Post on 18-Mar-2021
TÜRK STANDARDLARI ENSTİTÜSÜBİLİŞİM TEKNOLOJİLERİ BELGELENDİRMELERİ
1
Mariye Umay AKKAYA
TÜRK STANDARDLARI ENSTİTÜSÜBilişim Teknolojileri Belgelendirme Müdürlüğü
13 Kasım 2012- Ankara
GÜNDEM• TSE-Bilişim Teknolojisi Belgelendirmeleri• CBS ve Güvenlik-PP• Bilgi Güvenliğine Giriş• Ortak Kriterler Tarihçesi (Dünyada ve
Türkiye`,de)• Ortak Kriterlere taraf Ülkeler• Ortak Kriterler Nedir, Ne Sağlar?• Dünya İstatistiği• Ürünlerimiz , Son Durum
TSE-BİLİŞİM TEKNOLOJİLERİ BELGELENDİRMELERİTS 13298 ELEKTRONİK BELGE YÖNETİMİ, ISO 25051-
YAZILIM PAKETLERİ SERTİFİKASYONLARI
3
26 ülkede geçerli-BT Ürün Güvenliği-Ortak Kriterler Sertifikasyonu
4
Kripto Algoritma ve Modül Sertifikasyonları
5
YAZILIM SÜREÇLERİSERTİFİKASYONLARI-SPICE
6
TSE -BİLGİ TEKNOLOJİSİBELGELENDİRMELERİ
• ORTAK KRİTERLER (Bilgi Teknolojisi Ürünleri Güvenliği Belgelendirmesi)
• SPICE (Yazılım Süreç Belgelendirmesi)• BİLİŞİM TEKNOLOJİSİ (Yazılım
Belgelendirmesi)• 12207-15288-Yazılım Süreç Değ. Uygunluğu• KRİPTO MODÜLLERİ BELGELENDİRMESİ
BİLGİ TEKNOLOJİLERİ ve GÜVENLİĞİ BELGELENDİRMELERİ
ORTAK KRİTERLER:• TS ISO/IEC 15408 serisi BT ürünlerinin güvenliği için
değerlendirme kriterleri (Ortak Kriterler)SPICE:• TS ISO 15504-SPICE Yazılım Süreç Değerlendirilmesi (CMMI
planlanmakta)BİLİŞİM TEKNOLOJİSİ:• TS 13298 Elektronik Belge Yönetimi• TS ISO/IEC 25051Yazılım Paketleri Belgelendirmesi• TS ISO 9241-151 Web Sayfalarının BelgelendirmesiUYGUNLUK DEĞERLENDİRMESİ:• TS ISO/IEC 12207 Yazılım Yaşam Döngüsü• TS ISO/IEC 15288 Sistem Yaşam DöngüsüKRİPTO MODÜL BELGELENDİRMESİ:• TS ISO/IEC 19790, TS ISO/IEC 24759
8
VERDİĞİMİZ SERTİFİKA TÜRLERİ
Onaylı CC Laboratuarlarımız
10
• Ömmm
Ayrıca 3 adet Başvuruda CC Laboratuarı mevcuttur:• APPLUS LGAI (İspanya)• BEAM TEKNOLOJİ (Türkiye)• CYGNACOM (Amerika)
Taşeron BT Laboratuarlarımız
Ayrıca 2 adet Başvuruda BT Laboratuarı mevcuttur: • Birlikte Çalışabilirlik Laboratuarı (TÜBİTAK)• ODTÜ İBE Laboratuarı
COĞRAFİ BİLGİ SİSTEMLERİ
CBS-KAVRAMLARBilgi: Verinin İşlenmiş HaliSistem: Ortak bir amaç için etkileşimli faaliyetlerin ve varlıkların oluşturduğu bir gruptur.Bilgi Sistemi: Bilginin toplanıp işlenmesi ve kullanır hale dönüştürülmesini sağlayan sistemdir.Coğrafi Bilgi: Yeryüzü üzerindeki doğal ve yapay detaylara ilişkin, belli bir referans sistemindeki konum koordinatları ile ifade edilen mekânsal(grafik) veriler ve bunlara ait tanımsal(öznitelik) verilerden oluşur.Coğrafi Bilgi Sistemi: Her türlü coğrafi referanslı bilginin etkin olarak elde edilmesi, depolanması, güncellenmesi, kullanılması, analizi ve görüntülenmesi için bilgisayar donanımı, yazılımı, personel ve yöntemlerin organize olarak bir araya toplanmasıdır.
CBS
• Coğrafi Bilgi Sistemi (CBS) : Dünya üzerindeki karmaşık sosyal, ekonomik, çevresel vb. sorunların çözümüne yönelik mekana/konuma dayalı karar verme süreçlerinde kullanıcılara yardımcı olmak üzere, büyük hacimli coğrafiverilerin; toplanması, depolanması, işlenmesi, yönetimi, mekansal analizi, sorgulaması ve sunulması fonksiyonlarınıyerine getiren donanım, yazılım, personel, coğrafi veri ve yöntem bütünüdür.
CBS uygulamaları• Kent Bilgi Sistemi, • Orman Bilgi Sistemi, • Karayolları Bilgi Sistemi, • Arazi Bilgi Sistemi, • Tapu ve Kadastro Bilgi Sistemi, • Lojistik Bilgi Sistemi, • İç Güvenlik Bilgi Sistemi, • Araç İzleme Bilgi Sistemi,
CBS uygulamaları
• Kampüs Bilgi Sistemi, • Deprem Bilgi Sistemi, • Harita Bilgi Sistemi, • Trafik Bilgi Sistemi, • vb.
Coğrafi Bilgi Sistemleri Adımları
• CBS için harcanan zaman, emek ve maliyetin;• %80’ini veri toplama• %15’ini veri depolama, işleme ve analiz• %5’ini veri sunuşu kaplamaktadır.
CBS NEDEN POPÜLER?
• Bilgisayar teknolojisinde yeni gelişmelere olan yüksek ilgi • CBS’nin coğrafi bilgiye verdiği ileri teknoloji hissi• Oldukça çarpıcı ve etkileyici olan haritaların artık bilgisayar
ortamında olması• Bilgisayar maliyetlerinin düşmesi, buna karşın hız ve
kapasitenin artması• CBS’nin, bilgisayar uzmanı olması gerekmeyen geniş kitlelerce
kullanılabiliyor olması• CBS’nin çevreyi anlamak ve yönetmek için önemli bir araç
olduğunun anlaşılması
CBS’nin YAYGIN KULLANIM ALANLARI
• Belediyeler• Mühendislik Uygulamaları• Ormancılık• Tarım, arazi kullanımı ve rekolte tahmini• Çevre• Hidroloji, su kirliliği• Jeoloji• Ulaşım, navigasyon sistemleri• Planlama• Arkeoloji• Askeri uygulamalar vs.
CBS ve INTERNET• Günümüzde teknolojinin ulaştığı son nokta, CBS’nin internet
ortamına taşınmasına imkan sağlamaktadır. İnternet üzerinden CBS uygulamalarında, CBS teknolojisi coğrafi sorgulama ve analiz imkanı sağlarken, internet de bu bilgiye zamandan ve mekandan bağımsız olarak ulaşma ve bilgiyi kullanma imkanı sunmaktadır.
• İnternet üzerinden coğrafi verinin dağıtımı çeşitli şekillerde yapılmaktadır:
• Download edilebilir ham veri• Statik haritalar• Dinamik web tarayıcıları• Gelişmiş sorgulama ve analiz imkanı veren sistemler
Sayısal Coğrafi Bilgi Standartları Neler İçermeli?
ISO 191XX•Terminoloji Standardı-•Veri Yapısı ve Veri Modeli Standardı•Sınıflandırma Standardı•Duyarlılık Standardı•Geometri Standardı•Gösterim Standardı•Veri Kalitesi Standardı•Birim ve Referans Standardı•Değişim Ortamı Standardı•Değişim Formatı StandardıYazılım Güvenlik Testi Standardı ISO 15408-COMMON CRITERIA
ISO 19101…19117
ISO 19100 ler…
ISO 19113: Kalite İlkeleri
ISO 19114:Kalite Değerlendirme Raporu
ISO 19115: Metaveri
ISO19119:Coğrafik Bilgi-Servisler
BİLGİ GÜVENLİĞİ
İnternet Kullanıcı Sayısı
26
Her
Yüz
han
edek
i Int
erne
t Kul
lanı
cısı
İnte
rnet
’e b
ağla
nan
kulla
nıcı
sayı
sı(M
ilyon
)
International Telecommunication Union / ICT Statistics http://www.itu.int/ITU-D/ict/statistics/index.html
27
Bilgi Sistemleri - Günümüzde
28
Geleceğin Hackerları
29
1980 1985 1990 1995 2000 2005 2010 ……..
Yüksek
İnternetten Kaynaklanan Tehditler
Düşük
SALDIRI ETKİ DÜZEYİ
SALDIRGAN BİLGİ DÜZEYİ
Saldırıların etki derecesi artarken, giderek daha bilgisiz kimseler tarafından gerçekleştirildikleri görülmektedir.
30
Hedefli Ataklar (İran - Stuxnet)• Temmuz 2010’da keşfedilmiştir. • 4 tane o güne kadar bilinmeyen açıklık (zero-day)
kullanılmıştır. • SCADA sistemlerine zarar veriyor (SIEMENS PCS7)• USB aracılığı ile kapalı ağa bulaşmıştır.
31
Siber Saldırılar
Çin’in dünyanın herhangi bir yerine, herhangi bir zamanda sayısal operasyon yapabilecek niyeti ve kabiliyeti bulunmaktadır.
Çin’in sayısal savaş teknikleri ABD’nin karşı koyamayacağı hatta farkedemeyeceği kadar karmaşık ve ileri düzeydedir.
ISO/IEC 15408-COMMON CRITERIA
BT Ürün GüvenliğiOrtak Kriterler Standardı
32
TS ISO/IEC 15408-Ortak Kriterler-COMMON CRITERIA
• BİLİŞİM TEKNOLOJİSİÜRÜNLERİ İÇİN GELİŞTİRİLMİŞ GÜVENLİK DEĞERLENDİRME STANDARDIDIR.
• Geliştiriciyi, Üründeki ve Sistemdeki olası GÜVENLİK ZAYIFLIKLARINI minimuma düşürecek bir METODOLOJİYE uymaya ZORLAR.
33
Ortak Kriterler Standardı : Genel Bilgiler ve Kavramlar
34
• Tüketici(Consumer)
• Ürün geliştirici (Developer)
• Değerlendirici(Evaluator)
BİLİNÇLİ
Sertifikasyon Makamı
• Ortak Kriterler bilgi teknolojileri ürünlerinin güvenlik seviyelerinin tespit edilmesi ve bağımsız laboratuarlarda test edilebilmesi için geliştirilmişolan, temelini TCSEC ve ITSEC standartlarından alan ve Uluslararası Standartlar Organizasyonu'nun (ISO) 1999 yılında Uluslararası Bilgi Teknolojileri Güvenlik Değerlendirme Standardı olarak kabul ettiği (ISO 15408) güvenlik standardıdır.
Ortak Kriterler Standardı Tarihçesi?
TURKISH STANDARDS INSTITUTION CCCS 35
Ortak Kriterler Standardı (ISO)
TURKISH STANDARDS INSTITUTION CCCS 36
37
CC DÜNYA TARİHÇESİ
SERTİFİKA ÜRETİCİLİĞİ & MÜŞTERİLİĞİ
38
SERTSERTİİFFİİKA KA ÜÜRETRETİİCCİİLERLERİİ1. T1. Tüürkiyerkiye-- 2 (3 aday)2 (3 aday)2. Almanya 2. Almanya -- 12123. Amerika 3. Amerika –– 994. 4. İİtalya talya -- 665. Fransa 5. Fransa –– 556. G6. Güüney Kore ney Kore –– 557. Japonya 7. Japonya –– 448. Norve8. Norveçç -- 449. 9. İİngiltere ngiltere –– 3310. Kanada 10. Kanada –– 3311. Avustralya ve Yeni Zelanda 11. Avustralya ve Yeni Zelanda –– 3312. 12. İİspanya spanya -- 3313. 13. İİsvesveçç -- 2 2 14. Hollanda 14. Hollanda –– 1115. Malezya15. Malezya--22
SERTSERTİİFFİİKA MKA MÜÜŞŞTERTERİİLERLERİİ1. Avusturya1. Avusturya2. 2. ÇÇek Cumhuriyetiek Cumhuriyeti3. Danimarka3. Danimarka4. Finlandiya4. Finlandiya5. Yunanistan5. Yunanistan6. Macaristan6. Macaristan7. Hindistan7. Hindistan8 .8 .İİsrailsrail9. Singapur9. Singapur10. Pakistan10. Pakistan
ADAY: ADAY: ÇÇinin
CCRA: Arrangement on the Recognition of Common Criteria Certificates of IT Security
Onaylı CC Laboratuarlarımız
39
• Ömmm
Ayrıca 3 adet Başvuruda CC Laboratuarı mevcuttur:• APPLUS LGAI (İspanya)• BEAM TEKNOLOJİ (Türkiye)• CYGNACOM (Amerika)
• Türk Standardları Enstitüsü Türkiyenin milli çok kapsamlıstandardizasyon ve sertifikasyon kuruluşudur ve birçok konuda ulusal ve uluslar arası akreditasyona sahiptir.
• KYS (ISO 9001), BGYS (ISO 27001), Ürün Belgelendirme (ISO 45011) vs. TSE`de bu uluslar arası akreditasyon konularında belgelendirme yapılmaktadır.
• Türk Ortak Kriterler Belgelendirme Sistemi Tarihçesi ve BaşarıAdımları……
TÜRKİYE`DE ORTAK KRİTERLER TSE-ORTAK KRİTERLER BELGELENDİRME SİSTEMİ
(OKBS) 1/3
40
• Türkiye`de Ortak Kriterler programı ilk defa 2001 yılında Genel Kurmay Başkanlığı(TGS) tarafından Türk Silahlı Kuvvetleri için başlatıldı.
• Türkiye’nin belgelendirme kuruluşu olarak TSE, 2003 yılında CCRA’ya imzaladığı anlaşma ile “Sertifika Müşterisi” olarak üye olmuştur.
• Türkiye`de ilk Kamu Ortak Kriterler Değerlendirme Laboratuarı 2003’te TUBİTAK UEKAE bünyesinde Ortak Kriterler Test Merkezi(OKTEM) adı altında bağımsız olarak çalışmalarına başladı.
TSE OKBS TARİHÇESİ 2/3
41
• Ortak Kriterler Belgelendirme Sistemi(OKBS) 2005 yılında TSE Ürün Belgelendirme Merkezi altında kuruldu.
• TSE, 2008 yılında CCRA’da yapılan düzenleme gereğince “Sertifika Üreten Ülke – Authorizing Country” olmak için başvuruda bulundu.
• 12-16 Nisan 2010 tarihleri arasında TSE OKBS, CCRA tarafından yapılan Uluslar arası Tetkikten (Shadow Assesment) “Başarı” ile geçti.
• 17 Kasım 2010 tarihinde Türkiye`nin “Sertifika Üreten Ülke –Authorizing Country” olarak resmi duyurusu yapıldı.
TSE OKBS TARİHÇESİ 3/3
42
TÜRKİYE- “SERTİFİKA ÜRETİCİSİ”• TÜRKİYE 17 KASIM 2010`DA ORTAK KRİTERLER
KAPSAMINDA “SERTİFİKA ÜRETEN ÜLKE”OLDU.
• DÜNYADA 15 ÜLKE ARASINA GİRDİ.• SERTİFİKALANAN ÜRÜNLER “ULUSLAR ARASI
TANINIR GÜVENLİ ÜRÜN” OLDU.
43
DEĞERLENDİRME ve BELGELENDİRME PROSESLERİ- TARAFLAR
TURKISH STANDARDS INSTITUTION CCCS 44
• OKBS- OKDL ve Üretici arasındaki hiyerarşi şekildeki gibidir.
• Ortak Kriterler Belgelendirme Sistemi (OKBS) üretici/sponsor ve Ortak Kriterler Test Laboratuarları arasındaki koordinasyonu sağlar.
• TSE OKBS; TÜRKAK`tan TS EN ISO/IEC 17025akreditasyonu almış ve TSE`ye başvurmuş Ortak Kriterler laboratuarlarını (OKDL) lisanslar.
45
• BİLİŞİM TEKNOLOJİSİ ÜRÜNLERİ İÇİNGELİŞTİRİLMİŞ GÜVENLİK DEĞERLENDİRME STANDARDIDIR.
• ISO/IEC 15408 ve ISO/IEC 18045 STANDARTLARIDIR.
Ortak Kriterler Nedir?TS ISO/IEC 15408
46
Ortak Kriterler StandardıÜrün İçin….
47
• GİZLİLİK(Confidentiality)
• BÜTÜNLÜK(Integrity)
• KULLANILABİLİRLİK(Availability)
kontrollerini gerçekleştirir.
Ortak Kriterler StandardıNe Yapar?
48
• TASARIM SÜRECİNİ SORGULAR.• TESLİM & KURULUM SÜRECİNİ SORGULAR.• TASARIM DOKÜMANLARININ İÇERİK YETERLİLİĞİNİ
SORGULAR.• KAYNAK KODU SORGULAR.• KILAVUZ DOKÜMANLARI SORGULAR.• YAŞAM DÖNGÜSÜ MODELİNİ SORGULAR.• GELİŞTİRME ARAÇLARINI SORGULAR.• GELİŞTİRME ORTAMININ GÜVENLİĞİNİ SORGULAR.• TEST DOKÜMANLARINI SORGULAR(Fonksiyonel, Bağımsız ve
Sızma Testleri).
TS ISO/IEC 15408-Ortak Kriterler Ne Sağlar?
• Özetle, BT ürününün yeterli bir geliştirme ortamında gerçeklenip gerçeklenmediğini kontrol eder, var olan tehditleri analiz eder, Fonksiyonel, Bağımsız ve Sızma testleri (Açıklık Analizi çalışması) yapar ve ürüne uygun garanti seviyesini verir.
• 7 Güvenlik Seviyesi vardır. (EAL)
49
BT-Ortak Kriterlerde 14 Ürün Grubu:(Yazılım ve/veya donanım)
- Erişim Kontrol Cihazları ve Sistemleri - Biometrik Sistemler ve Cihazlar- Sınır Koruma Cihazları ve Sistemleri- Veri Koruma - Veritabanları- Tespit Cihazları ve Sistemleri- Akıllı Kartlar-Entegre Devre - Akıllı Kart İşletim Sistemleri - Akıllı Kart Okuyucuları- Anahtar Yönetim Sistemleri - Ağ ve Ağla ilgili Cihazlar ve Sistemler-İşletim Sistemleri- Sayısal İmzalı Ürünler - Güvenilir Hesaplama
HER BİR ÜRÜN GRUBU AYRI UZMANLIK GEREKTİRMEKTE, BU SEBEPLE ÜNİVERSİTELERDEN ve GENELKURMAY`dan TOPLAM 22 DIŞ İNCELEME UZMANI HAVUZU OLUŞTURULMUŞTUR.
50
Ortak Kriterlerde Bazı Ürün Gruplarımız
• Ortak Kriterler tanımlanmış, garanti seviyesi gittikçe artan ve Değerlendirme Garanti Seviyesi (EAL) olarak bilinen 7 adet Güvenlik Seviyesi (garanti paketi)sağlamaktadır:
• EAL 1• EAL 2• EAL 3• EAL 4• EAL 5• EAL 6• EAL 7
ORTAK KRİTERLER GÜVENLİK SEVİYELERİ7 Garanti Seviyesi
52
EAL PAKETLERİ ARASI FARKLAR
• EAL7:• EAL6:• EAL5:• EAL4:• EAL3:• EAL2:• EAL1:
53
YÜKSEK KALİTE
GELİŞTİRME FAZI TEMELLİ:
DÜŞÜK KALİTE
TASNİF DIŞI
EAL PAKETLERİ ARASI FARKLAR
• EAL7:• EAL6:• EAL5:• EAL4:• EAL3:• EAL2:• EAL1:
54
WHITE BOX TEST
DEĞERLENDİRME FAZI TEMELLİ:
BLACK BOX TEST
TASNİF DIŞI
EAL PAKETLERİ ARASI FARKLAR
• EAL7: HIGH• EAL6: HIGH• EAL5: MODERATE• EAL4: ENHANCED BASIC• EAL3: BASIC• EAL2: BASIC• EAL1: BASIC
İŞLETİM FAZI TEMELLİ:YÜKSEK ATAK POTANSİYELİ, WHITE BOX TEST, YÜKSEK KALİTE
DÜŞÜK ATAK POTANSİYELİ, BLACK BOX TEST, DÜŞÜK KALİTE
55
Ortak Kriterler Değerlendirme Seviyeleri ve Süreleri• EAL1: 2-3 ay
• EAL2: 3-4 ay
• EAL3: 4-5 ay
• EAL4: 6-7 ay
• EAL5: 8-10 ay
56
EAL Seviyelerine göre BT Ürünleri (1997-2012)
BT Ürün Kategorilerine Göre(1997-2012) Toplam = 1672
EAL Seviyelerine göre PP ler(1997-2012)
Kategorilerine Göre PP Dağılımı (1997-2012)Toplam = 221
ORTAK KRİTERLER-BELGELENDİRİLEN ÜRÜNLER
Ürün geliştirici Ürün Adı Ürün Tanımı Garanti Seviyesi Laboratuvar
EGA PKI E-İmza Kök SertifikasıYazılımı
EAL 3+ TÜBİTAK BİLGEM OKTEM
LABRİS LABRIS Güvenlik AğGeçidi Yönetim Merkezi Yazılımı
Güvenlik AğGeçidi Yönetim Merkezi Yazılımı
EAL 4+ TÜBİTAK BİLGEM OKTEM
TUBİTAK BİLGEM UEKAE
AKİS Pasaport V1.0
Akıllı Kart işletim sistemi EAL4+ TÜBİTAK
BİLGEM OKTEM
TUBİTAK BİLGEM UEKAE ESYA v1.0 PKI EAL4+ TÜBİTAK
BİLGEM OKTEM
Ürün geliştirici Ürün Adı Ürün Tanımı Garanti Seviyesi
Laboratuvar
TUBİTAK BİLGEM UEKAE
AKİS Pasaport V1.4 N
Akıllı Kart işletim sistemi temassız, ICAO 9303 uyumlU
EAL4+ TÜBİTAK BİLGEM OKTEM
TUBİTAK BİLGEM UEKAE AKİS V1.2.2 I
Akıllı kart işletim sistemi EAL4+ TÜBİTAK
BİLGEM OKTEM
TUBİTAK BİLGEM UEKAE
AKİS V1.2.1 N
Akıllı kart işletim sistemi EAL4+ TÜBİTAK
BİLGEM OKTEM
TAMARA
USBK Cryptobridge v2.0 Model A101 and Model A103
Veri Koruma Ürünü EAL 2 TÜBİTAK
BİLGEM OKTEM
ORTAK KRİTERLER-BELGELENDİRİLEN ÜRÜNLER
Ürün geliştirici Ürün Adı Ürün Tanımı Garanti Seviyesi
Laboratuvar
TUBİTAK BİLGEM UEKAE
KKEC v1.41.06A
Akıllı Kart Erişim Cihazı EAL4+ TÜBİTAK
BİLGEM OKTEM
TUBİTAK BİLGEM UEKAE
UKTÜM UKT23T64H v4.0
Akıllı kart tüm devresi EAL5+ TÜBİTAK
BİLGEM OKTEM
TUBİTAK BİLGEM
UEKAEKEC_F PP
Akıllı Kart Erişim CihazıGömülü YazılımıKoruma Profili
EAL4+ TÜBİTAK BİLGEM OKTEM
TUBİTAK BİLGEM UEKAE UKİS V1.2.2
Ulusal AkıllıKart işletim sistemi ve eID, PKI Uygulamaları
EAL4+ TÜBİTAK BİLGEM OKTEM
ASELSAN AŞ. VAG v1.0.6 EAL 4+ EPOCHE & ESPRİ
ORTAK KRİTERLER-BELGELENDİRİLEN ÜRÜNLER
Ürün geliştirici Ürün Adı Ürün Tanımı Garanti Seviyesi
Laboratuvar
TUBİTAK BİLGEM UEKAE
UEKAE Atik Serisi HSM HSM Flow Control Firmware v2.0
Hardware Security Module Flow Control Firmware
EAL 4+ TÜBİTAK BİLGEM OKTEM
TUBİTAK BİLGEM UEKAE
UKTÜM UKT23T64H v.5.0
KontaklıAkıllı kart tüm devresi
EAL5+ TÜBİTAK BİLGEM OKTEM
TUBİTAK BİLGEM UEKAE
UKTÜM UKT23T64S v1.0
KontaklıAkıllı kart tüm devresi
EAL5+ TÜBİTAK BİLGEM OKTEM
TUBİTAK BİLGEM UEKAE
AKiS v1.4i Pasaport
Akıllı Kart İşletim Sistemi-(komposit değ.)
EAL 4+ TÜBİTAK BİLGEM OKTEM
ORTAK KRİTERLER-DEĞERLENDİRMESİ DEVAM EDEN ÜRÜNLER
Ürün geliştirici Ürün Adı Ürün Tanımı Garanti Seviyesi
Laboratuvar
Labris Tek. Bilişim Ltd. Şti.
LABRIS Güvenlik AğGeçidi Yönetim Merkezi Yazılımı
Güvenlik AğGeçidi Yönetim Merkezi Yazılımı
EAL 4+ BEAM TEKNOLOJİ
SİSOFT Sağlık Bilgi Sistemleri
Sisocare(Sisohbys)
v2.0Sisoft HBYS EAL 2 TÜBİTAK
BİLGEM OKTEM
TUBİTAK BİLGEM UEKAE AKİS V 2.2 I
Akıllı kart işletim sistemi-(komposit değ.)
EAL4+ TÜBİTAK BİLGEM OKTEM
TUBİTAK BİLGEM UEKAE AKİS V 2.2 N
Akıllı kart işletim sistemi-(komposit değ.)
EAL4+ TÜBİTAK BİLGEM OKTEM
NETSAFENetSafe
Management Software
EAL 4+ BEAM TEKNOLOJİ
ORTAK KRİTERLER-DEĞERLENDİRMESİ DEVAM EDEN ÜRÜNLER
EAL Seviyelerine Göre Yüzdeler
Page 66
Ürün Gruplarına göre Yüzdeler
Page 67
OKBS 2012-SON DURUM • 12 ürün sertifikalandırılmış, • 1 PP sertifikalı, 1 PP başvuruda (IP tabanlı yazar Kasa) • 9 ürün değerlendirmede• 4 PP geliştirilmekte.• Sertifika üreten ülkelerin değerlendirip, sertifikalandırdığı
ürünler “Uluslar arası geçerli Güvenli BT Ürünü” olmaktave www.commoncriteriaportal.org adresinde yayınlanmaktadırlar.
• 2 adet Lisanslı CC lab. mevcut.• 3 adet Aday CC lab.
68
• TOE (Target of Evaluation): Değerlendirme Hedefi-(Ürün)
• ST (Security Target): Güvenlik Hedefi, TOE güvenlik iddialarının belirtildiği dokümandır.
• PP (Protection Profile): Koruma Profili, CC standardına uygun olarak yazılmış Teknik Şartnamelerdir. ST ler için şablon dokümanlardır.
• CPP (Colloborative PP)-ZORUNLU OLACAK
Genel Kavramlar (1/3)
69
70
PROFİLİ (PROTECTION PROFILE, PPKORUMA)
• CC dilinde yazılmış teknik şartnamelerdir.
• Tüketici tarafından hazırlanır.
• Genel ürün ailesini tanımlar (firewall, akıllı kart, işletim sistemi).
• Ürünün BT ortamını tanımlar.
• Varsayımları ve tehditleri tanımlar.
• Mevcut varsayımlar altında var olan tehditleri karşılamak için güvenlik gereksinimlerini tanımlar.
71
Güvenlik Hedefleri
BT Güvenlik Gereksinimleri Tehditler
Politikalar
Varsayımlar Çevre İçin Güvenlik Hedefleri
TOEGüvenlik Hedefleri
Varlıklar
PP-Koruma Profili
Kullanıcı adı, Parola, Şifreleme, Anahtarları,Sertifikalar,Kayıtlar
Cihazın korumalıodada kullanılması
KriptanalizYetkisiz erişimAraya girme
SSL ile haberleşme
Bilinçli kullanıcı, Fiziksel güvenli ortam
Kimlik doğrulması,Yetkilendirme,Şifreli saklama
COLLOBORATIVE PROTECTION PROFILES-CPP ler
• DÜNYADA ORTAK KORUMA PROFİLLERİHAZIRLANACAK VE ÜLKELERDE ZORUNLU HALE GETİRİLECEK
• BUNLARDAN BİRİ DE «SMART METERS» EAL 2 düzeyinde
73
TSF
ST-Güvenlik Hedefi
Güvenlik Hedefleri
BT Güvenlik Gereksinimleri Tehditler
Politikalar
Varsayımlar Çevre İçin Güvenlik Hedefleri
TOEGüvenlik Hedefleri
Varlıklar
Ortak Kriterler Değerlendirme Seviyeleri-Test Süreleri
• EAL1: 2-3 ay
• EAL2: 3-4 ay
• EAL3: 4-5 ay
• EAL4: 6-7 ay
• EAL5: 8-10 ay
74
ORTAK KRİTERLER LABORATUARI OLMAK İÇİN ISO/IEC 17015 AKREDİTASYONU ŞARTTIR.
75
Üretici-OKDL-OKBS
TEŞEKKÜR EDERİM
Mariye Umay AKKAYATSE-Bilişim Teknolojileri Belgelendirme Müdürü
uakkaya@tse.org.tr, bilisim@tse.org.tr ; cc@tse.org.tr
http://bilisim.tse.org.tr 77