ISO 15408 Ortak Kriterler

ISO 15408 Ortak Kriterler

Bilgi teknolojileri ürünlerinin güvenlik seviyelerini belirlemek ve belgelendirmek için kullanılan en önemli standart Ortak Kriterler (Common Criteria) adıyla da bilinen TS ISO/IEC 15408 standardıdır. Bu standart sayesinde bir ürünün veya sistemin güvenlik fonksiyonuna bağlı olarak garanti seviyesi belirlenir.

Ortak kriterler ürün değerlendirme öncesi ve esnasında yapılması gereken çalışmalar ve Ortak Kriterler laboratuvarına sunulması gereken birtakım dokümanlar bulunmaktadır. Nihai sonucu doküman çıktısı olan bu çalışmaların öncesinde alınacak Ortak Kriterler danışmanlık hizmetiyle ürünün tam anlamıyla ortak kriterlere uygun olarak irdelenmesi gerekmektedir. Danışmanlık hizmeti, mimari tasarımdan nihai ürünün son kullanıcı dokümanı ile test süreçlerine kadar bütün süreçleri içerisinde barındıran çalışmaların yapılmasına, ürünün güvenlik özelliklerinin belirginleştirilmesine ve ortak kriterlere uygun şartlara göre çevrilmesine rehberlik eder. Bu anlamda ürünün geliştirilmesi sürecinde alınması büyük önem arz etmektedir.

Ortak Kriterler değerlendirmesi ve belgelendirmesi uzun çalışma gerektiren ve zaman alan bir süreçtir. Bu süreci kolaylaştırmak ve hızlandırmak amacıyla danışmanlık hizmetinin konusunda deneyimli ve uzman kişilerden seçilmesi önemlidir. Dokümantasyon hazırlanması sırasında, Ortak Kriterlerin kendi terminolojisi üzerinden, standart kitaplarında bulunan tanımlamaların kullanılması ve bu tanımların ürüne uygun hale veya ürünün bu şartlara uygun hale getirilmesi gerekir. Kısaca başlıklar halinde verilen danışmanlık hizmeti aşağıda listelenmiştir.

  • Güvenlik hedefi (Security Target) dokümanının hazırlanması
  • Ürün tasarımında güvenlikle ilgili hususların gözden geçirilmesi
  • Tasarım dokümanlarının hazırlanması
  • Fonksiyonel spesifikasyonun hazırlanması test dokümanlarının oluşturulması
  • Yaşam döngüsü dokümanlarının hazırlanması
  • Kılavuz dokümanlarının hazırlanması
  • Açıklık analizi ve açıklıkların tespit edilmesi konusunda öngörüde bulunulması

Danışmanlık Hizmeti alınmasına karar verildikten sonra, bütün paydaşların katılımıyla kick off meeting yapılarak çalışmalara resmi başlangıç yapılır. Sonrasında Danışman tarafından paylaşılan iş planına göre karşılıklı çalışmalara başlanır. Eğer ürüne ait herhangi bir Koruma Kılavuzu (Protection Profile) bulunmuyorsa portal sitesinden daha önce değerlendirmesi yapılmış ürünler içerisinden değerlendirilmesi yapılacak ürüne benzer ürünlerin araştırılması yapılır. Eğer birebir değerlendirmeye uyan bir ürün değerlendirmesi bulunmuyorsa, ikili görüşmelerle istenen Güvenlik Garanti Seviyesine uygun olarak değerlendirilmek istenen ürün incelenir. Sonrasında aşağıda belirtilmiş iş adımlarına göre çalışmalara devam edilir. Bu süreç içerisinde danışman laboratuvar ile de teknik ve idari süreçleri takip eder ve iş takvimi ile laboratuvar takvimi yönetimini şirket ile birlikte yürütür. Danışman bu süreçte hem ürüne hakim olur hem de müşterilerine ortak kriterler disiplinini de aktarmış olur.

Danışmanlık sürecinde yapılan çalışmalar 5 iş paketine ayrılır. Bu iş paketlerinin her biri ayrıca, Ortak Kriterler değerlendirmesi sürecinde laboratuvar ve sertifikasyon makamı tarafından yapılan iş kırılımlarına denk gelir.

Her bir iş paketinde belirli iş adımları olup bu adımlar sonunda çıktılar üretilir.

Ürünün sertifika almak için müracaat ettiği güvenlik seviyesi (EAL-Evaluation Assurance Level) ne olursa olsun iş paketleri değişmeyecektir. Ancak iş paketi içerisinde iş adımları ve üretilecek çıktılarda değişiklikler olabilir.

Aşağıdaki tabloda Ortak kriterler sertifikasyonlarında yaygın kullanılan EAL 2 düzeyindeki bir sertifikasyon için İş Paketleri, İş adları ve üretilecek çıktılar görülmektedir.

EAL 4 Seviyesinde Danışmanlık Süreci İçin Yapılacak Çalışmalar ve Üretilecek Çıktılar

İş Paketi

İş Adı

Üretilecek Çıktı

ASE

Güvenlik Hedefi Dokümanı Hazırlama

1- Güvenlik Hedefi Dokümanı

ADV

Tasarım Dokümanı Hazırlama

2- Tasarım Dokümanı

Fonksiyonel Belirtim Dokümanı Hazırlama

3- Fonksiyonel Belirtim Dokümanı

Güvenlik Mimarisi Dokümanı Hazırlama

4- Güvenlik Mimarisi Dokümanı

AGD

Kurulum ve Kullanıcı Kılavuzu Dokümanı Hazırlama

5- Kurulum ve Kullanıcı Kılavuzu Dokümanı

ALC

Konfigürasyon Yönetim Planı Dokümanı Hazırlama

6- Konfigürasyon Yönetim Planı Dokümanı

Teslim Dokümanı Hazırlama

Yaşam Döngüsü Dokümanı Hazırlama

Geliştirme Ortam Güvenliği Dokümanı Hazırlama

Geliştirme Araçları Dokümanı

7- Teslim Dokümanı

8- Yaşam Döngüsü Dokümanı

9-Geliştirme Ortam Güvenliği Dokümanı

10- Geliştirme Araçları Dokümanı Hazırlama

ATE

Ürün Testleri Yapma ve Informal Olarak Kaydetme

11- Test Kayıt Formları

Formal Ürün Test Kayıtları ve Ortak Kriterlere Yönelik Test Kapsam ve Derinlik Dokümanı Hazırlama

12- Testler, Test Kapsamı ve Derinlik Dokümanı