROSEDÜRÜ. İlk Yayın Tarihi: Doküman Kodu: PR 09. Revizyon No-Tarihi: Sayfa No: 1 / 6 REVİZYON BİLGİSİ. Hazırlayan : Onaylayan :

ISO 14001:2015 ÇEVRE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

ISO / TS 22003:2013 un Yeniliklerinin Gıda İşletmeleri, Belgelendirme Kuruluşları ve Akreditasyon Faaliyetleri Açısından İrdelenmesi

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI

Yönetim Sistemleri Eğitimleri

aselsan Açık Pozisyonlar Bilgi Teknolojileri (BT) Denetçisi İç Denetçi

TÜRK AKREDİTASYON KURUMU. Ürün Hizmet ve Muayene Akreditasyon Başkanlığı Ürün Belgelendirme Akreditasyonu

Yeterlilik Deneyleri ve Laboratuvarlar Arası Karşılaştırma Programları Prosedürü

YÖNETİM SİSTEMLERİ 1

İŞ SAĞLIĞI VE YÖNETİM SİSTEMLERİ

Konfigürasyon Yönetimi

Prosedür. Kalite Yönetim Sisteminde Neden gerçekleştirilecek?

PARDUS GÖÇ UZMANI VE FİRMA BELGELENDİRMELERİ. BİLİŞİM TEKNOLOJİLERİ TEST VE BELGELENDİRME DAİRESİ BAŞKANI Mariye Umay AKKAYA

T.C. ANKARA ÜNİVERSİTESİ BELGE YÖNETİMİ VE ARŞİV SİSTEMİ STRATEJİSİ

UE.18 Rev.Tar/No: /03 SAYFA 1 / 5

Transkript:

IEC NEDİR? Uluslararası Elektroteknik Komisyonu (The International Electrotechnical Commission-IEC); elektrik, elektronik ve ilgili teknolojiler için tüm standartları hazırlayan ve yayınlayan uluslararası standartlar komisyonudur. Uluslararası Standartlar Teşkilatı (The International Organization for Standardization -ISO) 1. Ortak Teknik Komite (Joint Technical Committee 1 - JTC1) ile birlikte Bilgi Teknolojileri Standartları ile ilgili çalışmaları yürütmektedir. 1 1

TS ISO/IEC 15408 BİLGİ TEKNOLOJİLERİ BT ÜRÜNLERİ GÜVENLİK SEVİYESİ BELGELENDİRMESİ -ORTAK KRİTERLER- Ortak Kriterler bilgi teknolojileri ürün ve/veya sistemlerinin güvenlik seviyelerinin tespit edilmesi ve bağımsız laboratuvarlarda test edilebilmesi için geliştirilmiş olan, temelini TCSEC ve ITSEC standartlarından alan ve Uluslararası Standartlar Organizasyonu nun (ISO) 1999 yılında Uluslararası Bilgi Teknolojileri Güvenlik Değerlendirme Standardı olarak kabul ettiği (ISO 15408) güvenlik standardıdır. Türk Standardları Enstitüsü Türkiye adına, Eylül 2003 tarihinde bu standardı kabul eden ülkelerin imzaladığı Ortak Kriterler Tanıma Sözleşmesini imzalayarak sertifika üretici ülkelerin değerlendirmelerini kabul etmiş, TSE Belgelendirme Merkezi bünyesinde kurulan Ortak Kriterler Belgelendirme Yapısı çalışmalarına başlamış, Nisan 2010 tarihinde Uluslararası Ortak Kriterler denetiminden başarı ile geçmiş ve Sertifika Üretici Ülke ünvanını almaya hak kazanmıştır. Ortak Kriterler değerlendirmeleri lisanslı Ortak Kriterler Laboratuvarları tarafından gerçekleştirilmektedir. Ortak Kriterler Belgelendirme Makamı olarak Türk Standardları Enstitüsü tarafından lisanslanmış, Ortak Kriterler kapsamında ISO 17025 akreditasyonu almış bağımsız test laboratuvarları OKTEM ve EPOCHE&ESPRI sonuçları temel alınarak verilen sertifikalara sahip BT ürünleri; belirlenen tehditler için güvenlik ölçütlerinin yeterli olduğu ve bu ölçütlerin doğru olarak üründe uygulandığı konusunda temel bir garanti sağlamaktadır. Şekil-1. Ortak Kriterler Standardı Gelişim Süreci CTCPEC (Kanada) Ortak Kriterler Uygulama Kurulu FC (ABD) Ortak Kriterler Yayın Kurulu Sürüm 2.0 Mayıs 1998 TCSEC (ABD) OK V1.0 ULUSLARARASI STANDARD ISO/IEC 15408:1999 Haziran 1999 Ocak 1996 ITSEC (Avrupa) Ortak Kriterler Açıklama Yönetim Kurulu Sürüm 2.1 1999 2 2

ORTAK KRİTERLER BELGELENDİRME SİSTEMİ TSE - Ortak Kriterler Belgelendirme Sistemi (OKBS), bir BT ürününün iddia ettiği değerlendirme garanti seviyesi ile ilgili Ortak Kriterler standardının ve Ortak Değerlendirme Metodolojisinin şartlarına uygunluğunun, Ortak Kriterler Tanıma Anlaşması (CCRA) ve ilgili prosedürleri çerçevesinde bir Ortak Kriterler Değerlendirme Laboratuvarı (OKDL) tarafından değerlendirilmesi ve uygunluğunun belirlenmesi sonucunda gerçekleştirilen belgelendirme türüdür. Ortak Kriterler belgelendirme sürecinde yer alan kurum ve kuruluşlar üç katmandan oluşan bir sistem olarak ifade edilebilir. Şekil-2 de görüldüğü gibi Ortak Kriterler değerlendirme ve belgelendirme sürecinde OKBS, müşteriler ile değerlendirme laboratuvarları arasındaki iletişimi ve koordinasyonu sağlayan makamdır. OKBS Müşterisi, direkt belgelendirilecek ürünün geliştiricisi/üreticisi olabileceği gibi, belgelendirmeyi finanse eden bir sponsor olabilir veya her ikisi birlikte de olabilir. OKBS, belgelendireceği ürünlerin Ortak Kriterler ve Değerlendirme Metodolojisine uygun test ve değerlendirme faaliyetlerini, Ortak Kriterler Değerlendirme Laboratuvarlarına yaptırır. Bu sistem içerisinde OKBS, OKDL (CC LAB:Common Criteria Laboratory) lerin teknik yeterliliğini ve birbirleri ile tutarlılığını (consistency) sağlamakla yükümlüdür. OKBS bunu belirli aralıklarla yaptığı laboratuvar tetkikleri ve toplantılar aracılığı ile sağlar. Şekil-2. Müşteri (Geliştirici) - OKBS - OKDL Hiyerarşisi Gözlem Raporlarına Cevaplar GELİŞTİRİCİ TOE ve Değerlendirme Kanıtları Değerlendirici CC LAB. Gözlem Raporları Sertifika Başvuru Gözlem Raporları Sertifikasyon Kurumu (TSE - OKBS) Değerlendirme Teknik Raporu & Gerekli Değerlendirme Kanıtları 3 3

Şekil-3. OKBS Belgelendirme Süreci 2 6 SPONSOR Sertifika Müşterisi 1 OKBS Belgelendirme Makamı GELİŞTİRİCİ Ürün Geliştirici 0 3 5 OKDL Değerlendirme Laboratuvarı 4 0 Lisanslama 1 Anlaşma 2 Belgelendirme Başvurusu 3 Değerlendirme İsteği 4 Ürün & Dokümantasyon 5 Test Sonuç Raporları 6 Belgelendirme Raporu Ortak Kriterler Belgesi Şekil 3 te OKBS tarafından gerçekleştirilen bir belgelendirme sürecinin belli başlı adımları zaman sıralı olarak gösterilmiştir. Değerlendirme ve belgelendirme sürecinin tamamı OKBS nin bilgisi ve kontrolü dahilinde gerçekleşmektedir. İnceleme, değerlendirme ve belgelendirme hizmetleri; hazırlanmış olan sistem dokümanları kullanılarak eğitimli, konusunda yetişmiş, tecrübeli uzman personel ile gerçekleştirilmektedir. Ortak kriterler birbirleriyle ilişkili üç ayrı bölümden oluşmaktadır: Bölüm 1, Giriş ve Genel Model, Bu bölüm BT güvenlik değerlendirmelerinin temel konsept ve prensiplerini tanımlar niteliktedir ve genel bir değerlendirme modeli sunmaktadır. Bölüm aynı zamanda BT güvenlik hedeflerinin oluşturulması, BT güvenlik gereksinimlerinin seçilmesi ve tanımlanması, ve ürünlerin veya sistemlerin üst düzey spesifikasyonlarının yazılması konusunda bilgiler içermektedir. Bölüm 2, Güvenlik Fonksiyonel Gereksinimleri, değerlendirme hedefinin güvenlik fonksiyonel gereksinimlerinin standart bir dille anlatılabilmesini sağlamak için tanımlanmış olan güvenlik fonksiyonel bileşenleri kümesi bu bölümde listelenmektedir. FAU: Security audit (Güvenlik denetimi) FCO: Communication (İletişim) FCS: Cryptographic support (Kriptografi desteği) FDP: User data protection (Kullanıcı verilerinin korunması) FIA: Identification and authentication (Tanıma ve kimlik doğrulama) FMT: Security management (Güvenlik yönetimi) FPR: Privacy (Gizlilik) FPT: Protection of the TSF (TSF nin korunması) FRU: Resource utilisation (Kaynak kullanımı) FTA: TOE access (TOE erişimi) FTP: Trusted path/channels (Güvenilir yollar/ kanallar) 4 4

Bölüm 3, Güvenlik Garanti Gereksinimleri, Güvenlik garanti bileşenleri kümesi bu bölümde listelenmektedir. Bu bölüm aynı zamanda Koruma Profillerinin ve Güvenlik Hedeflerinin değerlendirme kriterlerini ve değerlendirme garanti seviyelerini oluşturan garanti bileşenlerini de içermektedir. ADV: Development (Geliştirme) AGD: Guidance documents (Kılavuz Dokümanları) ALC: Life cycle support (Hayat döngüsü desteği) ASE: Security Target (Güvenlik Hedefi) ATE: Tests (Testler) AVA: Vulnerability assessment (Açıklık değerlendirmesi) COMMON CRITERIA ORTAK KRİTERLER GÜVENLİK GARANTİ SEVİYELERİ Ortak Kriterler tanımlanmış, garanti seviyesi gittikçe artan ve Değerlendirme Garanti Seviyesi (EAL) olarak bilinen yedi adet garanti paketi sağlamaktadır. Bu yedi garanti seviyesi aşağıdaki gibidir; EAL1: Bu seviye ürünün veya sistemin doğru çalıştığına dair güvenin yeterli olduğu ve güvenlik tehditlerinin ciddi olmadığı durumlarda kullanılmaktadır. EAL2: Bu seviyede değerlendirme yapabilmek için ürün geliştirici tasarım bilgilerini ve test sonuçlarını değerlendirme laboratuarına iletmelidir. EAL2 değerlendirmesi, müşteriler veya ürün geliştiriciler, düşük ve orta düzey seviye arasında bir güvenlik gereksinimi duyuyorlar ise ve ürünün geliştirme dokümanlarının tamamına ulaşamıyorlar ise uygulanmaktadır. EAL3: EAL3 seviyesinde standart, ürün geliştiriciye tasarım sırasında maksimum garanti sağlayabilmesi için yöntemler önermektedir. EAL3 değerlendirmesi üreticinin test sonuçlarının seçilerek onaylanması ve bilinen açıklıkların üretici tarafından incelendiğinin kanıtlanmasını içeren gri kutu testleri (grey box testing) ile desteklenmektedir. Ayrıca geliştirme ortamı kontrolleri ve ürünün konfigürasyon yönetimi delilleri değerlendirmeler için gerekmektedir. EAL4: EAL4 seviyesi ticari ürün geliştirme yöntemlerinden maksimum garanti sağlayabilmek için ürün geliştiricilere yöntemler önermektedir. EAL4 var olan ürün geliştirme altyapısını değiştirmeden ulaşılabilecek en yüksek garanti seviyesidir. EAL4 değerlendirmesi ürünün alt düzey tasarımı ve uygulamanın alt kümelerinin analizi ile de desteklenen bir süreçtir. Yapılan testler bağımsız açıklık analizleri ile desteklenir. Geliştirme kontrolleri yaşam döngüsü desteği, tanımlama teknik ve araçları, ve otomatik konfigürasyon yönetimi ile güçlendirilir. EAL5: EAL5 seviyesi, özel güvenlik tekniklerinin orta düzeyde uygulanması ile desteklenen, ticari ürün geliştirme yöntemlerinden maksimum garanti sağlayabilmek için ürün geliştiricilere yöntemler önermektedir. Bu seviyeye aday bir ürün seviyenin gerektirdiği garantiyi sağlayabilecek bir şekilde tasarlanmalı ve geliştirilmelidir. Bu seviye ürün geliştiricileri ve müşteriler yüksek seviyede güvenlik ve bağımsız bir garanti ihtiyacı duyduklarında kullanılmaktadır. EAL6: EAL6 seviyesi yüksek değerdeki varlıkları korumakta olan ürünler için yüksek garanti seviyesi sağlayan güvenlik teknikleri önermektedir. EAL7: EAL7 seviyesi son derece yüksek risk durumlarında veya korunan varlıkların bu seviyenin getireceği maliyeti karşılayabileceği durumlarda uygulanabilmektedir. Geliştirici açısından baktığımızda daha yüksek seviyede belgelendirilmiş bir ürünün güvenlik garanti seviyesi anlamında daha kaliteli ürünler geliştirmesi gerektiği görülmektedir. 5 5

Değerlendirme tarafında ise alt seviyeler için daha çok Black Box Testleri (Kara Kutu Testleri) yapılırken, üst garanti seviyeleri için daha çok White Box Testleri yapılır. Temel olarak Kara Kutu Testlerinde ürüne giren ve çıkan bilgilere göre test edilerek ürünün dış etkilere karşı güvenliği tespit edilir. İç tasarımda hangi algoritmalar, hangi yazılımların olduğuna bakılmaz. White Box Testlerinde ise ürünün iç tasarımı, algoritmaları ve detaylı tasarımı incelenir ve ataklara karşı açıklık analizleri yapılır. Ürünü kullanacak işletme açısından bakılırsa atak potansiyeli ve saldırgan yeteneği daha yüksek olan işletmelerin daha yüksek güvenlik garanti seviyesine sahip ürünler kullanmaları gerekmektedir. SPICE TS ISO/IEC 15504 YAZILIM SÜREÇ İYİLEŞTİRME, YETENEK VE OLGUNLUK BELİRLEME Ülkemizde BT sektörü her geçen gün biraz daha büyüyüp gelişirken en önemli alanlardan biri olarak yazılım alanını gösterebiliriz. Yazılım alanı, büyümede lokomotif görevini yerine getiren bilişim sektöründe çok önemli bir yere sahipken hem de diğer sektörleri destekleyen bir alan olarak ülkemiz için stratejik öneme sahiptir. Son yıllarda artan teknokentler ve paralelinde artan firma sayısı, işgücü, tecrübe ve sermaye ülkemizin rekabet gücüne katkı sağlamaktadır. Sektördeki bu hızlı büyümeyi daha kalıcı ve sürdürülebilir kılmak adına yazılım süreçlerinde planlanabilirlik, ölçülebilirlik ve izlenebilirlik özelliklerinin kazandırılması gereklidir. Kurumsal hedeflerin başarımı için proje planlaması, risk planlaması, ölçekleme, rol paylaşımı, tedarik, bakım ve onarım gibi aşamaların ve alt süreçlerinin iyi belirlenmesi ve hesaplanması gerekmektedir. Yazılım süreçlerinin iyileştirilmesi, her bir sürece ait yetenek düzeyinin ve kurumsal olgunluk düzeyinin belirlenmesi için yayınlanmış, uluslararası geçerli yazılım süreç kalite standardı SPICE - TS ISO/IEC 15504, TSE tarafından sertifikalandırılmaktadır. Standartları oluşturma ve yaygınlaştırma görev bilinci ile Türk Standardlar Enstitüsü; Uluslararası SPICE Tetkikçisi sertifikasyonuna sahip 12 kişilik uzman ekibi ile TS ISO IEC 15504/SPICE eğitimleri, Değerlendirme (Assessment) ve bu konuda 6 6

Belgelendirme hizmetini ülkemize kazandırarak Türkiye de Yazılım Kalitesi kavramının olgunlaşabilmesi için çok gerekli ve önemli bir adımı atmış bulunmaktadır. TSE tarafından verilen SPICE sertifikalarında tetkik heyeti başkanı INTACS SPICE Baş Tetkikçisinin de imzası olduğundan, bu SPICE sertifikaları uluslararası geçerli olmaktadır. SPICE TS ISO/IEC 15504 KAPSAMI Software Process Improvement and Capability determination Yazılım Süreci İyileştirme ve Yeterlilik Belirleme SÜREÇ BOYUTU ANA SÜREÇLER SPICE TS ISO/IEC 15504 NEYİ ADRESLER? MÜŞTERİ-TEDARİKÇİ MÜHENDİSLİK PROJE SÜREÇ YETERLİLİK BOYUTU DESTEKLEYEN SÜREÇLER DESTEK ORGANİZASYON SÜREÇLERİ ORGANİZASYON SÜREÇ YETERLİLİK BOYUTU 0. Eksik (incomlete) düzey 1. Yapılan (performed) düzey 2. Yönetilen (managed) düzey 3. Yerleşmiş (established) düzey 4. Kestirilebilir (predictable) düzey 5. Eniyileşen (optimizing) düzey Kim Neden Nasıl Değerlendirme Referans model ile uyumlu Model yapısı için bir referans olarak Modeli Geliştiricileri modellerin geliştirilmesi Geliştirilen modelin referans Yeterliliği göstermek için bir grup ölçüt olarak model ile uyumluluğunun gösterilmesi Yazılım Yazılım süreçlerini geliştirmek için Yazılım süreçleri hakkında yönetim için ve Organizasyonu ne yapılması gerektiğini anlamak başlatılacak yetenekler için bir çalışma kılavuzu olarak Müşterilere göstermek amacıyla Süreç ve süreç yeterliliğini vurgulamada süreçlerin yeterliliğini belirlemek bir referans olarak Bir değerlendiricinin hangi süreç ve Bir eğitim dokümanı olarak yeterlikleri değerlendirebileceğini Karşılaştırmada geçerli bir referans anlamak çerçevesi olarak Bir süreç ve süreç yeterliliği kontrol listesi olarak Yazılım Süreç Bir kuruluşun yazılım süreç Bir süreç ve süreç yeterliliği kontrol Değerlendiricileri değerlendirmesini oluşturmak listesi olarak ve referans model bilgisini geliştirerek Bir değerlendirme modelinin Model uyumluluğu gerçekleştirmenin uyumluluğunu oluşturmak amacına bir referans oluşturarak Araç Geliştirenler Bir yazılım süreç değerlendirme Bir değerlendirme aracının aracı geliştirmek gereksinimleri için referans olarak 7 7

SPICE modelinin amacı farklı yazılım süreç değerlendirme model ve yöntemleri için ortak bir ana prensip sağlamaktır. Böylece değerlendirmelerin sonuçlarının ortak bir bağlamda rapor edilmesi sağlanır. Referans model iyi yazılım mühendisliği için gerekli olan temel hedefleri üst seviyede tarif eder ve yazılımı elde etme, sağlama, geliştirme, işletme, tekâmül ettirme ve destek yeterliliği oluşturmayı isteyen her yazılım kuruluşuna uygulanır. Model, belirli bir kuruluş yapısı, yönetim felsefesi, yazılım yaşam döngüsü modeli, yazılım teknolojisi ya da geliştirme metodolojisini temel almaz. Bu referans modelin mimarisi, süreçleri yazılım personelinin yazılım süreçleri yönetiminin sürekli iyileştirmesi için anlaması ve kullanmasına yardımcı olacak şekilde düzenler. CMMI ve SPICE CMMI yönetim süreçlerine daha çok ağırlık verirken, ISO/IEC 15504 standardı olan SPICE`ta mühendislik süreçleri daha detaylı incelenmekte ve daha çok önem arz etmektedir. TS 13298 ELEKTRONİK BELGE YÖNETİMİ Günümüzde hem kamuda hem de özel sektördeki kurumlar, kâğıt, yazıcı ve toner dolum harcamalarını azaltmak hem de belge yönetimi sistemini sayısal platforma taşıyarak Belge Yönetimi ni kolaylaştırmayı hedeflemektedir. Bu amaçla tasarlanıp geliştirilen Elektronik Belge Yönetim Yazılımlarını ülke çapında tutarlı ve bütünleşmiş şekilde yürütmek, belgelerin yasal geçerliğini sağlamak, T.C Başbakanlık Devlet Arşivleri Genel Müdürlüğü tarafından yayınlanan standart dosya planını bünyesinde barındırmak ve kurum içi fonksiyonlarla entegre çalışmasını sağlamak, kurumların yapmış olduğu resmi yazışma vs. gibi her türlü belgenin yönetimi, arşivlenmesi, tasfiyesi vs. gibi temel fonksiyonları bünyesinde barındırmasını sağlamak için TS 13298 Elektronik Belge Yönetim standardı geliştirilmiştir. Bu standart, kurumlarda üretilen ve/veya üretilmesi muhtemel elektronik dokümanların belge niteliğinin korunabilmesi için gerekli standartların belirlenmesi amacıyla aşağıdaki konuları kapsar: a) Elektronik belge yönetimi sistemi (EBYS) için gerekli sistem gereksinimleri, b) EBYS için gerekli belge yönetim teknikleri ve uygulamaları, c) Elektronik belgelerin yönetilebilmesi için gerekli gereksinimler, d) Elektronik ortamda üretilmemiş belgelerin yönetim fonksiyonlarının elektronik ortamda yürütülebilmesi için gerekli gereksinimler e) Elektronik belgelerde bulunması gereken diplomatik özellikler, f) Elektronik belgelerin hukuki geçerliliklerinin sağlanması için alınması gereken önlemler, g) Güvenli elektronik imza ve mühür sistemlerinin uygulanması için gerekli sistem alt yapısının tanımlanması. 8 8

Satış yönetim yazılımı, Hastane bilgi sistemi verilebilir. Gerektirdiği Dokümanlar: Ürün Tanıtmalığı Ürün Kılavuz Dokümanı Test Dokümanı Test Raporu Bu standard ürün geliştirme süreçleri veya kurumsal sistem kalite süreçleri ile ilgilenmez. Temel olarak son kullanıcıya; uyumlu, ürün tanıtımı ve kullanım kılavuzunda belirtilen niteliklere uygun, programın kullanımında doğacak temel ve kritik fonksiyonları özellikle sorgulayarak güvenli ve düzgün çalışan programlar sunmayı amaçlar. Elektronik Belge Yönetim Sistemi; kurumların gündelik işlerini yerine getirirken oluşturdukları her türlü dokümantasyonun içerisinden kurum faaliyetlerinin delili olabilecek belgelerin ayıklanarak bunların içerik, format ve ilişkisel özelliklerini korumak ve bu belgeleri üretimden nihai tasfiyeye kadar olan süreç içerisinde yönetmeye yöneliktir. TS ISO/IEC 25051 YAZILIM MÜHENDİSLİĞİ YAZILIM ÜRÜNÜ KALİTE GEREKSİNİMLERİ VE DEĞERLENDİRMESİ (SQuaRE) TİCARİ KULLANIMA HAZIR (COTS) YAZILIM ÜRÜN KALİTESİ İÇİN GEREKSİNİM COTS yazılım ürünlerine örnek olarak; Metin işlemcileri, Veri tabanı kontrol yazılımı, Grafik paketleri, Otomatik bankamatik makineleri, İnsan kaynakları yönetim yazılımı, TS EN ISO 9241-151 İNSAN SİSTEM ETKİLEŞİMİNİN ERGONOMİSİ, BÖLÜM 151: DÜNYA GENELİ ARAYÜZLERİ KILAVUZU Bu standart, kullanılırlığı artırma hedefiyle web kullanıcı ara birimlerinin insan merkezli tasarımlarını geliştirmek için rehberlik yapar. Web kullanıcı ara yüzleri ya tüm internet kullanıcılarına, ya da bir organizasyonun üyeleri, bir firmanın müşterileri/tedarikçileri ya da diğer belirli kullanıcı toplulukları gibi kapalı bir gruba yönelir. Günümüzde İnsan Bilgisayar Etkileşimi alanında, cevapları aranan bazı sorular: Ekrandan okumak kâğıt üzerinden okumaktan daha zor mudur? Etkileşim konusunda yaşlanmadan etkilenen insan yetenekleri hangileridir? 9 9

Ekranda hangi renk kombinasyonları daha iyi görünür? Tasarımcı kendi tasarımını en iyi biçimde nasıl test edebilir? İyi bir ara yüz değerlendirmesi kaç kullanıcıyla yapılabilir? İyi hata mesajları nasıl yazılır? İkonların tasarımı için kılavuzlar var mıdır? Menülerdeki eleman sayısını nasıl belirlemeliyiz? Laboratuvar ortamında etkileşimli ara yüzlerin kullanılabilirliğini değerlendirmek için yapılan kullanılabilirlik testlerinde, göz izleme cihazından elde edilen veriler kullanılmaktadır. Ara yüzlerin tasarım aşamasında, tasarım süreci içerisinde veya sonrasında kullanıcının tasarıma yaklaşımını, nasıl kullandığını ve ne tür sorunlarla karşılaştığı hakkında bilgi sahibi olunarak tasarım geliştirilebilmektedir. Bu sayede kullanıcıya daha az zorluk çıkaran daha kolay okumayı ve anlaşılmayı sağlayan Web Sayfalarının oluşturulması amaçlanmaktadır. KRİPTO TS ISO/IEC 19790 & ISO/IEC 24759 KRİPTOLAMA MODÜLLERİ İÇİN GÜVENLİK VE TEST GEREKSİNİMLERİ Bilgi Teknolojisi sistemlerinde işlenen kritik verilerin güvenli saklanması, güvenli iletimi, kaynağının doğrulanması şifreleme, şifre çözme, bütünlük kontrolleri, elektronik imza vb. kriptografik işlemleri zorunlu kılmaktadır. Haberleşme ve bilgisayar sistemlerinde bu işlemler sistem içerisinde yer alan kripto modülleri ile sağlanmaktadır. Bu kripto modüllerinin güvenlik özelliklerini aksatmadan yerine getirmesi önem arz etmektedir. BISO/IEC 19790, bilgi teknolojisi sistemlerinde yer alan ve kritik verilerin güvenliğini sağlayan bu kripto modülleri için güvenlik gereklerini belirleyen bir standarttır. ISO/IEC 19790 standardı, kripto modülleri içinde yer alan kriptografik yapılar, fiziksel yapılar, işletim ortamı, dokümantasyonu vb. çeşitli konularda isterler içermektedir. İstenilen güvenlik özellikleri standart içerisinde aşağıdaki ana başlıklar altında verilmektedir: Modül özellikleri (specification); Portlar ve arayüzler; Roller, servisler ve asıllama (authentication); Sonlu durum modeli; Fiziksel güvenlik; İşletim ortamı; Kriptografik anahtar yönetimi; Öz sınama (self-test); Tasarım garantisi (design assurance); Diğer saldırıların azaltılması (mitigation of other attacks) 10 10

ISO/IEC 19790 Test Metodolojisi Olarak TS ISO/IEC 24759 Standardı Kripto modüllerinin ISO/IEC 19790 standardına uygunluğunu test etmek için ISO/IEC 24759 standardı test metodolojisi olarak hazırlanmıştır. Bu standart, ISO/IEC 19790 uygunluk testlerinin laboratuvardan laboratuvara öznellik göstermesini engellemek amacı ile geliştirilmiştir. ISO/IEC 24759 standardı, ISO/IEC 19790 standardından alıntılanan güvenlik gereklerini içermektedir. ISO/IEC 19790, TS ISO/IEC 24759 Standardı ve FIPS 140 Standardı Amaç ve içerik olarak Federal Information Processing Standards (FIPS) 140 isterleri ve ISO/IEC 19790 isterleri arasında temel farklar bulunmamaktadır FIPS140 için katılımcı ülkeler Amerika, İngiltere, Kanada ve Almanya olup, FIPS140 kriterleri kapsamında değerlendirmeye tabi tutulan algoritmalar ABD-NIST tarafından onaylanmış algoritmalar ile sınırlıdır. Bundan dolayı ISO/IEC JTC1/SC27 çalışma grubu FIPS 140-2 kriterlerini yeniden ele alarak bu kriterlerin eşleniği olan ISO/IEC 19790 standardını yayınlamıştır. Bu standart, FIPS140-2 nin değerlendirme dışı bıraktığı algoritmaları da değerlendirmeye almaktadır. NIST tarafından yayınlanmış olan FIPS-140 testleri test metodolojisi Derived Test Requirements dır. Bu metodolojinin eşleniği ise ISO/IEC JTC1/SC27 çalışma grubu tarafından ISO/IEC 24759 Test requirements for cryptographic modules olarak yayınlanmıştır. 11 11

12 12

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim