TÜRK STANDARDLARI ENSTİTÜSÜ BİLİŞİM TEKNOLOJİLERİ BELGELENDİRMELERİ Mariye Umay AKKAYA TÜRK STANDARDLARI ENSTİTÜSÜ Bilişim Teknolojileri Belgelendirme Müdürlüğü 13 Kasım 2012- Ankara 1
GÜNDEM TSE-Bilişim Teknolojisi Belgelendirmeleri CBS ve Güvenlik-PP Bilgi Güvenliğine Giriş Ortak Kriterler Tarihçesi (Dünyada ve Türkiye`,de) Ortak Kriterlere taraf Ülkeler Ortak Kriterler Nedir, Ne Sağlar? Dünya İstatistiği Ürünlerimiz, Son Durum
TSE-BİLİŞİM TEKNOLOJİLERİ BELGELENDİRMELERİ TS 13298 ELEKTRONİK BELGE YÖNETİMİ, ISO 25051- YAZILIM PAKETLERİ SERTİFİKASYONLARI 3
26 ülkede geçerli-bt Ürün Güvenliği- Ortak Kriterler Sertifikasyonu 4
Kripto Algoritma ve Modül Sertifikasyonları 5
YAZILIM SÜREÇLERİ SERTİFİKASYONLARI-SPICE 6
TSE -BİLGİ TEKNOLOJİSİ BELGELENDİRMELERİ ORTAK KRİTERLER (Bilgi Teknolojisi Ürünleri Güvenliği Belgelendirmesi) SPICE (Yazılım Süreç Belgelendirmesi) BİLİŞİM TEKNOLOJİSİ (Yazılım Belgelendirmesi) 12207-15288-Yazılım Süreç Değ. Uygunluğu KRİPTO MODÜLLERİ BELGELENDİRMESİ
BİLGİ TEKNOLOJİLERİ ve GÜVENLİĞİ BELGELENDİRMELERİ ORTAK KRİTERLER: TS ISO/IEC 15408 serisi BT ürünlerinin güvenliği için değerlendirme kriterleri (Ortak Kriterler) SPICE: TS ISO 15504-SPICE Yazılım Süreç Değerlendirilmesi (CMMI planlanmakta) BİLİŞİM TEKNOLOJİSİ: TS 13298 Elektronik Belge Yönetimi TS ISO/IEC 25051Yazılım Paketleri Belgelendirmesi TS ISO 9241-151 Web Sayfalarının Belgelendirmesi UYGUNLUK DEĞERLENDİRMESİ: TS ISO/IEC 12207 Yazılım Yaşam Döngüsü TS ISO/IEC 15288 Sistem Yaşam Döngüsü KRİPTO MODÜL BELGELENDİRMESİ: TS ISO/IEC 19790, TS ISO/IEC 24759 8
VERDİĞİMİZ SERTİFİKA TÜRLERİ
Onaylı CC Laboratuarlarımız Ömmm Ayrıca 3 adet Başvuruda CC Laboratuarı mevcuttur: APPLUS LGAI (İspanya) BEAM TEKNOLOJİ (Türkiye) CYGNACOM (Amerika) 10
Taşeron BT Laboratuarlarımız Ayrıca 2 adet Başvuruda BT Laboratuarı mevcuttur: Birlikte Çalışabilirlik Laboratuarı (TÜBİTAK) ODTÜ İBE Laboratuarı
COĞRAFİ BİLGİ SİSTEMLERİ
CBS-KAVRAMLAR Bilgi: Verinin İşlenmiş Hali Sistem: Ortak bir amaç için etkileşimli faaliyetlerin ve varlıkların oluşturduğu bir gruptur. Bilgi Sistemi: Bilginin toplanıp işlenmesi ve kullanır hale dönüştürülmesini sağlayan sistemdir. Coğrafi Bilgi: Yeryüzü üzerindeki doğal ve yapay detaylara ilişkin, belli bir referans sistemindeki konum koordinatları ile ifade edilen mekânsal(grafik) veriler ve bunlara ait tanımsal(öznitelik) verilerden oluşur. Coğrafi Bilgi Sistemi: Her türlü coğrafi referanslı bilginin etkin olarak elde edilmesi, depolanması, güncellenmesi, kullanılması, analizi ve görüntülenmesi için bilgisayar donanımı, yazılımı, personel ve yöntemlerin organize olarak bir araya toplanmasıdır.
CBS Coğrafi Bilgi Sistemi (CBS) : Dünya üzerindeki karmaşık sosyal, ekonomik, çevresel vb. sorunların çözümüne yönelik mekana/konuma dayalı karar verme süreçlerinde kullanıcılara yardımcı olmak üzere, büyük hacimli coğrafi verilerin; toplanması, depolanması, işlenmesi, yönetimi, mekansal analizi, sorgulaması ve sunulması fonksiyonlarını yerine getiren donanım, yazılım, personel, coğrafi veri ve yöntem bütünüdür.
CBS uygulamaları Kent Bilgi Sistemi, Orman Bilgi Sistemi, Karayolları Bilgi Sistemi, Arazi Bilgi Sistemi, Tapu ve Kadastro Bilgi Sistemi, Lojistik Bilgi Sistemi, İç Güvenlik Bilgi Sistemi, Araç İzleme Bilgi Sistemi,
CBS uygulamaları Kampüs Bilgi Sistemi, Deprem Bilgi Sistemi, Harita Bilgi Sistemi, Trafik Bilgi Sistemi, vb.
Coğrafi Bilgi Sistemleri Adımları CBS için harcanan zaman, emek ve maliyetin; %80 ini veri toplama %15 ini veri depolama, işleme ve analiz %5 ini veri sunuşu kaplamaktadır.
CBS NEDEN POPÜLER? Bilgisayar teknolojisinde yeni gelişmelere olan yüksek ilgi CBS nin coğrafi bilgiye verdiği ileri teknoloji hissi Oldukça çarpıcı ve etkileyici olan haritaların artık bilgisayar ortamında olması Bilgisayar maliyetlerinin düşmesi, buna karşın hız ve kapasitenin artması CBS nin, bilgisayar uzmanı olması gerekmeyen geniş kitlelerce kullanılabiliyor olması CBS nin çevreyi anlamak ve yönetmek için önemli bir araç olduğunun anlaşılması
CBS nin YAYGIN KULLANIM ALANLARI Belediyeler Mühendislik Uygulamaları Ormancılık Tarım, arazi kullanımı ve rekolte tahmini Çevre Hidroloji, su kirliliği Jeoloji Ulaşım, navigasyon sistemleri Planlama Arkeoloji Askeri uygulamalar vs.
CBS ve INTERNET Günümüzde teknolojinin ulaştığı son nokta, CBS nin internet ortamına taşınmasına imkan sağlamaktadır. İnternet üzerinden CBS uygulamalarında, CBS teknolojisi coğrafi sorgulama ve analiz imkanı sağlarken, internet de bu bilgiye zamandan ve mekandan bağımsız olarak ulaşma ve bilgiyi kullanma imkanı sunmaktadır. İnternet üzerinden coğrafi verinin dağıtımı çeşitli şekillerde yapılmaktadır: Download edilebilir ham veri Statik haritalar Dinamik web tarayıcıları Gelişmiş sorgulama ve analiz imkanı veren sistemler
Sayısal Coğrafi Bilgi Standartları Neler ISO 191XX Terminoloji Standardı- İçermeli? Veri Yapısı ve Veri Modeli Standardı Sınıflandırma Standardı Duyarlılık Standardı Geometri Standardı Gösterim Standardı Veri Kalitesi Standardı Birim ve Referans Standardı Değişim Ortamı Standardı Değişim Formatı Standardı Yazılım Güvenlik Testi Standardı ISO 15408-COMMON CRITERIA
ISO 19101 19117 ISO 19100 ler ISO 19113: Kalite İlkeleri ISO 19114:Kalite Değerlendirme Raporu ISO 19115: Metaveri ISO19119:Coğrafik Bilgi-Servisler
BİLGİ GÜVENLİĞİ
İnternet Kullanıcı Sayısı İnternet e bağlanan kullanıcı sayısı (Milyon) Her Yüz hanedeki Internet Kullanıcısı 26 International Telecommunication Union / ICT Statistics http://www.itu.int/itu-d/ict/statistics/index.html
27 Bilgi Sistemleri - Günümüzde
28 Geleceğin Hackerları
İnternetten Kaynaklanan Tehditler Yüksek SALDIRI ETKİ DÜZEYİ SALDIRGAN BİLGİ DÜZEYİ Düşük 1980 1985 1990 1995 2000 2005 2010.. 29 Saldırıların etki derecesi artarken, giderek daha bilgisiz kimseler tarafından gerçekleştirildikleri görülmektedir.
Hedefli Ataklar (İran - Stuxnet) Temmuz 2010 da keşfedilmiştir. 4 tane o güne kadar bilinmeyen açıklık (zero-day) kullanılmıştır. SCADA sistemlerine zarar veriyor (SIEMENS PCS7) USB aracılığı ile kapalı ağa bulaşmıştır. 30
Siber Saldırılar Çin in dünyanın herhangi bir yerine, herhangi bir zamanda sayısal operasyon yapabilecek niyeti ve kabiliyeti bulunmaktadır. Çin in sayısal savaş teknikleri ABD nin karşı koyamayacağı hatta fark edemeyeceği kadar karmaşık ve ileri düzeydedir. 31
ISO/IEC 15408-COMMON CRITERIA BT Ürün Güvenliği Ortak Kriterler Standardı 32
TS ISO/IEC 15408-Ortak Kriterler-COMMON CRITERIA BİLİŞİM TEKNOLOJİSİ ÜRÜNLERİ İÇİN GELİŞTİRİLMİŞ GÜVENLİK DEĞERLENDİRME STANDARDIDIR. Geliştiriciyi, Üründeki ve Sistemdeki olası GÜVENLİK ZAYIFLIKLARINI minimuma düşürecek bir METODOLOJİYE uymaya ZORLAR. 33
Ortak Kriterler Standardı : Genel Bilgiler ve Kavramlar Tüketici (Consumer) BİLİNÇLİ Ürün geliştirici (Developer) Değerlendirici (Evaluator) Sertifikasyon Makamı 34
Ortak Kriterler Standardı Tarihçesi? Ortak Kriterler bilgi teknolojileri ürünlerinin güvenlik seviyelerinin tespit edilmesi ve bağımsız laboratuarlarda test edilebilmesi için geliştirilmiş olan, temelini TCSEC ve ITSEC standartlarından alan ve Uluslararası Standartlar Organizasyonu'nun (ISO) 1999 yılında Uluslararası Bilgi Teknolojileri Güvenlik Değerlendirme Standardı olarak kabul ettiği (ISO 15408) güvenlik standardıdır. TURKISH STANDARDS INSTITUTION CCCS 35
Ortak Kriterler Standardı (ISO) TURKISH STANDARDS INSTITUTION CCCS 36
CC DÜNYA TARİHÇESİ 37
SERTİFİKA ÜRETİCİLİĞİ & MÜŞTERİLİĞİ CCRA: Arrangement on the Recognition of Common Criteria Certificates of IT Security SERTİFİKA ÜRETİCİLERİ SERTİFİKA MÜŞTERM TERİLERİ 1. TürkiyeT rkiye- 2 (3 aday) 1. Avusturya 2. Almanya - 12 2. Çek Cumhuriyeti 3. Amerika 9 3. Danimarka 4. İtalya - 6 4. Finlandiya 5. Fransa 5 5. Yunanistan 6. Güney G Kore 5 6. Macaristan 7. Japonya 4 7. Hindistan 8. Norveç - 4 8.İsrail. 9. İngiltere 3 9. Singapur 10. Kanada 3 10. Pakistan 11. Avustralya ve Yeni Zelanda 3 12. İspanya - 3 ADAY: Çin 13. İsveç - 2 14. Hollanda 1 15. Malezya-2 38
Onaylı CC Laboratuarlarımız Ömmm Ayrıca 3 adet Başvuruda CC Laboratuarı mevcuttur: APPLUS LGAI (İspanya) BEAM TEKNOLOJİ (Türkiye) CYGNACOM (Amerika) 39
TÜRKİYE`DE ORTAK KRİTERLER TSE-ORTAK KRİTERLER BELGELENDİRME SİSTEMİ (OKBS) 1/3 Türk Standardları Enstitüsü Türkiyenin milli çok kapsamlı standardizasyon ve sertifikasyon kuruluşudur ve birçok konuda ulusal ve uluslar arası akreditasyona sahiptir. KYS (ISO 9001), BGYS (ISO 27001), Ürün Belgelendirme (ISO 45011) vs. TSE`de bu uluslar arası akreditasyon konularında belgelendirme yapılmaktadır. Türk Ortak Kriterler Belgelendirme Sistemi Tarihçesi ve Başarı Adımları 40
TSE OKBS TARİHÇESİ 2/3 Türkiye`de Ortak Kriterler programı ilk defa 2001 yılında Genel Kurmay Başkanlığı(TGS) tarafından Türk Silahlı Kuvvetleri için başlatıldı. Türkiye nin belgelendirme kuruluşu olarak TSE, 2003 yılında CCRA ya imzaladığı anlaşma ile Sertifika Müşterisi olarak üye olmuştur. Türkiye`de ilk Kamu Ortak Kriterler Değerlendirme Laboratuarı 2003 te TUBİTAK UEKAE bünyesinde Ortak Kriterler Test Merkezi(OKTEM) adı altında bağımsız olarak çalışmalarına başladı. 41
TSE OKBS TARİHÇESİ 3/3 Ortak Kriterler Belgelendirme Sistemi(OKBS) 2005 yılında TSE Ürün Belgelendirme Merkezi altında kuruldu. TSE, 2008 yılında CCRA da yapılan düzenleme gereğince Sertifika Üreten Ülke Authorizing Country olmak için başvuruda bulundu. 12-16 Nisan 2010 tarihleri arasında TSE OKBS, CCRA tarafından yapılan Uluslar arası Tetkikten (Shadow Assesment) Başarı ile geçti. 17 Kasım 2010 tarihinde Türkiye`nin Sertifika Üreten Ülke Authorizing Country olarak resmi duyurusu yapıldı. 42
TÜRKİYE- SERTİFİKA ÜRETİCİSİ TÜRKİYE 17 KASIM 2010`DA ORTAK KRİTERLER KAPSAMINDA SERTİFİKA ÜRETEN ÜLKE OLDU. DÜNYADA 15 ÜLKE ARASINA GİRDİ. SERTİFİKALANAN ÜRÜNLER ULUSLAR ARASI TANINIR GÜVENLİ ÜRÜN OLDU. 43
DEĞERLENDİRME ve BELGELENDİRME PROSESLERİ- TARAFLAR TURKISH STANDARDS INSTITUTION CCCS 44
OKBS- OKDL ve Üretici arasındaki hiyerarşi şekildeki gibidir. Ortak Kriterler Belgelendirme Sistemi (OKBS) üretici/sponsor ve Ortak Kriterler Test Laboratuarları arasındaki koordinasyonu sağlar. TSE OKBS; TÜRKAK`tan TS EN ISO/IEC 17025 akreditasyonu almış ve TSE`ye başvurmuş Ortak Kriterler laboratuarlarını (OKDL) lisanslar. 45
Ortak Kriterler Nedir? TS ISO/IEC 15408 BİLİŞİM TEKNOLOJİSİ ÜRÜNLERİ İÇİN GELİŞTİRİLMİŞ GÜVENLİK DEĞERLENDİRME STANDARDIDIR. ISO/IEC 15408 ve ISO/IEC 18045 STANDARTLARIDIR. 46
Ortak Kriterler Standardı Ürün İçin. GİZLİLİK(Confidentiality) BÜTÜNLÜK(Integrity) KULLANILABİLİRLİK(Availability) kontrollerini gerçekleştirir. 47
Ortak Kriterler Standardı Ne Yapar? TASARIM SÜRECİNİ SORGULAR. TESLİM & KURULUM SÜRECİNİ SORGULAR. TASARIM DOKÜMANLARININ İÇERİK YETERLİLİĞİNİ SORGULAR. KAYNAK KODU SORGULAR. KILAVUZ DOKÜMANLARI SORGULAR. YAŞAM DÖNGÜSÜ MODELİNİ SORGULAR. GELİŞTİRME ARAÇLARINI SORGULAR. GELİŞTİRME ORTAMININ GÜVENLİĞİNİ SORGULAR. TEST DOKÜMANLARINI SORGULAR(Fonksiyonel, Bağımsız ve Sızma Testleri). 48
TS ISO/IEC 15408-Ortak Kriterler Ne Sağlar? Özetle, BT ürününün yeterli bir geliştirme ortamında gerçeklenip gerçeklenmediğini kontrol eder, var olan tehditleri analiz eder, Fonksiyonel, Bağımsız ve Sızma testleri (Açıklık Analizi çalışması) yapar ve ürüne uygun garanti seviyesini verir. 7 Güvenlik Seviyesi vardır. (EAL) 49
BT-Ortak Kriterlerde 14 Ürün Grubu: (Yazılım ve/veya donanım) - Erişim Kontrol Cihazları ve Sistemleri - Biometrik Sistemler ve Cihazlar - Sınır Koruma Cihazları ve Sistemleri - Veri Koruma - Veritabanları - Tespit Cihazları ve Sistemleri - Akıllı Kartlar-Entegre Devre - Akıllı Kart İşletim Sistemleri - Akıllı Kart Okuyucuları - Anahtar Yönetim Sistemleri - Ağ ve Ağla ilgili Cihazlar ve Sistemler -İşletim Sistemleri - Sayısal İmzalı Ürünler - Güvenilir Hesaplama HER BİR ÜRÜN GRUBU AYRI UZMANLIK GEREKTİRMEKTE, BU SEBEPLE ÜNİVERSİTELERDEN ve GENELKURMAY`dan TOPLAM 22 DIŞ İNCELEME UZMANI HAVUZU OLUŞTURULMUŞTUR. 50
Ortak Kriterlerde Bazı Ürün Gruplarımız
Ortak Kriterler tanımlanmış, garanti seviyesi gittikçe artan ve Değerlendirme Garanti Seviyesi (EAL) olarak bilinen 7 adet Güvenlik Seviyesi (garanti paketi)sağlamaktadır: EAL 1 EAL 2 EAL 3 EAL 4 EAL 5 EAL 6 EAL 7 ORTAK KRİTERLER GÜVENLİK SEVİYELERİ 7 Garanti Seviyesi 52
EAL PAKETLERİ ARASI FARKLAR GELİŞTİRME FAZI TEMELLİ: YÜKSEK KALİTE EAL7: EAL6: EAL5: EAL4: EAL3: EAL2: EAL1: DÜŞÜK KALİTE TASNİF DIŞI 53
EAL PAKETLERİ ARASI FARKLAR DEĞERLENDİRME FAZI TEMELLİ: WHITE BOX TEST EAL7: EAL6: EAL5: EAL4: EAL3: EAL2: EAL1: BLACK BOX TEST TASNİF DIŞI 54
İŞLETİM FAZI TEMELLİ: EAL PAKETLERİ ARASI FARKLAR YÜKSEK ATAK POTANSİYELİ, WHITE BOX TEST, YÜKSEK KALİTE EAL7: HIGH EAL6: HIGH EAL5: MODERATE EAL4: ENHANCED BASIC EAL3: BASIC EAL2: BASIC EAL1: BASIC DÜŞÜK ATAK POTANSİYELİ, BLACK BOX TEST, DÜŞÜK KALİTE 55
Ortak Kriterler Değerlendirme Seviyeleri ve Süreleri EAL1: 2-3 ay EAL2: 3-4 ay EAL3: 4-5 ay EAL4: 6-7 ay EAL5: 8-10 ay 56
EAL Seviyelerine göre BT Ürünleri (1997-2012)
BT Ürün Kategorilerine Göre (1997-2012) Toplam = 1672
EAL Seviyelerine göre PP ler (1997-2012)
Kategorilerine Göre PP Dağılımı (1997-2012) Toplam = 221
ORTAK KRİTERLER-BELGELENDİRİLEN ÜRÜNLER Ürün geliştirici Ürün Adı Ürün Tanımı Garanti Seviyesi Laboratuvar EGA PKI E-İmza Kök Sertifikası Yazılımı LABRİS LABRIS Güvenlik Ağ Geçidi Yönetim Merkezi Yazılımı Güvenlik Ağ Geçidi Yönetim Merkezi Yazılımı EAL 3+ EAL 4+ TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TUBİTAK BİLGEM UEKAE AKİS Pasaport V1.0 Akıllı Kart işletim sistemi EAL4+ TÜBİTAK BİLGEM OKTEM TUBİTAK BİLGEM UEKAE ESYA v1.0 PKI EAL4+ TÜBİTAK BİLGEM OKTEM
ORTAK KRİTERLER-BELGELENDİRİLEN ÜRÜNLER Ürün geliştirici Ürün Adı Ürün Tanımı Garanti Seviyesi TUBİTAK BİLGEM UEKAE TUBİTAK BİLGEM UEKAE TUBİTAK BİLGEM UEKAE TAMARA AKİS Pasaport V1.4 N N AKİS V1.2.2 I AKİS V1.2.1 USBK Cryptobridge v2.0 Model A101 and Model A103 Akıllı Kart işletim sistemi temassız, ICAO 9303 uyumlu Akıllı kart işletim sistemi Akıllı kart işletim sistemi Veri Koruma Ürünü EAL4+ EAL4+ EAL4+ EAL 2 Laboratuvar TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM
ORTAK KRİTERLER-BELGELENDİRİLEN ÜRÜNLER Ürün geliştirici Ürün Adı Ürün Tanımı Garanti Seviyesi TUBİTAK BİLGEM UEKAE TUBİTAK BİLGEM UEKAE TUBİTAK BİLGEM UEKAE TUBİTAK BİLGEM UEKAE KKEC v1.41.06a UKTÜM UKT23T64H v4.0 KEC_F PP UKİS V1.2.2 Akıllı Kart Erişim Cihazı Akıllı kart tüm devresi Akıllı Kart Erişim Cihazı Gömülü Yazılımı Koruma Profili Ulusal Akıllı Kart işletim sistemi ve eid, PKI Uygulamaları EAL4+ EAL5+ EAL4+ EAL4+ ASELSAN AŞ. VAG v1.0.6 EAL 4+ Laboratuvar TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM EPOCHE & ESPRİ
ORTAK KRİTERLER-DEĞERLENDİRMESİ DEVAM EDEN ÜRÜNLER Ürün geliştirici Ürün Adı Ürün Tanımı Garanti Seviyesi UEKAE Atik Hardware TUBİTAK Serisi HSM HSM Security Module BİLGEM UEKAE Flow Control Flow Control EAL 4+ Firmware v2.0 Firmware TUBİTAK BİLGEM UEKAE TUBİTAK BİLGEM UEKAE UKTÜM UKT23T64H v.5.0 UKTÜM UKT23T64S v1.0 Kontaklı Akıllı kart tüm devresi Kontaklı Akıllı kart tüm devresi EAL5+ EAL5+ Laboratuvar TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TUBİTAK BİLGEM UEKAE AKiS v1.4i Pasaport Akıllı Kart İşletim Sistemi- (komposit değ.) EAL 4+ TÜBİTAK BİLGEM OKTEM
Ürün geliştirici Ürün Adı LABRIS Ürün Tanımı Güvenlik Ağ Garanti Seviyesi Güvenlik Ağ Geçidi Yönetim Labris Tek. Geçidi Yönetim Merkezi Bilişim Ltd. Şti. Merkezi Yazılımı EAL 4+ Yazılımı SİSOFT Sağlık Bilgi Sistemleri ORTAK KRİTERLER-DEĞERLENDİRMESİ DEVAM EDEN ÜRÜNLER TUBİTAK BİLGEM UEKAE TUBİTAK BİLGEM UEKAE NETSAFE Sisocare (Sisohbys) v2.0 AKİS V 2.2 I AKİS V 2.2 N NetSafe Management Software Sisoft HBYS EAL 2 Akıllı kart işletim sistemi- (komposit değ.) Akıllı kart işletim sistemi- (komposit değ.) EAL4+ EAL4+ EAL 4+ Laboratuvar BEAM TEKNOLOJİ TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM TÜBİTAK BİLGEM OKTEM BEAM TEKNOLOJİ
EAL Seviyelerine Göre Yüzdeler Page 66
Ürün Gruplarına göre Yüzdeler Page 67
12 ürün sertifikalandırılmış, OKBS 2012-SON DURUM 1 PP sertifikalı, 1 PP başvuruda (IP tabanlı yazar Kasa) 9 ürün değerlendirmede 4 PP geliştirilmekte. Sertifika üreten ülkelerin değerlendirip, sertifikalandırdığı ürünler Uluslar arası geçerli Güvenli BT Ürünü olmakta ve www.commoncriteriaportal.org adresinde yayınlanmaktadırlar. 2 adet Lisanslı CC lab. mevcut. 3 adet Aday CC lab. 68
Genel Kavramlar (1/3) TOE (Target of Evaluation): Değerlendirme Hedefi-(Ürün) ST (Security Target): Güvenlik Hedefi, TOE güvenlik iddialarının belirtildiği dokümandır. PP (Protection Profile): Koruma Profili, CC standardına uygun olarak yazılmış Teknik Şartnamelerdir. ST ler için şablon dokümanlardır. CPP (Colloborative PP)-ZORUNLU OLACAK 69
KORUMA) PROFİLİ (PROTECTION PROFILE, PP CC dilinde yazılmış teknik şartnamelerdir. Tüketici tarafından hazırlanır. Genel ürün ailesini tanımlar (firewall, akıllı kart, işletim sistemi). Ürünün BT ortamını tanımlar. Varsayımları ve tehditleri tanımlar. 70 Mevcut varsayımlar altında var olan tehditleri karşılamak için güvenlik gereksinimlerini tanımlar.
PP-Koruma Profili Varlıklar Varsayımlar Tehditler Politikalar Güvenlik Hedefleri Çevre İçin Güvenlik Hedefleri TOE Güvenlik Hedefleri BT Güvenlik Gereksinimleri 71 Kullanıcı adı, Parola, Şifreleme, Anahtarları, Sertifikalar, Kayıtlar Cihazın korumalı odada kullanılması Kriptanaliz Yetkisiz erişim Araya girme SSL ile haberleşme Bilinçli kullanıcı, Fiziksel güvenli ortam Kimlik doğrulması, Yetkilendirme, Şifreli saklama
COLLOBORATIVE PROTECTION PROFILES-CPP ler DÜNYADA ORTAK KORUMA PROFİLLERİ HAZIRLANACAK VE ÜLKELERDE ZORUNLU HALE GETİRİLECEK BUNLARDAN BİRİ DE «SMART METERS» EAL 2 düzeyinde
ST-Güvenlik Hedefi Varlıklar Varsayımlar Tehditler Politikalar Güvenlik Hedefleri Çevre İçin Güvenlik Hedefleri TOE Güvenlik Hedefleri BT Güvenlik Gereksinimleri TSF 73
Ortak Kriterler Değerlendirme Seviyeleri-Test Süreleri EAL1: 2-3 ay EAL2: 3-4 ay EAL3: 4-5 ay EAL4: 6-7 ay EAL5: 8-10 ay 74
ORTAK KRİTERLER LABORATUARI OLMAK İÇİN ISO/IEC 17015 AKREDİTASYONU ŞARTTIR. 75
Üretici-OKDL-OKBS
TEŞEKKÜR EDERİM Mariye Umay AKKAYA TSE-Bilişim Teknolojileri Belgelendirme Müdürü uakkaya@tse.org.tr, bilisim@tse.org.tr ; cc@tse.org.tr http://bilisim.tse.org.tr 77