Çarşamba, Nisan 02, 2014

Common Criteria (ISO/IEC 15408)

Tanımı

Bilgi Teknolojisi (BT) ürünlerine ve sistemlerine güvenlik (confidentiality), güvenilirlik (availability) ve bütünlük (integrity) kapsamında fonksiyonel ve sızma testleri uygulayan ve test sonucuna göre ürünün veya sistemin güvenlik, güvenilirlik ve bütünlük kapsamında ISO 15408 metodolojisine göre garanti seviyesini belirleyen uluslararası test standardıdır.

 

Özetle: TS ISO/IEC 15408 serisi BT ürünlerinin güvenliği için değerlendirme kriterleri sertifikasıdır

 

Ortak Kriterler Garanti Seviyeleri

Ortak Kriterler Garanti Seviyeleri EAL, Evaluation Assurance Level (Değerlendirme Garanti Seviyesi) olarak adlandırılan 7 seviye (EAL 1-7) bulunmaktadır. EAL 7 seviyesi en yüksek garanti düzeyi, EAL 1 seviyesi en düşük garanti düzeyidir. Üst seviye garanti düzeyleri, alt seviye garanti düzeylerini kapsamaktadır.

 

İlgili Taraflar

  • Geliştiriciler (Either vendor itself or document provider)
  • Sponsorlar (Vendor)
  • Değerlendiriciler (Değerlendirme Lab)
  • Onaylayıcılar (Onay Makamı)

 

Common Criteria (Ortak Kriterler) Bölümleri

 

Common Criteria (Ortak Kriterler) Kanıtları

CC Değerlendirmesi esnasında bazı kanıtların değerlendiricilere sunulması gerekmektedir. Bu kanıtlardan bazıları şunlardır :

  • Mimari ve Tasarım Dokümanları
  • Konfigürasyon Yönetimi Dokümanları
  • Fonksiyonel Testler

 

Değerlendirme Teminat Seviyeleri (EALs) ve Sınıflar

CC , EAL1 den EAL7 ye kadar teminat seviyesine sahiptir. Bu seviyeler değerlendirilmiş bir ürüne hangi seviyede güvenilebileceğini ifade eder. CC sınıfları değerlendirme alanlarıdır. Bunlar :

  • Geliştirme (ADV)
  • Kullanım Kılavuzları (AGD)
  • Yaşam Döngüsü Desteği (ALC)
  • Güvenlik Hedefi Değerlendirmesi (ASE)
  • Testler (ATE)

 

Ortak Kriterler Standardı Ne Yapar? 

  • Tasarım sürecini sorgular.
  • Teslim & kurulum sürecini sorgular.
  • Tasarım dokümanlarının içerik yeterliliğini sorgular.
  • Kaynak kodu sorgular.
  • Kılavuz dokümanları sorgular.
  • Yaşam döngüsü modelini sorgular.
  • Geliştirme araçlarını sorgular.
  • Geliştirme ortamının güvenliğini sorgular.
  • TEST DOKÜMANLARINI SORGULAR(Fonksiyonel, Bağımsız ve Sızma Testleri).
  • Ürün Geliştiriciyi, Üründeki ve Sistemdeki olası GÜVENLİK ZAYIFLIKLARINI minimuma düşürecek bir METODOLOJİYE uymaya ZORLAR.
  • Özetle, BT ürününün yeterli bir geliştirme ortamında gerçeklenip gerçeklenmediğini kontrol eder, var olan tehditleri analiz eder, Fonksiyonel, Bağımsız ve Sızma testleri (Açıklık Ana çalışması) yapar ve ürüne uygun garanti seviyesini verir.

 

Ortak Kriterlerde çok Genel Kavramlar:

  • TOE (Target of Evaluation): Değerlendirme Hedefi
  • ST (Security Target): Güvenlik Hedefi, TOE güvenlik iddialarının belirtildiği dokümandır.
  • PP (Protection Profile): Koruma Profili, CC standardına uygun olarak yazılmış Teknik Şartnamelerdir. ST ler için şablon dokümanlardır.

 

Ortak Kriterler (Güvenlik Teknikleri BT Ürün Güvenliği için Değerlendirme Kriterleri-TS ISO/IEC

15408) Standardı 3 ana bölümden oluşmaktadır:

 

  • TS ISO/IEC 15408-1 Bölüm 1: Giriş ve Genel Model
    • Ortak kriterlere giriş niteliğindedir. 
    • BT güvenlik değerlendirmelerinin temel konsept ve prensiplerini tanımlar
    • Genel bir değerlendirme modeli sunar. 
    • BT güvenlik hedeflerinin oluşturulması, BT güvenlik gereksinimlerinin seçilmesi ve tanımlanması, ve ürünlerin veya sistemlerin üst düzey spesifikasyonlarının yazılması konularını içerir. 
    • Standardın tüm bölümlerinin bütün potansiyel kullanıcılar için nasıl kullanılacağı bu bölümde tanımlanmaktadır. 

 

  • TS ISO/IEC 15408-1 Bölüm 2: Güvenlik Fonksiyonel Gereksinimleri
    • Değerlendirme hedefinin(TOE) güvenlik fonksiyonel gereksinimlerinin(SFR)tanımlanması için güvenlik fonksiyonel bileşenleri listelenir. 
    • Standardın bu bölümü fonksiyonel bileşenlerini, ailelerini ve sınıflarını kataloglar halinde tanımlamaktadır:

 

Güvenlik Fonksiyonel Gereksinimleri (SFR):

  • FAU: Security audit (Güvenlik denetimi)
  • FCO: Communication (İletişim)
  • FCS: Cryptographic support (Kriptografi desteği)
  • FDP: User data protection (Kullanıcı verilerinin korunması)
  • FIA:  Identification and authentication (Tanıma ve kimlik doğrulama)
  • FMT: Security management (Güvenlik yönetimi)
  • FPR: Privacy (Gizlilik)
  • FPT: Protection of the TSF (TSF' nin korunması)
  • FRU: Resource utilisation (Kaynak kullanımı)
  • FTA: TOE access (TOE erişimi)
  • FTP: Trusted path/channels (Güvenilir yollar/kanallar)  

 

  • Bölüm 3, Güvenlik Garanti Gereksinimleri (SAR), Güvenlik garanti bileşenleri kümesi bu  bölümde listelenmektedir. Bu bölüm aynı zamanda Koruma Profillerinin(PP) ve Güvenlik Hedeflerinin (ST) değerlendirme kriterlerini ve değerlendirme garanti seviyelerini oluşturan garanti bileşenlerini de içermektedir. 
    • ADV: Development (Geliştirme)
    • AGD: Guidance documents (Kılavuz Dokümanları)
    • ALC: Life cycle support (Yaşam döngüsü desteği)
    • ASE: Security Target (Güvenlik Hedefi)
    • ATE: Tests (Testler)
    • AVA: Vulnerability assessment (Açıklık değerlendirmesi)

 

Ortak Kriterler tanımlanmış, garanti seviyesi gittikçe artan ve Değerlendirme Garanti Seviyesi (EAL) olarak bilinen 7 adet garanti paketi sağlamaktadır. Bu 7 garanti seviyesi: 

 

EAL1: Bu seviye ürünün veya sistemin doğru çalıştığına dair güvenin yeterli olduğu ve güvenlik tehditlerinin ciddi olmadığı durumlarda kullanılmaktadır.(Fonksiyonel test)

 

EAL2: Ürün geliştirici tasarım bilgilerini ve test sonuçlarını değerlendirme laboratuvarına iletmelidir. EAL2 değerlendirmesi, müşteriler veya ürün geliştiriciler, düşük ve orta düzey seviye arasında bir güvenlik gereksinimi duyuyorlar ise ve ürünün geliştirme dokümanlarının tamamına ulaşamıyorlar ise uygulanmaktadır. (Yapısal Test) (Black box)

 

EAL3: EAL3 seviyesinde standart, ürün geliştiriciye tasarım sırasında maksimum garanti sağlayabilmesi için yöntemler önermektedir. EAL3 değerlendirmesi üreticinin test sonuçlarının seçilerek onaylanması ve bilinen açıklıkların üretici tarafından incelendiğinin kanıtlanmasını içeren gri kutu testleri (grey box testing) ile desteklenmektedir. Ayrıca geliştirme ortamı kontrolleri ve ürünün konfigürasyon yönetimi delilleri değerlendirmeler için gerekmektedir. (metodik test ve kontrol)

 

EAL4: EAL4 seviyesi ticari ürün geliştirme yöntemlerinden maksimum garanti sağlayabilmek için ürün geliştiricilere yöntemler önermektedir. EAL4 var olan ürün geliştirme altyapısını değiştirmeden ulaşılabilecek en yüksek garanti seviyesidir. EAL4 değerlendirmesi ürünün alt düzey tasarımı ve uygulamanın alt kümelerinin analizi ile de desteklenen bir süreçtir. Yapılan testler bağımsız açıklık analizleri ile desteklenir. Geliştirme kontrolleri yaşam döngüsü desteği, tanımlama teknik ve araçları, ve otomatik konfigürasyon yönetimi ile güçlendirilir. (metodik dizayn, test ve kontrol)

 

EAL5: EAL5 seviyesi, özel güvenlik tekniklerinin orta düzeyde uygulanması ile desteklenen, ticari ürün geliştirme yöntemlerinden maksimum garanti sağlayabilmek için ürün geliştiricilere yöntemler önermektedir. Bu seviyeye aday bir ürün seviyenin gerektirdiği garantiyi sağlayabilecek bir şekilde tasarlanmalı ve geliştirilmelidir. Bu seviye ürün geliştiricileri ve müşteriler yüksek seviyede güvenlik ve bağımsız bir garanti ihtiyacı duyduklarında kullanılmaktadır. (semiformal dizayn ve test)

 

EAL6: EAL6 seviyesi yüksek değerdeki varlıkları korumakta olan ürünler için yüksek garanti seviyesi sağlayan güvenlik teknikleri önermektedir. (semiformal doğrulanmış dizayn ve test)

 

EAL7: EAL7 seviyesi son derece yüksek risk durumlarında veya korunan varlıkların bu seviyenin getireceği maliyeti karşılayabileceği durumlarda uygulanabilmektedir. (formal doğrulanmış dizayn ve test) (white box)

 

Ürün Kategorileri,

  • Erişim kontrol cihaz ve sistemleri
  • Sınır koruma cihaz ve sistemleri
  • Veri tabanları
  • Veri koruma
  • Tespit cihaz ve sistemleri
  • Akıllı kartlar(kredi kartları, atm kartları, cep telefonları sim kartları, doğalgaz ön ödemeli sayaç kartları, elektrik-su ön ödemeli sayaç kartları, elektronik alışveriş kartları, kimlik kartları vb.)
  • Anahtar yönetimi cihaz ve sistemleri
  • Ağ iletişimi ile ilgili cihazlar
  • İşletim sistemleri

Hiç yorum yok: