Koruma Profili Nedir?
Koruma Profili, ISO 15408 Ortak Kriterler değerlendirmeleri için önemli bir kavram ve dokümandır. Uluslararası literatürde “Protection Profile” (veya PP) olarak bilinir.
Koruma Profili dokümanında, belirli bir ürün kategorisi için güvenlik gerekleri Ortak Kriterler jargonuna uygun olarak tanımlanır. Ürün kategorisine örnek olarak Hastane Bilgi Yönetim Sistemi yazılımları, Firewall Ürünleri, SIEM ürünleri, Pasaportlar vb verilebilir.
Bu kapsamda genel olarak ilgili ürün kategorisinin:
- Tanımı,
- Çalışma ortamı ve çevre bileşenleri,
- Korumayı hedefleyeceği olası varlıklar,
- Kullanıcı rolleri,
- Çalışma şartlarına yönelik varsayım ve politikalar,
- Karşılaşabileceği bilgi güvenliği tehditleri,
- Tehditler, varsayım ve politikaların karşılanması için ürünün ve çevresinin sağlaması beklenen güvenlik özellikleri,
- Tehditler, varsayım ve politikaların ürün veya çevresi tarafından karşılandığını gösteren analizi
Belirlenmiş olur.
Koruma Profili Nasıl Ortaya Çıkar?
Koruma Profili dokümanları, kamu kurumları gibi sektörlere yön veren otoriteler tarafından sektör ihtiyaçları gözetilerek hazırlanır veya hazırlatılır. Burada kamu kurumları sadece bir örnek olarak ele alınmıştır. Koruma Profilini hazırlayan ya da hazırlatan otorite, özel sektör temsilcilerinden oluşmuş resmi ya da gayrı resmi çalışan gruplar da olabilir. Ancak hazırlayan veya hazırlatan taraftan bağımsız olarak, ortaya çıkan doküman mutlaka bir laboratuvar tarafından ortak kriterler standardına göre değerlendirilip sertifikasyon makamı (Ülkemizde sertifikasyon makamı Türk Standartları Enstitüsüdür – TSE) tarafından onaylanır.Bu değerlendirme ve onay sürecinde, ürün değerlendirmesi ve onayı sürecinde izlenen metot takip edilir. Tek fark değerlendirme esnasında, standardın Koruma Profili değerlendirmesine özel bölümünün dikkate alınmasındır.
Koruma Profili Her Zaman Gerekli midir?
Bir ürünün ortak kriterler değerlendirmesine girmesi ve sertifika alması için ortada bir Koruma Profili dokümanının olması şart değildir. Bununla beraber, Koruma Profilinin varlığı özellikle kullanıcıların güvenliğinin garanti altına alınması açısından büyük önem arz etmektedir.
ISO 15408 Ortak Kriterler değerlendirmelerinde sertifikasyon kapsamı, ürünlerin güvenlik hedefi dokümanında tanımlanmış kapsam ve varsayımlar altında geçerlidir. Güvenlik hedefi dokümanları ise, ortak kriterler standardı jargonu ile yazılmış ve incelenip anlaşılması en azından belirli seviyede uzmanlık ve konuya hâkimiyet gerektiren dokümanlardır. Dolayısıyla kullanıcılar sadece, ürün etiketlerine bakarak aslında bekledikleri düzeyde sertifikasyon ve güvenlik garanti etmeyen ürünleri alıp kullanabilirler.
İşte bu noktada Koruma Profili dokümanları devreye girer. Koruma Profili dokümanları güvenilir otoriteler tarafından hazırlanmış ve aynı zamanda sertifikasyon kurumları tarafından onaylanmış dokümanlar olarak bu söz konusu ürünün de dâhil olduğu güvenlik şartlarını tanımlamış ise, kullanıcılar ürünün Koruma Profili dokümanına uyumlu olup olmadığını kontrol ederek muhtemel bir kandırılmaya maruz kalmaktan kurtulurlar.
Koruma Profili Detay Seviyesi Nedir?
Koruma Profili ürüne değil ürün kategorisine yönelik anlatımlar içerir. Örneğin ürünün bir işletim sistemi üzerinde kurulu olacağını söyleyip bunun ne tür bir işletim sistemi olacağını özelleştirmeyebilir.
Benzer şekilde, güvenlik fonksiyonları da genel halde tutulabilir. Örneğin, ürünün verilerin gizliliğini kriptografik olarak sağlayacağını belirtilirken burada kullanılacak kripto fonksiyonu belirtilmeyebilir. Diğer bir örnek olarak ürünü kimlik doğrulama yapacağı belirtilirken, burada kullanılacak yöntem açık bırakılabilir.
Koruma Profili içerisinde şartların genel bırakılması, bu koruma profiline uyumlu ürün geliştirecek üreticilere esneklik sağlar. Esnek bırakılan noktalar, ürünlere özel hazırlanan Güvenlik Hedefi (Security Target) dokümanları içerisinden kesin olarak netleştirilmek zorundadır.
Eğer Koruma Profilini hazırlayan otorite gerekli görürse, ürün kategorisine özel şartları, Koruma Profili içinde netleştirerek esnekliği kısıtlayabilir.
Koruma Profili Nasıl Kullanılır?
Koruma Profili dokümanları gerekli olması durumunda ürünü alacak; müşteri, müşteri grubu veya otorite tarafından üreticilere dayatılabilir. Bu durumda ilgili kategori için ürün geliştirecek üreticiler bu dokümanları dikkate alarak ürünlerini geliştirir ve ürüne özel hazırladıkları Güvenlik Hedefi dokümanları içinde referans verirler.
Eğer bir ürün kategorisi ile ilgili ortada daha önce hazırlanmış ve kabul görmüş Koruma Profili dokümanları varsa alıcı konumdaki otorite veya müşteriler yeni Koruma Profili Dokümanı hazırlatmak yerine bu Koruma Profili’ne uygun ürün isteyebilirler.
Örneğin ortada Firewall ürün kategorisi ile ilgili bir Koruma Profili olsun. Eğer Bir bakanlık firewall ürünü alacaksa, bir koruma profili hazırlatmak yerine var olan Koruma Profiline uyumlu bir ürün talep edebilir.