TS ISO/IEC 15408 BİLGİ TEKNOLOJİLERİ BT ÜRÜNLERİ GÜVENLİK SEVİYESİ BELGELENDİRMESİ - ORTAK KRİTERLER –

Ortak Kriterler bilgi teknolojileri ürün ve/veya sistemlerinin güvenlik seviyelerinin tespit edilmesi ve bağımsız laboratuvarlarda test edilebilmesi için geliştirilmiş olan, temelini TCSEC ve ITSEC standartlarından alan ve Uluslararası Standartlar Organizasyonu’nun (ISO) 1999 yılında Uluslararası Bilgi Teknolojileri Güvenlik Değerlendirme Standardı olarak kabul ettiği (ISO 15408) güvenlik standardıdır.

Türk Standardları Enstitüsü Türkiye adına, Eylül 2003 tarihinde bu standardı kabul eden ülkelerin imzaladığı Ortak Kriterler Tanıma Sözleşmesini imzalayarak sertifika üretici ülkelerin değerlendirmelerini kabul etmiş, TSE Belgelendirme Merkezi bünyesinde kurulan Ortak Kriterler Belgelendirme Yapısı çalışmalarına başlamış, Nisan 2010 tarihinde Uluslararası Ortak Kriterler denetiminden “başarı” ile geçmiş ve “Sertifika Üretici Ülke” ünvanını almaya hak kazanmıştır. Ortak Kriterler değerlendirmeleri lisanslı Ortak Kriterler Laboratuvarları tarafından gerçekleştirilmektedir.

Ortak Kriterler Belgelendirme Makamı olarak Türk Standardları Enstitüsü tarafından lisanslanmış, Ortak Kriterler kapsamında ISO 17025 akreditasyonu almış bağımsız test laboratuvarları OKTEM ve EPOCHE&ESPRI sonuçları temel alınarak verilen sertifikalara sahip BT ürünleri; belirlenen tehditler için güvenlik ölçütlerinin yeterli olduğu ve bu ölçütlerin doğru olarak üründe uygulandığı konusunda temel bir garanti sağlamaktadır.

Ortak Kriterler Belgelendirme Sistemi (OKBS), bir BT ürününün iddia ettiği değerlendirme garanti seviyesi ile ilgili Ortak Kriterler standardının ve Ortak Değerlendirme Metodolojisinin şartlarına uygunluğunun, Ortak Kriterler Tanıma Anlaşması (CCRA) ve ilgili prosedürleri çerçevesinde bir Ortak Kriterler Değerlendirme Laboratuvarı (OKDL) tarafından değerlendirilmesi ve uygunluğunun belirlenmesi sonucunda gerçekleştirilen belgelendirme türüdür.

Ortak Kriterler belgelendirme sürecinde yer alan kurum ve kuruluşlar üç katmandan oluşan bir sistem olarak ifade edilebilir.

Ortak Kriterler değerlendirme ve belgelendirme sürecinde OKBS, müşteriler ile değerlendirme laboratuvarları arasındaki iletişimi ve koordinasyonu sağlayan makamdır. OKBS Müşterisi, direkt belgelendirilecek ürünün geliştiricisi/üreticisi olabileceği gibi, belgelendirmeyi finanse eden bir sponsor olabilir veya her ikisi birlikte de olabilir.

OKBS, belgelendireceği ürünlerin Ortak Kriterler ve Değerlendirme Metodolojisine uygun test ve değerlendirme faaliyetlerini, Ortak Kriterler Değerlendirme Laboratuvarlarına yaptırır.

Bu sistem içerisinde OKBS, OKDL (CC LAB:Common Criteria Laboratory)’lerin teknik yeterliliğini ve birbirleri ile tutarlılığını (consistency) sağlamakla yükümlüdür. OKBS bunu belirli aralıklarla yaptığı laboratuvar tetkikleri ve toplantılar aracılığı ile sağlar.

Ortak kriterler birbirleriyle ilişkili üç ayrı bölümden oluşmaktadır:

Bölüm 1, Giriş ve Genel Model

Bu bölüm BT güvenlik değerlendirmelerinin temel konsept ve prensiplerini tanımlar niteliktedir ve genel bir değerlendirme modeli sunmaktadır. Bölüm aynı zamanda BT güvenlik hedeflerinin oluşturulması, BT güvenlik gereksinimlerinin seçilmesi ve tanımlanması, ve ürünlerin veya sistemlerin üst düzey spesifikasyonlarının yazılması konusunda bilgiler içermektedir.

Bölüm 2, Güvenlik Fonksiyonel Gereksinimleri

Değerlendirme hedefinin güvenlik fonksiyonel gereksinimlerinin standart bir dille anlatılabilmesini sağlamak için tanımlanmış olan güvenlik fonksiyonel bileşenleri kümesi bu bölümde listelenmektedir.

  • FAU: Security audit (Güvenlik denetimi)
  • FCO: Communication (İletişim)
  • FCS: Cryptographic support (Kriptografi desteği)
  • FDP: User data protection (Kullanıcı verilerinin korunması)
  • FIA: Identification and authentication (Tanıma ve kimlik doğrulama)
  • FMT: Security management (Güvenlik yönetimi)
  • FPR: Privacy (Gizlilik)
  • FPT: Protection of the TSF (TSF’ nin korunması)
  • FRU: Resource utilisation (Kaynak kullanımı)
  • FTA: TOE access (TOE erişimi)
  • FTP: Trusted path/channels (Güvenilir yollar/ kanallar)

Bölüm 3, Güvenlik Garanti Gereksinimleri

Güvenlik garanti bileşenleri kümesi bu bölümde listelenmektedir. Bu bölüm aynı zamanda Koruma Profillerinin ve Güvenlik Hedeflerinin değerlendirme kriterlerini ve değerlendirme garanti seviyelerini oluşturan garanti bileşenlerini de içermektedir.

  • ADV: Development (Geliştirme)
  • AGD: Guidance documents (Kılavuz Dokümanları)
  • ALC: Life cycle support (Hayat döngüsü desteği)
  • ASE: Security Target (Güvenlik Hedefi)
  • ATE: Tests (Testler)
  • AVA: Vulnerability assessment (Açıklık değerlendirmesi)

COMMON CRITERIA – ORTAK KRİTERLER GÜVENLİK GARANTİ SEVİYELERİ

Ortak Kriterler tanımlanmış, garanti seviyesi gittikçe artan ve Değerlendirme Garanti Seviyesi (EAL) olarak bilinen yedi adet garanti paketi sağlamaktadır. Bu yedi garanti seviyesi aşağıdaki gibidir;

EAL1:

Bu seviye ürünün veya sistemin doğru çalıştığına dair güvenin yeterli olduğu ve güvenlik tehditlerinin ciddi olmadığı durumlarda kullanılmaktadır.

EAL2:

Bu seviyede değerlendirme yapabilmek için ürün geliştirici tasarım bilgilerini ve test sonuçlarını değerlendirme laboratuarına iletmelidir. EAL2 değerlendirmesi, müşteriler veya ürün geliştiriciler, düşük ve orta düzey seviye arasında bir güvenlik gereksinimi duyuyorlar ise ve ürünün geliştirme dokümanlarının tamamına ulaşamıyorlar ise uygulanmaktadır.

EAL3:

EAL3 seviyesinde standart, ürün geliştiriciye tasarım sırasında maksimum garanti sağlayabilmesi için yöntemler önermektedir. EAL3 değerlendirmesi üreticinin test sonuçlarının seçilerek onaylanması ve bilinen açıklıkların üretici tarafından incelendiğinin kanıtlanmasını içeren gri kutu testleri (grey box testing) ile desteklenmektedir. Ayrıca geliştirme ortamı kontrolleri ve ürünün konfigürasyon yönetimi delilleri değerlendirmeler için gerekmektedir.

EAL4:

EAL4 seviyesi ticari ürün geliştirme yöntemlerinden maksimum garanti sağlayabilmek için ürün geliştiricilere yöntemler önermektedir. EAL4 var olan ürün geliştirme altyapısını değiştirmeden ulaşılabilecek en yüksek garanti seviyesidir. EAL4 değerlendirmesi ürünün alt düzey tasarımı ve uygulamanın alt kümelerinin analizi ile de desteklenen bir süreçtir. Yapılan testler bağımsız açıklık analizleri ile desteklenir. Geliştirme kontrolleri yaşam döngüsü desteği, tanımlama teknik ve araçları, ve otomatik konfigürasyon yönetimi ile güçlendirilir.

EAL5:

EAL5 seviyesi, özel güvenlik tekniklerinin orta düzeyde uygulanması ile desteklenen, ticari ürün geliştirme yöntemlerinden maksimum garanti sağlayabilmek için ürün geliştiricilere yöntemler önermektedir. Bu seviyeye aday bir ürün seviyenin gerektirdiği garantiyi sağlayabilecek bir şekilde tasarlanmalı ve geliştirilmelidir. Bu seviye ürün geliştiricileri ve müşteriler yüksek seviyede güvenlik ve bağımsız bir garanti ihtiyacı duyduklarında kullanılmaktadır.

EAL6:

EAL6 seviyesi yüksek değerdeki varlıkları korumakta olan ürünler için yüksek garanti seviyesi sağlayan güvenlik teknikleri önermektedir.

EAL7:

EAL7 seviyesi son derece yüksek risk durumlarında veya korunan varlıkların bu seviyenin getireceği maliyeti karşılayabileceği durumlarda uygulanabilmektedir.