25 Ekim 2013, 2. BT Standartları Konferansı Mariye Umay Akkaya Yazılım Test ve Belgelendirme Dairesi Başkan V.
Sunum İçeriği 1. Bilişim Teknolojileri ve Siber Güvenlik Belgelendirmeleri 2. Siber Güvenlik Eylem Planı Madde 12/b için Yapılanlar 3. Siber Güvenlik Eylem Planı Madde 12/a için Yapılanlar 4. Sonuç ve Yol Haritası
TSE BİLİŞİM TEKNOLOJİLERİ ve SİBER GÜVENLİK BELGELENDİRMELERİ
TS ELEKTRONİK BELGE YÖNETİMİ, ISO 25051YAZILIM PAKETLERİ SERTİFİKASYONLARI 4
YAZILIM SÜREÇLERİ SERTİFİKASYONLARI-SPICE (ISO CMMI)-5 seviye 5
26 ülkede geçerli-BT Ürün Güvenliği-Ortak Kriterler Sertifikasyonu-Common Criteria 6
Kripto Algoritma ve Modül Sertifikasyonları (ISO FIPS 140-2) 7
BİLGİ TEKNOLOJİLERİ ve GÜVENLİĞİ BELGELENDİRMELERİ ORTAK KRİTERLER: TS ISO/IEC serisi BT ürünlerinin güvenliği için değerlendirme kriterleri (Ortak Kriterler)-7 SEVİYE SPICE: TS ISO SPICE Yazılım Süreç Değerlendirilmesi (ISO CMMI) -5 SEVİYE BİLİŞİM TEKNOLOJİSİ: TS Elektronik Belge Yönetimi TS ISO/IEC 25051Yazılım Paketleri Belgelendirmesi TS ISO İnsan Sistem Ergonomik Etkileşimi, WCAG kriteri, ISO/IEC 40500, Tsek 194 UYGUNLUK DEĞERLENDİRMESİ: TS ISO/IEC Yazılım Yaşam Döngüsü TS ISO/IEC Sistem Yaşam Döngüsü KRİPTO MODÜL BELGELENDİRMESİ (ISO FIPS 140-2)- 4 SEVİYE TS ISO/IEC 19790, TS ISO/IEC Temel Seviye Güvenlik Belgelendirmesi Saha Güvenlik Belgelendirmesi Qweb Belgelendirmesi Sızma Testi Yapan Personel ve Firmaların Sertifikasyonu Yazılım Geliştirici ve Testçilerin Sertifikasyonu 8
VERDİĞİMİZ SERTİFİKA TÜRLERİ
SİBER GÜVENLİK BELGELENDİRMELERİ
TS ISO/IEC COMMON CRITERIA: BT ÜRÜN GÜVENLİĞİ SERTİFİKASYONU EAL7: HIGH EAL6: HIGH EAL5: MODERATE EAL4: ENHANCED BASIC EAL3: BASIC EAL2: BASIC EAL1: BASIC YÜKSEK ATAK POTANSİYELİ, WHITE BOX TEST, YÜKSEK KALİTE DÜŞÜK ATAK POTANSİYELİ, BLACK BOX TEST, DÜŞÜK KALİTE 11
Ortak Kriterler Değerlendirme Seviyeleri ve Süreleri EAL1: 2-3 ay EAL2: 3-4 ay EAL3: 4-5 ay EAL4: 6-7 ay EAL5: 8-10 ay 12
Ortak Kriterlerde 14 Ürün Grubu: (Yazılım ve/veya donanım) - Erişim Kontrol Cihazları ve Sistemleri - Biometrik Sistemler ve Cihazlar -Sınır Koruma Cihazları ve Sistemleri -Veri Koruma -Veritabanları - T espit Cihazları ve Sistemleri -Akıllı Kartlar-Entegre Devre - Akıllı Kart İşletim Sistemleri - Akıllı Kart Okuyucuları - Anahtar Yönetim Sistemleri - Ağ ve Ağla ilgili Cihazlar ve Sistemler -İşletim Sistemleri -Sayısal İmzalı Ürünler - Güvenilir Hesaplama -Web Uygulamaları HER BİR ÜRÜN GRUBU AYRI UZMANLIK GEREKTİRMEKTE, BU SEBEPLE ÜNİVERSİTELERDEN ve UZMANLARDAN OLUŞAN TOPLAM 22 DIŞ İNCELEME UZMANI HAVUZU OLUŞTURULMUŞTUR. 13
CCRA: Ortak Kriterler Tanıma Anlaşması CCRA: Arrangement on the Recognition of Common Criteria Certificates of IT Security till EAL 4 26 üye ülke Certificate Authorising Member (15 ülke) Certificate Consuming Member (11 ülke)
SERTİFİKA ÜRETİCİLİĞİ & MÜŞTERİLİĞİ 15 SERTİFİKA ÜRETİCİLERİ 1. Türkiye- 3 (2 aday) 1. Türkiye- 3 (2 aday) 2. Almanya Almanya Amerika – 9 3. Amerika – 9 4. İtalya İtalya Fransa – 5 5. Fransa – 5 6. Güney Kore – 5 6. Güney Kore – 5 7. Japonya – 4 7. Japonya – 4 8. Norveç Norveç İngiltere – 3 9. İngiltere – Kanada – Kanada – Avustralya ve Yeni Zelanda – Avustralya ve Yeni Zelanda – İspanya İspanya İsveç İsveç Hollanda – Hollanda – Malezya Malezya Hindistan 16. Hindistan SERTİFİKA MÜŞTERİLERİ 1. Avusturya 1. Avusturya 2. Çek Cumhuriyeti 2. Çek Cumhuriyeti 3. Danimarka 3. Danimarka 4. Finlandiya 4. Finlandiya 5. Yunanistan 5. Yunanistan 6. Macaristan 6. Macaristan 7. İsrail 7. İsrail 8. Singapur 8. Singapur 9. Pakistan 9. Pakistan ADAY: Çin CCRA: Arrangement on the Recognition of Common Criteria Certificates of IT Security
TÜRKİYE- “SERTİFİKA ÜRETİCİSİ- AUTHORISING COUNTRY” TÜRKİYE 17 KASIM 2010`DA ORTAK KRİTERLER KAPSAMINDA “SERTİFİKA ÜRETEN ÜLKE” OLDU. DÜNYADA 15 ÜLKE ARASINA GİRDİ. SERTİFİKALANAN ÜRÜNLER “ULUSLAR ARASI TANINIR GÜVENLİ ÜRÜN” OLDU. (İHRACAT) 16
Onaylı Ortak Kriterler Laboratuvarlarımız 17 LİSANSLI LABORATUVARLARIMIZ: TÜBİTAK BİLGEM OKTEM EPOCHE & ESPRI (İspanya) CYGNACOM (Amerika) ADAY LABORATUVARLAR: APPLUS LGAI (İspanya) BEAM TEKNOLOJİ (Türkiye)
Taşeron BT Laboratuarlarımız TÜBİTAK BİLGEM YTKDM EPOCHE & ESPRI ODTÜ İBE Ayrıca 1 adet Başvuruda Laboratuar mevcuttur: Akıllı Kart Erişim Cihazları Birlikte Çalışabilirlik Laboratuarı (TÜBİTAK BİLGEM UEKAE)
ORTAK KRİTERLER-BELGELENDİRİLEN ÜRÜNLER Ürün geliştiriciÜrün AdıÜrün TanımıGaranti SeviyesiLaboratuvar EGAPKIE-İmza Kök Sertifikası Yazılımı EAL 3+TÜBİTAK BİLGEM OKTEM LABRİS LABRIS Güvenlik Ağ Geçidi Yönetim Merkezi Yazılımı Güvenlik Ağ Geçidi Yönetim Merkezi Yazılımı EAL 4+TÜBİTAK BİLGEM OKTEM TUBİTAK BİLGEM UEKAE AKİS Pasaport V1.0 Akıllı Kart işletim sistemi EAL4+ TÜBİTAK BİLGEM OKTEM TUBİTAK BİLGEM UEKAE ESYA v1.0, ESYA v2.0 PKI EAL4+ TÜBİTAK BİLGEM OKTEM
Ürün geliştiriciÜrün AdıÜrün TanımıGaranti Seviyesi Laboratuvar TUBİTAK BİLGEM UEKAE KKEC v A Akıllı Kart Erişim Cihazı EAL4+ TÜBİTAK BİLGEM OKTEM TUBİTAK BİLGEM UEKAE UKTÜM UKT23T64H v4.0 Akıllı kart tüm devresi EAL5+ TÜBİTAK BİLGEM OKTEM TUBİTAK BİLGEM UEKAE KEC_F PP Akıllı Kart Erişim Cihazı Gömülü Yazılımı Koruma Profili EAL4+ TÜBİTAK BİLGEM OKTEM TUBİTAK BİLGEM UEKAE UKİS V1.2.2 Ulusal Akıllı Kart işletim sistemi ve eID, PKI Uygulamaları EAL4+ TÜBİTAK BİLGEM OKTEM ASELSAN AŞ.VAG v1.0.6EAL 4+ EPOCHE & ESPRİ ORTAK KRİTERLER-BELGELENDİRİLEN ÜRÜNLER
Ürün geliştiriciÜrün AdıÜrün TanımıGaranti Seviyesi Laboratuvar TUBİTAK BİLGEM UEKAE AKİS Pasaport V1.4 N Akıllı Kart işletim sistemi temassız, ICAO 9303 uyumlU EAL4+ TÜBİTAK BİLGEM OKTEM TUBİTAK BİLGEM UEKAE AKİS V1.2.2 I Akıllı kart işletim sistemi EAL4+ TÜBİTAK BİLGEM OKTEM TUBİTAK BİLGEM UEKAE AKİS V1.2.1 N Akıllı kart işletim sistemi EAL4+ TÜBİTAK BİLGEM OKTEM TAMARA USBK Cryptobridge v2.0 Model A101 and Model A103 Veri Koruma Ürünü EAL 2 TÜBİTAK BİLGEM OKTEM ORTAK KRİTERLER-BELGELENDİRİLEN ÜRÜNLER
Ürün geliştiriciÜrün AdıÜrün TanımıGaranti Seviyesi Laboratuvar TUBİTAK BİLGEM UEKAE UEKAE Atik Serisi HSM HSM Flow Control Firmware v2.0 Hardware Security Module Flow Control Firmware EAL 4+ TÜBİTAK BİLGEM OKTEM TUBİTAK BİLGEM UEKAE UKTÜM UKT23T64H v.5.0 Kontaklı Akıllı kart tüm devresi EAL5+ TÜBİTAK BİLGEM OKTEM TUBİTAK BİLGEM UEKAE UKTÜM UKT23T64S v1.0 Kontaklı Akıllı kart tüm devresi EAL5+ TÜBİTAK BİLGEM OKTEM TUBİTAK BİLGEM UEKAE AKiS v1.4i Pasaport Akıllı Kart İşletim Sistemi- (komposit değ.) EAL 4+ TÜBİTAK BİLGEM OKTEM ORTAK KRİTERLER-DEĞERLENDİRMESİ DEVAM EDEN ÜRÜNLER
Ürün geliştiriciÜrün AdıÜrün TanımıGaranti Seviyesi Laboratuvar Labris Tek. Bilişim Ltd. Şti. LABRIS Güvenlik Ağ Geçidi Yönetim Merkezi Yazılımı Güvenlik Ağ Geçidi Yönetim Merkezi Yazılımı EAL 4+ BEAM TEKNOLOJİ SİSOFT Sağlık Bilgi Sistemleri Sisocare (Sisohbys) v2.0 Sisoft HBYSEAL 2 TÜBİTAK BİLGEM OKTEM TUBİTAK BİLGEM UEKAE AKİS V 2.2 I Akıllı kart işletim sistemi- (komposit değ.) EAL4+ TÜBİTAK BİLGEM OKTEM TUBİTAK BİLGEM UEKAE AKİS V 2.2 N Akıllı kart işletim sistemi- (komposit değ.) EAL4+ TÜBİTAK BİLGEM OKTEM NETSAFE NetSafe Management Software EAL 4+ BEAM TEKNOLOJİ NATEK Log Yönetim Yazılımı EAL 3 TÜBİTAK BİLGEM OKTEM ORTAK KRİTERLER-DEĞERLENDİRMESİ DEVAM EDEN ÜRÜNLER
(ISO FIPS 140-2,3) Kripto Modülleri İçin Güvenlik Gereksinimleri (TS ISO/IEC 19790) Kripto Modülleri İçin Test Gereksinimleri (TS ISO/IEC 24759) Kripto Modül/Algoritma Doğrulama Programı (CMVP/CAVP))
19790-Kripto Modülleri İçin Güvenlik Gereksinimleri Güvenlik Seviyesi 1 Güvenlik Seviyesi 2 Güvenlik Seviyesi 3 Güvenlik Seviyesi 4
SCS-Smart Card Security Turkey Consourtium Amaç: SOGIS-MRA ya girmek PAYDAŞLAR: TSE TÜBİTAK İTÜ TOBB ETÜ SABANCI
adet Konferans/Seminer/Çalıştay
SİBER GÜVENLİK EYLEM PLANI Madde 12 için YAPILANLAR TSE «Sorumlu»
ULUSAL SİBER GÜVENLİK STRATEJİSİ VE EYLEM PLANI MADDE 12/a ve 12/b için YAPILANLAR ( , Resmi Gazete) tarihinde TSE YKK ile «Siber Güvenlik Özel Komitesi» kuruldu. Komitede akademisyenler, kamu ve özel sektör uzmanları toplam 30 Dış Uzman var. 28 yeni Konuda Çalışmalara başlanıldı. «Ulusal Koruma Profili Havuzu» Projesi. Mayıs-Ekim toplam 20 adet çalıştay
12. Siber güvenlik konusunda ürünlerin ve hizmet sağlayıcıların akredite edilmesi Kamu kurumları tarafından kullanılan ve siber güvenlik açısından kritik öneme sahip bilgi teknolojileri ve bilgi sistemleri ürünlerinin ve bunların sahip olması gereken asgari güvenlik gereksinimlerinin belirlenmesi ve belgelendirmenin yapılması Ağustos TSE (S) - Ulaştırma, Denizcilik ve Haberleşme Bakanlığı (İ) - TURKAK (İ) - TÜBİTAK (İ) ULUSAL SİBER GÜVENLİK STRATEJİSİ VE EYLEM PLANI MADDE 12/b ve YAPILANLAR
31 Güvenlik Hedefleri BT Güvenlik Gereksinimleri Tehditler Politikalar Varsayımlar Çevre İçin Güvenlik Hedefleri TOE Güvenlik Hedefleri Varlıklar ISO/IEC COMMON CRITERIA: PP-Koruma Profili: Asgari Güvenlik Gereksinimleri Kullanıcı adı, Parola, Şifreleme, Anahtarları, Sertifikalar, Kayıtlar Cihazın korumalı odada kullanılması Kriptanaliz Yetkisiz erişim Araya girme SSL ile haberleşme Bilinçli kullanıcı, Fiziksel güvenli ortam Kimlik doğrulması, Yetkilendirme, Şifreli saklama
DETAYLI GÖRÜŞÜLEN KURUMLAR SAĞLIK BAKANLIĞI Bilişim Sistemleri Genel Müdürlüğü (HBYS, AHBS PPs) BİLİM SANAYİ VE TEKNOLOJİ BAKANLIĞI Metroloji ve Standardizasyon Genel Müdürlüğü (Akıllı Sayaçlar PP) Tübitak Bilgem Uekae (Akıllı Kartlar PPs) MALİYE BAKANLIĞI Gelir İdaresi Başkanlığı (IP Tabanlı Yazar Kasa PP) ÇEVRE VE ŞEHİRCİLİK BAKANLIĞI Coğrafi Bilgi Sistemleri Genel Müdürlüğü (CBS PP) BAŞBAKANLIK Devlet Arşivleri Genel Müdürlüğü (EBYS PP) SGK
2013 YENİ AR-GE PROJELERİ ve ULUSAL KORUMA PROFİLİ HAVUZU PROJESİ 1. Güvenli E-Ticaret Belgelendirmesi* 2. Güvenli HBYS (Hastane Bilgi Yönetim Sistemleri)* Belgelendirmesi 3. Güvenli EBYS Belgelendirmesi* 4. Kart Erişim Cihazları ( KEC) ve EKDS Belgelendirmesi 5. Güvenli Coğrafi Bilgi Sistemleri ( CBS ) Belgelendirmesi* 6. Akıllı Sayaçlar Güvenliği Belgelendirmesi* 7. Site Certification ( Ortak Kriterler Ürün Yaşam Döngüsü Belgesi) TÜM BT ÜRÜNLERİ İÇİN
ULUSAL KORUMA PROFİLİ HAVUZU 8) 1 st Level Security Certification (Bilişim Teknolojileri Ürünleri Temel Seviye Güvenlik Belgelendirmesi-TÜM BT ÜRÜNLERİ İÇİN) 9) E-Kimlik Koruma Profili* 10) GEM Koruma Profili* 11) Mobile ID Koruma Profili* 12) Secure IC Koruma Profili* 13) Embedded OS Koruma Profili* 14) IP Tabanlı Yazar Kasa Belgelendirmesi
ULUSAL KORUMA PROFİLİ HAVUZU 15)Yazılım Geliştiriciler ve Testçiler için Kriterlerin Belirlenmesi* 16) Qweb-Web Sitelerinin Belgelendirmesi 17) Cloud Computing Belgelendirmesi 18) E-Pasaport Koruma Profili 19) E-İmza Koruma Profili 20) E-Ehliyet Koruma Profili 21) BT ürünleri Açıklıkları Kütüphanesi
ULUSAL KORUMA PROFİLİ HAVUZU 22) Sızma Testleri Kriterleri 23) SSL kriterleri 24) Penetrasyon Testi Yapan Firmalar ve Personellerin Belgelendirmesi 25) Biyometrik Ürünler için Koruma Profili 26) Web Servisleri Koruma Profili 27) Web Uygulamaları Koruma Profili 28) Tedarik Zinciri Belgelendirmesi ve Yazılım Test Laboratuvarı
YAZILIM TEST LABORATUVARI Yazılım Fonksiyonel Testleri Yazılım Performans Testleri Yazılım Güvenlik-Sızma Testleri Siyah Kutu Testleri Beyaz Kutu Testleri ISO/IEC Sızma Testleri
ULUSAL SİBER GÜVENLİK STRATEJİSİ VE EYLEM PLANI MADDE 12/a 12. Siber güvenlik konusunda ürünlerin ve hizmet sağlayıcıların akredite edilmesi Bilgi sistemlerinin güvenlik testlerini yapan, siber güvenlik konusunda eğitim ve danışmanlık veren, siber güvenlik konusunda belirlenecek diğer alanlarda hizmet sunan gerçek ve tüzel kişilerde bulunması gereken asgari özelliklerin belirlenmesi ve belgelendirme sürecinin tasarlanması Eylül Ulaştırma, Denizcilik ve Haberleşme Bakanlığı (İ) - TURKAK (İ) - TÜBİTAK (İ) - TSE (İ)
Madde 12/a için Yapılanlar: Sızma Testi (Pen-Test) yapan personel ve firmalar için İdari Kriterler hazırlandı Teknik Kriterler hazırlanmakta 2 adet Çalıştay düzenlendi Sızma Testi yapan personellere Teorik ve Pratik sınav yapabilmek için CTF (Capture the Flag) Laboratuvarı kurulacaktır.
ULUSAL SİBER GÜVENLİK STRATEJİSİ VE EYLEM PLANI MADDE 10 Siber Güvenlik 10 Yazılım Güvenliği Programının Yürütülmesi -Yazılım güvenliği ile ilgili eğitimlerin hazırlanması ve yazılım geliştiricilere verilmeye başlanması Aralık 2013 TÜBİTAK (S) Ulaştırma, Denizcilik ve Haberleşme Bakanlığı (İ) TSE (İ) -Kritik altyapılar için geliştirilen yazılımlar için güvenli yazılım geliştirme temel kurallarının yayımlanması Aralık Kritik altyapılar için geliştirilen yazılımların güvenlik değerlendirmeleri için ilgili kurumların bünyesinde gerekli teknik altyapının kurulmasına yönelik fizibilitenin hazırlanarak Siber Güvenlik Kuruluna sunulması Mart 2014
Siber Güvenlik SORU CEVAP
TEŞEKKÜR EDERİM Mariye Umay AKKAYA TSE Yazılım Test ve Belgelendirme Dairesi Başkan V. ; 42