Ortak Kriterler Laboratuvar Değerlendirmesi için gerekli Güvenlik Hedefi dokümanı kısaca açıklanmıştır.
Güvenlik Hedefi Dokümanı Nedir?
Güvenlik Hedefi Dokümanı ISO 15408 Ortak Kriterler kapsamında değerlendirmeye girecek her bir ürün için, üretici tarafından hazırlanan bir dokümandır.
Güvenlik Hedefi Dokümanında temel olarak ilgili ürüne ait aşağıdaki başlıklar yer alır:
- Tanımı,
- Çalışma ortamı ve çevre bileşenleri,
- Korumayı hedefleyeceği olası varlıkları,
- Kullanıcı rolleri,
- Çalışma şartlarına yönelik varsayım ve politikalar,
- Karşılaşabileceği bilgi güvenliği tehditleri,
- Tehditler, varsayım ve politikaların karşılanması için ürünün ve çevresinin sağlaması beklenen güvenlik özellikleri,
- Tehditler, varsayım ve politikaların ürün veya çevresi tarafından karşılandığını gösteren analizi,
- Ürünün güvenlik fonksiyonlarının Ortak Kriterler standardı jargonunda detaylı ifadesi
Güvenlik Hedefi Dokümanı Ne Zaman Hazırlanır?
Bir ürünün ISO 15408 Ortak Kriterler Değerlendirmesine başvurması için öncelikle Güvenlik Hedefi Dokümanının hazırlanması ve değerlendirmeyi yapacak laboratuvara teslim edilmesi gerekmektedir. Dolayısıyla dokümanın Ortak Kriterler Değerlendirmesi sürecinin en başında hazırlanması gerekir.
Güvenlik Hedefi Dokümanının Ortak Kriterler sertifikasına başvuracak her ürün için hazırlanması zorunludur. Yani bu döküman en temel dökümanlardan birisidir denebilir.
Güvenlik Hedefi Dokümanı Detay Seviyesi Ne Olmalıdır?
Güvenlik Hedefi Dokümanı ürüne özel bir doküman olduğundan, o ürün için tüm özellikleri açık ve net olarak tanımlamak zorundadır. Örneğin, Güvenlik Hedefi Dokümanı ürünün kimlik doğrulama yapacağını söylemekle yetinemez. Bunun yerine; parola, token gibi hangi yöntemlerle kimlik doğrulama yapacağını belirtmek zorundadır. Ancak Güvenlik Hedefi Dokümanını tasarım veya kaynak koda ilişkin detaylar içermesi beklenmez.
Güvenlik Hedefi Dokümanı Gizli midir?
Ürün, ISO 15408 Ortak Kriterler kapsamında sertifikalandırıldıktan sonra, dünya çapında müşterilerin ürünü inceleyebilmeleri ve sertifikasyon kapsamını kontrol edebilmeleri için bu doküman Ortak Kriterler Portalı olan commoncriteriaportal.org üzerinde yayınlanacaktır. Dolayısıyla bu doküman gizli bilgi içermemesine dikkat edilmelidir.