Ana içeriğe atla

Common Criteria (ISO/IEC 15408)

Tanımı

Bilgi Teknolojisi (BT) ürünlerine ve sistemlerine güvenlik (confidentiality), güvenilirlik (availability) ve bütünlük (integrity) kapsamında fonksiyonel ve sızma testleri uygulayan ve test sonucuna göre ürünün veya sistemin güvenlik, güvenilirlik ve bütünlük kapsamında ISO 15408 metodolojisine göre garanti seviyesini belirleyen uluslararası test standardıdır.

 

Özetle: TS ISO/IEC 15408 serisi BT ürünlerinin güvenliği için değerlendirme kriterleri sertifikasıdır

 

Ortak Kriterler Garanti Seviyeleri

Ortak Kriterler Garanti Seviyeleri EAL, Evaluation Assurance Level (Değerlendirme Garanti Seviyesi) olarak adlandırılan 7 seviye (EAL 1-7) bulunmaktadır. EAL 7 seviyesi en yüksek garanti düzeyi, EAL 1 seviyesi en düşük garanti düzeyidir. Üst seviye garanti düzeyleri, alt seviye garanti düzeylerini kapsamaktadır.

 

İlgili Taraflar

  • Geliştiriciler (Either vendor itself or document provider)
  • Sponsorlar (Vendor)
  • Değerlendiriciler (Değerlendirme Lab)
  • Onaylayıcılar (Onay Makamı)

 

Common Criteria (Ortak Kriterler) Bölümleri

 

Common Criteria (Ortak Kriterler) Kanıtları

CC Değerlendirmesi esnasında bazı kanıtların değerlendiricilere sunulması gerekmektedir. Bu kanıtlardan bazıları şunlardır :

  • Mimari ve Tasarım Dokümanları
  • Konfigürasyon Yönetimi Dokümanları
  • Fonksiyonel Testler

 

Değerlendirme Teminat Seviyeleri (EALs) ve Sınıflar

CC , EAL1 den EAL7 ye kadar teminat seviyesine sahiptir. Bu seviyeler değerlendirilmiş bir ürüne hangi seviyede güvenilebileceğini ifade eder. CC sınıfları değerlendirme alanlarıdır. Bunlar :

  • Geliştirme (ADV)
  • Kullanım Kılavuzları (AGD)
  • Yaşam Döngüsü Desteği (ALC)
  • Güvenlik Hedefi Değerlendirmesi (ASE)
  • Testler (ATE)

 

Ortak Kriterler Standardı Ne Yapar? 

  • Tasarım sürecini sorgular.
  • Teslim & kurulum sürecini sorgular.
  • Tasarım dokümanlarının içerik yeterliliğini sorgular.
  • Kaynak kodu sorgular.
  • Kılavuz dokümanları sorgular.
  • Yaşam döngüsü modelini sorgular.
  • Geliştirme araçlarını sorgular.
  • Geliştirme ortamının güvenliğini sorgular.
  • TEST DOKÜMANLARINI SORGULAR(Fonksiyonel, Bağımsız ve Sızma Testleri).
  • Ürün Geliştiriciyi, Üründeki ve Sistemdeki olası GÜVENLİK ZAYIFLIKLARINI minimuma düşürecek bir METODOLOJİYE uymaya ZORLAR.
  • Özetle, BT ürününün yeterli bir geliştirme ortamında gerçeklenip gerçeklenmediğini kontrol eder, var olan tehditleri analiz eder, Fonksiyonel, Bağımsız ve Sızma testleri (Açıklık Ana çalışması) yapar ve ürüne uygun garanti seviyesini verir.

 

Ortak Kriterlerde çok Genel Kavramlar:

  • TOE (Target of Evaluation): Değerlendirme Hedefi
  • ST (Security Target): Güvenlik Hedefi, TOE güvenlik iddialarının belirtildiği dokümandır.
  • PP (Protection Profile): Koruma Profili, CC standardına uygun olarak yazılmış Teknik Şartnamelerdir. ST ler için şablon dokümanlardır.

 

Ortak Kriterler (Güvenlik Teknikleri BT Ürün Güvenliği için Değerlendirme Kriterleri-TS ISO/IEC

15408) Standardı 3 ana bölümden oluşmaktadır:

 

  • TS ISO/IEC 15408-1 Bölüm 1: Giriş ve Genel Model
    • Ortak kriterlere giriş niteliğindedir. 
    • BT güvenlik değerlendirmelerinin temel konsept ve prensiplerini tanımlar
    • Genel bir değerlendirme modeli sunar. 
    • BT güvenlik hedeflerinin oluşturulması, BT güvenlik gereksinimlerinin seçilmesi ve tanımlanması, ve ürünlerin veya sistemlerin üst düzey spesifikasyonlarının yazılması konularını içerir. 
    • Standardın tüm bölümlerinin bütün potansiyel kullanıcılar için nasıl kullanılacağı bu bölümde tanımlanmaktadır. 

 

  • TS ISO/IEC 15408-1 Bölüm 2: Güvenlik Fonksiyonel Gereksinimleri
    • Değerlendirme hedefinin(TOE) güvenlik fonksiyonel gereksinimlerinin(SFR)tanımlanması için güvenlik fonksiyonel bileşenleri listelenir. 
    • Standardın bu bölümü fonksiyonel bileşenlerini, ailelerini ve sınıflarını kataloglar halinde tanımlamaktadır:

 

Güvenlik Fonksiyonel Gereksinimleri (SFR):

  • FAU: Security audit (Güvenlik denetimi)
  • FCO: Communication (İletişim)
  • FCS: Cryptographic support (Kriptografi desteği)
  • FDP: User data protection (Kullanıcı verilerinin korunması)
  • FIA:  Identification and authentication (Tanıma ve kimlik doğrulama)
  • FMT: Security management (Güvenlik yönetimi)
  • FPR: Privacy (Gizlilik)
  • FPT: Protection of the TSF (TSF' nin korunması)
  • FRU: Resource utilisation (Kaynak kullanımı)
  • FTA: TOE access (TOE erişimi)
  • FTP: Trusted path/channels (Güvenilir yollar/kanallar)  

 

  • Bölüm 3, Güvenlik Garanti Gereksinimleri (SAR), Güvenlik garanti bileşenleri kümesi bu  bölümde listelenmektedir. Bu bölüm aynı zamanda Koruma Profillerinin(PP) ve Güvenlik Hedeflerinin (ST) değerlendirme kriterlerini ve değerlendirme garanti seviyelerini oluşturan garanti bileşenlerini de içermektedir. 
    • ADV: Development (Geliştirme)
    • AGD: Guidance documents (Kılavuz Dokümanları)
    • ALC: Life cycle support (Yaşam döngüsü desteği)
    • ASE: Security Target (Güvenlik Hedefi)
    • ATE: Tests (Testler)
    • AVA: Vulnerability assessment (Açıklık değerlendirmesi)

 

Ortak Kriterler tanımlanmış, garanti seviyesi gittikçe artan ve Değerlendirme Garanti Seviyesi (EAL) olarak bilinen 7 adet garanti paketi sağlamaktadır. Bu 7 garanti seviyesi: 

 

EAL1: Bu seviye ürünün veya sistemin doğru çalıştığına dair güvenin yeterli olduğu ve güvenlik tehditlerinin ciddi olmadığı durumlarda kullanılmaktadır.(Fonksiyonel test)

 

EAL2: Ürün geliştirici tasarım bilgilerini ve test sonuçlarını değerlendirme laboratuvarına iletmelidir. EAL2 değerlendirmesi, müşteriler veya ürün geliştiriciler, düşük ve orta düzey seviye arasında bir güvenlik gereksinimi duyuyorlar ise ve ürünün geliştirme dokümanlarının tamamına ulaşamıyorlar ise uygulanmaktadır. (Yapısal Test) (Black box)

 

EAL3: EAL3 seviyesinde standart, ürün geliştiriciye tasarım sırasında maksimum garanti sağlayabilmesi için yöntemler önermektedir. EAL3 değerlendirmesi üreticinin test sonuçlarının seçilerek onaylanması ve bilinen açıklıkların üretici tarafından incelendiğinin kanıtlanmasını içeren gri kutu testleri (grey box testing) ile desteklenmektedir. Ayrıca geliştirme ortamı kontrolleri ve ürünün konfigürasyon yönetimi delilleri değerlendirmeler için gerekmektedir. (metodik test ve kontrol)

 

EAL4: EAL4 seviyesi ticari ürün geliştirme yöntemlerinden maksimum garanti sağlayabilmek için ürün geliştiricilere yöntemler önermektedir. EAL4 var olan ürün geliştirme altyapısını değiştirmeden ulaşılabilecek en yüksek garanti seviyesidir. EAL4 değerlendirmesi ürünün alt düzey tasarımı ve uygulamanın alt kümelerinin analizi ile de desteklenen bir süreçtir. Yapılan testler bağımsız açıklık analizleri ile desteklenir. Geliştirme kontrolleri yaşam döngüsü desteği, tanımlama teknik ve araçları, ve otomatik konfigürasyon yönetimi ile güçlendirilir. (metodik dizayn, test ve kontrol)

 

EAL5: EAL5 seviyesi, özel güvenlik tekniklerinin orta düzeyde uygulanması ile desteklenen, ticari ürün geliştirme yöntemlerinden maksimum garanti sağlayabilmek için ürün geliştiricilere yöntemler önermektedir. Bu seviyeye aday bir ürün seviyenin gerektirdiği garantiyi sağlayabilecek bir şekilde tasarlanmalı ve geliştirilmelidir. Bu seviye ürün geliştiricileri ve müşteriler yüksek seviyede güvenlik ve bağımsız bir garanti ihtiyacı duyduklarında kullanılmaktadır. (semiformal dizayn ve test)

 

EAL6: EAL6 seviyesi yüksek değerdeki varlıkları korumakta olan ürünler için yüksek garanti seviyesi sağlayan güvenlik teknikleri önermektedir. (semiformal doğrulanmış dizayn ve test)

 

EAL7: EAL7 seviyesi son derece yüksek risk durumlarında veya korunan varlıkların bu seviyenin getireceği maliyeti karşılayabileceği durumlarda uygulanabilmektedir. (formal doğrulanmış dizayn ve test) (white box)

 

Ürün Kategorileri,

  • Erişim kontrol cihaz ve sistemleri
  • Sınır koruma cihaz ve sistemleri
  • Veri tabanları
  • Veri koruma
  • Tespit cihaz ve sistemleri
  • Akıllı kartlar(kredi kartları, atm kartları, cep telefonları sim kartları, doğalgaz ön ödemeli sayaç kartları, elektrik-su ön ödemeli sayaç kartları, elektronik alışveriş kartları, kimlik kartları vb.)
  • Anahtar yönetimi cihaz ve sistemleri
  • Ağ iletişimi ile ilgili cihazlar
  • İşletim sistemleri

Yorumlar

Bu blogdaki popüler yayınlar

Olasılıksız - Kitap Yorum

Olasılıksız hayatımda okuduğum en iyi kitaptı. Tek çırpıda hiç sıkılmadan, eğlenerek okudum bu kitabı, tavsiyem sizinde okumanız.Kitabın kapağı ve içeriği ile ilgili kısa bilgi aşağıdadır.Olasılık, tahmin, düşünceler, nöbetler, karışıklıklar, ileriyi görebilme zannı, dejavu ve tabii ki olasılıksız şeyler. Bu kelimelerle içli dışlı olabileceğiniz, bütün bu kelimelerin yaşamdaki yerini kavrayabileceğiniz müthiş bir uyarlama.Adam Fawer' ın ortaya çıkardığı bu uyarlama romanın müthiş bir çalışmanın ve araştırmanın sonucu ortaya çıktığının kitabın başından sonuna kadar farkındasınız. Bu uyarlamasını, derin araştırmalarıyla birleştirip romanı tekdüzelikten çıkarıp müthiş bir yere koyduğu için de Fawer' a müteşekkir oluveriyorsunuz. Sıkıcı diye nitelendirebileceğiniz teorik bilgileri bile bir çırpıda okuyuveriyorsunuz. Teorik bilgiler dahi olaylarla sonuna kadar bağlantılı aktarılmış. Tekdüzelikten çıkmış bir roman; olasılıksız. Her an olayın kurgusunun değişmesi olasılık dahilinde. …

.Net 3.5 SP1 – Full Install Packages (Tam Kurulum)

.Net Framework 3.5 SP1 ‘i bilgisayarınıza kurmak istediğinizde normal şartlar altında Microsoft ‘un sitesinde 2.7 mb ‘lik bir dosya indirir ve kurulum işlemlerinizi bu dosya üzerinden yaparsınız. Ancak bu indirmiş oluğunuz dosya yaklaşık 220 mb ‘lik veriyi internetten indirerek kurulum yapmaktadır. İnternet çıkışına izin verilmeyen kurumlar ve kuruluşlar için bu durum bir sıkıntı oluşturmaktadır. Bu sebepten ötürü aşağıdaki link yardımı ile tam yükleme paketini indirdikten sonra hiç internet ihtiyacınız olmadan .Net 3.5 SP1 ‘i kurabilmeniz mümkün olacaktır.Link

Çoklu Dil Desteği – Veri Tabanı Tasarım Örnekleri ile

Zaman içerisinde karşımıza çok farklı projeler gelebilmektedir. Ancak bu projeler içerisinde özellikle de global ölçekli ya da bu ölçekte uygulama geliştiren firmalarda bazı temel gereksinimler sürekli olarak karşımıza çıkabilmektedir. Bu gereksinimlerden biri ve belki de en önemlisi olan çoklu dil desteğinin veri tabanı (DB) katmanında nasıl yapıldığını kısa ve hızlıca inceliyor olacağız.Öncelikle çoklu dil desteği dediğimizde aklımıza gelen ilk çözüm yolu *.resx dosyalarını kullanmak gelmektedir. Ancak bu uzaktan yönetilen ya da anlık olarak metin değişikliği gereksinimi bulunan uygulamalarda bazı ufak problemler çıkartabilmektedir.Ne gibi problemler derseniz; iki grupta inceleyebiliriz. Web projeleri ve windows üzerinde çalışan projeler.Web projelerinde IIS üzerinde yer alan bir *.resx dosyasını değiştirdiğinizde son kullanıcı tarafında etkisi hemen görülmeyebilir. Cache mekanizmaları sebebiyle ortalama 15-30 dakika arasında bir görüntüleme süre farkı ile karşılaşabiliriz. Faha köt…