EN
EN

ISO/IEC 15408 CC (Common Criteria) Ortak Kriterler Nedir?


Ortak Kriterler (CC), özellikle devlet kurumları için kabul edilmiş bir güvenlik standardını karşıladıklarından emin olmak amacıyla bilgi güvenliği ürünlerini değerlendirmek için geliştirilmiş uluslararası bir yönergeler ve özellikler setidir.

Ortak Kriterler, Kanada, Fransa, Hollanda, İngiltere, Almanya ve Amerika Birleşik Devletleri´nin ulusal güvenlik organizasyonları ve standartlar enstitüleri ile birlikte ortak bir çalışma sonucunda hazırlanmıştır.

Ortak Kriterler daha resmi olarak "Bilgi Teknolojisi Güvenlik Değerlendirmesi için Ortak Kriterler-Common Criteria for Information Technology Security Evaluation" olarak adlandırılmaktadır.

Ulusal organizasyonlar, Uluslararası Standartlar Örgütü (ISO) ile birlikte çalışarak Ortak Kriterlerin biçimsel bir standart haline getirilmesini sağlamıştır. Sonuç olarak Ortak Kriterlerin 2.1 sürümü ISO tarafından ISO 15408 olarak kabul edilmiştir. ISO´nun Ortak Kriterleri kabul etmesiyle bu standart dünyada güvenlik özellikleri ve değerlendirmelerinde yaygın olarak kullanılmaya başlanmıştır.

Ortak kriterlerin, koruma profilleri ve değerlendirme güvence düzeyleri olmak üzere iki temel bileşeni vardır. Koruma Profili (PPro), güvenlik duvarı gibi belirli bir ürün türü için standart bir güvenlik gereksinimleri seti tanımlar. Güvence ölçüm seviyesi (EAL- Evaluation Assurance Level), ürünün ne kadar kapsamlı bir şekilde test edildiğini tanımlar. EAL değerleri 1'den 7'ye kadar derecelendirilir. Bir en düşük düzey değerlendirme yedi en yüksek değerlendirme düzeyidir. Ürünün EAL değerinin yüksek olması ürünün güvenlik düzeyine sahip olduğu anlamına gelmez. Sadece ürünün daha fazla testten geçtiği anlamına gelir. Ortak Kriterler genelde aşağıdaki durumlarda kullanılır ve uygulanır.

- Bir ürünün veya sistemin güvenlik özelliklerinin tespit ederken,

- Bir ürün veya sistem için güvenlik özellikleri eklerken,

- Bir ürünün veya sistemin güvenlik özelliklerini değerlendirirken,

- Güvenlik özellikleri olan bir ürün veya sistem satın alınırken.

Neden Ortak Kriterler Önemlidir?

Ortak Kriterler standardının bütün dünyada kabul görmesi ve değerlendirme sonuçlarının birçok ülkede geçerli olması paydaşlara farklı faydalar sağlamaktadır.

- Müşteriler daha fazla değerlendirilmiş ürün arasından tercih yapabilmektedir,

- Müşteri ihtiyaçları daha iyi anlaşılabilmektedir,

- Geliştiriciler daha geniş pazarlara ulaşabilmektedir.

Ortak Kriterlere uygun bir ürün nasıl satın alınabilir?

Sertifikalı/değerlendirilmiş ürünler hakkında bilgi ülkelerin değerlendirme yapılarının web sayfalarından veya bu yapıların çıkartmış olduğu yayınlardan alınabilir. Bu ürünler arasından seçim yapılırken dikkat edilmesi gereken nokta değerlendirilmiş ürün sürümü ile kullanılan sürümün aynı olmasıdır. Bir diğer önemli nokta ise ürünün kullanılacağı ortamın, değerlendirildiği ortam ile tutarlı olduğunun kontrol edilmesidir.

Ortak Kriter sertifikasına sahip ürünler nasıl garanti sağlar?

Değerlendirme sonuçlarının sertifikasyonu, belirlenen tehditler için güvenlik ölçütlerinin yeterli olduğu ve bu ölçütlerin doğru olarak üründe uygulandığı konusunda temel bir garanti sağlamaktadır. Fakat bu sonuçların sertifikasyonunun ürünün güvenlik alanında kesin bir garanti sağladığı anlamına gelmediği unutulmamalıdır. Çünkü güvenlik her zaman bulunulan ortam için bir tehdit kümesi ve kabullenmelerle birlikte ele alınmalıdır. Ortak Kriterler bir ürünün veya sistemin sağlamış olduğu güvenliği ölçekleyerek müşterinin kullandığı ürünün garanti seviyesini bilmesini sağlamaktadır.

Ortak Kriterler Değerlendirme Garanti Seviyeleri aracılığıyla ürünlerin güvenlik garantilerinin farklı seviyelerde değerlendirilmesini sağlamaktadır. Ne seviyede güvenliğe ihtiyaç duyulduğuna kullanıcılar korumaları gereken varlıkların değerini, tehdit ortamını ve kullanacakları bütçeyi dikkate alarak karar vermek durumundadırlar.

Uluslararası tanınan sertifikalar veren bir değerlendirme yapısı altında gerçekleştirilen bir değerlendirme, akredite olmuş bir kalite sisteminde, bağımsız ve tecrübeli değerlendiriciler tarafından gerçekleştirilmiş demektir.

Değerlendirme ve sertifikasyon

Ortak Kriterler modeli değerlendirme ve sertifikasyon işlerini ve bu işleri yapacak kişilerin rollerini ve sorumluluklarını birbirinden ayırmaktadır. Sertifikalar ulusal yapılar tarafından, bağımsız test laboratuarlarının sonuçları temel alınarak verilir. Test laboratuarları genelde ISO 17025 akreditasyonu almış bağımsız kuruluşlardır ve ortak kriter testleri yapabilmek için ulusal yapının sertifikasyon kurumundan lisans almışlardır.

Akreditasyon ve onay

Çoğu zaman ortak kriter değerlendirmelerine ihtiyaç, yetkili bir otoritenin isteği doğrultusunda ortaya çıkmaktadır. Bu yetkili otoriteye akreditor veya akreditasyon otoritesi adı verilmektedir. Akreditorler bazı durumlarda bir sistemin fonksiyonel ve garanti gereksinimlerinin belirlenmesinde de etkili olabilmektedirler.

Akreditorler, farklı Değerlendirme Garanti Seviyelerinin veya garanti paketlerinin, bir BT sisteminin kritik güvenlikli fonksiyonlarına uygulandığında, riskin azaltılması için hedef ölçütleri olarak nasıl kullanılabileceğini bilmelidirler. Bu durumda akreditörler Ortak Kriterlerin üçüncü bölümü konusunda bilgi sahibi olmalıdırlar.

Ortak kriterler birbirleriyle ilişkili üç ayrı bölümden oluşmaktadır:

Bölüm 1, Giriş ve Genel Model, Ortak kriterlere giriş niteliğindedir niteliktedir ve genel bir değerlendirme modeli sunmaktadır. Bu bölüm BT güvenlik değerlendirmelerinin temel konsept ve prensiplerini tanımlar. Bölüm aynı zamanda BT güvenlik hedeflerinin oluşturulması, BT güvenlik gereksinimlerinin seçilmesi ve tanımlanması ve ürünlerin veya sistemlerin üst düzey özelliklerin yazılması konusunda bilgiler içermektedir. Ayrıca standardın bütün bölümlerinin bütün potansiyel kullanıcılar için nasıl kullanılacağı bu bölümde tanımlanmaktadır.

Bölüm 2, Güvenlik Fonksiyonel Gereksinimleri, değerlendirme hedefinin güvenlik fonksiyonel gereksinimlerinin standart bir dille anlatılabilmesini sağlamak için tanımlanmış olan güvenlik fonksiyonel bileşenleri kümesi bu bölümde listelenmektedir. Standardın ikinci bölümü fonksiyonel bileşenlerini, ailelerini ve sınıflarını kataloglar halinde tanımlamaktadır.

Bölüm 3, Güvenlik Garanti Gereksinimleri, değerlendirme hedefinin güvenlik garanti gereksinimlerinin standart bir dille anlatılabilmesini sağlamak için tanımlanmış olan güvenlik garanti bileşenleri kümesi bu bölümde listelenmektedir. Standardın üçüncü bölümü garanti bileşenlerini, ailelerini ve sınıflarını kataloglar halinde tanımlamaktadır. Bu bölüm aynı zamanda Koruma Profillerinin ve Güvenlik Hedeflerinin değerlendirme kriterlerini ve değerlendirme garanti seviyelerini oluşturan garanti bileşenlerini de içermektedir.

Ortak kriterlerin bu üç bölümünün desteklenmesi açısından teknik gerekçeleri ve kılavuz dokümanlarını da içeren birçok doküman yayınlanmıştır.

Kaynak: TSE

Yazar: Nazlıcan Tanın/ BeyazNet Bilgi Sistemleri Denetim Uzmanı