TSE BİLİŞİM TEKNOLOJİLERİ STANDARTLARI VE BELGELENDİRMELERİ Her alanda olduğu gibi bilişim teknolojilerinde de standardizasyon ve kalite kontrolü, günümüzde çok önemli hale gelmiştir. Bu yüzden yazılım ürünlerinin güvenliği, ürün oluşturulurken izlenen yollar, şifreleme gibi konular üzerinden incelenir. Örnek vermek gerekirse;
ORTAK KRİTERLER ( Common Criteria ) : TS ISO/IEC 15408 serisi BT ürünlerinin güvenliği için değerlendirme kriterleri
SPICE : TS ISO 15504-SPICE Yazılım Süreç Değerlendirilmesi (ISO CMMI)
BİLİŞİM TEKNOLOJİSİ : TS 13298 Elektronik Belge Yönetimi TS ISO/IEC 25051Yazılım Paketleri Belgelendirmesi TS ISO 9241-151 Web Sayfalarının Belgelendirmesi
UYGUNLUK DEĞERLENDİRMESİ : TS ISO/IEC 12207 Yazılım Yaşam Döngüsü TS ISO/IEC 15288 Sistem Yaşam Döngüsü
KRİPTO MODÜL BELGELENDİRMESİ (ISO FIPS 140-2) TS ISO/IEC 19790 TS ISO/IEC 24759
Bazı ürünlerin standartlara uygunluğunun ölçülebilmesi, değerlendirilebilmesi için laboratuvarlarda incelenmesi gerekir. TSE Bilişim Teknolojileri Belgelendirme Müdürlüğü olarak TS ISO/IEC 15408-BT Ürün Güvenliği Ortak Kriterler alanında lisanslı ve aday olan laboratuvarlar: •
TÜBİTAK BİLGEM OKTEM-lisanslı
•
EPOCHE & ESPRİ-lisanslı
•
CYGNACOM (Amerika)-geçici lisanslı
•
APPLUS LGAI (İspanya)-aday
•
BEAM TEKNOLOJİ (Türkiye)-aday
Diğer BT standartlarında ise taşeron laboratuarlarımız:
TÜBİTAK BİLGEM BTE-lisanslı
EPOCHE & ESPRİ-lisanslı
ODTÜ İBE Laboratuarı-lisanslı
TÜBİTAK BİLGEM UEKAE-Birlikte Çalışabilirlik Laboratuarı -aday
Günümüzde savaşların çoğu artık siber ortamda yapılmaktadır. Gelişmiş ülkelerin hemen hepsi elektronik ortamda yazışmalar yapmakta, belgelerini elektronik ortamlarda saklamaktadırlar. Haliyle bu belgeler çok önemli bilgileri de içermektedir ve korunması elzemdir.
İran (Nükleer Sisteminin durdurulması) • •
SCADA sistemlerine zarar veriyor. USB aracılığı ile kapalı ağa bulaşmıştır
İran bu saldırıdan büyük yara almış ve SCADA sistemleri ciddi zarar görmüştür. Siber savaşların önemini vurgulayacak başka bir örnek de, ABD’nin siber ordu kurmasıdır.
Siber güvenliğin önemini bizlere gösteren diğer örnekler ise;
Wikileaks : ABD`nin Gizli Diplomatik ve Askeri Belgelerin ifşası, Kasım 2010 DDOS Saldırıları : Hemen her gün bir siteye yapılan bu saldırılar temel olarak hack olarak kabul edilmese de, o siteye ulaşılabilirliği kısıtlaması, hatta durdurması yüzünden kişilere ve kurumlara büyük zararlar verebilmektedir. Rusya-Estonya Siber Savaşı (2007)
gibidir ve bu örnekler çoğaltılabilir. Her ülkenin kritik varlıkları vardır. Bunlar korunamadığı takdirde ülke güvenliği büyük risk altına girer. Bu da çok daha büyük sorunları beraberinde getirir. Bu kritik varlıklar; •
Enerji
•
Savunma
•
Finans
•
Sağlık
•
Gıda
•
Su
•
Ulaşım
•
Bilgi ve iletişim
•
Kamu güvenliği
•
Nükleer, biyolojik ve kimyasal tesisler
olarak sıralanabilir. Görüldüğü üzere bu konulardan herhangi birinde bir sorun çıkması, ülkenin kaosa sürüklenmesine neden olabilir. Bu sorun tamamen kaldırılamayacağı gibi, büyük oranda azaltılabilir. Ortak Kriterler ve Siber Güvenlik Ortak Kriterler nedir?
Bilişim teknolojisi ürünleri için geliştirilmiş güvenlik değerlendirme standartları olan ISO/IEC 15408 ve ISO/IEC 18045 standartlarıdır. CTCPEC (Kanada), TCSEC ve FC (A.B.D) ve ITSEC (Avrupa) tarafından Ocak 1996’da yayınlanmıştır. (burda biraz tarihçesini anlatırsın abla ben bilemedim şimdi)
CCRA Ortak Kriterler Uluslararası Tanıma anlaşmasıdır. Bu anlaşmayı imzalayan ülkeler, ürün hangi ülkeden sertifika almış olursa olsun o ürünün belirtilen seviyede güvenli olduğunu kabul etmiş sayılırlar. Ortak Kriterler standardı 2012 itibariyle 26 ülkede geçerliliği bulunan bir standarttır. Bu 26 ülkeden 15’i Certificate Authorising Member (sertifika üretici üye), 11’i ise Certificate Consumer Member (sertifika müşterisi üye) ülkelerdir. SERTİFİKA ÜRETİCİLERİ 1. Türkiye- 2 (3 aday) 2. Almanya - 12
SERTİFİKA MÜŞTERİLERİ 1. Avusturya 2. Çek Cumhuriyeti
3. Amerika – 9
3. Danimarka
4. İtalya - 6
4. Finlandiya
5. Fransa – 5
5. Yunanistan
6. Güney Kore – 5
6. Macaristan
7. Japonya – 4
7. Hindistan
8. Norveç - 4
8 .İsrail
9. İngiltere – 3
9. Singapur
10. Kanada – 3 11. Avustralya ve Yeni Zelanda – 3 12. İspanya - 3
10. Pakistan ADAY: Çin
13. İsveç - 2
14. Hollanda – 1 15. Malezya-2
Bu tabloda sertifika üretici ülkelerin yanındaki sayılar, o ülkelerin laboratuvar sayısını göstermektedir. NOT: Sertifika Üretici Ülke olabilmek için, öncelikle Sertifika Müşterisi Ülke olmak ve gerekli şartları yerine getirdikten sonra başvurunun onaylanması gerekmektedir.
TÜRKİYE`DE ORTAK KRİTERLER TSE-ORTAK KRİTERLER BELGELENDİRME SİSTEMİ (OKBS) Türk Standardları Enstitüsü Türkiye’nin milli çok kapsamlı standardizasyon ve sertifikasyon kuruluşudur ve birçok konuda ulusal ve uluslararası akreditasyona sahiptir. KYS (ISO 9001), BGYS (ISO 27001), Ürün Belgelendirme (ISO 45011) akreditasyon konularında belgelendirme yapılmaktadır.
vs. TSE`de bu uluslararası
Türkiye`de Ortak Kriterler programı ilk defa 2001 yılında Genel Kurmay Başkanlığı(TGS) tarafından Türk Silahlı Kuvvetleri için başlatıldı. Türkiye’nin belgelendirme kuruluşu olarak TSE, 2003 yılında CCRA’ya imzaladığı anlaşma ile “Sertifika Müşterisi” olarak üye olmuştur. Türkiye`de ilk Kamu Ortak Kriterler Değerlendirme Laboratuvarı 2003’te TUBİTAK UEKAE bünyesinde Ortak Kriterler Test Merkezi(OKTEM) adı altında bağımsız olarak çalışmalarına başladı. Ortak Kriterler Belgelendirme Sistemi(OKBS) 2005 yılında TSE Ürün Belgelendirme Merkezi altında kuruldu. TSE, 2008 yılında CCRA’da yapılan düzenleme gereğince “Sertifika Üreten Ülke – Authorizing Country” olmak için başvuruda bulundu. 12-16 Nisan 2010 tarihleri arasında TSE OKBS, CCRA tarafından yapılan Uluslar arası Tetkikten (Shadow Assesment) “Başarı” ile geçti. 17 Kasım 2010 tarihinde Türkiye`nin “Sertifika Üreten Ülke – Authorizing Country” olarak resmi duyurusu yapıldı ve Türkiye bu alandaki 15 ülkeden biri oldu.
OKBS, OKDL ve Üretici arasındaki hiyerarşi yukarıdaki şekildeki gibidir. Ortak Kriterler Belgelendirme Sistemi (OKBS) üretici/sponsor ve Ortak Kriterler Test Laboratuvarları (OKDL) arasındaki koordinasyonu sağlar. TSE OKBS; TÜRKAK`tan TS EN ISO/IEC 17025 akreditasyonu almış ve TSE`ye başvurmuş Ortak Kriterler Laboratuvarları’nı (OKDL) lisanslar. Ortak Kriterler Standardı ürün için; Gizlilik (Confidentiality), Bütünlük (Integrity), Kullanılabilirlik (Availability) kontrollerini; 1. Tasarım sürecini sorgulamak, 2. Teslim&Kurulum sürecini sorgulamak, 3. Tasarım dokümanlarının içerik yeterliliğini sorgulamak, 4. Kaynak kodu sorgulamak, 5. Kılavuz dokümanları sorgulamak, 6. Yaşam Döngüsü Modeli’ni sorgulamak, 7. Geliştirme araçlarını sorgulamak,
8. Geliştirme ortamının güvenliğini sorgulamak, 9. Test dokümanlarını sorgulamak (fonksiyonel, bağımsız ve sızma testleri), suretiyle gerçekleştirir.
Özetle; Ortak Kriterler, BT ürününün BT ürününün yeterli bir geliştirme ortamında gerçeklenip gerçeklenmediğini kontrol eder, var olan tehditleri analiz eder, Fonksiyonel, Bağımsız ve Sızma testleri (Açıklık Analizi çalışması) yapar ve ürüne uygun garanti seviyesini verir.
Garanti Seviyeleri Ortak Kriterler tanımlanmış, garanti seviyesi gittikçe artan ve Değerlendirme Garanti Seviyesi (EAL) olarak bilinen 7 adet Güvenlik Seviyesi (garanti paketi)sağlamaktadır:
YÜKSEK ATAK POTANSİYELİ, WHITE BOX TEST, YÜKSEK KALİTE
• • • • • • •
EAL7: EAL6: EAL5: EAL4: EAL3: EAL2: EAL1: DÜŞÜK ATAK POTANSİYELİ, BLACK BOX TEST, DÜŞÜK KALİTE
600
EAL1
536
EAL1+
500
EAL2 400
EAL2+ EAL3
300 208
172
200 100
215
EAL3+ 171
33 30
EAL4
174 110
0
EAL4+ 12
EAL5 0
7
2
2
EAL5+ EAL6
Garanti Seviyesine Göre Sertifikalı Ürünlerin Dağılımı (19972012)
EAL6+
TSE-OKBS’nin son durumu: •
12 ürün sertifikalandırılmış,
•
1 PP sertifikalı, 1 PP değerlendirmede
•
10 ürün değerlendirmede
•
5 PP geliştirilmekte.
•
Sertifika üreten ülkelerin değerlendirip, sertifikalandırdığı ürünler “Uluslar arası geçerli Güvenli BT Ürünü” olmakta ve www.commoncriteriaportal.org adresinde yayınlanmaktadırlar.
•
2 adet Lisanslı CC lab. mevcut.
•
3 adet Aday CC lab.
Genel Kavramlar •
TOE (Target of Evaluation): Ürün’ün Değerlendirme Hedefi
•
ST (Security Target): Güvenlik Hedefi, TOE güvenlik iddialarının belirtildiği dokümandır.
•
PP (Protection Profile): Koruma Profili, CC standardına uygun olarak yazılmış Teknik Şartnamelerdir. ST’ler için şablon dokümanlardır.
PP-Koruma Profili Çevre İçin Güvenlik Hedefleri
Varsayımlar
Varlıklar
Tehditler
Güvenlik Hedefleri TOE Güvenlik Hedefleri
Politikalar
Kullanıcı adı, Parola, Şifreleme, Anahtarları, Sertifikalar, Kayıtlar
BT Güvenlik Gereksinimleri
Cihazın korumalı odada kullanılması, Kriptanaliz, Yetkisiz erişim, Araya girme, SSL ile haberleşme
Bilinçli kullanıcı, Fiziksel güvenli ortam Kimlik doğrulması, Yetkilendirme, Şifreli saklama
ST-Güvenlik Hedefi
Varsayımlar
Varlıklar
Tehditler
Çevre İçin Güvenlik Hedefleri BT Güvenlik Gereksinimleri
Güvenlik Hedefleri TOE Güvenlik Hedefleri
Politikalar
TSF SONUÇ Ortak Kriterler Sertifikasyonu Siber Savaş için en büyük önlemlerden birisidir.
Türkiye`de Yeni Çalışmalar, Projeler
Ulusal Koruma Profili (PP) Havuzu:
– EBYS – HBYS – E-Ticaret – CBS – Akıllı Sayaçlar…
Smart Card Security Turkey Consortium (SCS-Turkey). Amaç: SOGIS-MRA ya girmek (Japonya benzeri).
TSE CRYPTO
(ISO FIPS 140-2,3) Kripto Modülleri İçin Güvenlik Gereksinimleri(TS ISO/IEC 19790) Kripto Modülleri İçin Test Gereksinimleri(TS ISO/IEC 24759) Kripto Modül/Algoritma Doğrulama Programı(CMVP/CAVP)
4 adet güvelik seviyesi vardır. i) Güvenlik Seviyesi 1 ii) Güvenlik Seviyesi 2 iii) Güvenlik Seviyesi 3 iv) Güvenlik Seviyesi 4
Değerlendirmeler 10 ayrı alana göre yapılmaktadır. Bu alanlar; 1) Kriptografik Modül Spesifikasyonu(Cryptographic Module Specification) 2) Kriptografik Modül Port ve Arayüzleri(Cryptographic Module Ports and Interfaces) 3) Roller, Servisler ve Kimlik Doğrulama(Roles, Services and Authentication) 4) Finite State Model 5) Fiziksel Güvenlik(Physical Security) 6) Çalışma Ortamı(Operational Environment) 7) Kriptografik Anahtar Yönetimi(Cryptographic Key Management) 8) Self Tests 9) Tasarım Güvencesi(Design Assurance) 10) Diğer Ataklara Karşı Savunma(Mitigation of Other Attacks)