1 TÜRK STANDARDLARI ENSTİTÜSÜ SİBER GÜVENLİK EYLEM PLANI VE SİBER GÜVENLİK BELGELENDİRMELERİ Mariye Umay AKKAYA TÜRK STANDARDLARI ENSTİTÜSÜ 25 Ekim 2013, İstanbul Yazılım Test ve Belgelendirme Dairesi Başkanlığı
İÇERİK Kurumun; Organizasyon Yapısı Mevzuatta Siber Güvenlik Siber Güvenlik Faaliyetleri Siber Güvenlik Alanında Çalışan Personel Durumu Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı o o Sorumlu Eylemler ve Alt Eylemleri İş Planı İlgili Eylemler ve Alt Eylemleri İş Planı Görüş ve Öneriler Siber Güvenlik
ORGANİZASYON YAPISI (Siber Güvenlik ile ilgili biriminizin Organizasyon Yapısındaki Yeri) Siber Güvenlik
ORGANİZASYON YAPISI YAZILIM TEST VE BELGELENDİRME DAİRE BAŞKANLIĞI (Mayıs 2013) Yazılım Belgelendirme Müdürlüğü Yazılım Test Müdürlüğü
TS 13298-ELEKTRONİK BELGE YÖNETİMİ, ISO 25051YAZILIM PAKETLERİ SERTİFİKASYONLARI 5
YAZILIM SÜREÇLERİ SERTİFİKASYONLARI-SPICE (ISO CMMI)-5 seviye 6
26 ülkede geçerli-bt Ürün Güvenliği- Ortak Kriterler Sertifikasyonu-Common Criteria 7
8 Kripto Algoritma ve Modül Sertifikasyonları (ISO FIPS 140-2)
BİLGİ TEKNOLOJİLERİ ve GÜVENLİĞİ BELGELENDİRMELERİ ORTAK KRİTERLER: TS ISO/IEC 15408 serisi BT ürünlerinin güvenliği için değerlendirme kriterleri (Ortak Kriterler)-7 SEVİYE SPICE: TS ISO 15504-SPICE Yazılım Süreç Değerlendirilmesi (ISO CMMI) -5 SEVİYE BİLİŞİM TEKNOLOJİSİ: TS 13298 Elektronik Belge Yönetimi TS ISO/IEC 25051Yazılım Paketleri Belgelendirmesi TS ISO 9241-151 İnsan Sistem Ergonomik Etkileşimi, WCAG kriteri, ISO/IEC 40500, Tsek 194 UYGUNLUK DEĞERLENDİRMESİ: TS ISO/IEC 12207 Yazılım Yaşam Döngüsü TS ISO/IEC 15288 Sistem Yaşam Döngüsü KRİPTO MODÜL BELGELENDİRMESİ (ISO FIPS 140-2) TS ISO/IEC 19790, TS ISO/IEC 24759-4 SEVİYE -Temel Seviye Güvenlik Belgelendirmesi -Saha Güvenlik Belgelendirmesi -Qweb Belgelendirmesi 9
MEVZUATTA SİBER GÜVENLİK (Kurum Mevzuatında Siber Güvenlik, Yapılan Çalışmalar ve Faaliyetler, Planlanan Çalışmalar, Personel Durumu ve Uzmanlık Alanlar) SİBER GÜVENLİK STANDARTLARI TEST VE ULUSLAR ARASI SERTİFİKASYONLAR TS ISO/IEC 15408-COMMON CRITERIA: BT ÜRÜN GÜVENLİĞİ SERTİFİKASYONU TS ISO/IEC 19790 ve 24759: KRİPTO MODÜL ve ALGORİTMA SERTİFİKASYONU SITE SECURITY CERTIFICATION 1.ST LEVEL SECURITY CERTIFICATION TS ISO/IEC 27001: BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ SERTİFİKASYONU Siber Güvenlik
MEVZUATTA SİBER GÜVENLİK (Kurum Mevzuatında Siber Güvenlik, Yapılan Çalışmalar ve Faaliyetler, Planlanan Çalışmalar, Personel Durumu ve Uzmanlık Alanlar)
Onaylı Ortak Kriterler Laboratuvarlarımız LİSANSLI LABORATUVARLARIMIZ: TÜBİTAK BİLGEM SGE OKTEM EPOCHE & ESPRI (İspanya) CYGNACOM (Amerika) ADAY LABORATUVARLARIMIZ APPLUS LGAI (İspanya) BEAM TEKNOLOJİ (Türkiye) 12
Taşeron BT Laboratuarlarımız TÜBİTAK BİLGEM BTE EPOCHE & ESPRI ODTÜ İBE Ayrıca 1 adet Başvuruda Laboratuar mevcuttur: Akıllı Kart Erişim Cihazları Birlikte Çalışabilirlik Laboratuarı (TÜBİTAK BİLGEM UEKAE)
VERDİĞİMİZ SERTİFİKA TÜRLERİ
15 TS ISO/IEC 15408-COMMON CRITERIA: BT ÜRÜN GÜVENLİĞİ SERTİFİKASYONU EAL7: HIGH EAL6: HIGH EAL5: MODERATE EAL4: ENHANCED BASIC EAL3: BASIC EAL2: BASIC EAL1: BASIC YÜKSEK ATAK POTANSİYELİ, WHITE BOX TEST, YÜKSEK KALİTE DÜŞÜK ATAK POTANSİYELİ, BLACK BOX TEST, DÜŞÜK KALİTE
Ortak Kriterler Değerlendirme Seviyeleri ve Süreleri EAL1: 2-3 ay EAL2: 3-4 ay EAL3: 4-5 ay EAL4: 6-7 ay EAL5: 8-10 ay 16
Ortak Kriterlerde 14 Ürün Grubu: (Yazılım ve/veya donanım) -Erişim Kontrol Cihazları ve Sistemleri -Biometrik Sistemler ve Cihazlar -Sınır Koruma Cihazları ve Sistemleri -Veri Koruma -Veritabanları - Tespit Cihazları ve Sistemleri -Akıllı Kartlar-Entegre Devre - Akıllı Kart İşletim Sistemleri - Akıllı Kart Okuyucuları - Anahtar Yönetim Sistemleri - Ağ ve Ağla ilgili Cihazlar ve Sistemler -İşletim Sistemleri -Sayısal İmzalı Ürünler - Güvenilir Hesaplama 17 HER BİR ÜRÜN GRUBU AYRI UZMANLIK GEREKTİRMEKTE, BU SEBEPLE ÜNİVERSİTELERDEN ve KAMU VE ÖZEL SEKTÖRDEN`dan TOPLAM 22 DIŞ İNCELEME UZMANI HAVUZU OLUŞTURULMUŞTUR.
CCRA: Ortak Kriterler Tanıma Anlaşması CCRA: Arrangement on the Recognition of Common Criteria Certificates of IT Security till EAL 4 26 üye ülke Certificate Authorising Member (15 ülke) Certificate Consuming Member (11 ülke)
SERTİFİKA ÜRETİCİLİĞİ & MÜŞTERİLİĞİ CCRA: Arrangement on the Recognition of Common Criteria Certificates of IT Security SERTİFİKA ÜRETİCİLERİ 1. Türkiye- 3 (2 aday) 2. Almanya - 12 3. Amerika 9 4. İtalya - 6 5. Fransa 5 6. Güney Kore 5 7. Japonya 4 8. Norveç - 4 9. İngiltere 3 10. Kanada 3 11. Avustralya ve Yeni Zelanda 3 12. İspanya - 3 13. İsveç - 2 14. Hollanda 1 15. Malezya-2 16. Hindistan SERTİFİKA MÜŞTERİLERİ 1. Avusturya 2. Çek Cumhuriyeti 3. Danimarka 4. Finlandiya 5. Yunanistan 6. Macaristan 7. İsrail 8. Singapur 9. Pakistan ADAY: Çin 19
TÜRKİYE- SERTİFİKA ÜRETİCİSİ- AUTHORISING COUNTRY TÜRKİYE 17 KASIM 2010`DA ORTAK KRİTERLER KAPSAMINDA SERTİFİKA ÜRETEN ÜLKE OLDU. DÜNYADA 15 ÜLKE ARASINA GİRDİ. SERTİFİKALANAN ÜRÜNLER ULUSLAR ARASI TANINIR GÜVENLİ ÜRÜN OLDU. (İHRACAT) 20
ORTAK Ürün geliştirici KRİTERLER-BELGELENDİRİLEN Ürün Adı Ürün Tanımı Garanti ÜRÜNLER Seviyesi Laboratuvar EGA PKI E-İmza Kök Sertifikası Yazılımı LABRİS LABRIS Güvenlik Ağ Geçidi Yönetim Merkezi Yazılımı Güvenlik Ağ Geçidi Yönetim Merkezi Yazılımı EAL 3+ EAL 4+ TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TUBİTAK BİLGEM UEKAE AKİS Pasaport V1.0 Akıllı Kart işletim sistemi EAL4+ TÜBİTAK BİLGEM OKTEM TUBİTAK BİLGEM UEKAE ESYA v1.0 PKI EAL4+ TÜBİTAK BİLGEM OKTEM TUBİTAK BİLGEM UEKAE ESYA v2.0 PKI EAL4+ TÜBİTAK BİLGEM OKTEM
Ürün geliştirici Ürün Adı Ürün Tanımı Garanti Seviyesi TUBİTAK BİLGEM UEKAE TUBİTAK BİLGEM UEKAE TUBİTAK BİLGEM UEKAE ORTAK KRİTERLER-BELGELENDİRİLEN ÜRÜNLER TUBİTAK BİLGEM UEKAE KKEC v1.41.06a UKTÜM UKT23T64H v4.0 KEC_F PP UKİS V1.2.2 Akıllı Kart Erişim Cihazı Akıllı kart tüm devresi Akıllı Kart Erişim Cihazı Gömülü Yazılımı Koruma Profili Ulusal Akıllı Kart işletim sistemi ve eid, PKI Uygulamaları EAL4+ EAL5+ EAL4+ EAL4+ Laboratuvar TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM ASELSAN AŞ. VAG v1.0.6 EAL 4+ EPOCHE & ESPRİ
Ürün geliştirici Ürün Adı Ürün Tanımı Garanti Seviyesi TUBİTAK BİLGEM UEKAE TUBİTAK BİLGEM UEKAE TUBİTAK BİLGEM UEKAE TAMARA ORTAK KRİTERLER-BELGELENDİRİLEN ÜRÜNLER AKİS Pasaport V1.4 N N AKİS V1.2.2 I AKİS V1.2.1 USBK Cryptobridge v2.0 Model A101 and Model A103 Akıllı Kart işletim sistemi temassız, ICAO 9303 uyumlu Akıllı kart işletim sistemi Akıllı kart işletim sistemi Veri Koruma Ürünü EAL4+ EAL4+ EAL4+ EAL 2 Laboratuvar TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM
ORTAK KRİTERLER-DEĞERLENDİRMESİ DEVAM EDEN ÜRÜNLER Ürün geliştirici Ürün Adı Ürün Tanımı Garanti Seviyesi TUBİTAK BİLGEM UEKAE TUBİTAK BİLGEM UEKAE TUBİTAK BİLGEM UEKAE UEKAE Atik Serisi HSM HSM Flow Control Firmware v2.0 UKTÜM UKT23T64H v.5.0 UKTÜM UKT23T64S v1.0 Hardware Security Module Flow Control Firmware Kontaklı Akıllı kart tüm devresi Kontaklı Akıllı kart tüm devresi EAL 4+ EAL5+ EAL5+ Laboratuvar TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TUBİTAK BİLGEM UEKAE AKiS v1.4i Pasaport Akıllı Kart İşletim Sistemi- (komposit değ.) EAL 4+ TÜBİTAK BİLGEM OKTEM
Ürün geliştirici Ürün Adı Ürün Tanımı Garanti Seviyesi LABRIS Güvenlik Ağ Labris Tek. Güvenlik Ağ Geçidi Yönetim Bilişim Ltd. Şti. Geçidi Yönetim Merkezi Yazılımı EAL 4+ Merkezi Yazılımı SİSOFT Sağlık Bilgi Sistemleri TUBİTAK BİLGEM UEKAE TUBİTAK BİLGEM UEKAE NETSAFE NATEK ORTAK KRİTERLER-DEĞERLENDİRMESİ DEVAM EDEN ÜRÜNLER Sisocare (Sisohbys) v2.0 AKİS V 2.2 I AKİS V 2.2 N NetSafe Management Software Log Yönetim Cihazı Sisoft HBYS EAL 2 Akıllı kart işletim sistemi- (komposit değ.) Akıllı kart işletim sistemi- (komposit değ.) EAL4+ EAL4+ EAL 4+ EAL 3 Laboratuvar BEAM TEKNOLOJİ TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM BEAM TEKNOLOJİ TÜBİTAK BİLGEM OKTEM
EAL Seviyelerine Göre Yüzdeler Page 26
Page 27 Ürün Gruplarına göre Yüzdeler Ürün Grupları Other Product Categories 45% Smart Cards and Related Devices 55%
(ISO FIPS 140-2,3) Kripto Modülleri İçin Güvenlik Gereksinimleri (TS ISO/IEC 19790) Kripto Modülleri İçin Test Gereksinimleri (TS ISO/IEC 24759) Kripto Modül/Algoritma Doğrulama Programı (CMVP/CAVP))
19790-Kripto Modülleri İçin Güvenlik Gereksinimleri Güvenlik Seviyesi 1 Güvenlik Seviyesi 2 Güvenlik Seviyesi 3 Güvenlik Seviyesi 4
SCS-Smart Card Security Turkey Consourtium Amaç: SOGIS-MRA ya girmek PAYDAŞLAR: TSE TÜBİTAK İTÜ TOBB ETÜ SABANCI
SİBER GÜVENLİK ALANINDA ÇALIŞAN PERSONEL DURUMU(Personel Durumu ve Uzmanlık Alanları) ÜRÜN GÜVENLİĞİ: (8 uzman personel) TS ISO/IEC 15408-COMMON CRITERIA: BT ÜRÜN GÜVENLİĞİ SERTİFİKASYONU TS ISO/IEC 19790 ve 24759: KRİPTO MODÜL ve ALGORİTMA SERTİFİKASYONU SITE SECURITY CERTIFICATION 1.ST LEVEL SECURITY CERTIFICATION NOT: 22 Dış İnceleme Uzmanı SİSTEM GÜVENLİĞİ: (9 uzman personel) TS ISO/IEC 27001: BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ SERTİFİKASYONU Siber Güvenlik
2012-2013 50 adet Konferans/Seminer/Çalıştay
2013-2014 SİBER GÜVENLİK EYLEM PLANI Madde 12 için YAPILANLAR TSE «Sorumlu»
2013-2014 SİBER GÜVENLİK EYLEM PLANI Madde 12/a ve 12/b için YAPILANLAR 11 ve 18.04.2013 TSE YKK kararı ile «Siber Güvenlik Özel Komitesi» kuruldu, 30 Dış Uzmanla 27 yeni konuda çalışmalara başlandı. 20 den fazla ilgili kamu ve sektörle Çalıştay düzenlendi
ULUSAL SİBER GÜVENLİK STRATEJİSİ VE 2013-2014 EYLEM PLANI MADDE 12/b 12. Siber güvenlik konusunda ürünlerin ve hizmet sağlayıcıların akredite edilmesi Kamu kurumları tarafından kullanılan ve siber güvenlik açısından kritik öneme sahip bilgi teknolojileri ve bilgi sistemleri ürünlerinin ve bunların sahip olması gereken asgari güvenlik gereksinimlerinin belirlenmesi ve belirlenen belgelendirmenin yapılması Ağustos 2014 - TSE (S) - Ulaştırma, Denizcilik ve Haberleşme Bakanlığı (İ) - TURKAK (İ) - TÜBİTAK (İ)
ISO/IEC 15408-COMMON CRITERIA: PP-Koruma Profili: Asgari Güvenlik Gereksinimleri Varlıklar Varsayımlar Tehditler Politikalar Güvenlik Hedefleri Çevre İçin Güvenlik Hedefleri TOE Güvenlik Hedefleri BT Güvenlik Gereksinimleri 36 Kullanıcı adı, Parola, Şifreleme, Anahtarları, Sertifikalar, Kayıtlar Cihazın korumalı odada kullanılması Kriptanaliz Yetkisiz erişim Araya girme SSL ile haberleşme Bilinçli kullanıcı, Fiziksel güvenli ortam Kimlik doğrulması, Yetkilendirme, Şifreli saklama
GÖRÜŞÜLEN KURUMLAR SAĞLIK BAKANLIĞI Bilişim Sistemleri Genel Müdürlüğü (HBYS, AHBS PPs) BİLİM SANAYİ VE TEKNOLOJİ BAKANLIĞI Metroloji ve Standardizasyon Genel Müdürlüğü (Akıllı Sayaçlar PP) Tübitak Bilgem Uekae (Akıllı Kartlar PPs) MALİYE BAKANLIĞI Gelir İdaresi Başkanlığı (IP Tabanlı Yazar Kasa PP) ÇEVRE VE ŞEHİRCİLİK BAKANLIĞI Coğrafi Bilgi Sistemleri Genel Müdürlüğü (CBS PP) BAŞBAKANLIK Devlet Arşivleri Genel Müdürlüğü (EBYS PP) SGK
2013 YENİ AR-GE PROJELERİ ve ULUSAL KORUMA PROFİLİ HAVUZU 1. Güvenli E-Ticaret Belgelendirmesi* 2. Güvenli HBYS (Hastane Bilgi Yönetim Sistemleri)* Belgelendirmesi 3. Güvenli EBYS Belgelendirmesi* 4. Kart Erişim Cihazları ( KEC) ve EKDS Belgelendirmesi 5. Güvenli Coğrafi Bilgi Sistemleri ( CBS ) Belgelendirmesi* 6. Akıllı Sayaçlar Güvenliği Belgelendirmesi* 7. Site Certification ( Ortak Kriterler Ürün Yaşam Döngüsü Belgesi) TÜM BT ÜRÜNLERİ İÇİN
2013 YENİ AR-GE PROJELERİ ve ULUSAL KORUMA PROFİLİ HAVUZU 8) 1 st Level Security Certification (Bilişim Teknolojileri Ürünleri Temel Seviye Güvenlik Belgelendirmesi-TÜM BT ÜRÜNLERİ İÇİN) 9) E-Kimlik Koruma Profili* 10) GEM Koruma Profili* 11) Mobile ID Koruma Profili* 12) Secure IC Koruma Profili* 13) Embedded OS Koruma Profili* 14) IP Tabanlı Yazar Kasa Belgelendirmesi
2013 YENİ AR-GE PROJELERİ ve ULUSAL KORUMA PROFİLİ HAVUZU 15)Yazılım Geliştiriciler ve Testçiler için Kriterlerin Belirlenmesi* 16) Qweb-Web Sitelerinin Belgelendirmesi 17) Cloud Computing Belgelendirmesi 18) E-Pasaport Koruma Profili 19) E-İmza Koruma Profili 20) E-Ehliyet Koruma Profili 21) BT ürünleri Açıklıkları Kütüphanesi ve Yazılım Test Laboratuvarı
2013 YENİ AR-GE PROJELERİ ve ULUSAL KORUMA PROFİLİ HAVUZU 22) Sızma Testleri Kriterleri 23) SSL kriterleri 24) Penetrasyon Testi Yapan Firmalar ve Personellerin Belgelendirmesi 25) Biyometrik Ürünler için Koruma Profili 26) Web Servisleri Koruma Profili 27) Web Uygulamaları Koruma Profili
YAZILIM TEST LABORATUVARI Yazılım Fonksiyonel Testleri Yazılım Performans Testleri Yazılım Güvenlik-Sızma Testleri Siyah Kutu Testleri Beyaz Kutu Testleri ISO/IEC 27001 Sızma Testleri
ULUSAL SİBER GÜVENLİK STRATEJİSİ VE 2013-2014 EYLEM PLANI MADDE 12/a 12. Siber güvenlik konusunda ürünlerin ve hizmet sağlayıcıların akredite edilmesi Bilgi sistemlerinin güvenlik testlerini yapan, siber güvenlik konusunda eğitim ve danışmanlık veren, siber güvenlik konusunda belirlenecek diğer alanlarda hizmet sunan gerçek ve tüzel kişilerde bulunması gereken asgari özelliklerin belirlenmesi ve belgelendirme sürecinin tasarlanması Eylül 2013 - Ulaştırma, Denizcilik ve Haberleşme Bakanlığı (İ) - TURKAK (İ) - TÜBİTAK (İ) - TSE (İ)
ULUSAL SİBER GÜVENLİK STRATEJİSİ VE 2013-2014 EYLEM PLANI MADDE 10 - Yazılım güvenliği ile ilgili eğitimlerin hazırlanması ve yazılım geliştiricilere Aralık 2013 verilmeye başlanması 10 Yazılım Güvenliği Programının Yürütülmesi - Kritik altyapılar için geliştirilen yazılımlar için güvenli yazılım geliştirme temel kurallarının yayımlanması - Kritik altyapılar için geliştirilen yazılımların güvenlik değerlendirmeleri için ilgili kurumların Aralık 2013 TÜBİTAK (S) Ulaştırma, Denizcilik ve Haberleşme Bakanlığı (İ) TSE (İ) bünyesinde gerekli teknik altyapının Mart 2014 kurulmasına yönelik fizibilitenin hazırlanarak Siber Güvenlik Kuruluna sunulması Siber Güvenlik
45 TEŞEKKÜR EDERİM Mariye Umay AKKAYA TSE Yazılım Test ve Belgelendirme Dairesi Başkan V. uakkaya@tse.org.tr, bilisim@tse.org.tr ; cc@tse.org.tr http://bilisim.tse.org.tr