TÜRK STANDARDLARI ENSTİTÜSÜ
SİBER GÜVENLİK EYLEM PLANI VE SİBER
GÜVENLİK BELGELENDİRMELERİ
Mariye Umay AKKAYA
TÜRK STANDARDLARI ENSTİTÜSÜ
25 Ekim 2013, İstanbul
Yazılım Test ve Belgelendirme Dairesi
Başkanlığı
1
ORGANİZASYON YAPISI (Siber Güvenlik ile ilgili biriminizin
Organizasyon Yapısındaki Yeri)
Siber Güvenlik
ORGANİZASYON YAPISI
YAZILIM TEST VE BELGELENDİRME DAİRE
BAŞKANLIĞI (Mayıs 2013)
–Yazılım Belgelendirme Müdürlüğü
–Yazılım Test Müdürlüğü
TSE
BİLİŞİM TEKNOLOJİLERİ STANDARTLARI
ve
BELGELENDİRMELERİ
TS 13298-ELEKTRONİK BELGE YÖNETİMİ,
ISO 25051YAZILIM PAKETLERİ SERTİFİKASYONLARI
5
YAZILIM SÜREÇLERİ
SERTİFİKASYONLARI-SPICE
(ISO CMMI)
6
26 ülkede geçerli-BT Ürün GüvenliğiOrtak Kriterler SertifikasyonuCommon Criteria
7
Kripto Algoritma ve Modül
Sertifikasyonları (ISO FIPS 140-2)
8
TSE -BİLİŞİM TEKNOLOJİSİ
BELGELENDİRMELERİ
• ORTAK KRİTERLER (Bilgi Teknolojisi Ürünleri
Güvenliği Belgelendirmesi)
• SPICE (Yazılım Süreç Belgelendirmesi)
• BİLİŞİM TEKNOLOJİSİ (Yazılım
Belgelendirmesi)
• 12207-15288-Yazılım Süreç Değ. Uygunluğu
• KRİPTO MODÜLLERİ BELGELENDİRMESİ
BİLGİ TEKNOLOJİLERİ ve
GÜVENLİĞİ BELGELENDİRMELERİ
ORTAK KRİTERLER:
•
TS ISO/IEC 15408 serisi BT ürünlerinin güvenliği için değerlendirme kriterleri
(Ortak Kriterler)
SPICE:
• TS ISO 15504-SPICE Yazılım Süreç Değerlendirilmesi (ISO CMMI)
BİLİŞİM TEKNOLOJİSİ:
• TS 13298 Elektronik Belge Yönetimi-ZORUNLU
• TS ISO/IEC 25051Yazılım Paketleri Belgelendirmesi
• TS ISO 9241-151, ISO 40500, WCAG, TSEK 194 Web Sayfalarının
Belgelendirmesi-Kullanılabilirlik ve Erişilebilirlik-ZORUNLU OLACAK
UYGUNLUK DEĞERLENDİRMESİ:
• TS ISO/IEC 12207 Yazılım Yaşam Döngüsü
• TS ISO/IEC 15288 Sistem Yaşam Döngüsü
KRİPTO MODÜL BELGELENDİRMESİ (ISO FIPS 140-2)
• TS ISO/IEC 19790, TS ISO/IEC 24759
-Temel Seviye Güvenlik Belgelendirmesi
-Saha Güvenlik Belgelendirmesi
-Qweb Belgelendirmesi
10
Onaylı Ortak Kriterler
Laboratuvarlarımız
LİSANSLI LABORATUVARLARIMIZ:
• TÜBİTAK BİLGEM SGE OKTEM
• EPOCHE & ESPRI (İspanya)
• CYGNACOM (Amerika)
ADAY LABORATUVARLARIMIZ
• APPLUS LGAI (İspanya)
• BEAM TEKNOLOJİ (Türkiye)
11
Taşeron BT Laboratuarlarımız
• TÜBİTAK BİLGEM BTE
• EPOCHE & ESPRI
• ODTÜ İBE
Ayrıca
1 adet Başvuruda Laboratuar mevcuttur:
• Akıllı Kart Erişim Cihazları Birlikte Çalışabilirlik
Laboratuarı (TÜBİTAK BİLGEM UEKAE)
VERDİĞİMİZ SERTİFİKA
TÜRLERİ
SİBER SAVAŞLAR
ve
ÖNLEM: SERTİFİKASYON
Siber Güvenlik Kavramları
•
•
•
•
•
Siber Güvenlik
Siber Savaş (2007 Estonya)
Siber Ordu, Siber Bakan (ABD)
Siber Terorizm (Rusya-Gürcistan)
Siber Casusluk (Dünyadaki yıllık kayıp
1 trilyon $)
• Siber Silah
Siber Savaşların Tanımı
Ekonomik, politik, askeri veya psikolojik amaçlar için, hedef seçilen
ülkeye yönelik bilgi ve iletişim sistemleri üzerinden gerçekleştirilen
organize saldırılar bütünü “Siber Savaş” olarak tanımlanmaktadır.
Hedef
Sivil ve/veya Askeri Kritik
Bilgi Sistem Altyapıları
Kritik Altyapılar
Siber Savaşların Özellikleri
•
•
•
•
•
Tek Başına Uygulanabilir
Silahlı Savaşlara Destek Olarak Uygulanabilir
Yüksek Etki
Düşük Maliyet
Saldırı Kaynağının Bulunması Oldukça Zor
Yüksek Etki
Gizlilik
Askeri Jet Üssü
Siber Silah Tesisi ?
Siber Savunma ve Saldırı Yöntemleri
Siber Saldırı Yöntemleri
• DDoS (Servis Dışı Bırakma Saldırıları)
• Kötücül Yazılımlar (virüs, trojan, solucan vb.)
• Spam email, Phishing, Sniffing/Monitoring
Siber Savunma Yöntemleri
• Antivirüs Yazılımları,
• Güvenlik Duvarları,
• Saldırı Tespit ve Önleme Sistemleri
• Kripto cihazları
• Diğer
DÜNYADAKİ Siber Savaş Örnekleri
• Estonya Örneği 2007
Süre
: 20 gün
Bot bilgisayar : 1 milyondan fazla
Saldırı Maliyeti : Yaklaşık 100000 $
Etki
: Web tabanlı kritik hizmetlerin engellenmesi,
ülkede kısmi kaos ve panik.
Kaynak
: Rusya
DÜNYADAKİ Siber Savaş Örnekleri
• Gürcistan Örneği 2008
Etki: Devlet web sayfalarının ele
geçirilmesi, Halkta psikolojik etki,
Dezenformasyon, Silahlı savaşa destek,
Kaynak: Rusya
DÜNYADA Siber Savaşın Kritik Altyapılara Etkisi
• Brezilya Örneği, 2007
- Itaipu hidroelektrik santralı elektrik üretimi kesilmiştir,
- Ülkenin yarısı elektriksiz kalmıştır.
DÜNYADA Siber Casusluk
• Dünyadaki yıllık kayıp 1 trilyon $
• “Titan Yağmuru” Saldırısı(2004)
-Hedef: ABD Devletine ait kurumlar (NASA,
Savunma Bakanlığı vb. )
-Araç: Scanner programı (zararlı yazılım, trojan)
-Kaynak: G.Kore, Hong Kong ve Tayvan
üzerinden ÇİN
-Zarar: Sadece DoD’den 10-20 TeraByte,
Helikopter Görev Planlama Yazılımı, Mars Keşif
Aracı Tasarım dokümanları…
Dünyada Siber Savunma Konusundaki Çalışmalar
• NATO’nun Siber Savaşa Bakış Açısı
- Lizbon Zirvesi, Kasım 2010
Ana konu olarak; Balistik Füzeler ve Siber Saldırılar
“Ülkelerin silahlı kuvvetleri, istihbarat servisleri,
organize suç örgütleri, teröristler veya bazı radikal
gruplar saldırı kaynağı” olarak görmektedir.
NCIRC 2012’de tam operasyonel (FOC) hale getirmek
- NATO Müşterek Siber Savunma Mükemmeliyet Merkezi
Dünyada Siber Savunma Konusundaki Çalışmalar
• ABD
- Güvenli Siber Ortam Ulusal Stratejisi (Şubat 2003)
Kritik altyapıların korunması gerekliliği
Ulusal Siber Ortam Güvenliği Müdahale Sistemi kurulması
Eğitim, Bilinçlendirme, Uluslar arası İşbirliği vb.
- Ulusal Siber Güvenlik Birimi (İçişleri Bakanlığı)
- Başkan’a doğrudan bağlı Siber Güvenlik Koordinatörü
- Siber saldırıların savaş nedeni sayılması (Mayıs 2011)
- Siber ortam; kara, deniz, hava ve uzay ortamından sonra
5. savaş ortamı.
Dünyada Siber Savunma Konusundaki Çalışmalar (ABD)
Siber Komutanlık;
 Mayıs 2010
 Orgeneral seviyesinde ve her K.K.lığından katılım
 Görevleri:
• Savunma Bakanlığı’nın bilgi ağının korunması,
• Savunma Bakanlığı’nın askeri harekâtlarına destek,
• Askerî siber ortam harekâtlarına hazırlık yapmak ve gerektiğinde
bu harekâtları yönetmek,
•ABD ve müttefiklerinin siber ortamda serbest bir şekilde faaliyet
göstermesi
•ABD düşmanlarının siber ortamda faaliyet göstermesinin
engellenmesi amaçlarına yönelik aktiviteleri planlama, koordine
etme, entegre olma, senkronize etme ve yönetmektir.
Ülkelerin Ulusal Siber Güvenlik Kurumlarının Statüsü
ABD
İNGİLTERE
RUSYA
ÇİN
İÇİŞLERİ
BAKANLIĞI
İSTİHBARAT
ÖRGÜTÜ
İSTİHBARAT
ÖRGÜTÜ
BİLGİ ENDÜSTRİSİ
BAKANLIĞI
ALMANYA
JAPONYA
FRANSA
G.KORE
İÇİŞLERİ
BAKANLIĞI
BAŞBAKANLIK
SAVUNMA
BAKANLIĞI
İSTİHBARAT
ÖRGÜTÜ
Bünyesinde Siber Ordu veya Siber Saldırı Birimi Bulunan Ülkeler
Siber Savunma Pazarı ve Saldırı Ürünleri
Dünya Genelindeki Botnetleri Yöneten Bilgisayarlar (Ocak 2011)
TÜRKİYE’deki Siber Savunma Konusundaki Çalışmalar
Ulusal Sanal Ortam Güvenlik Politikası
(2009)
Avrupa Konseyi Siber Suç Sözleşmesi
Bilgi Toplumu Stratejisi 2006-2010
TÜBİTAK BİLGEM
Ortak Kriterler Standardı Uygulamaları
Siber Güvenlik Tatbikatları
Milli Güvenlik Kurulu Seviyesinde Ele Alma
(Ekim 2010)
2012-2013: Ulaştırma Bakanlığı Siber
Güvenlik Kurulu 2013-2014 Siber Güvenlik
Eylem Planı
Türkiye’deki Yetenekler
•
•
•
•
Kripto Cihazları
Saldırı Tespit ve Önleme Sistemleri
Güvenlik Duvarları
Bilgi Güvenliği Sertifikasyonları
SİBER GÜVENLİK
BELGELENDİRMELERİ
kapsamı
• Ağ Güvenliği
• Sistem Güvenliği
• Ürün Güvenliği
– ISO/IEC 15408: BT Ürünleri Güvenlik
Sertifikasyonu
– ISO/IEC 19790 ve 24759:Kripto Modul
Sertifikasyonu
• Bilgi Güvenliği Yönetim Sistemi
(ISO/IEC 27001)
….
•
•
•
•
•
SİBER GÜVENLİK STANDARTLARI
TEST VE ULUSLAR ARASI SERTİFİKASYONLAR
TS ISO/IEC 15408-COMMON CRITERIA: BT
ÜRÜN GÜVENLİĞİ SERTİFİKASYONU
TS ISO/IEC 19790 ve 24759: KRİPTO MODÜL
ve ALGORİTMA SERTİFİKASYONU
SITE SECURITY CERTIFICATION
1.ST LEVEL SECURITY CERTIFICATION
TS ISO/IEC 27001: BİLGİ GÜVENLİĞİ YÖNETİM
SİSTEMİ SERTİFİKASYONU
Siber Güvenlik
Siber Savaşlar
ve
Önlem: Ortak Kriterler
37
Ortak Kriterler Nedir?
TS ISO/IEC 15408
• BİLİŞİM TEKNOLOJİSİ ÜRÜNLERİ
İÇİN GELİŞTİRİLMİŞ GÜVENLİK
DEĞERLENDİRME
STANDARDIDIR.
• ISO/IEC 15408 ve ISO/IEC 18045
STANDARTLARIDIR.
38
Ortak Kriterler Standardı
Tarihçesi
39
CC DÜNYA TARİHÇESİ
40
CCRA: Ortak Kriterler Tanıma
Anlaşması
CCRA: Arrangement on the Recognition of
Common Criteria Certificates of IT Security till
EAL 4
26 üye ülke
• Certificate Authorising Member (15 ülke)
• Certificate Consuming Member (11 ülke)
SERTİFİKA ÜRETİCİLİĞİ & MÜŞTERİLİĞİ
CCRA: Arrangement on the Recognition of Common Criteria Certificates of IT Security
SERTİFİKA ÜRETİCİLERİ
1. Türkiye- 3 (2 aday)
2. Almanya - 12
3. Amerika – 9
4. İtalya - 6
5. Fransa – 5
6. Güney Kore – 5
7. Japonya – 4
8. Norveç - 4
9. İngiltere – 3
10. Kanada – 3
11. Avustralya ve Yeni Zelanda – 3
12. İspanya - 3
13. İsveç - 2
14. Hollanda – 1
15. Malezya-2
16. Hindistan
SERTİFİKA MÜŞTERİLERİ
1. Avusturya
2. Çek Cumhuriyeti
3. Danimarka
4. Finlandiya
5. Yunanistan
6. Macaristan
7. İsrail
8. Singapur
9. Pakistan
ADAY: Çin
42
TÜRKİYE`DE ORTAK KRİTERLER
TSE-ORTAK KRİTERLER BELGELENDİRME SİSTEMİ
(OKBS) 1/3
• Türk Standardları Enstitüsü Türkiyenin milli çok kapsamlı
standardizasyon ve sertifikasyon kuruluşudur ve birçok konuda ulusal ve
uluslar arası akreditasyona sahiptir.
• KYS (ISO 9001), BGYS (ISO 27001), Ürün Belgelendirme (ISO 45011)
vs. TSE`de bu uluslar arası akreditasyon konularında belgelendirme
yapılmaktadır.
• Türk Ortak Kriterler Belgelendirme Sistemi Tarihçesi ve Başarı
Adımları……
43
TSE OKBS TARİHÇESİ 2/3
• Türkiye`de Ortak Kriterler programı ilk defa 2001 yılında Genel Kurmay
Başkanlığı(TGS) tarafından Türk Silahlı Kuvvetleri için başlatıldı.
• Türkiye’nin belgelendirme kuruluşu olarak TSE, 2003 yılında CCRA’ya
imzaladığı anlaşma ile “Sertifika Müşterisi” olarak üye olmuştur.
• Türkiye`de ilk Kamu Ortak Kriterler Değerlendirme Laboratuarı 2003’te
TUBİTAK
UEKAE
bünyesinde
Ortak
Kriterler
Test
Merkezi(OKTEM) adı altında bağımsız olarak çalışmalarına başladı.
44
TSE OKBS TARİHÇESİ 3/3
• Ortak Kriterler Belgelendirme Sistemi(OKBS) 2005 yılında TSE Ürün
Belgelendirme Merkezi altında kuruldu.
• TSE, 2008 yılında CCRA’da yapılan düzenleme gereğince “Sertifika
Üreten Ülke – Authorizing Country” olmak için başvuruda bulundu.
• 12-16 Nisan 2010 tarihleri arasında TSE OKBS, CCRA tarafından yapılan
Uluslar arası Tetkikten (Shadow Assesment) “Başarı” ile geçti.
• 17 Kasım 2010 tarihinde Türkiye`nin “Sertifika Üreten Ülke –
Authorizing Country” olarak resmi duyurusu yapıldı.
45
TÜRKİYE- “SERTİFİKA ÜRETİCİSİ”
• TÜRKİYE 17 KASIM 2010`DA ORTAK KRİTERLER
KAPSAMINDA “SERTİFİKA ÜRETEN ÜLKE”
OLDU.
• DÜNYADA 15 ÜLKE ARASINA GİRDİ.
• SERTİFİKALANAN ÜRÜNLER “ULUSLAR ARASI
TANINIR GÜVENLİ ÜRÜN” OLDU.
46
Ortak Kriterler Standardı : Genel
Bilgiler ve Kavramlar
• Tüketici
(Consumer)
BİLİNÇLİ
• Ürün geliştirici
(Developer)
• Değerlendirici
(Evaluator)
47
Sertifikasyon
Makamı
DEĞERLENDİRME ve BELGELENDİRME
PROSESLERİ- TARAFLAR
TURKISH STANDARDS INSTITUTION
CCCS
48
• OKBS- OKDL ve Üretici arasındaki hiyerarşi şekildeki
gibidir.
• Ortak Kriterler Belgelendirme Sistemi (OKBS) üretici/sponsor
ve Ortak Kriterler Test Laboratuarları arasındaki
koordinasyonu sağlar.
• TSE OKBS; TÜRKAK`tan TS EN ISO/IEC 17025
akreditasyonu almış ve TSE`ye başvurmuş Ortak Kriterler
laboratuarlarını (OKDL) lisanslar.
49
Ortak Kriterler Standardı
Ürün İçin….
• GİZLİLİK(Confidentiality)
• BÜTÜNLÜK(Integrity)
• KULLANILABİLİRLİK(Availability)
kontrollerini gerçekleştirir.
50
Ortak Kriterler Standardı
Ne Yapar?
• TASARIM SÜRECİNİ SORGULAR.
• TESLİM & KURULUM SÜRECİNİ SORGULAR.
• TASARIM DOKÜMANLARININ İÇERİK YETERLİLİĞİNİ
SORGULAR.
• KAYNAK KODU SORGULAR.
• KILAVUZ DOKÜMANLARI SORGULAR.
• YAŞAM DÖNGÜSÜ MODELİNİ SORGULAR.
• GELİŞTİRME ARAÇLARINI SORGULAR.
• GELİŞTİRME ORTAMININ GÜVENLİĞİNİ SORGULAR.
• TEST DOKÜMANLARINI SORGULAR(Fonksiyonel, Bağımsız ve
Sızma Testleri).
51
TS ISO/IEC 15408-Ortak
Kriterler Ne Sağlar?
• BİLİŞİM TEKNOLOJİSİ
ÜRÜNLERİ İÇİN
GELİŞTİRİLMİŞ GÜVENLİK
DEĞERLENDİRME
STANDARDIDIR.
• Geliştiriciyi, Üründeki ve
Sistemdeki olası GÜVENLİK
ZAYIFLIKLARINI minimuma
düşürecek bir METODOLOJİYE
uymaya ZORLAR.
52
BT-Ortak Kriterlerde 14 Ürün Grubu:
(Yazılım ve/veya donanım)
- Erişim Kontrol Cihazları ve Sistemleri
- Biometrik Sistemler ve Cihazlar
- Sınır Koruma Cihazları ve Sistemleri
- Veri Koruma
- Veritabanları
- Tespit Cihazları ve Sistemleri
- Akıllı Kartlar-Entegre Devre
- Akıllı Kart İşletim Sistemleri
- Akıllı Kart Okuyucuları
- Anahtar Yönetim Sistemleri
- Ağ ve Ağla ilgili Cihazlar ve Sistemler
-İşletim Sistemleri
- Sayısal İmzalı Ürünler
- Güvenilir Hesaplama
HER BİR ÜRÜN GRUBU AYRI UZMANLIK GEREKTİRMEKTE, BU
SEBEPLE ÜNİVERSİTELERDEN ve ÖZEL VE KAMUDAN TOPLAM
22 DIŞ İNCELEME UZMANI HAVUZU OLUŞTURULMUŞTUR.
53
Ortak Kriterlerde Bazı Ürün
Gruplarımız
TS ISO/IEC 15408-Ortak Kriterler
Ne Sağlar?
• Özetle, BT ürününün yeterli bir geliştirme
ortamında gerçeklenip gerçeklenmediğini
kontrol eder, var olan tehditleri analiz eder,
Fonksiyonel, Bağımsız ve Sızma testleri
(Açıklık Analizi çalışması) yapar ve ürüne
uygun garanti seviyesini verir.
• 7 Güvenlik Seviyesi vardır. (EAL)
55
ORTAK KRİTERLER GÜVENLİK SEVİYELERİ
7 Garanti Seviyesi
• Ortak Kriterler tanımlanmış, garanti seviyesi gittikçe artan ve
Değerlendirme Garanti Seviyesi (EAL) olarak bilinen 7 adet
Güvenlik Seviyesi (garanti paketi)sağlamaktadır:
•
•
•
•
•
•
•
EAL 1
EAL 2
EAL 3
EAL 4
EAL 5
EAL 6
EAL 7
56
EAL PAKETLERİ ARASI FARKLAR
GELİŞTİRME FAZI TEMELLİ:
YÜKSEK KALİTE
•
•
•
•
•
•
•
EAL7:
EAL6:
EAL5:
EAL4:
EAL3:
EAL2:
EAL1:
DÜŞÜK KALİTE
TASNİF DIŞI
57
EAL PAKETLERİ ARASI FARKLAR
DEĞERLENDİRME FAZI TEMELLİ:
WHITE BOX TEST
•
•
•
•
•
•
•
EAL7:
EAL6:
EAL5:
EAL4:
EAL3:
EAL2:
EAL1:
BLACK BOX TEST
TASNİF DIŞI
58
EAL PAKETLERİ ARASI FARKLAR
İŞLETİM FAZI TEMELLİ:
YÜKSEK ATAK POTANSİYELİ, WHITE BOX TEST, YÜKSEK KALİTE
•
•
•
•
•
•
•
EAL7: HIGH
EAL6: HIGH
EAL5: MODERATE
EAL4: ENHANCED BASIC
EAL3: BASIC
EAL2: BASIC
EAL1: BASIC
DÜŞÜK ATAK POTANSİYELİ, BLACK BOX TEST, DÜŞÜK KALİTE
59
Ortak Kriterler Değerlendirme
Seviyeleri ve Süreleri
• EAL1: 2-3 ay
• EAL2: 3-4 ay
• EAL3: 4-5 ay
• EAL4: 6-7 ay
• EAL5: 8-10 ay
60
EAL Seviyelerine göre BT Ürünleri
(1997-2012)
600
536
EAL1
500
EAL1+
EAL2
400
EAL2+
EAL3
EAL3+
300
EAL4
208
200
215
172
EAL4+
171
EAL5
174
EAL5+
110
100
33
EAL6
30
EAL6+
0
EAL7
12
0
7
Garanti Seviyesine Göre Sertifikalı Ürünlerin Dağılımı (1997-2012)
2
2
EAL7+
BT Ürün Kategorilerine Göre
(1997-2012) Toplam = 1672
Kategorilerine Göre PP Dağılımı (1997-2012)
Toplam = 221
ORTAK KRİTERLER-BELGELENDİRİLEN ÜRÜNLER
Ürün geliştirici
Ürün Adı
Ürün Tanımı
Garanti Seviyesi Laboratuvar
EGA
PKI
EAL 3+
TÜBİTAK
BİLGEM OKTEM
LABRİS
LABRIS
Güvenlik Ağ
Geçidi Yönetim
Merkezi Yazılımı
E-İmza Kök
Sertifikası
Yazılımı
Güvenlik Ağ
Geçidi Yönetim
Merkezi Yazılımı
EAL 4+
TÜBİTAK
BİLGEM OKTEM
TUBİTAK
BİLGEM UEKAE
AKİS Pasaport
Akıllı Kart
V1.0
işletim sistemi
TUBİTAK
BİLGEM UEKAE
ESYA v1.0
PKI
EAL4+
TÜBİTAK
BİLGEM OKTEM
EAL4+
TÜBİTAK
BİLGEM OKTEM
ORTAK KRİTERLER-BELGELENDİRİLEN ÜRÜNLER
Ürün geliştirici
Ürün Adı
Ürün Tanımı
TUBİTAK
BİLGEM UEKAE
KKEC
v1.41.06A
Akıllı Kart
Erişim Cihazı
EAL4+
TÜBİTAK
BİLGEM OKTEM
TUBİTAK
BİLGEM UEKAE
UKTÜM
UKT23T64H
v4.0
Akıllı kart
tüm devresi
EAL5+
TÜBİTAK
BİLGEM OKTEM
EAL4+
TÜBİTAK
BİLGEM OKTEM
EAL4+
TÜBİTAK
BİLGEM OKTEM
EAL 4+
EPOCHE &
ESPRİ
TUBİTAK
BİLGEM
UEKAE
KEC_F PP
TUBİTAK
BİLGEM UEKAE
UKİS V1.2.2
ASELSAN AŞ.
VAG v1.0.6
Akıllı Kart
Erişim Cihazı
Gömülü Yazılımı
Koruma Profili
Ulusal Akıllı
Kart işletim
sistemi ve eID,
PKI
Uygulamaları
Garanti
Seviyesi
Laboratuvar
ORTAK KRİTERLER-BELGELENDİRİLEN ÜRÜNLER
Ürün geliştirici
TUBİTAK
BİLGEM UEKAE
TUBİTAK
BİLGEM UEKAE
TUBİTAK
BİLGEM UEKAE
TAMARA
Ürün Adı
Ürün Tanımı
Akıllı Kart
AKİS
işletim sistemi
Pasaport V1.4 N temassız, ICAO
9303 uyumlU
Akıllı kart
AKİS V1.2.2 I işletim sistemi
AKİS V1.2.1
N
USBK
Cryptobridge
v2.0 Model
A101 and
Model A103
Akıllı kart
işletim sistemi
Veri Koruma
Ürünü
Garanti
Seviyesi
Laboratuvar
EAL4+
TÜBİTAK
BİLGEM OKTEM
EAL4+
TÜBİTAK
BİLGEM OKTEM
EAL4+
TÜBİTAK
BİLGEM OKTEM
EAL 2
TÜBİTAK
BİLGEM OKTEM
ORTAK KRİTERLER-DEĞERLENDİRMESİ DEVAM
EDEN ÜRÜNLER
Ürün geliştirici
Ürün Adı
Ürün Tanımı
UEKAE Atik
TUBİTAK
Serisi HSM HSM
BİLGEM UEKAE Flow Control
Firmware v2.0
UKTÜM
TUBİTAK
UKT23T64H
BİLGEM UEKAE
v.5.0
Hardware
Security Module
Flow Control
Firmware
Kontaklı
Akıllı kart tüm
devresi
Kontaklı
TUBİTAK
UKTÜM
Akıllı kart tüm
BİLGEM UEKAE UKT23T64S v1.0
devresi
TUBİTAK
AKiS v1.4i
BİLGEM UEKAE Pasaport
Akıllı Kart
İşletim Sistemi(komposit değ.)
Garanti
Seviyesi
Laboratuvar
EAL 4+
TÜBİTAK
BİLGEM OKTEM
EAL5+
TÜBİTAK
BİLGEM OKTEM
EAL5+
TÜBİTAK
BİLGEM OKTEM
EAL 4+
TÜBİTAK
BİLGEM OKTEM
ORTAK KRİTERLER-DEĞERLENDİRMESİ DEVAM
EDEN ÜRÜNLER
Ürün geliştirici
Ürün Adı
Ürün Tanımı
LABRIS
Güvenlik Ağ
Labris Tek.
Güvenlik Ağ
Geçidi Yönetim
Bilişim Ltd. Şti. Geçidi Yönetim Merkezi Yazılımı
Merkezi Yazılımı
Sisocare
SİSOFT Sağlık
(Sisohbys)
Sisoft HBYS
Bilgi Sistemleri
v2.0
Akıllı kart
TUBİTAK
AKİS V 2.2 I işletim sistemiBİLGEM UEKAE
(komposit değ.)
Akıllı kart
TUBİTAK
AKİS V 2.2 N işletim sistemiBİLGEM UEKAE
(komposit değ.)
NetSafe
NETSAFE
Management
Software
Garanti
Seviyesi
Laboratuvar
EAL 4+
BEAM
TEKNOLOJİ
EAL 2
TÜBİTAK
BİLGEM OKTEM
EAL4+
TÜBİTAK
BİLGEM OKTEM
EAL4+
EAL 4+
TÜBİTAK
BİLGEM OKTEM
BEAM
TEKNOLOJİ
EAL Seviyelerine Göre Yüzdeler
Page 69
Ürün Gruplarına göre Yüzdeler
Ürün Grupları
Other Product Categories
45%
Smart Cards and Related
Devices
55%
Page 70
TSE OKBS 2013-SON DURUM
•
•
•
•
•
17 ürün sertifikalandırılmış,
2 PP sertifikalı, 1 PP değerlendirmede
15 ürün değerlendirmede
15 PP geliştirilmekte.
Sertifika üreten ülkelerin değerlendirip,
sertifikalandırdığı ürünler “Uluslar arası geçerli
Güvenli BT Ürünü” olmakta ve
www.commoncriteriaportal.org adresinde
yayınlanmaktadırlar.
• 3 adet Lisanslı CC lab. mevcut.
• 2 adet Aday CC lab.
71
Genel Kavramlar (1/3)
• TOE (Target of Evaluation): Değerlendirme
Hedefi-(Ürün)
• ST (Security Target): Güvenlik Hedefi, TOE
güvenlik iddialarının belirtildiği dokümandır.
• PP (Protection Profile): Koruma Profili, CC
standardına uygun olarak yazılmış Teknik
Şartnamelerdir. ST ler için şablon
dokümanlardır.
• CPP (Colloborative PP)-ZORUNLU OLACAK
72
PP-Koruma Profili
Çevre İçin
Güvenlik
Hedefleri
Varsayımlar
Varlıklar
Tehditler
Güvenlik
Hedefleri
Politikalar
Kullanıcı adı,
Parola,
Şifreleme,
Anahtarları,
Sertifikalar,
Kayıtlar
73
Cihazın korumalı
odada kullanılması
Kriptanaliz
Yetkisiz erişim
Araya girme
SSL ile haberleşme
TOE
Güvenlik
Hedefleri
BT Güvenlik
Gereksinimleri
Bilinçli kullanıcı,
Fiziksel güvenli ortam
Kimlik doğrulması,
Yetkilendirme,
Şifreli saklama
ST-Güvenlik Hedefi
Çevre İçin
Güvenlik
Hedefleri
Varsayımlar
Varlıklar
Tehditler
Politikalar
Güvenlik
Hedefleri
TOE
Güvenlik
Hedefleri
BT Güvenlik
Gereksinimleri
TSF
74
SONUÇ
Ortak Kriterler Sertifikasyonu
Siber Savaş için
Ürün Güvenliği bazında en
büyük önlemlerden biridir.
75
2012 Mart-Aralık
20 adet Konferans/Seminer
2013 YENİ KONULAR
AR-GE PROJELERİ
2013-2014
SİBER GÜVENLİK EYLEM PLANI
Madde 12 için YAPILANLAR
TSE «Sorumlu»
2013-2014
SİBER GÜVENLİK EYLEM PLANI
Madde 12/a ve 12/b için YAPILANLAR
• 11 ve 18.04.2013 TSE YKK kararı ile «Siber
Güvenlik Özel Komitesi» kuruldu,
• 30 Dış Uzmanla
• 27 yeni konuda
çalışmalara başladı.
Ulusal Siber Güvenlik Stratejisi ve
2013-2014 Eylem Planı
Kritik altyapılar için geliştirilen
10.
Yazılım
yazılımların güvenlik değerlendirmeleri
Güvenliği
için ilgili kurumların bünyesinde gerekli
Mart
Programının
teknik altyapının kurulmasına yönelik
2014
Yürütülmesi
fizibilitenin hazırlanarak Siber Güvenlik
- TÜBİTAK (S)
- Ulaştırma, Denizcilik
ve Haberleşme
Bakanlığı (İ)
- TSE (İ)
Kuruluna sunulması
Siber güvenlik
konusunda
ürünlerin ve
12. hizmet
sağlayıcıların
akredite
edilmesi
Kamu kurumları tarafından kullanılan
- TSE (S)
ve siber güvenlik açısından kritik
-
öneme sahip bilgi teknolojileri ve bilgi
Ağustos
sistemleri ürünlerinin ve bunların sahip
2014
Ulaştırma, Denizcilik
ve Haberleşme
Bakanlığı (İ)
olması gereken asgari güvenlik
-
TURKAK (İ)
gereksinimlerinin belirlenmesi
-
TÜBİTAK (İ)
ULUSAL SİBER GÜVENLİK STRATEJİSİ VE 2013-2014 EYLEM PLANI
(Sorumlu olduğunuz eylemleri ve bunlara ilişkin alt eylemleri çıkartınız. Başlangıç ve Bitiş tarihleri ile birlikte iş planını ve
bugüne kadar yapmış olduğunuz iş ve işlemleri yazınız)-
12.
MADDE 12
Siber güvenlik
Kamu kurumları tarafından kullanılan ve siber
-
TSE (S)
konusunda
güvenlik açısından kritik öneme sahip bilgi
-
Ulaştırma, Denizcilik ve
ürünlerin ve
teknolojileri ve bilgi sistemleri ürünlerinin ve
hizmet
bunların sahip olması gereken asgari güvenlik
sağlayıcıların
gereksinimlerinin belirlenmesi ve belirlenen
akredite edilmesi belgelendirmenin yapılması
Haberleşme Bakanlığı
Ağustos 2014
(İ)
-
TURKAK (İ)
-
TÜBİTAK (İ)
ISO/IEC 15408-COMMON CRITERIA:
PP-Koruma Profili: Asgari Güvenlik Gereksinimleri
Varsayımlar
Varlıklar
Tehditler
Güvenlik
Hedefleri
Politikalar
Kullanıcı adı,
Parola,
Şifreleme,
Anahtarları,
Sertifikalar,
Kayıtlar
82
Cihazın korumalı
odada kullanılması
Kriptanaliz
Yetkisiz erişim
Araya girme
SSL ile haberleşme
Çevre İçin
Güvenlik
Hedefleri
BT Güvenlik
Gereksinimleri
TOE
Güvenlik
Hedefleri
Bilinçli kullanıcı,
Fiziksel güvenli ortam
Kimlik doğrulması,
Yetkilendirme,
Şifreli saklama
GÖRÜŞÜLEN KURUMLAR
• SAĞLIK BAKANLIĞI
– Bilişim Sistemleri Genel Müdürlüğü (HBYS, AHBS PPs)
• BİLİM SANAYİ VE TEKNOLOJİ BAKANLIĞI
– Metroloji ve Standardizasyon Genel Müdürlüğü (Akıllı Sayaçlar
PP)
– Tübitak Bilgem Uekae (Akıllı Kartlar PPs)
• MALİYE BAKANLIĞI
– Gelir İdaresi Başkanlığı (IP Tabanlı Yazar Kasa PP)
• ÇEVRE VE ŞEHİRCİLİK BAKANLIĞI
– Coğrafi Bilgi Sistemleri Genel Müdürlüğü (CBS PP)
• BAŞBAKANLIK
– Devlet Arşivleri Genel Müdürlüğü (EBYS PP)
• SGK
2013 YENİ AR-GE PROJELERİ ve
ULUSAL KORUMA PROFİLİ HAVUZU
1. Güvenli E-Ticaret Belgelendirmesi*
2. Güvenli HBYS (Hastane Bilgi Yönetim Sistemleri)*
Belgelendirmesi
3. Güvenli EBYS Belgelendirmesi*
4. Kart Erişim Cihazları ( KEC) ve EKDS Belgelendirmesi
5. Güvenli Coğrafi Bilgi Sistemleri ( CBS )
Belgelendirmesi*
6. Akıllı Sayaçlar Güvenliği Belgelendirmesi*
7. Site Certification ( Ortak Kriterler Ürün Yaşam
Döngüsü Belgesi) TÜM BT ÜRÜNLERİ İÇİN
2013 YENİ AR-GE PROJELERİ ve
ULUSAL KORUMA PROFİLİ HAVUZU
8) 1 st Level Security Certification (Bilişim Teknolojileri
Ürünleri Temel Seviye Güvenlik Belgelendirmesi-TÜM
BT ÜRÜNLERİ İÇİN)
9) E-Kimlik Koruma Profili*
10) GEM Koruma Profili*
11) Mobile ID Koruma Profili*
12) Secure IC Koruma Profili*
13) Embedded OS Koruma Profili*
14) IP Tabanlı Yazar Kasa Belgelendirmesi
2013 YENİ AR-GE PROJELERİ ve
ULUSAL KORUMA PROFİLİ HAVUZU
15)Yazılım Geliştiriciler ve Testçiler için Kriterlerin
Belirlenmesi*
16) Qweb-Web Sitelerinin Belgelendirmesi
17) Cloud Computing Belgelendirmesi
18) E-Pasaport Koruma Profili
19) E-İmza Koruma Profili
20) E-Ehliyet Koruma Profili
21) BT ürünleri Açıklıkları Kütüphanesi
ve Yazılım Test Laboratuvarı
2013 YENİ AR-GE PROJELERİ ve
ULUSAL KORUMA PROFİLİ HAVUZU
22) Sızma Testleri Kriterleri
23) SSL kriterleri
24) Penetrasyon Testi Yapan Firmalar ve Personellerin
Belgelendirmesi
25) Biyometrik Ürünler için Koruma Profili
26) Web Servisleri Koruma Profili
27) Web Uygulamaları Koruma Profili
YAZILIM TEST LABORATUVARI
• Yazılım Fonksiyonel Testleri
• Yazılım Performans Testleri
• Yazılım Güvenlik-Sızma Testleri
– Siyah Kutu Testleri
– Beyaz Kutu Testleri
• ISO/IEC 27001 Sızma Testleri
ULUSAL SİBER GÜVENLİK STRATEJİSİ VE 2013-2014 EYLEM
PLANI (İlgili olduğunuz eylemleri ve bunlara ilişkin alt eylemleri çıkartınız. Başlangıç ve Bitiş tarihleri ile
birlikte iş planını ve bugüne kadar yapmış olduğunuz iş ve işlemleri yazınız)- MADDE 10
-
Yazılım güvenliği ile ilgili eğitimlerin
hazırlanması ve yazılım geliştiricilere
Aralık 2013
verilmeye başlanması
Yazılım
10
-
güvenli yazılım geliştirme temel kurallarının
Güvenliği
Aralık 2013
yayımlanması
Programının
Yürütülmesi
Kritik altyapılar için geliştirilen yazılımlar için
-
Kritik altyapılar için geliştirilen yazılımların
TÜBİTAK (S)
Ulaştırma, Denizcilik ve
Haberleşme Bakanlığı (İ)
TSE (İ)
güvenlik değerlendirmeleri için ilgili kurumların
bünyesinde gerekli teknik altyapının
Mart 2014
kurulmasına yönelik fizibilitenin hazırlanarak
Siber Güvenlik Kuruluna sunulması
Siber Güvenlik
SCS-Turkey
Amaç: SOGIS-MRA ya girmek (Japonya benzeri)
(ISO FIPS 140-2,3)
Kripto Modülleri İçin Güvenlik Gereksinimleri(TS ISO/IEC 19790)
Kripto Modülleri İçin Test Gereksinimleri(TS ISO/IEC 24759)
Kripto Modül/Algoritma Doğrulama Programı
(CMVP/CAVP))
19790-Kripto Modülleri İçin
Güvenlik Gereksinimleri
• Güvenlik Seviyesi 1
• Güvenlik Seviyesi 2
• Güvenlik Seviyesi 3
• Güvenlik Seviyesi 4
Alanları
• Değerlendirmeler 10 ayrı alana göre
yapılır.Bunlar
1. Kriptografik Modül Spesifikasyonu(Cryptographic Module
Specification)
2. Kriptografik Modül Port ve Arayüzleri(Cryptographic Module Ports
and Interfaces)
3. Roller, Servisler ve Kimlik Doğrulama(Roles, Services and
Authentication)
4. Finite State Model
5. Fiziksel Güvenlik(Physical Security)
6. Çalışma Ortamı(Operational Environment)
7. Kriptografik Anahtar Yönetimi(Cryptographic Key Management)
8. Self Tests
9. Tasarım Güvencesi(Design Assurance)
10. Diğer Ataklara Karşı Savunma(Mitigation of Other Attacks)
TEŞEKKÜR EDERİM
Mariye Umay AKKAYA
TSE
Yazılım Test ve Belgelendirme Dairesi Başkan V.
[email protected], [email protected] ;
[email protected]
http://bilisim.tse.org.tr
94
Download

2. BT konf sunumu_MUA_25.10.2013 v1