Temel Seviye Güvenlik Değerledirmesi

Temel Seviye Güvenlik Belgelendirmesi (1st Level Security Certification)  basit, hızlı ve etkin bir güvenlik değerlendirmesini hedefleyen bir güvenlik değerlendirme programıdır.

Bilişim teknolojileri belgelendirmelerinde öne çıkan hususlardan biri de Temel Seviye Güvenlik Belgelendirmesidir.Temel Seviye Güvenlik Belgelendirmesi (1st Level Security Certification)  basit, hızlı ve etkin bir güvenlik değerlendirmesini hedefleyen bir güvenlik değerlendirme programıdır.

Temel Seviye Güvenlik Belgelendirmesinin (TSGB) tarafları şunlardır.

  • Belgelendirme Kuruluşu,
  • Değerlendirme Kuruluşu (Certby Lab),
  • Ürün Sahibi
  • Ürün Geliştirici olarak sınıflandırılabilir.

Ürün Sahibi ve Ürün Geliştirici aynı firma olabileceği gibi farklı firmalarda olabilir.

Belgelendirme Kuruluşu, TSGB’nin uygulanmasını sağlayacak olan standardlar, formlar, kılavuzlar, vb. içerikleri hazırlar, TSGB için değerlendirme kriterlerini ve genel yöntemlerini belirler ve değerlendirme kuruluşlarını yetkilendirir.

Değerlendirme Kuruluşu,TSE (Belgelendirme Kuruluşu) tarafından yeterli uzmanlığa sahip olduğu teknik alanlarda yetkilendirilmiş kuruluşu ifade eder. Bünyesinde bulundurduğu teknik uzmanlar vasıtasıyla ürünler üzerinde değerlendirme gerçekleştirir ve bulguları belgelendirme kuruluşuna rapor eder.

TSGB’nin temel süreçleri şekildeki gibidir.

TSGB’nin temel süreçleri şekildeki gibidir.

Temel Seviye Güvenlik kriterleri bir ürün veya sistemin sahip olması gereken asgari seviyede güvenlik gereksinimlerini tanımlar. Bir ürünün değerlendirmesi, ürünün güvenlik hedefinde belirtilen güvenlik özelliklerini sağladığını ve tüm güvenlik fonksiyonlarının en azından “temel” direnç seviyesine ulaştığını ve değerlendirmede herhangi bir güvenlik açığının kullanılamadığını doğrulamalıdır.

Değerlendirmenin iki temel hedefi vardır:

  1. Ürünün güvenlik spesifikasyonuna uygunluğunu tespit etmek,
  2. Ürün tarafından sunulan güvenlik fonksiyonlarının etkinliğini belirlemek.

Ürünün temel güvenlik fonksiyonları kripto mekanizmaları tarafından sağlanıyorsa, değerlendirmenin iki ek hedefi daha vardır:

TS ISO/IEC 24759 Kripto modülleri için test gereksinimlerine uygun şekilde yapılan testlerde ürünün kripto mekanizmalarının;

  1. TS ISO/IEC 19790 Kripto modülleri için güvenlik gereksinimlerine uygunluğunu tespit etmek,
  2. Tanımlarına göre ürün yoluyla bu mekanizmaların doğru şekilde uygulandığını tespit etmek.

Değerlendirme aşağıdaki kanıtlara ve çalışmalara göre yapılır:

  • Mevcut dokümantasyon;
  • Test edilmesi gereken en azından bilinen zafiyetlerin genel zafiyet veritabanları;
  • Öngörülen kullanım ortamını temsil eden bir test platformuna kurulmuş olarak ürünün kendisi.