TEMEL SEVİYE GÜVENLİK BELGELENDİRMESİ v.1.0 (TSGB v.1.0) 25.10.2013 Dr. Gökhan ŞENGÜL.

... konulu sunumlar: "TEMEL SEVİYE GÜVENLİK BELGELENDİRMESİ v.1.0 (TSGB v.1.0) 25.10.2013 Dr. Gökhan ŞENGÜL."— Sunum transkripti:

1 TEMEL SEVİYE GÜVENLİK BELGELENDİRMESİ v.1.0 (TSGB v.1.0) 25.10.2013 Dr. Gökhan ŞENGÜL

2 TSGB Özet TSGB ; Basit, hızlı ve etkin bir güvenlik değerlendirmesini hedefleyen ürün tabanlı bir güvenlik değerlendirme programıdır. Ortak Kriterlerin dezavantajlarını giderecek bir alternatif programdır. Tipik değerlendirme süresi 35 adamgündür. Belgelendirme süresi toplam süresi 8 haftadır. Uzmanlık temeline dayanmaktadır.

3 TARAFLAR BELGELEND İ RME KURULUŞU DE Ğ ERLEND İ RME KURULUŞU ÜRÜN SAH İ B İ ÜRÜN GEL İ ŞT İ R İ C İ S İ

4 Süreç Başvuru Formu ve Değerlendirme Hedefi Değerlendirme Kriptografi Değerlendirmesi KR ? Değerlendirme Teknik Raporu S S Belge İ zleme veya Etki De ğ erlendirme Başvuru Güncelleme S S

5 Temel Dokümanlar Prosedür ◦ TSGB ile ilgili temel kavramların, temel unsurların ve işleyişin açıklandığı dokümandır. Değerlendirme Kriterleri ◦ Değerlendirme aşamaları ve Değerlendiricinin görevlerini açıklayan dokümandır. Değerlendirme Yöntemi ◦ Değerlendirici için değerlendirmenin teknik detaylarını ve DTR nin içeriğini açıklayan dokümandır.

6 Diğer dokümanlar Değerlendirme kuruluşu yetkilendirme dosyası Değerlendirme Başvuru formu Diğer başvuru formları Örnek DTR Örnek DH

7 TSGB Prosedürü Taraflar Başvuru İş Akışı ◦ Başvurunun hazırlaması ◦ Değerlendirme Kuruluşu seçimi ◦ Başvuruyu tamamlama ◦ Başvurunun ön değerlendirmesi Değerlendirme İş Akışı ◦ Değerlendirme ◦ Değerlendirme Teknik Raporu Belgelendirme Güvencenin Devamlılığı Gözetim

8 Güvenlik Hedefi’nin İçeriği Değerlendirilecek ürünün açık ve net bir tanımı Ürünün hangi çalışma bağlamında kimin tarafından kullanılacağının, hangi amaçla tasarlandığının doğal dilde ifade edildiği bir ürün gerekçesi Ürünün çalışması için gereken teknik ortam (donanım yapılandırması, işletim sistemi, izole ağ ortamı vb.) Ürünün koruması gereken hassas varlıklar Ürünün koruma sağladığı tehditler Belirlenmiş tehditlere karşı ürün tarafından sağlanan güvenlik özelikleri

9 De ğ erlendirme Yöntemi Güvenlik Hedefi Analizi Ürünün kurulumu Ürün testi Dokümanların analizi Kaynak kod incelemesi Mekanizmaların/fonksiyonların direnci Açıklık analizi Kullanım kolaylığı analizi Geliştirici Görüşmesi

10 Değerlendirme Kriteri Fonksiyonlar ◦ Güvenlik Hedefi ◦ Tehditlerin Tanımı ◦ … Kriterler ◦ Analizler  Dokümanların Analizi  Güvenlik Hedefi Analizi  Açıklık Analizi  …. Değerlendirici Sonuçları ◦ DTR

11 TSGB – Ortak Kriterler Karşılaştırması ÖzellikOrtak KriterlerTSGB Güvenlik Seviyesi71 İş Yükü/süresi35 adamgün>3 ay Geliştirici görüşmesiGerekliZorunlu değil

12 Öneriler ve Tartışma Ortak Kriterlere göre daha az maliyetli ve daha hızlı olması nedeniyle TSGB tercih edilebilir. TSGB güvenlik belgelendirmesi konusunda başlangıç olabilir... ◦ Güvenlik belgelendirmesi konusunda farkındalık oluşturulması... ◦ Ortak kriterlere hazırlık... Tek bir güvence seviyesi bulunması – güvenlik seviyesi algısı

13 SORULAR ???