Tanımı
Bilgi Teknolojisi (BT) ürünlerine ve sistemlerine güvenlik (confidentiality), güvenilirlik (availability) ve bütünlük (integrity) kapsamında fonksiyonel ve sızma testleri uygulayan ve test sonucuna göre ürünün veya sistemin güvenlik, güvenilirlik ve bütünlük kapsamında ISO 15408 metodolojisine göre garanti seviyesini belirleyen uluslararası test standardıdır.
Özetle: TS ISO/IEC 15408 serisi BT ürünlerinin güvenliği için değerlendirme kriterleri sertifikasıdır
Ortak Kriterler Garanti Seviyeleri
Ortak Kriterler Garanti Seviyeleri EAL, Evaluation Assurance Level (Değerlendirme Garanti Seviyesi) olarak adlandırılan 7 seviye (EAL 1-7) bulunmaktadır. EAL 7 seviyesi en yüksek garanti düzeyi, EAL 1 seviyesi en düşük garanti düzeyidir. Üst seviye garanti düzeyleri, alt seviye garanti düzeylerini kapsamaktadır.
Ä°lgili Taraflar
- GeliÅŸtiriciler (Either vendor itself or document provider)
- Sponsorlar (Vendor)
- DeÄŸerlendiriciler (DeÄŸerlendirme Lab)
- Onaylayıcılar (Onay Makamı)
Common Criteria (Ortak Kriterler) Bölümleri
- Bölüm I – GiriÅŸ ve Genel Model
- Bölüm II – Güvenlik Ä°ÅŸlevsel BileÅŸenleri
- Bölüm III – Güvenlik Teminat BileÅŸenleri
- CEM – Ortak DeÄŸerlendirme Metodolojisi
Common Criteria (Ortak Kriterler) Kanıtları
CC Değerlendirmesi esnasında bazı kanıtların değerlendiricilere sunulması gerekmektedir. Bu kanıtlardan bazıları şunlardır :
- Mimari ve Tasarım Dokümanları
- Konfigürasyon Yönetimi Dokümanları
- Fonksiyonel Testler
Değerlendirme Teminat Seviyeleri (EALs) ve Sınıflar
CC , EAL1 den EAL7 ye kadar teminat seviyesine sahiptir. Bu seviyeler değerlendirilmiş bir ürüne hangi seviyede güvenilebileceğini ifade eder. CC sınıfları değerlendirme alanlarıdır. Bunlar :
- GeliÅŸtirme (ADV)
- Kullanım Kılavuzları (AGD)
- Yaşam Döngüsü Desteği (ALC)
- Güvenlik Hedefi Değerlendirmesi (ASE)
- Testler (ATE)
Ortak Kriterler Standardı Ne Yapar?
- Tasarım sürecini sorgular.
- Teslim & kurulum sürecini sorgular.
- Tasarım dokümanlarının içerik yeterliliğini sorgular.
- Kaynak kodu sorgular.
- Kılavuz dokümanları sorgular.
- Yaşam döngüsü modelini sorgular.
- Geliştirme araçlarını sorgular.
- Geliştirme ortamının güvenliğini sorgular.
- TEST DOKÜMANLARINI SORGULAR(Fonksiyonel, Bağımsız ve Sızma Testleri).
- Ürün Geliştiriciyi, Üründeki ve Sistemdeki olası GÜVENLİK ZAYIFLIKLARINI minimuma düşürecek bir METODOLOJİYE uymaya ZORLAR.
- Özetle, BT ürününün yeterli bir geliştirme ortamında gerçeklenip gerçeklenmediğini kontrol eder, var olan tehditleri analiz eder, Fonksiyonel, Bağımsız ve Sızma testleri (Açıklık Ana çalışması) yapar ve ürüne uygun garanti seviyesini verir.
Ortak Kriterlerde çok Genel Kavramlar:
- TOE (Target of Evaluation): DeÄŸerlendirme Hedefi
- ST (Security Target): Güvenlik Hedefi, TOE güvenlik iddialarının belirtildiği dokümandır.
- PP (Protection Profile): Koruma Profili, CC standardına uygun olarak yazılmış Teknik Şartnamelerdir. ST ler için şablon dokümanlardır.
Ortak Kriterler (Güvenlik Teknikleri BT Ürün Güvenliği için Değerlendirme Kriterleri-TS ISO/IEC
15408) Standardı 3 ana bölümden oluşmaktadır:
- TS ISO/IEC 15408-1 Bölüm 1: Giriş ve Genel Model
- Ortak kriterlere giriÅŸ niteliÄŸindedir.
- BT güvenlik değerlendirmelerinin temel konsept ve prensiplerini tanımlar
- Genel bir deÄŸerlendirme modeli sunar.
- BT güvenlik hedeflerinin oluşturulması, BT güvenlik gereksinimlerinin seçilmesi ve tanımlanması, ve ürünlerin veya sistemlerin üst düzey spesifikasyonlarının yazılması konularını içerir.
- Standardın tüm bölümlerinin bütün potansiyel kullanıcılar için nasıl kullanılacağı bu bölümde tanımlanmaktadır.
- TS ISO/IEC 15408-1 Bölüm 2: Güvenlik Fonksiyonel Gereksinimleri
- Değerlendirme hedefinin(TOE) güvenlik fonksiyonel gereksinimlerinin(SFR)tanımlanması için güvenlik fonksiyonel bileşenleri listelenir.
- Standardın bu bölümü fonksiyonel bileşenlerini, ailelerini ve sınıflarını kataloglar halinde tanımlamaktadır:
Güvenlik Fonksiyonel Gereksinimleri (SFR):
- FAU: Security audit (Güvenlik denetimi)
- FCO: Communication (Ä°letiÅŸim)
- FCS: Cryptographic support (Kriptografi desteÄŸi)
- FDP: User data protection (Kullanıcı verilerinin korunması)
- FIA: Identification and authentication (Tanıma ve kimlik doğrulama)
- FMT: Security management (Güvenlik yönetimi)
- FPR: Privacy (Gizlilik)
- FPT: Protection of the TSF (TSF' nin korunması)
- FRU: Resource utilisation (Kaynak kullanımı)
- FTA: TOE access (TOE eriÅŸimi)
- FTP: Trusted path/channels (Güvenilir yollar/kanallar)
- Bölüm 3, Güvenlik Garanti Gereksinimleri (SAR), Güvenlik garanti bileşenleri kümesi bu bölümde listelenmektedir. Bu bölüm aynı zamanda Koruma Profillerinin(PP) ve Güvenlik Hedeflerinin (ST) değerlendirme kriterlerini ve değerlendirme garanti seviyelerini oluşturan garanti bileşenlerini de içermektedir.
- ADV: Development (GeliÅŸtirme)
- AGD: Guidance documents (Kılavuz Dokümanları)
- ALC: Life cycle support (Yaşam döngüsü desteği)
- ASE: Security Target (Güvenlik Hedefi)
- ATE: Tests (Testler)
- AVA: Vulnerability assessment (Açıklık değerlendirmesi)
Ortak Kriterler tanımlanmış, garanti seviyesi gittikçe artan ve Değerlendirme Garanti Seviyesi (EAL) olarak bilinen 7 adet garanti paketi sağlamaktadır. Bu 7 garanti seviyesi:
EAL1: Bu seviye ürünün veya sistemin doğru çalıştığına dair güvenin yeterli olduğu ve güvenlik tehditlerinin ciddi olmadığı durumlarda kullanılmaktadır.(Fonksiyonel test)
EAL2: Ürün geliştirici tasarım bilgilerini ve test sonuçlarını değerlendirme laboratuvarına iletmelidir. EAL2 değerlendirmesi, müşteriler veya ürün geliştiriciler, düşük ve orta düzey seviye arasında bir güvenlik gereksinimi duyuyorlar ise ve ürünün geliştirme dokümanlarının tamamına ulaşamıyorlar ise uygulanmaktadır. (Yapısal Test) (Black box)
EAL3: EAL3 seviyesinde standart, ürün geliştiriciye tasarım sırasında maksimum garanti sağlayabilmesi için yöntemler önermektedir. EAL3 değerlendirmesi üreticinin test sonuçlarının seçilerek onaylanması ve bilinen açıklıkların üretici tarafından incelendiğinin kanıtlanmasını içeren gri kutu testleri (grey box testing) ile desteklenmektedir. Ayrıca geliştirme ortamı kontrolleri ve ürünün konfigürasyon yönetimi delilleri değerlendirmeler için gerekmektedir. (metodik test ve kontrol)
EAL4: EAL4 seviyesi ticari ürün geliştirme yöntemlerinden maksimum garanti sağlayabilmek için ürün geliştiricilere yöntemler önermektedir. EAL4 var olan ürün geliştirme altyapısını değiştirmeden ulaşılabilecek en yüksek garanti seviyesidir. EAL4 değerlendirmesi ürünün alt düzey tasarımı ve uygulamanın alt kümelerinin analizi ile de desteklenen bir süreçtir. Yapılan testler bağımsız açıklık analizleri ile desteklenir. Geliştirme kontrolleri yaşam döngüsü desteği, tanımlama teknik ve araçları, ve otomatik konfigürasyon yönetimi ile güçlendirilir. (metodik dizayn, test ve kontrol)
EAL5: EAL5 seviyesi, özel güvenlik tekniklerinin orta düzeyde uygulanması ile desteklenen, ticari ürün geliştirme yöntemlerinden maksimum garanti sağlayabilmek için ürün geliştiricilere yöntemler önermektedir. Bu seviyeye aday bir ürün seviyenin gerektirdiği garantiyi sağlayabilecek bir şekilde tasarlanmalı ve geliştirilmelidir. Bu seviye ürün geliştiricileri ve müşteriler yüksek seviyede güvenlik ve bağımsız bir garanti ihtiyacı duyduklarında kullanılmaktadır. (semiformal dizayn ve test)
EAL6: EAL6 seviyesi yüksek değerdeki varlıkları korumakta olan ürünler için yüksek garanti seviyesi sağlayan güvenlik teknikleri önermektedir. (semiformal doğrulanmış dizayn ve test)
EAL7: EAL7 seviyesi son derece yüksek risk durumlarında veya korunan varlıkların bu seviyenin getireceği maliyeti karşılayabileceği durumlarda uygulanabilmektedir. (formal doğrulanmış dizayn ve test) (white box)
Ürün Kategorileri,
- EriÅŸim kontrol cihaz ve sistemleri
- Sınır koruma cihaz ve sistemleri
- Veri tabanları
- Veri koruma
- Tespit cihaz ve sistemleri
- Akıllı kartlar(kredi kartları, atm kartları, cep telefonları sim kartları, doğalgaz ön ödemeli sayaç kartları, elektrik-su ön ödemeli sayaç kartları, elektronik alışveriş kartları, kimlik kartları vb.)
- Anahtar yönetimi cihaz ve sistemleri
- AÄŸ iletiÅŸimi ile ilgili cihazlar
- Ä°ÅŸletim sistemleri
0 Yorumlar