SAHA GÜVENLİK BELGELENDİRMESİ Dr. Gökhan ŞENGÜL
Amaç ve Kapsam Ortak Kriterler ◦ yaşam döngüsü, geliştirme araçları ve geliştirme ortamının güvenliğini sorgular Bu nedenle geliştirme ortamlarının ziyareti gereklidir.... Amaç: ◦ Ortak kriterler belgelendirmesine tabi olacak ürünlerin geliştirildikleri sahaların belgelendirmesini sağlamak.
Amaç ve Kapsam Amaç: ◦ Ortak kriterler belgelendirmesine tabi olacak ürünlerin geliştirildikleri sahaların belgelendirmesini sağlamak. Zaman ve maliyetten tasarruf Kapsam ◦ Geliştirme ortamı (development enviroment) – geliştirmenin yapıldığı tüm ortam ◦ Saha (Site) – Geliştirme ortamının bir bölümü
Saha Güvenlik Belgelendirmesi Kapsam ◦ Ortak Kriterler belgelendirmesine tabi olacak ürünlerin geliştirildikleri yerleşkelerin değerlendirilmesi ve belgelendirmesiyle ilgili süreçleri, kriterleri ve medolojiyi tanımlamak. ◦ Yerleşkelerin herhangi bir TOE’ye bağlı olmaksızın değerlendirilmesi/belgelendirmesinin modüler bir yapıda gerçekleştirilmesini mümkün kılmak. ◦ Söz konusu belgelendirme sürecinin sonuçları daha sonra bir Ortak Kriterler ürün değerlendirmesinde yeniden kullanılabilir. ◦ ALC ile ilgili hususların yeniden kullanılabilir değerlendirmelerini sağlamak…
Saha Güvenlik Belgelendirmesi Temel Yaklaşım ◦ ALC sınıfı ile ilişkili CC gereksinimlerinin belirli bir geliştirme ortamı tarafından karşılandığını doğrulamak için TOE’den bağımsız CC belgelendirmesi yaklaşımı. ◦ Bir TOE değerlendirmesinde “Saha Güvenlik Belgelendirmesi”nin yeniden kullanımını sağlayarak zaman ve maaliyetten tasarruf edilmesi yaklaşım. ◦ Asgari Saha Güvenlik Gereksinimleri : ◦ ALC_CMC.3 (CM System, Authorisation, CM Plan) ◦ ALC_CMS.3 (Conf. List) ◦ ALC_DVS.1 (Dev. Sec.) ◦ ALC_LCD.1 (Life-Cycle Def. )
Saha Güvenlik Belgelendirmesi Bölüm 1 – Giriş Bölüm 2 – Teorik İçerik Bölüm 3 – Temel Kavramlar Bölüm 4 – Yerleşke Güvenlik Hedefi (Site Security Target) Bölüm 5 - Yerleşke Belgelendirmesi Bağlamında CC ALC Gereksinimleri Bölüm 6 – Süreç Tanımı Bölüm 7 - Güvence Gereksinimlerini ve Yerleşke Güvenlik Hedefleri’nin Değerlendirilmesi için Gerekli Olan CC AST Sınıfı ile İlgili Metodoloji Bölüm 8 – Terimler Bölüm 9 - Kısaltmalar
Saha Güvenlik Belgelendirmesi
Saha Güvenlik Hedefi (SST: site security target) İçeriği Yeni bir Sınıf tanımlanıyor : AST_X SST-Giriş (AST_INT) Uygunluk Beyanı (AST_CCL) Güvenlik Problemi Tanımı (AST_SPD) Geliştirme ortamı için Güvenlik Hedefleri (AST_OBJ) Ek Bileşenler Tanımı (AST_ECD) Güvenlik Gereksinimleri (AST_REQ) Yerleşke Özet Spesifikasyonu (AST_SSS)
Süreç Tanımları Saha Güvenlik Belgelendirmesi Sürecinin amaçları ve temel yetenekleri temel alınarak; söz konusu süreç bağımsız üç prosedüre bölünebilir: ◦ “Saha Güvenlik Belgelendirmesi” prosedürü Bir geliştirme ortamına ya da geliştirme ortamının bir bölümüne “Saha Güvenlik Belgesi”nin verilebilmesi için yapılması zorunlu olan tüm adımları içerir. ◦ “Birleştirme” Prosedürü B ir yaşam döngüsünün belgelendirilmiş ve/veya belgelendirilmemiş tüm bölümlerinin daha büyük bir varlığın oluşturulması için kullanılması prosedürünü ifade eder. ◦ “Saha Güvenlik Belgelendirmelerinin Birleştirilmesi” Prosedürü Prosedürünün amacı, belirli bir TOE değerlendirmesi için belgelendirilmiş ALC materyallerinin yeniden kullanılmasını sağlamaktır.
Saha Güvenlik Belgelendirmesi Prosedürü
Öneriler ve Tartışma Saha Güvenlik Belgelendirmesi’nin temel amacı, birçok ürünün geliştirilmesinde görev alan yerleşkelerin güvenlik belgelendirmesini yapmak ve bu değerlendirme sonuçlarını kullanarak farklı TOE değerlendirme süreçlerini maliyet ve zaman bakımından kolaylaştırmaktır. Temel prosedür yerleşke güvenlik hedefi (SST: Site Security Target) dokümanının hazırlanmasına dayanmaktadır. Saha Güvenlik Belgelendirmesi’nin yaygınlaştırılmasının Ortak Kriterler’in yaygınlaştırılmasına fayda sağlayacaktır...
SORULAR ???