tÜrk standardi · tÜrk standardi turkish standard ts iso/iec 15408-1 nisan 2006 ics 35.040...

TÜRK STANDARDITURKISH STANDARD

TS ISO/IEC 15408-1Nisan 2006

ICS 35.040

BİLGİ TEKNOLOJİSİ - GÜVENLİK TEKNİKLERİ- BİLGİ TEKNOLOJİSİ (IT) GÜVENLİĞİ İÇİN DEĞERLENDİRME KRİTERLERİ - BÖLÜM 1: GİRİŞ VE GENEL MODEL Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model

TÜRK STANDARDLARI ENSTİTÜSÜ Necatibey Caddesi No.112 Bakanlıklar/ANKARA

− Bugünkü teknik ve uygulamaya dayanılarak hazırlanmış olan bu standardın, zamanla ortaya çıkacak

gelişme ve değişikliklere uydurulması mümkün olduğundan ilgililerin yayınları izlemelerini ve standardın uygulanmasında karşılaştıkları aksaklıkları Enstitümüze iletmelerini rica ederiz.

− Bu standardı oluşturan Hazırlık Grubu üyesi değerli uzmanların emeklerini; tasarılar üzerinde görüşlerini

bildirmek suretiyle yardımcı olan bilim, kamu ve özel sektör kuruluşları ile kişilerin değerli katkılarını şükranla anarız.

Kalite Sistem Belgesi İmalât ve hizmet sektörlerinde faaliyet gösteren kuruluşların sistemlerini TS EN ISO 9000 Kalite Standardlarına uygun olarak kurmaları durumunda TSE tarafından verilen belgedir.

Türk Standardlarına Uygunluk Markası (TSE Markası) TSE Markası, üzerine veya ambalâjına konulduğu malların veya hizmetin ilgili Türk Standardına uygun olduğunu ve mamulle veya hizmetle ilgili bir problem ortaya çıktığında Türk Standardları Enstitüsü’nün garantisi altında olduğunu ifade eder.

TSEK Kalite Uygunluk Markası (TSEK Markası) TSEK Markası, üzerine veya ambalâjına konulduğu malların veya hizmetin henüz Türk Standardı olmadığından ilgili milletlerarası veya diğer ülkelerin standardlarına veya Enstitü tarafından kabul edilen teknik özelliklere uygun olduğunu ve mamulle veya hizmetle ilgili bir problem ortaya çıktığında Türk Standardları Enstitüsü’nün garantisi altında olduğunu ifade eder.

DİKKAT! TS işareti ve yanında yer alan sayı tek başına iken (TS 4600 gibi), mamulün Türk Standardına uygun üretildiğine dair üreticinin beyanını ifade eder. Türk Standardları Enstitüsü tarafından herhangi bir garanti söz konusu değildir.

Standardlar ve standardizasyon konusunda daha geniş bilgi Enstitümüzden sağlanabilir.

TÜRK STANDARDLARININ YAYIN HAKLARI SAKLIDIR.

ICS 35.040 TÜRK STANDARDI TS ISO/IEC 15408-1/Nisan 2006

Ön söz − Bu standard; ISO tarafından kabul edilen, ISO/IEC 15408-1 (2005) standardı esas alınarak, TSE Bilgi

Teknolojileri ve İletişim İhtisas Grubu’nca TS ISO/IEC 15408-1 (2002) standardının revizyonu olarak hazırlanmış ve TSE Teknik Kurulu’nun 13 Nisan 2006 tarihli toplantısında kabul edilerek yayımına karar verilmiştir.

− Bu standardın daha önce yayımlanmış bulunan baskıları geçersizdir. − Bu standardın kabulü ile TS ISO/IEC 15408-1 (2002) iptal edilmiştir. − ISO/IEC 15408 Bilgi teknolojisi - Güvenlik teknikleri – Bilgi teknolojisi (IT) güvenliği için değerlendirme

kriterleri genel başlığı altında aşağıdaki bölümlerden oluşmaktadır:

- 1. Bölüm: Giriş ve genel model - 2. Bölüm: Güvenlik fonksiyonel gereksinimleri - 3. Bölüm: Güvenlik garanti gereksinimleri

− Bu standardda kullanılan bazı kelime ve/veya ifadeler patent haklarına konu olabilir. Böyle bir patent hakkının belirlenmesi durumunda TSE sorumlu tutulamaz.


İçindekiler 0 Giriş ......................................................................................................................................................... 1 1 Kapsam.................................................................................................................................................... 1 2 Terimler ve tarifler .................................................................................................................................. 2

2.1 Varlıklar .................................................................................................................................................. 2 2.2 Atama..................................................................................................................................................... 2 2.3 Garanti ................................................................................................................................................... 2 2.4 Saldırı potansiyeli................................................................................................................................... 2 2.5 Artırma ................................................................................................................................................... 2 2.6 Kimlik doğrulama verisi .......................................................................................................................... 2 2.7 Yetkilendirilmiş kullanıcı ......................................................................................................................... 2 2.8 Sınıf ........................................................................................................................................................ 2 2.9 Bileşen ................................................................................................................................................... 2 2.10 Bağlanırlık ............................................................................................................................................ 2 2.11 Bağımlılık ............................................................................................................................................. 3 2.12 Öğe ...................................................................................................................................................... 3 2.13 Değerlendirme...................................................................................................................................... 3 2.14 Değerlendirme Garanti Düzeyi (EAL) .................................................................................................. 3 2.15 Değerlendirme makamı........................................................................................................................ 3 2.16 Değerlendirme programı ...................................................................................................................... 3 2.17 Uzantı ................................................................................................................................................... 3 2.18 Dış IT varlığı......................................................................................................................................... 3 2.19 Aile ....................................................................................................................................................... 3 2.20 Biçimsel................................................................................................................................................ 3 2.21 Kılavuz dokümantasyon....................................................................................................................... 3 2.22 İnsan kullanıcı ...................................................................................................................................... 3 2.23 Kimlik.................................................................................................................................................... 3 2.24 Biçimsel olmayan ................................................................................................................................. 3 2.25 İç iletişim kanalı.................................................................................................................................... 3 2.26 İç TOE aktarımı .................................................................................................................................... 3 2.27 TSF arası aktarımlar ............................................................................................................................ 4 2.28 Yineleme .............................................................................................................................................. 4 2.29 Nesne................................................................................................................................................... 4 2.30 Kurumsal güvenlik politikaları .............................................................................................................. 4 2.31 Paket .................................................................................................................................................... 4 2.32 Ürün ..................................................................................................................................................... 4 2.33 Koruma Profili (PP) .............................................................................................................................. 4 2.34 Referans denetleyicisi .......................................................................................................................... 4 2.35 Referans doğrulama mekanizması ...................................................................................................... 4 2.36 Ayrıntılandırma..................................................................................................................................... 4 2.37 Rol........................................................................................................................................................ 4 2.38 Gizli bilgi............................................................................................................................................... 4 2.39 Güvenlik özelliği ................................................................................................................................... 4 2.40 Güvenlik fonksiyonu (SF)..................................................................................................................... 4 2.41 Güvenlik fonksiyonu politikası (SFP) ................................................................................................... 4 2.42 Güvenlik amacı .................................................................................................................................... 4 2.43 Güvenlik hedefi (ST) ............................................................................................................................ 4 2.44 Seçim ................................................................................................................................................... 5 2.45 Yarı biçimsel......................................................................................................................................... 5 2.46 Fonksiyon gücü (SOF) ......................................................................................................................... 5 2.47 SOF-temel............................................................................................................................................ 5 2.48 SOF-orta .............................................................................................................................................. 5 2.49 SOF-yüksek ......................................................................................................................................... 5 2.50 Özne..................................................................................................................................................... 5 2.51 Sistem .................................................................................................................................................. 5 2.52 Değerlendirme hedefi (TOE)................................................................................................................ 5 2.53 TOE kaynağı ........................................................................................................................................ 5 2.54 TOE Güvenlik fonksiyonları (TSF) ....................................................................................................... 5 2.55 TOE Güvenlik fonksiyonları arayüzü (TSFI) ........................................................................................ 5 2.56 TOE Güvenlik politikası (TSP) ............................................................................................................. 5


2.57 TOE güvenlik politikası modeli............................................................................................................. 5 2.58 TSF kontrolünün dışındaki aktarımlar .................................................................................................. 5 2.59 Güvenli kanal ....................................................................................................................................... 5 2.60 Güvenli yol ........................................................................................................................................... 5 2.61 TSF verileri........................................................................................................................................... 6 2.62 TSF Kontrol kapsamı (TSC)................................................................................................................. 6 2.63 Kullanıcı ............................................................................................................................................... 6 2.64 Kullanıcı verisi ...................................................................................................................................... 6 2.65 Zorunlu ................................................................................................................................................. 6 2.66 Bilgi için ................................................................................................................................................ 6 2.67 Gerekir ................................................................................................................................................. 6 2.68 Önerilir.................................................................................................................................................. 6 2.69 -ebilmek (may) ..................................................................................................................................... 6 2.70 -ebilmek (can) ...................................................................................................................................... 6

3 Semboller ve kısaltmalar ........................................................................................................................... 6 4 Genel bakış.................................................................................................................................................. 7

4.1 Giriş ................................................................................................................................................... 7 4.2 Değerlendirme bağlamı.......................................................................................................................... 8 4.3 ISO/IEC 15408’in yapısı......................................................................................................................... 9

5 Genel model.......................................................................................................................................... 10 5.1 Güvenlik bağlamı ............................................................................................................................ 10 5.2 ISO/IEC 15408 yaklaşımı................................................................................................................ 13 5.3 Güvenlik kavramları ........................................................................................................................ 16 5.4 ISO/IEC 15408 tanımlayıcı malzeme.............................................................................................. 19

6 ISO/IEC 15408 gereksinimleri ve değerlendirme sonuçları.............................................................. 24 6.1 Giriş ................................................................................................................................................. 24 6.2 PP'ler ve ST'lerdeki gereksinimler................................................................................................... 25 6.3 TOE'deki gereksinimler ................................................................................................................... 26 6.4 Uyum sonuçları .................................................................................................................................... 26 6.5 TOE değerlendirme sonuçlarının kullanılması ................................................................................ 27

Ek A Koruma Profillerinin belirlenmesi .................................................................................................... 29 Ek B Güvenlik hedeflerinin belirlenmesi.................................................................................................. 34 Kaynaklar...................................................................................................................................................... 41


1

Bilgi teknolojisi - Güvenlik teknikleri- Bilgi teknolojisi (IT) güvenliği için değerlendirme kriterleri - Bölüm 1: Giriş ve genel model

0 Giriş ISO/IEC 15408 bağımsız güvenlik değerlendirmelerinin sonuçları arasında karşılaştırma olanağı tanımaktadır. Bunu da IT (BT) ürünleri ve sistemlerinin güvenlik fonksiyonları ve güvenlik değerlendirmesi sırasında uygulanan garanti kriterleri için ortak bir gereksinim kümesi sağlayarak gerçekleştirir. Değerlendirme işlemi, bu ürünlerin ve sistemlerin güvenlik fonksiyonlarının ve bunlara uygulanan garanti kriterlerinin, bu gereksinimleri yerine getirdiğine dair bir güven düzeyi sağlar. Değerlendirme sonuçları, kullanıcıların IT ürünü ya da sisteminin, amaçladıkları uygulama için yeterince güvenli ve kullanımı sırasında oluşabilecek güvenlik risklerinin kabul edilebilir olup olmadığını belirlemesine yardım edebilir. ISO/IEC 15408, IT güvenlik fonksiyonlarıyla ürünler ve sistemler geliştirilmesinde kılavuz olarak ve ticari ürünlerin ve sistemlerin bu fonksiyonlarla alınmasında işe yaramaktadır. Değerlendirme sırasında bu tür bir IT ürünü ya da sistemi, Değerlendirme Hedefi (Target of Evaluation - TOE) olarak bilinmektedir. Bu tür TOE'ler arasında, örneğin, işletim sistemleri, bilgisayar ağları, dağıtık sistemler ve uygulamalar yer almaktadır. ISO/IEC 15408, bilgilerin izinsiz bir şekilde açıklanması, değiştirilmesi ya da kullanım kaybına karşı koruma sorunuyla ilgilidir. Bu üç tür güvenlik sorunuyla ilgili koruma kategorileri genelde, sırasıyla, gizlilik, bütünlük ve kullanılabilirlik olarak adlandırılmaktadır. ISO/IEC 15408 ayrıca bu üçünün dışındaki IT güvenlik özelliklerine de uygulanabilir. ISO/IEC 15408, bu bilgiye karşı, kötü niyetli olsun olmasın, insan etkinliklerinden kaynaklanan tehditler üzerinde yoğunlaşmaktadır ama insanlardan kaynaklanmayan bazı tehditlere de uygulanabilir. Buna ek olarak, ISO/IEC 15408 diğer IT alanlarında da uygulanabilir ama IT güvenliğinden oluşan dar alanın dışında başarılı olma iddiasında bulunmamaktadır. ISO/IEC 15408, donanım, bellenim ya da yazılımlarda kullanılan IT güvenlik kriterlerine uygulanabilmektedir. Değerlendirmenin belirli özelliklerinin sadece uygulamanın bazı yöntemlerine uygulanması amaçlandığında, bu durum ilgili kriter ifadelerinde belirtilmektedir.

1 Kapsam Bu Standard, IT ürünleri ve sistemlerinin güvenlik özelliklerinin değerlendirilmesinde ISO/IEC 15408’in temel olarak kullanılmasını kapsar. Bu tür ortak bir kriterler temeli oluşturulmasıyla, bir IT güvenlik değerlendirmesinin sonuçları daha geniş bir kitle için anlamlı hale gelmektedir. Özel teknikler gerektirdikleri ya da IT güvenliğinin biraz dışında yer aldıkları için bazı konular ISO/IEC 15408’in kapsamı dışında kabul edilmektedir. Bunlardan bazıları aşağıda belirtilmiştir: a) ISO/IEC 15408, IT güvenlik kriterleriyle doğrudan ilgili olmayan idari güvenlik önlemlerine ait güvenlik

değerlendirme kriterleri içermemektedir. Ama, bir TOE'nin güvenliğinin önemli bir bölümünün genelde idari kriterlerle, örneğin kurumsal, personelle ilgili, fiziksel ve iş yapma yöntemleriyle ilgili kontrollerle gerçekleştirilebileceği de kabul edilmektedir. TOE'nin çalışma ortamındaki idari güvenlik kriterleri, güvenli kullanım varsayımları olarak kabul edilmektedir ve bunlar IT güvenlik kriterlerinin belirlenen tehditlere karşı mücadele yeteneğinde etkiye sahiptir.

b) IT güvenliğinin teknik fiziksel yönlerinin değerlendirilmesi, örneğin elektromanyetik yayılma kontrolü özel

olarak incelenmemiştir, ama ele alınan kavramlardan birçoğu bu alana da uygulanabilecektir. Özellikle de, ISO/IEC 15408'de TOE'nin fiziksel korunmasının bazı yönleri ele alınmaktadır.

c) ISO/IEC 15408 ne değerlendirme metodolojisini, ne de kriterlerin değerlendirme makamları tarafından

uygulanabileceği, idari ya da yasal çerçeveyi ele almaktadır. Ama, ISO/IEC 15408’in böyle bir çerçeve ve böyle bir metodoloji bağlamında değerlendirme amacıyla kullanılması beklenmektedir.

d) Değerlendirme sonuçlarının ürün ya da sistemlere onay verilmesinde kullanılması için yöntemler

ISO/IEC 15408’in kapsamı dışındadır. Ürün ya da sistem onayı, idari bir işlemdir ve burada bir IT ürünü ya da sisteminin kendi tam çalışma ortamında çalışması için onay verilmektedir. Değerlendirme, ürün ya da sistemin IT güvenlik bölümleri ve çalışma ortamının IT elemanlarının güvenli çalışmasını doğrudan etkileyecek bölümleri üzerinde yoğunlaşmaktadır. Değerlendirme işleminin sonuçları, bu nedenle onay işlemi için değerli veriler sağlamaktadır. Ama, IT ile ilişkili olmayan ürünlerin ya da sistemlerin güvenlik özellikleri ve bunların IT güvenlik bölümleriyle ilişkisinin değerlendirilmesi bakımından diğer teknikler daha uygun olduğu için, onay veren kuruluşlar bu özellikler için başka yöntemler kullanmalıdır.


2

e) Şifrelemeyle ilgili algoritmaların doğal özelliklerinin değerlendirilmesi için kriterler konusu ISO/IEC

15408'de yer almamaktadır. Bir TOE'nin içinde yer alan şifrelemenin matematik özelliklerinin bağımsız bir şekilde incelenmesi gerekirse, ISO/IEC 15408’in uygulandığı değerlendirme programının bu tür değerlendirmeler için yöntemler belirlemesi gerekir.

ISO/IEC 15408’in bu bölümü IT güvenliği işlevsel ve garanti gereksinimlerini ifade etmenin iki biçimini tanımlar. Koruma profili (PP) yapısı bu güvenlik gereksinimlerinin genelleştirilmiş yeniden kullanılabilir kümelerinin oluşturulmasına izin verir. PP olası tüketiciler tarafından, kendi ihtiyaçlarını karşılayacak IT güvenlik özellikleri olan ürünlerin belirtimi ve tanımlanması için kullanılabilir. Güvenlik hedefi (ST) güvenlik hedeflerini ifade eder ve değerlendirme hedefi (TOE) olarak adlandırılan değerlendirilecek belirli bir ürün veya sistem için güvenlik işlevlerini belirler. ST, değerlendiriciler tarafından ISO/IEC 15408 ile uyumlu gerçekleştirilen değerlendirmeler için temel olarak kullanılır. 2 Terimler ve tarifler Bu standardın amaçları bakımından aşağıdaki terimler ve tarifler uygulanır. Not - Bu madde, sadece ISO/IEC 15408’in içinde özel bir şekilde kullanılan terimleri içermektedir. ISO/IEC

15408'deki terimlerin çoğu ya genel olarak kabul edilen sözlük tanımlarına göre ya da ISO güvenlik sözlüklerinde ya da diğer iyi bilinen güvenlik öğeleri kolleksiyonlarındaki yaygın olarak kabul edilen tanımlara göre kullanılmaktadır. ISO/IEC 15408'de kullanılan ortak terimlerin bazıları, sözlükte tanımlanmaya gerek duyulmasa da, açıklık sağlaması bakımından kullanıldıkları bağlamda açıklanmaktadır. ISO/IEC 15408-2 ve ISO/IEC 15408-3'te özel bir şekilde kullanılan terimler ve kavramların kullanımıyla ilgili açıklamalar her birinin "paradigma" alt maddelerinde bulunabilir.

2.1 Varlıklar Bir TOE'nin karşı önlemleri tarafından korunacak bilgi ya da kaynaklar. 2.2 Atama Bir bileşendeki belirlenen parametrenin belirtimi. 2.3 Garanti Bir ürünün güvenlik hedeflerine ulaştığına dair güven veren nedenler. 2.4 Saldırı potansiyeli Bir saldırı olması durumunda, saldırının, saldırganın becerisi, kaynakları ve amacı göz önüne alınarak hesaplanan başarı potansiyeli. 2.5 Artırma ISO/IEC 15408-3’ten bir EAL ya da garanti paketine bir ya da daha fazla garanti öğesinin (öğelerinin) eklenmesi. 2.6 Kimlik doğrulama verisi Bir kullanıcının iddia ettiği kimliği doğrulamak için kullanılan bilgi. 2.7 Yetkilendirilmiş kullanıcı TSP'ye uygun olarak bir işlem gerçekleştirebilen kullanıcı. 2.8 Sınıf Aynı konuda yoğunlaşmış ailelerden oluşan grup. 2.9 Bileşen Bir PP, ST ya da paket içinde yer alabilecek en küçük seçilebilir öğeler kümesi. 2.10 Bağlanırlık TOE'nin, TOE dışındaki IT varlıklarıyla etkileşimine imkân tanıyan özelliği. Bu da teller üzerinden ya da telsiz olarak, herhangi uzaklıkta herhangi bir ortam ya da yapılanışta veri değişimini içermektedir.


3

2.11 Bağımlılık Gereksinimler arasında, diğer gereksinimlerin hedeflerine ulaşabilmesi için bağımlı olunan gerekliliğin normal bir şekilde yerine getirilmesinin gerektiği bir ilişki. 2.12 Öğe Bölünemeyen bir güvenlik gereksinimi. 2.13 Değerlendirme Bir PP, ST ya da TOE'nin tanımlanmış kriterlere göre değerlendirilmesi. 2.14 Değerlendirme Garanti Düzeyi (EAL) ISO/IEC 15408’in önceden tanımlanmış garanti ölçeğinde bir noktayı temsil eden ISO/IEC 15408-3’teki garanti öğelerinden oluşan paket. 2.15 Değerlendirme makamı Bir değerlendirme programı yoluyla ISO/IEC 15408'i belirli bir topluluk için uygulayan ve böylece standardları belirleyen ve söz konusu topluluktaki grupların gerçekleştirdiği değerlendirmelerin kalitesini kontrol eden grup. 2.16 Değerlendirme programı ISO/IEC 15408’in bir değerlendirme makamı tarafından belirli bir topluluk içinde uygulandığı idari ve düzenleyici çerçeve. 2.17 Uzantı Bir ST ya da PP'ye ISO/IEC 15408-2’de yer almayan fonksiyonel gereksinimlerin ve/veya ISO/IEC 15408-3’te yer almayan garanti gereksinimlerinin eklenmesi. 2.18 Dış IT varlığı TOE'nin dışında olan ve TOE ile etkileşime giren güvenilmez ya da güvenilir bir IT ürünü ya da sistemi. 2.19 Aile Güvenlik hedeflerini paylaşan ama vurgu ya da duyarlılık bakımından farklı olabilen bir grup öğe. 2.20 Biçimsel Yerleşik matematiksel kavramlara dayalı olarak tanımlanmış anlamlarla sınırlı bir sözdizimine sahip bir dilde ifade edilen. 2.21 Kılavuz dokümantasyon Kılavuz dokümantasyon, TOE’nin dağıtım, kurulum, yapılandırma, işletim, yönetim ve kullanımını, bu etkinlikler TOE’nin kullanıcıları, yöneticileri ve bütünleştiricilerine uygulandığından açıklar. Kılavuz dokümanın kapsam ve içeriğine ilişkin gereksinimler bir PP ya da ST’de tanımlanır. 2.22 İnsan kullanıcı TOE ile etkileşimde olan herhangi bir kişi. 2.23 Kimlik Yetkilendirilmiş bir kullanıcıyı benzersiz bir şekilde ayırt eden bir gösterim (örneğin bir dizgi) ki bu, söz konusu kullanıcının tam ya da kısaltılmış adı veya takma adı olabilir. 2.24 Biçimsel olmayan Doğal dilde ifade edilen. 2.25 İç iletişim kanalı TOE'nin ayrılmış bölümleri arasında bir iletişim kanalı. 2.26 İç TOE aktarımı TOE'nin ayrılmış bölümleri arasında veri iletişimi.


4

2.27 TSF arası aktarımlar TOE ile diğer güvenilir IT ürünlerinin güvenlik fonksiyonları arasında veri iletişimi. 2.28 Yineleme Bir bileşenin değişen çalışmalarda birden fazla kullanılması. 2.29 Nesne TSC içinde bilgi içeren ya da alan ve bunun üzerine öznelerin işlem yaptığı bir varlık. 2.30 Kurumsal güvenlik politikaları Bir kuruluş tarafından kendi çalışmalarında uygulanan bir ya da daha fazla güvenlik kuralı, yordamı, uygulaması ya da yönergesi. 2.31 Paket Belirlenmiş bir dizi güvenlik hedefine ulaşmak için bir araya getirilmiş yeniden kullanılabilir fonksiyonel bileşimler ya da garanti bileşenleri (örneğin bir EAL). 2.32 Ürün Birçok sistemde kullanılmak ya da sistemin içine yerleştirilmek üzere tasarlanmış bir fonksiyonellik sunan bir IT yazılımı, bellenimi ve/veya donanımı paketi. 2.33 Koruma Profili (PP) Belirli müşteri ihtiyaçlarını karşılayan bir TOE kategorisi için uygulamadan bağımsız bir dizi güvenlik gerekliliği. 2.34 Referans denetleyicisi TOE erişim kontrol politikalarını uygulayan bir soyut makine kavramı. 2.35 Referans doğrulama mekanizması Referans denetleyicisi kavramının aşağıdaki özelliklere sahip uygulaması: Karıştırılamaz, her zaman başvurulabilir ve kapsamlı bir inceleme ve teste tabi tutulabilecek kadar basit. 2.36 Ayrıntılandırma Bir bileşene ayrıntıların eklenmesi. 2.37 Rol Kullanıcı ile TOE arasında izin verilen etkileşimleri oluşturan önceden belirlenmiş kurallar. 2.38 Gizli bilgi Belirli bir SFP’yi uygulamak için sadece yetkili kullanıcılar ve/veya TSF tarafından bilinmesi gereken bilgi. 2.39 Güvenlik özelliği TSP'nin uygulanması için kullanılan özneler, kullanıcılar ve/veya nesnelerle bağlantılı bilgi. 2.40 Güvenlik fonksiyonu (SF) TSP'nin yakından bağlantılı bir kurallar alt kümesini uygulamak için güvenilmesi gereken TOE'nin bir bölümü ya da bölümleri. 2.41 Güvenlik fonksiyonu politikası (SFP) SF tarafından uygulanan güvenlik politikası. 2.42 Güvenlik amacı Belirlenmiş tehditlere karşı koymak ve/veya belirlenmiş örgüt güvenlik politikaları ve varsayımlarını uygulamak için bir amaç beyanı. 2.43 Güvenlik hedefi (ST) Belirlenmiş bir TOE'nin değerlendirilmesinde temel alınacak bir dizi güvenlik gereği ve özelliği.


5

2.44 Seçim Bir bileşendeki listeden bir ya da daha fazla öğenin seçilmesi. 2.45 Yarı biçimsel Ölçülü sözdizimine sahip bir dilde tanımlanmış anlamlarla ifade edilen. 2.46 Fonksiyon gücü (SOF) Beklenen güvenlik davranışını, temelinde yatan güvenlik mekanizmalarına doğrudan saldırarak alt etmek için gereken en az çabayı ifade eden bir TOE güvenlik fonksiyonunun niteliği. 2.47 SOF-temel İnceleme sonucunda, fonksiyonun, düşük saldırı potansiyeline sahip saldırganlar tarafından TOE güvenliğinde tesadüfen oluşturulan ihlallere karşı yeterli koruma sağladığını gösterdiği bir TOE gücü düzeyi. 2.48 SOF-orta İnceleme sonucunda, fonksiyonun, ortalama saldırı potansiyeline sahip saldırganlar tarafından TOE güvenliğinde doğrudan ve kasıtlı ihlallere karşı yeterli koruma sağladığını gösterdiği bir TOE gücü düzeyi. 2.49 SOF-yüksek İnceleme sonucunda, fonksiyonun, yüksek saldırı potansiyeline sahip saldırganlar tarafından TOE güvenliğinde planlı ve organize ihlallere karşı yeterli koruma sağladığını gösterdiği bir TOE gücü düzeyi. 2.50 Özne TSC içinde işlemlerin gerçekleştirilmesine neden olan bir varlık. 2.51 Sistem Belirli bir amaca ve çalışma ortamına sahip özel bir IT kurulumu. 2.52 Değerlendirme hedefi (TOE) Bir değerlendirmeye konu olan bir IT ürünü ya da sistemi ve bununla ilgili yönetici ve kullanıcı kılavuzu belgeleri. 2.53 TOE kaynağı TOE'de kullanılabilir ya da tüketilebilir herhangi bir şey. 2.54 TOE Güvenlik fonksiyonları (TSF) TSP'nin doğru bir şekilde uygulanmasında güvenilmesi gereken TOE'nin bütün donanım, yazılım ve belleniminden oluşan bir küme. 2.55 TOE Güvenlik fonksiyonları arayüzü (TSFI) TSF'nin aracılık ettiği ya da TSF'den bilgi edinildiği, TOE kaynaklarına erişimi sağlayan etkileşimli (insan-makine arayüzü) ya da programlı (uygulama programlama arayüzü) bir dizi arayüz. 2.56 TOE Güvenlik politikası (TSP) Bir TOE’nin kapsamı içinde varlıkların yönetilmesini, korunmasını ve dağıtılmasını düzenleyen kurallar. 2.57 TOE güvenlik politikası modeli TOE tarafından uygulanacak güvenlik politikasının yapısal bir temsili. 2.58 TSF kontrolünün dışındaki aktarımlar TSF'nin kontrolü altında olmayan kuruluşlara veri iletilmesi. 2.59 Güvenli kanal Bir TSF ile uzaktaki güvenilir bir IT ürününün, TSP’yi destekleyecek gerekli güvenle iletişim kurma yolu. 2.60 Güvenli yol Bir kullanıcı ile bir TSF’nin TSP’yi destekleyecek yeterli güvenle iletişim kurma yolu.


6

2.61 TSF verileri TOE tarafından ve TOE için üretilen, TOE’nin çalışmasını etkileyebilecek veriler. 2.62 TSF Kontrol kapsamı (TSC) Bir TOE ile ya da bir TOE’nin içinde oluşabilecek ve TSP’nin kurallarına tabi etkileşimler kümesi. 2.63 Kullanıcı TOE'nin dışında olan ve TOE ile etkileşime giren herhangi bir varlık (insan kullanıcı ya da dış IT varlığı). 2.64 Kullanıcı verisi Kullanıcı tarafından ve kullanıcı için yaratılan, TSF’nin çalışmasını etkilemeyen veri. 2.65 Zorunlu Zorunlu metin “standardın kapsamını tanımlar ve koşulları belirler” (ISO/IEC Direktifleri, Bölüm 2). Açıkça “bilgi için” ifadesi kullanılmadıkça, tüm ISO/IEC 15408 metni zorunludur. Gereksinimleri karşılama ile ilgili her metin zorunlu olarak kabul edilir. 2.66 Bilgi için Bilgi için verilen metin “standardın anlaşılması ya da kullanımına yardımcı olmayı amaçlayan ek bilgi sağlar” (ISO/IEC Direktifleri, Bölüm 2). Bilgi için verilen metin gereksinimleri karşılama ile ilgili değildir. 2.67 Gerekir “Gerekir” sözcüğü, zorunlu metin içerisinde, “standarda uyum için gereksinimlerin kesin olarak izlenmesini ve hiçbir sapmaya izin verilmeyeceğini” belirtir (ISO/IEC Direktifleri, Bölüm 2). 2.68 Önerilir “Önerilir” sözcüğü, zorunlu metin içerisinde, “birçok olasılık içinden, diğerlerinden bahsetmeksizin ya da bunları dışlamaksızın, özellikle uygun olduğu için birinin tavsiye edildiğini veya belirli bir eylemin tercih edildiğini ama gerekli olmadığını” belirtir (ISO/IEC Direktifleri, Bölüm 2). ISO/IEC 15408 “gerekli olmama” ifadesini bir başka olasılık seçeneğinin, neden tercih edilen seçeneğin seçilmediğinin bir açıklamasını gerektirdiğini ifade etmek anlamında yorumlamaktadır. 2.69 -ebilmek (may) “-ebilmek” eki, zorunlu metin içerisinde, “dokümanın sınırları içinde izin verilebilir bir eylem biçimini” belirtir (ISO/IEC Direktifleri, Bölüm 2). 2.70 -ebilmek (can) “-ebilmek” eki, zorunlu metin içerisinde, “zorunlu, fiziksel ya da tesadüfi olabilirlik ve yapılabilirlik deyimlerini” belirtir (ISO/IEC Direktifleri, Bölüm 2). 3 Semboller ve kısaltmalar Aşağıdaki kısaltmalar ISO/IEC 15408’in birden fazla bölümünde ortaktır: EAL Değerlendirme Garanti Düzeyi IT Bilgi Teknolojisi PP Koruma Profili SF Güvenlik Fonksiyonu SFP Güvenlik Fonksiyonu Politikası SOF Fonksiyon Gücü ST Güvenlik Hedefi TOE Değerlendirme Hedefi


7

TSC TSF Kontrol Kapsamı TSF TOE Güvenlik Fonksiyonları TSFI TSF Arayüzü TSP TOE Güvenlik Politikası 4 Genel bakış Bu maddede ISO/IEC 15408’in ana kavramları açıklanmaktadır. Hedef kitle, değerlendirme bağlamı ve malzemeleri sunmakta benimsenen yaklaşım belirtilmektedir. 4.1 Giriş IT ürünleri ya da sistemlerinde bulunan bilgiler kuruluşların misyonlarında başarılı olmasına imkan tanıyan kritik kaynaklardır. Buna ek olarak, bireyler, IT ürünlerinde ya da sistemlerindeki kişisel bilgilerinin özel kalması, gerektiğinde kendilerine açık olması ve yetkili olmayan kişiler tarafından değiştirilmemesi şeklinde makul bir beklenti içindedir. IT ürünleri ya da sistemleri, bilgilerin istenmeyen ya da haksız bir şekilde dağıtılması, değiştirilmesi ya da kaybı gibi zararlara karşı korunmasını sağlamak için, bilgi üzerinde uygun kontrolü sağlarken fonksiyonlarını da yerine getirmelidir. IT güvenliği terimi bu ve buna benzer zararların önlenmesi ve azaltılmasını kapsayacak şekilde kullanılmaktadır. Birçok IT müşterisi IT ürünleri ya da sistemlerinin güvenliğine olan güvenlerinin uygun olup olmadığına karar verecek bilgi, uzmanlık ya da kaynaktan yoksundur ve bu kişiler sadece bunları geliştirenlerin iddialarına güvenmek istemeyebilirler. Bu nedenle kullanıcılar, güvenliğiyle ilgili bir inceleme isteyerek bir IT ürünü ya da sisteminin güvenlik kriterlerine olan güvenlerini artırmayı seçebilir (yani, güvenlik değerlendirmesi). ISO/IEC 15408, uygun IT güvenlik kriterlerini seçmekte kullanılabilir ve güvenlik gereksinimlerinin değerlendirilmesi için kriterleri de içermektedir. 4.1.1 ISO/IEC 15408’in hedef kitlesi IT ürünleri ve sistemlerinin güvenlik özelliklerinin değerlendirilmesine genel olarak ilgi duyan üç grup vardır: TOE kullanıcıları, TOE geliştiricileri ve TOE değerlendiricileri. Bu belgede sunulan kriterler bu üç grubun ihtiyaçlarını destekleyecek şekilde yapılandırılmıştır. Hepsi de bu ISO/IEC 15408’in ana kullanıcıları olarak kabul edilmektedir. Bu üç grup, kriterlerden aşağıdaki paragraflarda belirtildiği şekilde yararlanabilir. 4.1.1.1 Kullanıcılar ISO/IEC 15408, kullanıcıların kurumsal ihtiyaçlarını ifade etmek için IT güvenlik gereksinimleri seçimini destekleyen tekniklerde önemli bir rol oynar. ISO/IEC 15408, değerlendirmenin kullanıcıların ihtiyaçlarını karşılamasını sağlamak için yazılmıştır, çünkü değerlendirme işleminin temel amacı budur. Kullanıcılar değerlendirmelerin sonuçlarını, değerlendirmesi yapılan bir ürün ya da sistemin kendi güvenlik ihtiyaçlarını karşılayıp karşılamadığına karar vermekte yardım amacıyla kullanabilir. Bu güvenlik ihtiyaçları genelde hem risk analizi hem de kendi politikalarına göre belirlenir. Kullanıcılar ayrıca değerlendirme sonuçlarını farklı ürünler ya da sistemleri karşılaştırmak için de kullanabilir. Garanti gereksinimlerinin hiyerarşik bir şekilde sunulması bu ihtiyacı destekler. ISO/IEC 15408, kullanıcılara, özellikle de kullanıcı grupları ve ilgili topluluklarda, Koruma Profili (PP) adı verilen uygulamadan bağımsız bir yapı sunmaktadır ve burada bir TOE’de IT güvenlik kriterleri için kendi özel gereksinimlerini ifade edebilirler. 4.1.1.2 Geliştiriciler ISO/IEC 15408’in geliştiricilere kendi ürünleri ya da sistemlerinin hazırlanmasında ve değerlendirilmesinde yardımcı olması ve her bir ürün ya da sistem tarafından yerine getirilmesi gereken güvenlik gereksinimlerinin belirlenmesinde destek olması hedeflenmektedir. İlgili bir değerlendirme metodolojisinin, potansiyel olarak, değerlendirme sonuçları için ortak bir tanım üzerinde anlaşmasıyla birlikte, ISO/IEC 15408’in TOE geliştiricisi dışında bir kişiyi, geliştiricinin TOE’sini değerlendirmeye hazırlamakta ve değerlendirmesinde, desteklemesine de imkan tanıması mümkündür. ISO/IEC 15408 yapıları, TOE’nin, değerlendirilen belirli güvenlik fonksiyonları ve garantileri yoluyla, belirtilen gereksinimlere uyduğunu iddia etmekte kullanılabilir. Her bir TOE gereksinimi Güvenlik Hedefi (ST) adı


8

verilen uygulamaya bağlı bir yapı içinde yer alır. Bir ya da daha fazla PP, geniş bir kullanıcı kitlesinin taleplerini yerine getirebilir. ISO/IEC 15408, bir geliştiricinin TOE’ye ekleyebileceği güvenlik fonksiyonlarını tarif etmektedir. ISO/IEC 15408, TOE’nin değerlendirilmesini desteklemek için gerekli kanıtları desteklemek için sorumluluklar ve hareketlerin belirlenmesinde kullanılabilir. Ayrıca bu kanıtların içeriği ve sunumunu da tanımlamaktadır. 4.1.1.3 Değerlendiriciler ISO/IEC 15408, TOE’lerin kendi güvenlik ihtiyaçlarına uygunluğu hakkında karar vermek için değerlendiriciler tarafından kullanılacak kriterleri içermektedir. ISO/IEC 15408’de değerlendiricinin gerçekleştireceği genel çalışmalar ve bu çalışmaların gerçekleştirileceği güvenlik fonksiyonları tanımlanmaktadır. ISO/IEC 15408 bu çalışmaların gerçekleştirilmesinde izlenecek yolları belirtmez. 4.1.1.4 Diğerleri ISO/IEC 15408, TOE’lerin IT güvenlik niteliklerinin belirlenmesi ve değerlendirilmesine yönelik olsa da, IT güvenliğine ilgi duyan ya da bu alanda sorumluluğa sahip herkes için kullanışlı bir kaynak malzeme olabilir. ISO/IEC 15408’deki bilgilerden yararlanabilecek ek ilgi grupları şunlardır: a) Kurumsal IT güvenlik politikaları ve ihtiyaçlarını belirlemek ve bunlara uymaktan sorumlu sistem

koruyucuları ve sistem güvenlik yetkilileri, b) Bir sistemin güvenliğinin uygunluğunu değerlendirmekten sorumlu iç ve dış denetçiler, c) IT sistemlerinin ve ürünlerinin güvenlik içeriğinin belirlenmesinden sorumlu güvenlik mimarları ve

tasarımcıları, d) Bir IT sisteminin belirli bir ortamda kullanımını kabul etmekten sorumlu onaylayıcılar, e) Bir değerlendirme istemekten ve bunu desteklemekten sorumlu değerlendirme sponsorları ve f) IT güvenliği değerlendirme programlarının yönetimi ve kontrolünden sorumlu değerlendirme makamları. 4.2 Değerlendirme bağlamı Değerlendirme sonuçları arasında daha fazla karşılaştırılabilirlik elde etmek için değerlendirmelerin, standardları belirleyen, değerlendirmelerin kalitesini kontrol eden ve değerlendirme ortamları ve değerlendiricilerin uyması gereken düzenlemeleri yöneten yetkili bir değerlendirme programı çerçevesinde gerçekleştirilmesi gerekmektedir. ISO/IEC 15408, düzenleyici çerçeve için gereksinimler belirtmemektedir. Ama, bu tür değerlendirmelerin sonuçlarının karşılıklı olarak tanınması amacına ulaşmak için, farklı değerlendirme otoritelerinin düzenleyici çerçeveleri arasında uyumluluk olması gerekecektir. Şekil 1, değerlendirmelerin bağlamını oluşturan ana öğeleri göstermektedir. Ortak bir değerlendirme metodolojisi kullanılması sonuçların tekrarlanabilirliği ve tarafsızlığına katkıda bulunur ama tek başına yeterli değildir. Değerlendirme kriterlerinin birçoğu uzmanlığa dayalı kararlar verilmesini ve konu hakkında geniş bilgi sahibi olunmasını gerektirir ki bu bakımdan uyum sağlanması daha zordur. Değerlendirme bulgularının tutarlılığını artırmak için, son değerlendirme sonuçları bir onay işlemine sunulabilir. Onay işlemi değerlendirme sonuçlarının bağımsız bir şekilde denetlenerek son onayın ya da kabulün gerçekleştirilmesini sağlar. Verilen sertifika normalde herkese açıktır. Onay işleminin IT güvenlik kriterlerinin uygulanmasında daha fazla tutarlılık elde edilmesi için bir yol olduğu unutulmamalıdır. Değerlendirme programı, metodolojisi ve onay işlemi, değerlendirme programları uygulayan değerlendirme otoritelerinin sorumluluğundadır ve ISO/IEC 15408’in kapsamı dışındadır.


9

Şekil 1 - Değerlendirme bağlamı 4.3 ISO/IEC 15408’in yapısı ISO/IEC 15408, aşağıda belirtildiği gibi ayrı ama birbiriyle ilgili bölümler halinde sunulmaktadır. Bölümlerin tarifinde kullanılan terimler Madde 5’te açıklanmaktadır.

a) Bölüm 1, Giriş ve genel model, ISO/IEC 15408’in sunuş bölümünü oluşturmaktadır. IT güvenliği değerlendirmesinin genel kavramlarını ve ilkelerini açıklamakta ve genel bir değerlendirme modeli sunmaktadır. Bölüm 1 ayrıca IT güvenlik hedeflerinin ifade edilmesi, IT güvenlik gereksinimlerinin seçilmesi ve tanımlanması ve ürünlerle sistemler için yüksek düzeyde belirtimler yazılması için yapılar sunmaktadır. Buna ek olarak, ISO/IEC 15408’in her bölümünün kullanışlılığı her hedef kitleye göre tarif edilmektedir.

b) Bölüm 2, Güvenlik fonksiyonel gereksinimleri, TOE’ler için fonksiyonel gereksinimleri ifade

etmenin standard bir yolu olarak bir dizi fonksiyonel bileşeni oluşturmaktadır. Bölüm 2 fonksiyonel bileşenleri, aileleri ve sınıfları katalog halinde sunmaktadır.

c) Bölüm 3, Güvenlik garanti gereksinimleri, TOE’ler için garanti gereksinimlerini ifade etmenin

standard bir yolu olarak bir dizi garanti bileşenini oluşturmaktadır. Bölüm 3 garanti bileşenlerini, aileleri ve sınıfları bir katalog halinde sunmaktadır. Bölüm 3 ayrıca PP’ler ve ST’ler için değerlendirme kriterlerini tanımlamakta ve TOE’ler için garantiyi sınıflandırmak için önceden tanımlanmış ISO/IEC 15408 ölçeğini tanımlayan değerlendirme garanti düzeylerini sunmaktadır ki bunlara Değerlendirme Garanti Düzeyleri (EAL) adı verilmektedir.

ISO/IEC 15408’in yukarıda sıralanan üç bölümünü desteklemek için başka tür belgelerin de yayınlanması beklenmektedir ki bunlar içinde teknik açıklama malzemeleri ve kılavuz belgeler de vardır. Aşağıdaki çizelgede üç önemli hedef kitle grubunu ISO/IEC 15408’in nasıl ilgilendireceği sunulmaktadır.


10

Çizelge 1 – “IT güvenliği için değerlendirme kriterleri” yol haritası Kullanıcılar Geliştiriciler Değerlendiriciler Bölüm 1

Genel bilgi ve referans amacıyla kullanım. PP’ler için kılavuzluk yapısı.

Genel bilgi ve TOE’ler için gereksinimleri geliştirirken ve güvenlik belirtimlerini oluştururken referans olarak kullanım.

Genel bilgi ve referans amacıyla kullanım. PP’ler ve ST’ler için kılavuzluk yapısı.

Bölüm 2 Güvenlik fonksiyonları için gereksinim ifadelerini oluştururken kılavuzluk ve referans olarak kullanım.

TOE’ler için fonksiyonel gereksinimleri yorumlarken ve fonksiyonel belirtimleri oluştururken referans olarak kullanım.

Bir TOE’nin iddia edilen güvenlik fonksiyonlarına gerçekten uygun olup olmadığını belirlerken değerlendirme kriterlerinin zorunlu ifadesi olarak kullanım.

Bölüm 3 Gerekli garanti düzeylerini belirlerken kılavuz olarak kullanım.

TOE’lerin garanti gereksinimlerini yorumlarken ve garanti yaklaşımlarını belirlerken referans olarak kullanım.

TOE’lerin garantisini belirlerken ve PP’ler ile ST’leri değerlendirirken değerlendirme kriterlerinin zorunlu ifadesi olarak kullanım.

5 Genel model Bu madde ISO/IEC 15408’de kullanılan genel kavramları sunmaktadır ki bunlar arasında kavramların kullanılacağı bağlamlar ve kavramların uygulanması için ISO/IEC 15408 yaklaşımı da bulunmaktadır. ISO/IEC 15408-2 ve ISO/IEC 15408-3 bu kavramların kullanımını daha da açmaktadır ve tarif edilen yaklaşımın kullanıldığını kabul etmektedir. Bu madde IT güvenliğiyle ilgili biraz bilgi sahibi olunduğunu varsaymaktadır ve bu alanda öğretici bir metin olmayı amaçlamamaktadır. ISO/IEC 15408, bir dizi güvenlik kavramı ve terminolojisini kullanarak güvenliği tartışmaktadır. Bu kavramlar ve terminoloji hakkında bilgi sahibi olunması ISO/IEC 15408’in etkili olarak kullanılabilmesi için ön koşuldur. Ama, bu kavramlar çok geneldir ve ISO/IEC 15408’in uygulanabildiği IT güvenlik sorunları sınıfını sınırlandırması amaçlanmamaktadır. 5.1 Güvenlik bağlamı 5.1.1 Genel güvenlik bağlamı Güvenlik, varlıkların tehditlerden korunmasıyla ilgilidir ve burada tehditler, korunmuş varlıkların kötüye kullanım potansiyeli olarak sınıflandırılmaktadır. Bütün sınıflardaki tehditlerin göz önünde bulundurulması önerilir; ama güvenlik alanında kötü niyetli ve diğer insan etkinlikleriyle ilgili tehditlere daha fazla önem verilmektedir. Şekil 2’de yüksek düzeyde kavramlar ve ilişkiler gösterilmektedir.


11

Şekil 2 - Güvenlik kavramları ve ilişkileri İlgili varlıkların korunması bu varlıklara değer veren mal sahiplerinin sorumluluğudur. Gerçek ya da varsayılan tehdit unsurları da bu varlıklara değer verebilir ve bu varlıkları mal sahibinin çıkarlarına aykırı bir şekilde kötüye kullanmaya çalışabilir. Mal sahipleri bu tür tehditleri, varlıklarının sahibi açısından değeri azalacak şekilde, varlıklarına zarar verme potansiyeli olarak algılayacaktır. Güvenlikle ilgili zarar verme genel olarak, herhangi bir sınırlama getirmeksizin, şunları içerir: Varlıkların yetkilendirilmemiş alıcılara açıklanmamasıyla zarar verme (gizliliğin kaybı), yetkili olmayan kişilerin yaptığı değişikliklerle varlıklara zarar vermesi (bütünlüğün kaybı) ya da yetkili olmayan kişilerin varlıklara erişimden mahrum bırakması (sürekliliğin kaybı). Varlıkların sahipleri olası tehditleri inceleyerek kendi ortamları için hangilerinin geçerliliği olduğunu belirleyecektir. Bunun sonuçları riskler olarak bilinmektedir. Bu inceleme risklere karşı alınacak karşı önlemlerin seçilmesinde ve risklerin kabul edilebilir bir düzeye düşürülmesinde yardımcı olabilir. Karşı önlemler açıklıkları azaltmak ve varlık sahiplerinin güvenlik politikalarını uygulamak için alınır (ya doğrudan ya da diğer tarafları yönlendirerek dolaylı olarak). Karşı önlemlerin uygulanmasından sonra, hala açıklıklar kalabilir. Bu tür açıklıklar, varlıklara karşı risk oluşturan tehdit kaynakları tarafından kötüye kullanılabilir. Varlık sahipleri diğer kısıtlamalarla bu riski en aza indirmeye çalışacaktır.


12

Şekil 3 - Değerlendirme kavramları ve ilişkileri Varlık sahipleri varlıklarını belirlenen tehditlere karşı açık hale getirmeden önce, karşı önlemlerin, varlıklara olan tehditlere karşı yeterli olduğundan emin olmak isteyecektir. Varlık sahiplerinin kendileri, karşı önlemleri her bakımdan değerlendirebilecek yetenekte olmayabilir ve bu nedenle karşı önlemlerin değerlendirilmesini isteyebilirler. Değerlendirmenin sonucu, karşı önlemlerin korunmuş varlıklardaki riskleri azaltmak bakımından hangi düzeyde garanti sağlandığını belirten bir açıklamadır. Bu ifade, karşı önlemlere bir garanti notu verir ve bu garanti de düzgün çalıştığında güven sağlayıcı bir temel sunan karşı önlemlerin nitelikleridir. Bu ifade, varlık sahibi tarafından varlıkların tehditlere açılması riskini kabul edip etmeme kararını verirken kullanılabilir. Şekil 3’te bu ilişkiler gösterilmektedir. Varlık sahipleri normalde bu varlıklar için sorumlu kabul edilir ve varlıkları tehditlere açık hale getirme risklerini kabul kararını savunabilecek durumda olmaları önerilir. Bu da, değerlendirmeden çıkan sonuç ifadelerinin savunulabilir olması anlamına gelmektedir. Bu nedenle, değerlendirmenin kanıt olarak belirtilebilecek tarafsız ve tekrarlanabilir sonuçlar sağlaması gerekir. 5.1.2 Bilgi teknolojisi güvenlik bağlamı Birçok varlık, bilginin sahipleri tarafından belirtilen gereksinimlere uygun olarak IT ürünleri ya da sistemleri tarafından saklanan, işlenen ve iletilen bilgiler şeklindedir. Bilgi sahipleri, bu tür bilgi temsilinin (veriler) yayılmasının ve değiştirilmesinin sıkı bir şekilde kontrol edilmesini isteyebilir. Bilgi sahipleri IT ürünü ya da sisteminin, verilere karşı tehditleri etkisiz hale getirmek için, güvenlikle ilgili genel karşı önlemlerin bir bölümü olarak, IT’ye özel güvenlik kontrollerini uygulamasını talep edebilir.


13

IT sistemleri belirli ihtiyaçlara uygun olarak alınır ve oluşturulur ve ekonomik nedenlerle mevcut IT ürünlerinden en fazla şekilde yararlanmaya çalışabilir, örneğin işletim sistemleri, genel amaçlı uygulama bileşenleri ve donanım platformları. Bir sistem tarafından kullanılan IT güvenliği karşı önlemleri, temel IT ürünlerinin fonksiyonlarını kullanabilir ve IT ürünü güvenlik fonksiyonlarının doğru bir şekilde kullanılmasına bağlı olabilir. Bu nedenle, IT ürünleri IT sistem güvenliği değerlendirmesi kapsamında değerlendirmeye alınabilir. Bir IT ürünü, çoklu IT sistemlerine eklendiğinde ya da eklenmesi düşünüldüğünde, bu tür bir ürünün güvenlik yönlerinin bağımsız olarak değerlendirilmesinde ve değerlendirilen ürünlerin bir katalogunun oluşturulmasında maliyet avantajları bulunmaktadır. Bu tür bir değerlendirmenin sonuçlarının, söz konusu ürünü çoklu IT sistemlerine eklerken, ürünün güvenliğiyle ilgili gereksiz tekrar inceleme çalışması gerektirmeyecek şekilde ifade edilmesi önerilir. Bir IT sistemi onaylayıcısına, bilginin sahibi tarafından, IT ve IT dışı güvenlikle ilgili karşı önlemlerin birlikte veriler için yeterli koruma sağlayıp sağlamadığını belirleme ve buna bağlı olarak da sistemin çalışmasına izin verip vermeme yetkisi verilmiştir. Onaylayıcı, IT karşı önlemlerinin yeterli koruma sağlayıp sağlamadığını ve belirtilen karşı önlemlerin IT sistemi tarafından düzgün bir şekilde uygulanıp uygulanmadığını belirlemek için IT karşı önlemlerinin değerlendirilmesini isteyebilir. Bu değerlendirme, onaylayıcıya verilen ya da onaylayıcının koyduğu kurallara bağlı olarak farklı şekillerde ve zorluk derecelerinde olabilir. 5.2 ISO/IEC 15408 yaklaşımı Geliştirme, değerlendirme ve kullanım süreçleri sırasında alınabilecek önlemlerle IT güvenliğine güvenilmesi sağlanabilir. 5.2.1 Geliştirme ISO/IEC 15408 herhangi bir özel geliştirme metodolojisi ya da kullanım ömrü modelini zorunlu tutmamaktadır. Şekil 4’te güvenlik gereksinimleriyle TOE arasındaki ilişki hakkında temel varsayımlar gösterilmektedir. Bu şekil, tartışma için bir bağlam sağlamak amacıyla kullanılmaktadır ve bir metodolojiyi (örneğin, çağlayan) diğerine (örneğin, prototipleme) tercih ediyor gibi değerlendirilmemelidir. IT geliştirme aşamasında uygulanan güvenlik gereksinimlerinin kullanıcıların güvenlik hedeflerine katkıda bulunmakta etkili olması gerekir. Geliştirme sürecinin başlangıcında uygun gereksinimler oluşturulmazsa, sonuçta elde edilen son ürün ne kadar iyi geliştirilirse geliştirilsin, potansiyel kullanıcılarının hedeflerine uygun olmayabilir.


14

Şekil 4 - TOE geliştirme modeli Bu süreç, güvenlik hedefinde ifade edilen bir TOE özet belirtiminde güvenlik gereksinimlerinin iyileştirilmesine dayanmaktadır. Her bir alt iyileştirme düzeyi ek tasarım ayrıntılarına sahip bir tasarım açılımını temsil etmektedir. En az soyut olan temsil TOE uygulamasının kendisidir. ISO/IEC 15408 belirli bir tasarım temsili dizisini zorunlu kılmamaktadır. ISO/IEC 15408’in istediği, yeterli düzeyde parçalanmış olarak yeterli tasarım temsili yapılması ve gerekli yerlerde: a) Her bir iyileştirme düzeyinde üstteki düzeylerinin bütünüyle yerine getirildiğinin (yani, daha yüksek bir

soyutlukta tarif edilen bütün TOE güvenlik fonksiyonları, özellikleri ve davranışlarının alt düzeyde olduğunun) gösterilmesi,

b) Her bir iyileştirme düzeyinde daha yüksekteki düzeylerin tam olarak yerine getirildiğinin gösterilmesi

(yani, alt soyut düzeyde tanımlanan, daha yüksekteki düzey tarafından istenmeyen hiçbir TOE güvenlik fonksiyonu, özellik ve davranış bulunmaması).

ISO/IEC 15408 garanti kriterleri, fonksiyonel belirtim, yüksek düzeyde tasarım, düşük düzeyde tasarım ve uygulamanın tasarım soyutluk düzeylerini belirler. İstenen garanti düzeyine bağlı olarak geliştiricilerden geliştirme metodolojisinin ISO/IEC 15408 garanti gereksinimlerini nasıl sağladığını göstermeleri istenebilir.


15

Şekil 5 - TOE değerlendirme süreci 5.2.2 TOE değerlendirmesi Şekil 5’te tarif edilen TOE değerlendirme işlemi geliştirmeyle paralel olarak gerçekleştirilebilir ya da geliştirmenin ardından yapılabilir. TOE değerlendirmesinin temel girdileri aşağıdadır: a) TOE değerlendirmesinin temeli olan ST’nin içinde yer aldığı TOE kanıtları kümesi, b) Değerlendirilmesi istenen TOE, c) Değerlendirme kriterleri, metodolojisi ve programı. Buna ek olarak, bilgilendirici malzeme (örneğin ISO/IEC 15408’in uygulama notları) ve değerlendirici ile değerlendirme topluluğunun IT güvenliği raporunun da değerlendirmede göz önünde bulundurulması yüksek bir olasılıktır. Değerlendirme sürecinin sonucu, TOE’nin, değerlendirme kriterleri tarafından belirlenen, TOE ile ilgili değerlendirici bulgularını belgeleyen bir ya da daha fazla raporla, ST’de belirtilen güvenlik gereksinimlerini yerine getirip getirmediğini doğrulamaktadır. Bu raporlar TOE’nin temsil ettiği ürün ya da sistemin gerçek ya da potansiyel müşterilerinin ve ayrıca geliştiricilerin işine yarayacaktır. Bir değerlendirmeyle elde edilen güven düzeyi, karşılanan garanti gereksinimlerine bağlıdır (yani, Değerlendirme Garanti Düzeyi’ne). Değerlendirme iki şekilde daha iyi IT güvenliği ürünleri sağlayabilir. Değerlendirmenin amacı TOE’de geliştiricinin düzeltebileceği hataları ya da açıklıkları belirlemek ve bu şekilde gelecekteki çalışması sırasında güvenlik sorunları olasılığını azaltmaktır. Ayrıca değerlendirmenin sıkı denetimine hazırlanırken, geliştirici TOE’nin tasarımına ve geliştirilmesine daha fazla dikkat edebilir. Bu nedenle, değerlendirme süreci, başlangıçtaki gereksinimler, geliştirme süreci, son ürün ve çalışma ortamına, dolaylı da olsa, güçlü bir olumlu etkide bulunur.


16

5.2.3 Kullanım Kullanıcılar, değerlendirmesi yapılmış TOE’leri kendi ortamlarında kullanmayı tercih edebilir. Bir TOE bir kez kullanılmaya başlandıktan sonra daha önce bilinmeyen hataların ya da açıklıkların ortaya çıkması mümkündür ya da ortamla ilgili varsayımların gözden geçirilmesi gerekebilir. Çalışma sonucunda, geliştiricinin TOE’yi düzeltmesini ya da güvenlik gereksinimlerini ya da ortamla ilgili varsayımlarını yeniden tanımlamasını gerektirecek geri besleme sağlanabilir. Bu tür değişiklikler, TOE’nin yeniden değerlendirilmesini ya da çalışma ortamının güvenliğinin arttırılmasını gerektirebilir. Bazı durumlarda, TOE’ye yeniden güvenilebilmesi için sadece gerekli güncellemelerin değerlendirilmesi gerekebilir. Her ne kadar ISO/IEC 15408’de garantinin sürdürülmesi ile ilgili kriterler bulunsa da, yeniden değerlendirmeyle ilgili, değerlendirme sonuçlarının yeniden kullanılmasının da içinde bulunduğu ayrıntılı yöntemler ISO/IEC 15408’in kapsamı dışındadır. 5.3 Güvenlik kavramları Değerlendirme kriterleri en çok, güvenli TOE geliştirme ve değerlendirmesini destekleyen mühendislik işlemleri ve düzenleyici çerçevelerde işe yarar. Bu alt madde sadece örnek olması ve yol göstermesi amacıyla yer almaktadır ve bu alt maddenin analiz işlemleri, geliştirme yaklaşımları ya da ISO/IEC 15408’in içinde kullanılabileceği değerlendirme programlarını kısıtlaması amaçlanmamaktadır. ISO/IEC 15408, IT kullanıldığında ve IT öğelerinin varlıkları koruma yeteneği hakkında endişeler olduğunda uygulanabilir. Varlıkların güvende olduğunu göstermek için, güvenlik endişeleri, en soyuttan çalışma ortamındaki son IT uygulamasına kadar bütün düzeylerde ele alınmalıdır. Bu temsil düzeyleri, aşağıdaki alt maddelerde tarif edildiği gibi, güvenlik sorunları ve konularının nitelenmesine ve tartışılmasına imkan tanır, ama bunların kendileri son IT uygulamasının gerçekten istenen güvenlik davranışını gösterdiğini ve bu nedenle güvenilebileceğini göstermez. ISO/IEC 15408, bazı temsil düzeylerinin, TOE'nin o düzeyde temsil edilmesi için bir gerekçe içermesini gerektirmektedir. Yani, böyle bir düzey, bir üst düzeyle uyum içinde olduğunu, kendisinin tamamlanmış, doğru ve kendi içinde tutarlı olduğunu gösteren makul ve inandırıcı bir açıklama içermelidir. Hemen yanındaki üst düzey temsille uyumu gösteren gerekçe ifadeleri, TOE'nin doğru olduğu iddiasına katkıda bulunmaktadır. Güvenlik amaçlarına uyumu doğrudan gösteren gerekçeler, TOE'nin tehditlere karşı etkili olduğu ve kurumsal güvenlik politikasını uyguladığı iddiasını desteklemektedir. ISO/IEC 15408, farklı temsil düzeylerini Şekil 6'da tarif edildiği gibi katmanlaştırmaktadır ki bu da bir PP ya da ST'yi geliştirirken güvenlik gereksinimlerinin ve özelliklerinin hangi yollarla elde edileceğini göstermektedir. Bütün TOE güvenlik gereksinimleri, temel olarak TOE'nin amacı ve bağlamının göz önünde bulundurulmasından kaynaklanmaktadır. Bu çizelge, PP'ler ve ST'lerin geliştirilme yollarını sınırlama amacı taşımamaktadır, sadece bazı analitik yaklaşımların sonuçlarının PP'lerin ve ST'lerin içeriğiyle ilgili olduğunu göstermektedir.


17

Şekil 6 - Gereksinimler ve belirtimlerin türetilmesi 5.3.1 Güvenlik ortamı Güvenlik ortamı, ilgili olduğu belirlenen bütün yasaları, kurumsal güvenlik politikalarını, gelenekleri, uzmanlık ve bilgiyi içerir. Bu nedenle TOE’nin kullanılmasının amaçlandığı bağlamı tanımlar. Güvenlik ortamı ayrıca güvenlik için ortamda bulunan ya da bulunduğu kabul edilen tehditleri de içerir.


18

Güvenlik ortamını oluşturmak için PP ya da ST yazarının aşağıdakileri göz önünde bulundurması gerekir: a) TOE güvenliğiyle ilgili, fiziksel ve personelle ilgili güvenlik düzenlemelerinin de içinde bulunduğu TOE

çalışma ortamının bütün yönlerini belirleyen TOE fiziksel ortamı, b) Güvenlik gereksinimlerinin ya da politikalarının uygulanacağı TOE öğesi tarafından korunması gereken

varlıklar; bunlar arasında doğrudan belirtilen varlıklar, örneğin dosyalar ve veritabanları, ayrıca dolaylı olarak güvenlik gereksinimlerine tabi varlıklar, örneğin yetkilendirme kanıtları ve IT uygulamasının kendisi yer alır,

c) Ürün tipi ve TOE’nin amaçlanan kullanımıyla ilgili TOE amacı. Güvenlik politikaları, tehditleri ve risklerinin araştırılması TOE ile ilgili aşağıdaki güvenliğe özgü açıklamaların yapılabilmesine imkan tanımalıdır: a) TOE’nin güvenli kabul edilebilmesi için TOE’nin ortamı tarafından karşılanması gereken varsayımların

ifadesi. Bu ifade TOE değerlendirmesi için kabul edilmiş bir gerçek olarak görülebilir. b) Varlıkların güvenliğine karşı tehditlerle ilgili bir ifade, güvenlik analiziyle TOE ile ilgili olarak algılanan

bütün tehditleri belirtir. ISO/IEC 15408, bir tehdidi bir tehdit kaynağı, öngörülen saldırı yöntemi, saldırıya temel oluşturan açıklıklar ve saldırı altındaki varlığın belirlenmesi bakımlarından ele alır. Güvenlikle ilgili riskleri, her bir tehdidin gerçek bir saldırıya dönüşmesi olasılığı, böyle bir saldırının başarılı olma olasılığı ve oluşabilecek herhangi bir zararın sonuçları bakımlarından inceleyerek bunların özelliklerini belirler.

c) Uygun kurumsal güvenlik politikalarıyla ilgili bir ifade, ilgili politikaları ve kuralları belirtir. Bir IT sistemi

için bu politikalar açık bir şekilde referanslarla gösterilebilir ama genel amaçlı bir IT ürünü ya da ürün sınıfı için kurumsal güvenlik politikası ile ilgili gerçekleştirilebilecek varsayımların oluşturulması gerekebilir.

5.3.2 Güvenlik amaçları Güvenlik ortamı analizinin sonuçları, belirlenen tehditlere karşı güvenlik amaçlarını ve belirlenen kurumsal güvenlik politikası ve varsayımlarını belirtmekte kullanılabilir. Güvenlik amaçlarının TOE'nin belirtilen çalışma amacı ya da ürün amacıyla ve fiziksel ortamıyla ilgili eldeki bilgilerle uyumlu olması önerilir. Güvenlik amaçlarının belirlenmesinin amacı, güvenlikle ilgili bütün endişeleri gidermek ve güvenliğin hangi yönlerinin doğrudan TOE ya da ortamı tarafından ele alındığını belirtmektir. Bu sınıflandırma, mühendislik muhakemesi, güvenlik politikası, ekonomik etkenler ve risk kabulü kararlarını içeren bir sürece dayanmaktadır. Ortam için güvenlik amaçları IT alanı içinde ve teknik olmayan ya da yöntemle ilgili yollardan gerçekleştirilir. IT güvenlik gereksinimleriyle sadece TOE ve onun IT ortamıyla ilgili güvenlik amaçları ele alınmaktadır. 5.3.3 IT güvenlik gereksinimleri IT güvenlik gereksinimleri, güvenlik hedeflerinin iyileştirilerek TOE için bir dizi güvenlik gerekliliği ve ortam için güvenlik gereksinimleri haline getirilmesidir ki, bunların gerçekleştirilmesi durumunda, TOE'nin güvenlik amaçlarına ulaşması sağlanacaktır. ISO/IEC 15408, güvenlik gereksinimlerini fonksiyonel gereksinimler ve garanti gereksinimleri olarak ayrı kategorilerde sunmaktadır. Fonksiyonel gereksinimler TOE'nin özel olarak IT güvenliğini destekleyen fonksiyonları üzerinde uygulanmakta ve istenen güvenlik davranışını tanımlamaktadır. ISO/IEC 15408-2 fonksiyonel gereksinimleri tanımlanmaktadır. Fonksiyonel gereksinimlere örnekler arasında tanıma, doğrulama, güvenlik denetimi ve kökenin reddedilememesi yer almaktadır.


19

TOE, bir olasılık ya da sıra değişikliği (permütasyon) mekanizmasıyla (örneğin, bir şifre ya da karıştırma fonksiyonuyla) gerçekleştirilen güvenlik fonksiyonları içeriyorsa, garanti gereksinimleri güvenlik amaçlarına uygun bir en düşük güç düzeyi talep edilmesini belirtebilir. Bu durumda, belirtilen düzey SOF-temel, SOF-orta, SOF-yüksek'ten biri olacaktır. Bu tür her bir fonksiyonun bu en düşük düzeyi, ya da isteğe bağlı olarak tanımlanan belirli bir ölçüyü karşılaması istenecektir. Garanti derecesi, belirli bir fonksiyonel gereksinim dizisi için değiştirilebilir: Bu nedenle genelde garanti bileşenleriyle oluşturulan, yükselen zorluk düzeylerinde ifade edilir. ISO/IEC 15408-3 garanti gereksinimlerini ve bu bileşenler kullanılarak oluşturulan değerlendirme garanti düzeyleri (EAL) ölçeğini tanımlamaktadır. Garanti gereksinimleri geliştiricinin hareketleri üzerinde, üretilen kanıtlar üzerinde ve değerlendirici hareketleri üzerinde uygulanmaktadır. Garanti gereksinimlerine örnekler arasında geliştirme sürecinin zorlukları üzerinde kısıtlamalar ve potansiyel güvenlik açıklıklarının etkisinin araştırılması ve analiz edilmesiyle ilgili gereksinimler yer alır. Seçilen güvenlik fonksiyonlarıyla güvenlik amaçlarına ulaşıldığının garantisi aşağıdaki iki etkenden çıkarılmaktadır: a) Güvenlik fonksiyonları uygulamasının doğruluğuna olan güven, yani doğru uygulanıp uygulanmadığının

değerlendirilmesi ve b) Güvenlik fonksiyonlarının etkinliğine olan güven, yani, bunların belirtilen güvenlik hedeflerine gerçekten

ulaşıp ulaşmadığının değerlendirilmesi. Güvenlik gereksinimleri genelde hem istenen davranışın bulunmasını hem de istenmeyen davranışların bulunmamasını içermektedir. Normalde, kullanım ya da test yoluyla istenen davranışın bulunduğunu göstermek mümkündür. İstenmeyen davranışın bulunmadığını net bir şekilde göstermek her zaman mümkün değildir. Test, tasarım incelemesi ve uygulama incelemesi, bu tür istenmeyen davranışın bulunma riskini azaltmak bakımından önemli katkılarda bulunmaktadır. Hareket biçimiyle ilgili açıklamalar bu tür istenmeyen davranışların bulunmadığı iddiasına ek destek sağlamaktadır. 5.3.4 TOE özet belirtimi ST'de belirtilen TOE özet belirtimi (spesifikasyonu), TOE için güvenlik gereksinimlerinin somutlaştırılmasını tanımlamaktadır. Fonksiyonel gereksinimleri karşıladığı iddia edilen güvenlik fonksiyonlarının ve garanti gereksinimlerini karşılamak için alınan garanti kriterlerinin yüksek düzeyde bir tanımını yapmaktadır. 5.3.5 TOE uygulaması TOE uygulaması, güvenlik fonksiyonel gereksinimlerine ve ST'de yer alan TOE özet belirtimlerine dayalı olarak TOE'nin gerçekleştirilmesidir. TOE uygulaması güvenlik ve IT mühendislik yetenekleri ve bilgisinin uygulandığı bir süreç kullanılarak gerçekleştirilmektedir. TOE, ST'de yer alan bütün güvenlik gereksinimlerini doğru ve etkili bir şekilde uygularsa bütün güvenlik amaçlarına ulaşacaktır. 5.4 ISO/IEC 15408 tanımlayıcı malzeme ISO/IEC 15408 bir değerlendirmenin gerçekleşebileceği çerçeveyi sunmaktadır. Kanıt ve analiz için gereksinimleri sunarak daha tarafsız ve buna bağlı olarak daha kullanışlı bir değerlendirme sonucu elde edilebilir. ISO/IEC 15408 ortak bir yapı kümesi ve IT güvenliğinin ilgili yönlerinin ifade edileceği ve iletileceği bir dil içermektedir ve IT güvenliğinden sorumlu kişilerin diğerlerinin önceki deneyimleri ve uzmanlığından yararlanmasına imkan tanımaktadır. 5.4.1 Güvenlik gereksinimlerinin ifade edilmesi ISO/IEC 15408, gelecekteki ürünler ve sistemler için güvenlik gereksinimlerinin oluşturulmasında kullanılabilecek, geçerli olduğu bilinen anlamlı güvenlik gereksinim kümeleri haline getirilebilen bir dizi yapıyı tanımlamaktadır. Gereksinimlerin ifade edilmesinde kullanılan çeşitli yapılar arasındaki ilişkiler aşağıda tarif edilmektedir ve Şekil 7'de gösterilmektedir.


20

Şekil 7 - Gereksinimlerin organizasyonu ve oluşturulması ISO/IEC 15408 güvenlik gereksinimlerinin sınıf - aile - bileşen hiyerarşisi halinde organizasyonu kullanıcılara özel güvenlik gereksinimlerini bulmakta yardımcı olmak için sunulmuştur. ISO/IEC 15408, fonksiyonel yönleri ve garanti yönlerini aynı genel üslupta sunmakta ve her biri için aynı organizasyonu ve terminolojiyi kullanmaktadır. 5.4.1.1 Sınıf Sınıf terimi güvenlik gereksinimlerinin en genel grubu için kullanılmaktadır. Bir sınıfın bütün üyeleri ortak bir doğrultuya yöneliktir ama güvenlik amaçlarını kapsama bakımından farklıdır. Bir sınıfın üyelerine aile adı verilmektedir. 5.4.1.2 Aile Bir aile, aynı güvenlik amaçlarını paylaşan ama yoğunluk ya da zorluk bakımından farklı olabilen bir dizi güvenlik gereksinimi grubudur. Ailenin üyelerine bileşen adı verilmektedir. 5.4.1.3 Bileşen Bir bileşen özel bir güvenlik gereksinimi kümesini tarif etmektedir ve ISO/IEC 15408'de tanımlanan yapılarda yer alan en küçük seçilebilir güvenlik gereksinimi kümesidir. Bir ailenin içindeki bileşenler kümesi aynı amacı paylaşan artan güçte ya da yetenekte güvenlik gereksinimlerini temsil edecek şekilde düzenlenebilir. Bunlar ayrıca hiyerarşik olmayan ilgili kümeleri temsil edecek şekilde kısmen düzenlenebilir. Bazı durumlarda, bir aile içinde sadece bir bileşen bulunur ve düzenleme burada geçerli değildir. Bileşenler ayrı öğelerden oluşturulur. Öğe, güvenlik gereksiniminin en düşük ifade düzeyidir ve değerlendirme yoluyla doğrulanabilen bölünemez bir güvenlik gereksinimidir. 5.4.1.3.1 Bileşenler arasında bağımlılıklar Bileşenler arasında bağımlılıklar bulunabilir. Bağımlılıklar bir bileşen kendi başına yeterli olmayıp başka bir bileşenin varlığına bağlı olduğunda ortaya çıkar. Bağımlılıklar fonksiyonel bileşenler arasında, garanti bileşenleri arasında ve fonksiyonel bileşenlerle garanti bileşenleri arasında bulunabilir.


21

Bileşen bağımlılığı tarifleri, ISO/IEC 15408 bileşen tanımlarının parçasıdır. TOE gereksinimlerinin tam olmasını sağlamak için, bileşenler PP'ler ve ST'lere eklenirken, uygun yerlerde bağımlılıkların yerine getirilmesi önerilir. 5.4.1.3.2 Bileşenler üzerinde izin verilen işlemler ISO/IEC 15408 fonksiyonel ve garanti bileşenleri tam olarak ISO/IEC 15408'de tanımlandığı gibi kullanılabilir ya da bir güvenlik amacını karşılamak için izin verilen çalışmalar yoluyla belirli bir amaca uygun hale getirilebilir. Bir bileşen içindeki bir eleman ayrıntılandırmaya tabi tutulduğunda, PP/ST yazarının bu tür bir ayrıntılandırmanın gerçekleştirildiğini açıkça tanımlaması gerekir. PP/ST yazarı ayrıca, bu gereksinime bağımlı diğer gereksinimlerin bağımlılık ihtiyaçlarının karşılanması konusunda da dikkatli olmalıdır. İzin verilen işlemler aşağıdaki kümeden seçilir: a) Yineleme: Bir bileşenin değişen işlemlerde birden fazla kullanımına izin verir, b) Atama: Parametrelerin belirtimine izin verir, c) Seçim: Bir listeden bir veya daha fazla öğenin belirlenmesine izin verir, d) Ayrıntılandırma: Ayrıntıların eklenmesine izin verir. 5.4.1.3.2.1 Yineleme Aynı gereksinimin farklı yönlerinin (örneğin, birden fazla kullanıcı türü tanımlama) kapsanması gerektiğinde, her yönün kapsanması için aynı bileşenin tekrar tekrar kullanımına izin verilir. Yineleme, bir gereksinim bileşeni düzeyinde düşünülmesine rağmen, bileşenin her bir yinelemesinin tüm metnini tekrarlamak her zaman gerekli değildir, bunun yapılması bileşendeki bazı öğelerin değişiklik olmaksızın birden çok kez tekrarlanması sonucunu doğurur. PP ya da ST’de yalnızca her defasında, ayrıntılandırma ya da atama veya seçim işlemlerinin tamamlanmasıyla değişen gereksinim öğelerinin tekrarlanmasına izin verilir (ayrıntılandırılmış gereksinimlerin yinelenmesi hakkında daha fazla kılavuzluk için Ayrıntılandırma maddesine bakılmalıdır). 5.4.1.3.2.2 Atama Bazı bileşenlerde, PP/ST yazarının bir güvenlik amacını karşılamak için PP ya da ST’ye ekleyebilmek için bir değerler kümesi belirlemesini sağlayan parametreler içeren öğeler vardır. Bu öğeler, her parametreyi ve bu parametreye atanabilecek değerlerdeki her kısıtlamayı açıkça tanımlar. Kabul edilebilir değerleri karışıklığa yol açmayacak biçimde tanımlanabilen ya da sıralanabilen bir öğenin herhangi bir değeri bir parametre ile temsil edilebilir. Parametre, gereksinimi belirli bir değer ya da değerler aralığına daraltan bir nitelik ya da kural olabilir. Örneğin, bir bileşende bulunan bir öğe, bir güvenlik amacını temel alarak, verilen bir işlemin birkaç kez gerçekleştirilmesi gerektiğini ifade edebilir. Bu durumda atama, parametrede kullanılacak sayı ya da sayı aralığı sağlamalıdır. 5.4.1.3.2.3 Seçim Bu, bir bileşendeki bir öğenin kapsamını daraltmak için bir listeden bir ya da daha fazla öğeyi seçme işlemidir. 5.4.1.3.2.4 Ayrıntılandırma Tüm bileşenler için, PP/ST yazarının, bir güvenlik amacını karşılamak amacıyla ek ayrıntı belirleyerek kabul edilebilir gerçekleştirmeler kümesini sınırlandırmasına izin verilir. Bir bileşendeki bir öğenin ayrıntılandırması bu teknik ayrıntıların eklenmesinden oluşur. Bir bileşendeki değişikliğin geçerli bir ayrıntılandırma olarak düşünülebilmesi için, değişikliğin aşağıdaki tüm koşulları karşılaması gerekir: a) PP/ST bağlamında yorumlandığı gibi, ayrıntılandırılmış gereksinimi karşılayan bir TOE, özgün gereksinimi

de karşılamalıdır, b) Ayrıntılandırılmış gereksinimin yinelendiği durumlarda, her yineleme adresinin gereksinim kapsamının

yalnızca bir alt kümesi olmasına izin verilir. Ancak, yinelemelerin toplamı ile birlikte özgün gereksinimin tüm kapsamını karşılaması gerekir,


22

c) Ayrıntılandırılmış gereksinim özgün gereksinimin kapsamını genişletmez ve d) Ayrıntılandırılmış gereksinim özgün gereksinimin bağımlılıklar listesini değiştirmez. Aşağıdakiler bazı geçerli ayrıntılandırma örnekleridir: a) Tamamlanmış bir atamanın okunabilirliğini artırmak ya da dil bilgisi açısından doğruluğu sağlamak için

yapılan değişiklikler gibi yalnızca yayın düzenleme ilgili olan herhangi bir değişiklik. b) PP/ST’de kullanıldığı bağlamdan dolayı gereksinimin kapsamını değiştirmeyen bir değişiklik. Örneğin,

"TOE kullanıcıları" ifadesini kullanan bir gereksinimi "TOE telnet kullanıcıları" ile değiştirmek TOE’nin kullanıcılarının sadece telnet kullanıcıları olduğu geçerli bir ayrıntılandırma olurdu.

c) Gereksinimin kapsamını genişletmeksizin, gerçekleştirmeye izin verilebilir yaklaşımlar hakkında bilgi

sağlayan bir değişiklik. Bir gereksinimi "doğrulama yeteneği sağla"’dan "kriptografik kontrolleri gerçekleştirerek doğrulama yeteneği sağla"’ya değiştirmek geçerli bir ayrıntılandırma örneğidir. Değişiklik, mevcut bir gereksinimi gerçekleştirmede kullanılacak yöntemin doğasında kısıtlamalar oluşturur ve özgün olanın kapsamını genişletmez.

ISO/IEC 15408-2 Ekleri seçimler ve atamaların geçerli biçimde tamamlanması hakkında kılavuzluk sağlar. Bu kılavuzluk, işlemlerin nasıl tamamlanacağı hakkında zorunlu yönergeler sağlar ve PP/ST yazarı sapmayı izah etmedikçe bu yönergelerin izlenmesi gerekir: a) Açıkça sağlandıysa, “Hiçbiri” sadece bir seçimin tamamlanması için bir seçenek olarak kullanılabilirdir.

Seçimlerin tamamlanması için verilen listeler boş olmamalıdır. Eğer “Hiçbiri” seçeneği seçilmişse, başka bir seçim seçeneği seçilmeyebilir. Bir seçimde “Hiçbiri” bir seçenek olarak verilmemişse, seçim açıkça “birini seçin” ifadesini kullanmadıkça, bir seçimdeki seçenekleri “ve”ler ve “veya”lar ile birleştirmeye izin verilir.

Seçim işlemleri gerektiğinde yineleme ile birleştirilebilir. Bu durumda, her yineleme için seçilen seçeneğin uygulanabilirliğinin, paylaşılmaz ve özel olmaları amaçlandığından diğer yinelenen seçimin konusu ile çakışmaması önerilir.

b) ISO/IEC 15408-2 Ekleri atamaların tamamlanması için “Hiçbiri”nin ne zaman geçerli bir tamamlama

olabileceğini belirtmektedir. Bazı gerekli işlemler PP'de tamamlanabilir (bütünüyle ya da kısmen) ya da ST'de tamamlanmak üzere bırakılabilir. Ne olursa olsun, bütün işlemlerin ST'de tamamlanmış olması gerekir. 5.4.1.4 Güvenlik gereksinimlerinin kullanımı ISO/IEC 15408 üç tip gereksinim yapısı tanımlamaktadır: Paket, PP ve ST. ISO/IEC 15408 ayrıca birçok topluluğun ihtiyaçlarıyla ilgili bir dizi IT güvenliği kriterini de tanımlamaktadır ve böylece bu yapıların üretilmesinde önemli bir uzman girişi görevi yapmaktadır. ISO/IEC 15408, mümkün olan her yerde ISO/IEC 15408'de tanımlanan güvenlik gereksinimleri bileşenlerini kullanma temel düşüncesiyle geliştirilmiştir ve bu da iyi bilinen ve anlaşılan bir alanı temsil etmektedir. Şekil 8'de bu farklı yapılar arasındaki ilişkiler gösterilmektedir.


23

Şekil 8 - Güvenlik gereksinimlerinin kullanılması 5.4.1.4.1 Paket Bileşenlerin ara bileşimine paket adı verilmektedir. Paket bir dizi fonksiyonel gereksinimin ya da garanti gereksiniminin, güvenlik amaçlarının tanınabilir bir alt kümesini karşılayacak şekilde ifade edilmesine imkan tanımaktadır. Bir paketin yeniden kullanılabilmesi ve belirlenen amaçlara ulaşmakta kullanışlı ve etkili olduğu bilinen gereksinimleri, tanımlaması amaçlanmaktadır. Paket, daha büyük paketler olan PP'lerin ve ST'lerin oluşturulmasında kullanılabilir. Değerlendirme garanti düzeyleri (EAL'ler) ISO/IEC 15408-3'te yer alan önceden tanımlanmış garanti paketleridir. Bir EAL, değerlendirme için garanti gereksinimlerinden oluşan temel kümedir. EAL'lerin her biri tutarlı bir garanti gereksinimi kümesini tanımlamaktadır. EAL'ler birlikte, ISO/IEC 15408’in önceden tanımlanmış garanti ölçeğinde bulunan düzenli bir küme oluşturmaktadır. 5.4.1.4.2 Koruma Profili PP'de, bir EAL’in içermesi önerilen (muhtemelen ek garanti bileşenleriyle büyütülen) ya ISO/IEC 15408'den ya da açık bir şekilde ifade edilen, bir dizi güvenlik gereksinimi yer alır. PP, bir dizi güvenlik amacına bütünüyle uyan bir dizi TOE'nin güvenlik gereksinimlerinin, uygulamadan bağımsız ifadesine imkan tanır. Bir PP'nin yeniden kullanılabilmesi ve belirtilen amaçlara ulaşmakta kullanışlı ve etkili olduğu bilinen TOE gereksinimlerini, hem fonksiyonlar hem de garanti için tanımlaması amaçlanmaktadır. Bir PP'de ayrıca güvenlik amaçları ve güvenlik gereksinimleri için hareket tarzıyla ilgili gerekçe bulunmaktadır. PP, kullanıcı toplulukları, IT ürün geliştiricileri ya da bu tür ortak gereksinim kümelerini tanımlamak isteyen diğer gruplar tarafından geliştirilebilir. PP kullanıcılara belirli bir güvenlik ihtiyacı kümesine başvurma yolu vermekte ve bu ihtiyaçlara göre gelecekte değerlendirme yapılabilmesine imkan tanımaktadır. 5.4.1.4.3 Güvenlik Hedefi ST, bir PP'ye göre ya da doğrudan ISO/IEC 15408 fonksiyonel bileşenler ya da garanti bileşenlerine göre yapılabilen ya da açıkça ifade edilebilen bir dizi güvenlik gereksinimi içermektedir. Bir ST, belirli bir TOE için, değerlendirme yoluyla, belirtilen amaçlara ulaşmakta kullanışlı ve etkili olduğu gösterilen güvenlik gereksinimlerinin ifadesine imkan tanımaktadır. Bir ST, güvenlik gereksinimleri ve amaçlarıyla ve bunların her biri için gerekçeyle birlikte TOE özet belirtimini içermektedir. Bir ST, TOE'nin sunduğu güvenlik üzerinde bütün tarafların anlaşması için anlaşma temelini oluşturmaktadır.


24

5.4.1.5 Güvenlik gereksinimlerinin kaynakları TOE güvenlik gereksinimleri aşağıdaki girişler kullanılarak kurulabilir: a) Mevcut PP'ler Bir ST'deki TOE güvenlik gereksinimlerinin mevcut bir PP'de yer alan önceden bulunan gereksinim

ifadesiyle uygun bir şekilde ifade edilebilir olması ya da buna uygun olması amaçlanmaktadır. Mevcut PP'ler yeni bir PP için temel alınabilir. b) Mevcut paketler Bir PP ya da ST'teki güvenlik gereksinimlerinin bir bölümü kullanılabilecek bir pakette önceden ifade

edilmiş olabilir. ISO/IEC 15408-3'teki tanımlanmış EAL'ler önceden tanımlanmış bir pakettir. Bir PP ya da ST'deki TOE

garanti gereksinimlerinin ISO/IEC 15408-3'ten bir EAL'yi de içermesi önerilir. c) Mevcut fonksiyonel gereksinim ya da garanti gereksinimi bileşenleri Bir PP ya da ST'deki TOE fonksiyonel ya da garanti gereksinimleri, ISO/IEC 15408-2 ya da ISO/IEC

15408-3'teki bileşenler kullanılarak doğrudan ifade edilebilir. d) Genişletilmiş gereksinimler ISO/IEC 15408-2'de yer almayan ek fonksiyonel gereklilikler ve/veya ISO/IEC 15408-3'te yer almayan

ek garanti gereksinimleri bir PP ya da ST'de kullanılabilir.

Eğer varsa ISO/IEC 15408-2 ya da ISO/IEC 15408-3'teki mevcut gereksinim malzemeleri kullanılmalıdır. Mevcut bir PP'nin kullanılması TOE'nin, kullanışlılığı bilinen ve bu nedenle daha geniş bir şekilde tanınan bir dizi iyi bilinen ihtiyaç kümesini karşılamasının sağlanmasına yardım edecektir. 5.4.2 Değerlendirme türleri 5.4.2.1 PP değerlendirmesi PP değerlendirmesi ISO/IEC 15408-3'te yer alan PP'ler için değerlendirme kriterlerine göre gerçekleştirilir. Böyle bir değerlendirmenin amacı PP'nin tamamlanmış, tutarlı, teknik olarak sağlam ve değerlendirilebilir bir TOE için gereksinimler ifadesi olarak kullanılmaya uygun olduğunu göstermektir. 5.4.2.2 ST değerlendirmesi ST'nin TOE için değerlendirilmesi, ISO/IEC 15408-3'te yer alan ST'ler için değerlendirme kriterlerine göre gerçekleştirilir. Böyle bir değerlendirmenin iki amacı vardır: birincisi ST'nin tamamlanmış, tutarlı ve teknik olarak sağlam ve karşılık gelen TOE değerlendirmesinde temel alınmaya uygun olduğunu göstermek; ikincisi, bir ST'nin bir PP'ye uygunluğu iddia edildiğinde, ST'nin PP'nin gereksinimlerini uygun bir şekilde karşıladığını göstermektir. 5.4.2.3 TOE değerlendirmesi TOE değerlendirmesi, yeteri kadar tamamlanmış bir ST temel alınarak, ISO/IEC 15408-3'te yer alan değerlendirme kriterlerine göre gerçekleştirilir. Yeteri kadar tam bir ST, değerlendirme sürecinde ileride ortaya çıkabilecek problem riskini azaltır, tüm alt maddeleri değerlendirme düzeni tarafından kabul edilebilir düzeyde tamamlandığı ve hiçbir önemli değerlendirme engelinin beklenmediği yerdir. TOE değerlendirmesinin sonucu TOE’nin değerlendirilmiş ST’deki güvenlik gereksinimlerini karşıladığını göstermektir. 6 ISO/IEC 15408 gereksinimleri ve değerlendirme sonuçları 6.1 Giriş Bu madde PP ve TOE değerlendirmesinin beklenen sonuçlarını sunmaktadır. PP ya da TOE değerlendirmelerinin her biri, değerlendirilmiş PP'ler ya da TOE'lerden oluşan kataloglar sağlamaktadır. ST değerlendirmesi bir TOE değerlendirmesinin çerçevesinde kullanılan ara sonuçlara neden olmaktadır.


25

Şekil 9 - Değerlendirme sonuçları Bir IT güvenlik değerlendirmesinin sonuçlarının gösterilmesi için bütünüyle tarafsız bir ölçek olmasa bile, değerlendirme sonucunda kanıt olarak gösterilebilecek tarafsız ve tekrarlanabilir sonuçlar alınmalıdır. Değerlendirmenin anlamlı bir sonuca ulaşabilmesi için bir değerlendirme kriterleri kümesi bulunması, gerekli bir önkoşuldur ve bu, değerlendirme sonuçlarının değerlendirme otoriteleri arasında karşılıklı tanınması için teknik temeli de oluşturmaktadır. Ama kriterlerin uygulanması hem nesnel hem de öznel öğeler içerir. Bu nedenle, IT güvenliği için hassas ve her yerde geçerli derecelendirmeler mümkün değildir. ISO/IEC 15408'e göre yapılan bir derecelendirme, bir TOE'nin güvenlik özelliklerinin belirli bir şekilde araştırılması sonucu elde edilen bulguları temsil etmektedir. Böyle bir derecelendirme herhangi bir uygulama ortamında kullanıma uygunluğu garanti etmez. Bir TOE'yi belirli bir uygulama ortamında kullanım için kabul etme kararı, değerlendirme bulgularının da içinde bulunduğu birçok güvenlik konusunun göz önünde bulundurulmasına dayanmaktadır. 6.2 PP'ler ve ST'lerdeki gereksinimler ISO/IEC 15408, birçok topluluğun ihtiyaçlarını karşılayabilecek bir dizi IT güvenliği kriteri tanımlamaktadır. ISO/IEC 15408-2'de yer alan güvenlik fonksiyonel bileşenlerinin ve ISO/IEC 15408-3'te yer alan EAL ve garanti bileşenlerinin, iyi bilinen ve anlaşılan bir alan oldukları için PP ve ST'lerde TOE gereksinimlerinin ifadesi amacıyla tercih edilen hareket tarzını temsil ettiği genel düşüncesiyle geliştirilmiştir. ISO/IEC 15408, sunulan kataloglarda yer almayan fonksiyonel gereksinimlerin ve garanti gereksinimlerinin, bütün IT güvenliği gereksinimleri kümesini temsil etmek için gerekli olabileceği olasılığını kabul etmektedir. Bu genişletilmiş fonksiyonel gereksinimlerin ve garanti gereksinimlerinin eklenmesinde aşağıdakilerin uygulanması gerekir: a) Bir PP ya da ST'ye eklenen herhangi bir fonksiyonel gereksinim ya da garanti gereksiniminin,

uygunluğun değerlendirilmesi ve gösterilmesi mümkün olacak şekilde, açık ve yanlış anlamalara neden olmayacak biçimde ifade edilmesi gerekmektedir. Mevcut ISO/IEC 15408 fonksiyonel bileşenleri ve garanti bileşenlerinin ayrıntı düzeyi ve ifade şeklinin model olarak kullanılması gerekir.

b) Genişletilmiş fonksiyonel gereksinimler ya da garanti gereksinimleri kullanılarak elde edilen

değerlendirme sonuçlarının bu şekilde elde edildiği uyarısının yapılması gerekir. c) Genişletilmiş fonksiyonel gereksinimler ya da garanti gereksinimlerinin bir PP ya da ST'ye eklenmesi,

uygun yerlerde, ISO/IEC 15408-3'teki APE ya da ASE sınıflarına uyması gerekir.


26

6.2.1 PP değerlendirme sonuçları ISO/IEC 15408'de, bir değerlendiricinin, bir PP'nin tamamlanmış, tutarlı ve teknik olarak sağlam ve buna bağlı olarak, değerlendirilebilir bir TOE'nin gereksinimlerinin ifadesi olarak kullanıma uygun olup olmadığını belirtmesine imkan tanıyan, değerlendirme kriterleri yer almaktadır. PP'nin değerlendirilmesi sonucunda bir geçti/kaldı ifadesinin yer alması gerekir. Değerlendirme sonucu geçti ifadesiyle belirtilen bir PP, bir kayda girmeye hak kazanmalıdır. 6.3 TOE'deki gereksinimler ISO/IEC 15408, bir değerlendiricinin, TOE'nin ST'de ifade edilen güvenlik gereksinimlerini ifade edip etmediğini belirlemesine imkan tanıyan değerlendirme kriterlerini içermektedir. ISO/IEC 15408'i TOE'nin değerlendirilmesinde kullanarak, değerlendirici aşağıdakiler hakkında karara varabilecektir: a) TOE'nin belirtilen güvenlik fonksiyonlarının fonksiyonel gerekliliklere uygun olup olmadığı ve buna bağlı

olarak TOE'nin güvenlik amaçlarını karşılamakta etkili olup olmadığı, b) TOE'nin belirtilen güvenlik fonksiyonlarının doğru bir şekilde uygulanıp uygulanmadığı. ISO/IEC 15408'de ifade edilen güvenlik gereksinimleri, IT güvenliği değerlendirme kriterlerinin bilinen uygulanabilirlik alanını tanımlamaktadır. Sadece ISO/IEC 15408'den alınan fonksiyonel gereksinimler ve garanti gereksinimlerine göre ifade edilen güvenlik gereksinimlerine sahip bir TOE, ISO/IEC 15408'e göre değerlendirilebilecektir. Bir EAL içermeyen garanti paketlerinin neden kullanıldığının açıklanması gerekir. Ama, TOE'nin, ISO/IEC 15408'de doğrudan ifade edilmeyen güvenlik gereksinimlerini karşılaması için de bir ihtiyaç olabilir. ISO/IEC 15408, bu tür bir TOE'nin de değerlendirilmesi gereğini kabul etmektedir, ama ek gereksinimler ISO/IEC 15408’in bilinen uygulama alanının dışında olduğu için, bu tür bir değerlendirmenin sonuçlarında bununla ilgili bir uyarı yer almalıdır. Böyle bir uyarı, değerlendirme sonuçlarının ilgili değerlendirme otoriteleri tarafından genel kabul görmesini riske sokabilir. TOE değerlendirmesinin sonuçlarında ISO/IEC 15408'e uygunluğunu belirten bir ifadenin yer alması gerekir. Bir TOE'nin güvenliğini tarif etmekte ISO/IEC 15408 terimlerinin kullanılması genel olarak TOE'lerin güvenlik özelliklerinin karşılaştırılmasına imkan tanımaktadır. 6.3.1 TOE değerlendirme sonuçları TOE değerlendirmesinin sonucu, TOE'ye gereksinimlere uymak bakımından ne dereceye kadar güvenilebileceğini tarif eden bir ifade olması gerekir. TOE'nin değerlendirilmesi sonucunda bir geçti/kaldı ifadesinin yer alması gerekir. TOE değerlendirmesinin sonucu geçti ifadesiyle belirtilen bir TOE’nin, bir kayıtta yer almayı hak etmesi gerekir. Değerlendirme sonuçlarının bir “Uyum Sonucu” da içermesi gerekir. 6.4 Uyum sonuçları Uyum sonuçları, kendi değerlendirmesini geçen bir TOE ya da PP tarafından karşılanan gereksinimler kümesinin kaynağını belirtir. Bu uyum sonucu ISO/IEC 15408-2 (fonksiyonel gereksinimler), ISO/IEC 15408-3 (garanti gereksinimleri) ve uygulanabilir ise önceden tanımlanmış bir gereksinimler kümesine (örneğin, EAL, Koruma Profili) göre sunulur. Uyum sonucu aşağıdakilerden birini içerir: a) ISO/IEC 15408-2 uyumlu – Eğer fonksiyonel gereksinimler sadece ISO/IEC 15408-2'deki fonksiyonel

gereksinimlere dayanıyorsa, bir PP ya da TOE ISO/IEC 15408-2 uyumludur. b) ISO/IEC 15408-2 genişletilmiş – Eğer fonksiyonel gereksinimler ISO/IEC 15408-2'de olmayan

fonksiyonel gereksinimleri de içeriyorsa bir PP ya da TOE ISO/IEC 15408-2 genişletilmiştir. Buna ek olarak aşağıdakilerden birini de içerir: a) ISO/IEC 15408-3 uyumlu – Eğer garanti gereksinimleri, sadece ISO/IEC 15408-3'teki garanti

gereksinimlerine dayanıyorsa, bir PP ya da TOE ISO/IEC 15408-3 uyumludur.


27

b) ISO/IEC 15408-3 genişletilmiş – Eğer garanti gereksinimleri, ISO/IEC 15408-3'te olmayan garanti gereksinimleri içeriyorsa, bir PP ya da TOE ISO/IEC 15408-3 genişletilmiştir.

Ek olarak, uyum sonucu tanımlanmış gereksinimler kümelerine göre eklenmiş bir ifade içerebilir. Bu durumda aşağıdakilerden birini içerir: a) Paket adı Uyumlu – Eğer gereksinimler (fonksiyonlar ya da garanti) uyum sonucunun bir bölümü olarak

listelenen paketlerdeki tüm bileşenleri içeriyorsa, bir PP ya da TOE önceden tanımlanmış adlandırılmış bir fonksiyonel ve/veya garanti paketi (örneğin EAL) ile uyumludur.

b) Paket adı Büyütülmüş – Eğer gereksinimler (fonksiyonlar ya da garanti) uyum sonucunun bir bölümü

olarak listelenen paketlerdeki tüm bileşenlerin uygun bir üst kümesi ise, bir PP ya da TOE önceden tanımlanmış adlandırılmış bir fonksiyonel ve/veya garanti paketinin (örneğin EAL) bir büyütülmesidir.

Son olarak, uyum sonucu Koruma Profillerine göre hazırlanmış bir ifade de içerebilir. Bu durumda aşağıdakini içerir: a) PP uyumlu – Bir TOE, uyum sonucunun bir bölümü olarak listelenen belirli PP'leri karşılar. 6.5 TOE değerlendirme sonuçlarının kullanılması IT ürünleri ve sistemleri değerlendirme sonuçlarının kullanılması bakımından farklılığa sahiptir. Şekil 10'da değerlendirme sonuçlarının işlenmesi için seçenekleri gösterilmektedir. Ürünler, çalışabilir sistemlere ulaşılıncaya kadar art arda yüksek düzeylerde değerlendirilebilir ve kataloglanabilir ve bu aşamaya gelindiğinde de sistem kabulüyle ilgili olarak değerlendirmeye tabi tutulabilir.

Şekil 10 - TOE değerlendirme sonuçlarının kullanılması TOE, eklenmiş olan herhangi bir ürünün ve referans olarak alınan PP'lerin güvenlik özelliklerini göz önünde bulundurabilen gereksinimlere uygun olarak geliştirilir. Bunun ardından TOE'nin değerlendirilmesi, değerlendirmenin bulgularını belgeleyen bir dizi değerlendirme sonucu sağlar. Daha geniş bir şekilde kullanılması amaçlanan bir IT ürününün değerlendirilmesinin ardından, değerlendirme bulgularının bir özeti, değerlendirilmiş ürünlerden oluşan bir kataloga girilerek güvenli IT ürünleri kullanmak isteyen daha geniş bir pazara sunulabilir. TOE'nin, önceden değerlendirmeye tabi tutulmuş kurulu bir IT sistemine alındığı ya da alınacağı durumlarda, sistemi kabul edecek kişi, değerlendirme sonuçlarına ulaşabilecektir. Sonra, ISO/IEC 15408 değerlendirme sonuçları, kabul edecek kişi tarafından, ISO/IEC 15408 değerlendirmesi gerektiren kuruma özgü kabul


28

kriterlerini uygularken göz önünde bulundurulmalıdır. ISO/IEC 15408 değerlendirme sonuçları, sistemin çalışma riskini kabul etme kararına giden kabul sürecinin girdilerinden biridir.


29

Ek A

Koruma Profillerinin belirlenmesi A.1 Genel bakış Bir PP, bir TOE kategorisi için uygulamadan bağımsız IT güvenliği gereksinimlerini tanımlamaktadır. Bu tür TOE'lerin IT güvenliği için ortak kullanıcı ihtiyaçlarını karşılaması amaçlanmaktadır. Böylece kullanıcılar, belirli bir TOE'ye gönderme yapmadan kendi IT güvenliği ihtiyaçlarını ifade etmek için bir PP oluşturabilir ya da bir PP'yi belirtebilir. Bu ek, PP için gereksinimleri tarif şeklinde içermektedir. ISO/IEC 15408-3'teki Madde 8'de yer alan garanti sınıfı APE, bu gereksinimleri, PP'nin değerlendirilmesinde kullanılacak garanti bileşenleri olarak içerir. A.2 Koruma Profilinin içeriği A.2.1 İçerik ve sunum PP’nin bu ekte tarif edilen içerik gereksinimlerine uyumlu olması gerekir. PP’nin, PP kullanıcısının kolayca ulaşamayacağı başka malzemelere olan göndermeleri en aza indiren kullanıcı dostu bir belge olarak sunulması önerilir. Eğer uygunsa, gerekçe ayrı bir şekilde sağlanabilir. PP'nin içeriği Şekil A.1'de gösterilmektedir ve bunun, PP belgesinin yapısal ana hatları oluşturulurken kullanılması önerilir.


30

Şekil A.1 - Koruma Profili içeriği A.2.2 PP sunumu PP sunumunun, PP kaydını çalıştırmak için gerekli aşağıdaki belge yönetimi ve genel bakış bilgisini içermesi gerekir: a) PP kimliğinin, PP'yi tanımak, kataloglamak, kaydetmek ve kendi içinde referans göstermek için gerekli

etiketleme ve tarif bilgisini sağlaması gerekir. b) PP genel bakışının, PP'yi düz yazı şeklinde özetlemesi gerekir. Genel bakışın, PP'nin potansiyel bir

kullanıcısının söz konusu PP'nin kendisiyle ilgili olup olmadığına karar vermesine yetecek kadar ayrıntılı olması önerilir. Genel bakışın ayrıca, PP kataloglarında ve kayıtlarında tek başına bir özet olarak kullanılabilmesi de önerilir.

A.2.3 TOE tarifi PP'nin bu bölümünün TOE'yi, TOE'nin güvenlik gereksinimlerinin anlaşılmasına yardım etmek için tarif etmesi ve TOE'nin ürün tipi ve genel IT özelliklerini ele alması gerekir.


31

TOE tarifi değerlendirme için bir bağlam sunmaktadır. TOE tarifinde sunulan bilgiler değerlendirme sırasında tutarsızlıkları belirlemek için kullanılacaktır. Bir PP, normalde özel uygulamalara gönderme yapmadığı için, tarif edilen TOE özellikleri varsayım olabilir. Eğer TOE, temel fonksiyonu güvenlik olan bir ürün ya da sistemse, PP'nin bu bölümü böyle bir TOE'nin uygun olacağı daha geniş bir uygulama bağlamını tarif etmekte kullanılabilir. A.2.4 TOE güvenlik ortamı TOE güvenlik ortamı ifadesinin, TOE'nin kullanılmasının amaçlandığı ortamın güvenlik yönünü ve hangi şekilde kullanılmasının beklendiğini tarif etmesi gerekir. Bu ifadenin aşağıdakileri içermesi gerekir: a) Varsayımlarla ilgili bir tarifte, TOE'nin kullanılacağı ya da kullanılmasının amaçlandığı güvenlik

yönlerinin tarif edilmesi gerekir. Bunun da aşağıdakileri içermesi gerekir: TOE'nin amaçlanan kullanımıyla ilgili bilgiler ki bunun içinde amaçlanan uygulama, potansiyel varlık

değeri ve kullanımla ilgili olası sınırlamalar da yer alacaktır ve TOE'nin kullanım ortamıyla ilgili bilgiler ki bunun içinde fiziksel, personel ve bağlanırlık yönleri yer

alacaktır. b) Tehditlerle ilgili tarifin, TOE ya da ortamı içinde kendilerine özel koruma gereken, varlıklara karşı bütün

tehditleri içermesi gerekir. Ortamda karşılaşılabilecek olası bütün tehditlerin sıralanmasına gerek yoktur, sadece TOE'nin güvenli çalışması bakımından ilgili olanların belirtilmesi yeterlidir. Bir tehdidin, belirlenmiş tehdit kaynağı (kişi), saldırı ve saldırının öznesi olan varlık bakımından tarif edilmesi gerekir. Tehdit oluşturan kişilerin, uzmanlık, mevcut kaynaklar ve amaç bakımlarından ele alınarak tarif edilmesi önerilir. Saldırıların, saldırı yöntemleri, yararlanılan açıklıklar ve fırsat bakımlarından ele alınarak tarif edilmesi önerilir. Eğer güvenlik amaçları sadece kurumsal güvenlik politikaları ve varsayımlarından oluşturulmuşsa, tehditlerin tarifi yapılmayabilir.

c) Kurumsal güvenlik politikaları tarifinin, TOE'nin uyması gereken kurumsal güvenlik politikası ifadeleri ya da kurallarını belirtmesi ve gerekirse açıklaması gerekir. Herhangi bir politika ifadesini, açık güvenlik amaçları belirlemekte kullanılmasına imkan tanıyacak bir şekilde sunmak için, açıklama ve yorum gerekebilir.

Eğer güvenlik amaçları sadece tehditlere ve varsayımlara dayanıyorsa, kurumsal güvenlik politikalarının

tarifi yapılmayabilir. TOE'nin parçalı bir yapıya sahip olduğu yerlerde, TOE ortamının ayrı parçaları için güvenlik ortamı yönlerini (varsayımlar, tehditler, kurumsal güvenlik politikaları) ayrı olarak tartışmak gerekebilir. A.2.5 Güvenlik amaçları Güvenlik amaçları ifadesinin, TOE ve ortamı için güvenlik amaçlarını tanımlaması gerekir. Güvenlik amaçlarının, belirlenen bütün güvenlik ortamı yönlerini ele alması gerekir. Güvenlik amaçlarının, belirtilen amacı yansıtması ve belirlenen bütün tehditlerle mücadele edip belirlenen bütün kurumsal güvenlik politikaları ve varsayımları kapsamaya uygun olması gerekir. Aşağıdaki amaç kategorilerinin belirlenmesi gerekir. Not - Bir tehdit ya da kurumsal güvenlik politikası, kısmen TOE ve kısmen de TOE'nin ortamı tarafından

kapsandığında, ilgili amacın her bir kategoride tekrarlanması gerekir. a) TOE için güvenlik amaçlarının açık bir şekilde ifade edilmesi ve TOE'nin mücadele edeceği,

belirlenmiş tehditlerin ve/veya TOE'nin karşılayacağı kurumsal güvenlik politikalarının yönleriyle ilişkilendirilmesi gerekir.

b) Ortam için güvenlik amaçlarının açık bir şekilde ifade edilmesi ve TOE tarafından bütünüyle

mücadele edilmeyen, belirlenmiş tehditlerin ve/veya TOE tarafından bütünüyle karşılanmayan kurumsal güvenlik politikalarının ya da varsayımların yönleriyle ilişkilendirilmesi gerekir.


32

Ortam için güvenlik amaçları, TOE güvenlik ortamı varsayımlar bölümündeki ifadenin, bütünüyle ya da kısmen, yeniden ifadesi olabilir.

A.2.6 IT güvenlik gereksinimleri PP'nin bu bölümü, TOE ya da ortamı tarafından yerine getirilmesi gereken ayrıntılı IT gereksinimlerini tanımlamaktadır. IT güvenliği gereksinimlerinin aşağıdaki şekilde ifade edilmesi gerekir:

a) Aynı gereksinimin farklı yönlerinin karşılanmasının gerektiği yerlerde (örneğin, birden fazla türde

kullanıcının belirlenmesinde), her bir yönü kapsamak için aynı Bölüm 2 bileşeninin tekrar tekrar kullanımı (yani, yineleme işleminin uygulanması) mümkündür. TOE güvenlik gereksinimleri ifadesinin, TOE'nin güvenlik amaçlarına ulaşmak için, TOE'nin ve TOE değerlendirmesinin destekleyici kanıtlarının karşılaması gereken, fonksiyonel ve garanti güvenliği gereksinimlerini tanımlaması gerekir. TOE güvenliği gereksinimlerinin aşağıdaki şekilde ifade edilmesi gerekir:

1) TOE güvenlik fonksiyonel gereksinimleri ifadesinin, TOE için fonksiyonel gereksinimleri,

uygun yerlerde, ISO/IEC 15408-2'den alınan fonksiyonel bileşenler olarak tanımlaması önerilir.

TOE güvenlik garantisi gereksinimlerinde AVA_SOF.1 yer aldığında (örneğin EAL2 ve daha yüksek), TOE güvenlik fonksiyonel gereksinimleri ifadesinin, olasılık ya da permütasyon mekanizmasıyla (örneğin, şifre ya da sıralama değiştirmeyle) gerçekleştirilen TOE güvenlik fonksiyonları için en düşük güç düzeyini de içermesi gerekir. Bu tür bütün fonksiyonların bu en düşük düzeye uygun olması gerekir. Bu düzeyin şunlardan biri olması gerekir: SOF-temel, SOF-orta, SOF-yüksek. Düzeyin seçiminin, TOE için belirlenen güvenlik amaçlarıyla uyumlu olması gerekir. İsteğe bağlı olarak, TOE için belirli güvenlik amaçlarını karşılamak amacıyla seçilen fonksiyonel gereksinimler için fonksiyon ölçülerinin gücü özel olarak tanımlanabilir.

TOE güvenlik fonksiyonları değerlendirmesi (AVA_SOF.1) gücünün bir parçası olarak, ayrı TOE güvenlik fonksiyonlarının iddia edilen gücünün ve genel en düşük güç düzeyinin karşılanıp karşılanmadığının değerlendirilmesi gerekir.

2) TOE güvenlik garantisi gereksinimleri ifadesinin, garanti gereksinimlerini, isteğe bağlı olarak

ISO/IEC 15408-3'teki garanti bileşenleri tarafından büyütülen EAL'lerden biri olarak ifade etmesi önerilir. PP ayrıca, ISO/IEC 15408-3'ten alınmayan ek garanti gereksinimlerini açık bir şekilde ifade ederek EAL'yi genişletebilir.

b) IT ortamı için güvenlik gereksinimleriyle ilgili isteğe bağlı ifadenin, TOE'nin IT ortamı tarafından

karşılanması gereken IT güvenlik gereksinimlerini belirleyebilir. PP'nin bu bölümündeki gereksinimler ISO/IEC 15408-2 ve ISO/IEC 15408-3’ten elde edilebilir ve bu yapılırsa, TOE değil, IT ortamının gereksinimi karşılamasını açıkça belirtmek için yeniden ifade edilmesi önerilir. Bu tür yeniden ifade etme ayrıntılandırmanın özel bir durumudur ve değiştirilmiş ISO/IEC 15408 bileşenleri ile ilişkili değerlendirme gereksinimleri kapsamında değildir. TOE'nin IT ortamında belirtilen bir bağımlılığı yoksa PP'nin bu bölümü gerçekleştirilmeyebilir.

c) Aşağıdaki ortak koşulların, TOE ve IT ortamı için güvenlik fonksiyonel ve garanti gereksinimlerinin

ifadesine aynı şekilde uygulanması gerekir:

1) Bütün IT güvenlik gereksinimlerinin, uygun olan yerlerde, ISO/IEC 15408-2 ya da ISO/IEC 15408-3'ten alınan güvenlik gereksinimi bileşenlerine gönderme yapılarak ifade edilmesi önerilir. ISO/IEC 15408-2 ya da ISO/IEC 15408-3 gereksinimleri bileşenlerinin hiçbiri, güvenlik gereksinimlerinin hepsine ya da bir bölümüne kolayca uygulanamıyorsa, PP'de bu gereksinimler, ISO/IEC 15408'e gönderme yapılmadan açık bir şekilde ifade edilmesi gerekir.

2) TOE güvenlik fonksiyonel ya da garanti gereksinimlerinin herhangi bir açık ifadesinin,

değerlendirme ve uygunluğun gösterilmesi mümkün olacak şekilde, açık ve yanlış anlamalara neden olmayacak bir biçimde ifade edilmesi gerekir. Mevcut ISO/IEC 15408 fonksiyonel ya da garanti gereksinimlerinin ayrıntı düzeyi ve ifade biçiminin model alınması gerekir.

3) İstenen çalışmaları (atama ya da seçim) belirleyen gereksinim bileşenleri seçildiğinde, PP’nin

bu çalışmaları, gereksinimleri, güvenlik amaçlarına ulaşıldığını göstermeye yetecek ayrıntı düzeyine büyütmekte kullanması gerekir. PP'nin içinde gerçekleştirilmeyen herhangi bir istenen çalışmanın gerçekleşmediğinin belirtilmesi gerekir.


33

4) Gereksinim bileşenlerindeki çalışmaları kullanarak, TOE güvenlik gereksinimi ifadeleri isteğe bağlı olarak, gerekli yerlerde belirli güvenlik mekanizmalarının kullanılmasını önerebilir ya da yasaklayabilir.

5) IT güvenliği gereksinimleri arasındaki bütün bağımlılıkların yerine getirilmesi önerilir.

Bağımlılıklar, ilgili gereksinim, TOE güvenlik gereksinimlerine eklenerek ya da ortam üzerindeki bir gereksinimle yerine getirilebilir.

A.2.7 Uygulama notları PP'nin bu isteğe bağlı bölümü, TOE'nin oluşturulması, değerlendirilmesi ya da kullanımıyla ilgili ya da işe yarayacağı düşünülen ek destek bilgilerini içerebilir. A.2.8 Gerekçe PP'nin bu bölümü, PP değerlendirmesinde kullanılan kanıtları açıklamaktadır. Bu kanıtlar, PP'nin tamamlanmış ve bütünlüğe sahip bir gereksinim kümesi olduğunu ve buna uygun bir TOE'nin güvenlik ortamı içinde etkili bir IT güvenliği karşı önlemleri kümesi sağlayacağı iddialarını desteklemektedir. Gerekçenin aşağıdakileri içermesi gerekir: a) Güvenlik amaçları gerekçesinin, ifade edilen güvenlik amaçlarının, TOE güvenlik ortamında

belirlenen bütün yönlerle ilişkilendirilebileceğini ve bunları kapsamaya uygun olduğunu göstermesi gerekir.

b) Güvenlik gereksinimleri gerekçesinin, güvenlik gereksinimleri kümesinin (TOE ve ortam) güvenlik

amaçlarını karşılamaya uygun ve bunlarla ilişkilendirilebilir olduğunu göstermesi gerekir. Aşağıdakilerin gösterilmesi gerekir: 1) TOE ve onun IT ortamı için ayrı ayrı fonksiyonel gereksinim ve garanti gereksinimi bileşenlerinin

bir araya getirilmesinin, birlikte, belirtilen güvenlik amaçlarını karşıladığı, 2) Güvenlik gereksinimleri kümesinin, birlikte, karşılıklı destekleyici ve kendi içinde tutarlı bir bütün

oluşturduğu, 3) Güvenlik gereksinimleri seçiminin doğruluğunun kanıtlandığı. Aşağıdaki durumlardan herhangi

biri varsa, ayrıntılı olarak bunun nedeninin açıklanması gerekir:

i) ISO/IEC 15408-2 veya ISO/IEC 15408-3’te yer almayan gereksinimlerin seçilmesi, ii) Bir EAL içermeyen garanti gereksinimlerinin seçilmesi ve iii) Bağımlılıkların yerine getirilmemesi.

4) PP için seçilen fonksiyon düzeyi gücünün, başka herhangi bir açık, fonksiyon gücü iddiasıyla

birlikte, TOE için güvenlik amaçlarına uygun olduğu.

Bu potansiyel olarak çok yer kaplayan malzeme, bütün PP kullanıcıları için uygun ya da kullanışlı olmayabileceği için ayrı olarak dağıtılabilir.


34

Ek B

Güvenlik hedeflerinin belirlenmesi B.1 Genel bakış Bir ST, belirlenmiş bir TOE'nin IT güvenlik gereksinimlerini içerir ve söz konusu TOE tarafından, ifade edilen gereksinimleri karşılamak için sunulan fonksiyonel güvenlik kriterlerini ve garantiyle ilgili güvenlik kriterlerini belirler. Bir TOE için ST, geliştiriciler, değerlendiriciler ve, uygun yerlerde, kullanıcılar arasında, TOE'nin güvenlik özellikleri ve değerlendirme kapsamı için temeli oluşturur. ST'nin hitap ettiği kitle, TOE'nin üretilmesi ve değerlendirilmesinden sorumlu olanlarla sınırlı değildir ve ayrıca TOE'nin yönetimi, pazarlanması, satın alınması, kurulması, yapılandırılması, çalıştırılması ve kullanılmasından sorumlu olanları da içerebilir. ST, bir ya da daha fazla PP'nin gereksinimlerini içerebilir ya da bunlara uygun olduğunu iddia edebilir. Böyle bir PP uygunluk iddiasının etkisi, istenen ST içeriğini tanımlarken, başlangıçta, Madde B.2'de, göz önünde bulundurulmamaktadır. Madde B.2.8 bir PP uygunluk iddiasının istenen ST içeriği üzerindeki etkisini ele almaktadır. Bu ek, ST için gereksinimleri tarif şeklinde içermektedir. ISO/IEC 15408-3 Madde 9'da yer alan garanti sınıfı ASE, bu gereksinimleri, ST'nin değerlendirilmesinde kullanılacak garanti bileşenleri şeklinde içermektedir. B.2 Güvenlik Hedefinin içeriği B.2.1 İçerik ve sunum ST’nin bu ekte tarif edilen içerik gereksinimlerine uygun olması gerekir. ST’nin, ST kullanıcısının kolayca ulaşamayacağı başka malzemelere olan göndermeleri en aza indiren kullanıcı dostu bir belge olarak sunulması önerilir. Eğer uygunsa, gerekçe ayrı bir şekilde sağlanabilir. ST'nin içeriği Şekil B.1'de gösterilmektedir ve bunun, ST'nin yapısal ana hatları oluşturulurken kullanılması önerilir.


35

Şekil B.1 - Güvenlik Hedefi içeriği B.2.2 ST sunumu ST sunumunun aşağıdaki belge yönetimi ve genel bakış bilgilerini içermesi gerekir. a) ST kimliğinin, ST'yi ve gönderme yaptığı TOE'yi kontrol etmek ve tanımak için gerekli etiketleme ve

tarif bilgisini sağlaması gerekir. b) ST genel bakışının, ST'yi düz yazı şeklinde özetlemesi gerekir. Genel bakışın, ST'nin potansiyel bir

kullanıcısının söz konusu ST'nin kendisiyle ilgili olup olmadığına karar vermesine yetecek kadar ayrıntılı olması önerilir. Genel bakışın ayrıca, değerlendirilmiş ürünler listelerinde tek başına bir özet olarak da kullanılabilmesi önerilir.

c) ISO/IEC 15408 uygunluk iddiasının, ISO/IEC 15408’in bu bölümünde belirtildiği gibi, TOE için

değerlendirilebilir herhangi bir ISO/IEC 15408 uygunluğunu ifade etmesi gerekir.


36

B.2.3 TOE tarifi ST'nin bu bölümünün TOE'yi, güvenlik gereksinimlerinin anlaşılmasına yardım etmesi için tarif etmesi ve ürün ya da sistem tipini ele alması gerekir. TOE'nin kapsamı ve sınırlarının hem fiziksel olarak (donanım ve/veya yazılım bileşenleri/modüller) hem de mantıksal olarak (TOE'nin sunduğu IT ve güvenlik özellikleri) genel bir biçimde tarif edilmesi gerekir. TOE tarifi, değerlendirme için bağlam sağlamaktadır. TOE tarifinde sunulan bilginin, değerlendirme sırasında tutarsızlıkları belirlemek için kullanılması gerekir. TOE, temel fonksiyonu güvenlik olan bir ürün ya da sistemse, ST'nin bu bölümü, bu tür bir TOE'nin uygun olacağı daha geniş bir uygulama bağlamını tarif etmekte kullanılabilir. B.2.4 TOE güvenlik ortamı TOE güvenlik ortamı ifadesinin, TOE'nin kullanılmasının amaçlandığı ortamın güvenlik yönlerini ve hangi şekilde kullanılmasının beklendiğini tarif etmesi gerekir. Bu ifadenin aşağıdakileri içermesi gerekir: a) Varsayımların tarifinin, TOE'nin kullanılacağı ya da kullanılması amaçlanan ortamın güvenlik yönlerini

tarif etmesi gerekir. Bunun da aşağıdakileri içermesi gerekir: TOE'nin amaçlanan kullanımının, ki bunun içinde amaçlanan uygulama, potansiyel varlık değeri ve

olası kullanım sınırlamaları gibi yönlerinde yer alması gerekir ve TOE'nin kullanım ortamıyla ilgili bilginin, ki bunun içinde fiziksel, personel ve bağlanırlık yönlerinin yer

alması gerekir. b) Tehditlerin tarifinin, TOE ya da ortamı içinde özel korumayı gerektiren, varlıklara karşı bütün tehditleri

içermesi gerekir. Ortamda karşılaşılabilecek olası bütün tehditlerin sıralanmasına gerek yoktur, sadece TOE'nin güvenli çalışması bakımından ilgili olanların belirtilmesi yeterlidir.

Bir tehdidin, belirlenen bir tehdit kaynağı (kişi), saldırı ve saldırının öznesi olan varlık bakımlarından

tarif edilmesi gerekir. Tehdit oluşturan kişilerin, uzmanlık, mevcut kaynaklar ve saldırıcı amacı gibi yönlerden ele alınarak tarif edilmesi önerilir. Saldırıların, saldırı yöntemleri, varsa, yararlanılmış açıklıklar ve fırsat bakımlarından ele alınarak tarif edilmesi önerilir.

Eğer güvenlik amaçları sadece kurumsal güvenlik politikalarından ve varsayımlardan çıkarılmışsa, tehditlerin tarifi yapılmayabilir.

c) Kurumsal güvenlik politikalarının tarifinin, TOE'nin uyması gereken kurumsal güvenlik politikası

ifadeleri ya da kurallarını belirtmesi ve gerekirse açıklaması gerekir. Herhangi bir politika ifadesinin, açık güvenlik amaçları oluşturmak için kullanılmasına imkan tanımak için açıklama ve yorumlama gerekebilir.

Eğer güvenlik amaçları sadece tehditler ve varsayımlardan çıkarılmışsa, kurumsal güvenlik

politikalarının tarifi yapılmayabilir. TOE'nin parçalı bir yapıya sahip olduğu yerlerde, TOE ortamının ayrı parçaları için güvenlik ortamı yönlerini (varsayımlar, tehditler, kurumsal güvenlik politikaları) ayrı olarak tartışmak gerekebilir. B.2.5 Güvenlik amaçları Güvenlik amaçları ifadesinin, TOE ve ortamı için güvenlik amaçlarını tanımlaması gerekir. Güvenlik amaçlarının, belirlenen bütün güvenlik ortamı yönlerini ele alması gerekir. Güvenlik amaçlarının, ifade edilen amacı yansıtması ve belirlenen bütün tehditlerle mücadele etmeye ve belirlenen bütün kurumsal güvenlik politikası ve varsayımları kapsamaya uygun olması gerekir. Aşağıdaki kategorilerdeki amaçların belirtilmesi gerekir: Not - Bir tehdit ya da kurumsal güvenlik politikası kısmen TOE ve kısmen de ortamı tarafından

kapsandığında ilgili amacın her bir kategoride tekrarlanması gerekir. a) TOE için güvenlik amaçlarının açık bir şekilde ifade edilmesi ve TOE ve/veya TOE'nin uyacağı

kurumsal güvenlik politikalarının mücadele edeceği belirlenmiş tehdit yönleriyle ilişkilendirilmesi gerekir.


37

b) Ortam için güvenlik amaçlarının açık bir şekilde ifade edilmesi ve TOE tarafından bütünüyle

mücadele edilmeyen belirlenmiş tehditler ve/veya TOE tarafından bütünüyle karşılanmayan kurumsal güvenlik politikaları ya da varsayımlarıyla ilişkilendirilmesi gerekir.

Ortam için güvenlik amaçları, TOE güvenlik ortamı varsayımlar bölümündeki ifadenin, bütünüyle ya da

kısmen yeniden ifadesi olabilir. B.2.6 IT güvenlik gereksinimleri ST'nin bu bölümü, TOE ya da ortamı tarafından karşılanması gereken ayrıntılı IT güvenliği gereksinimlerini tanımlamaktadır. IT güvenliği gereksinimlerinin aşağıdaki biçimde ifade edilmesi gerekir: a) Aynı gereksinimin farklı yönlerinin kapsanması gereken yerlerde (örneğin, birden fazla tipte

kullanıcının tanınması), her bir yönü karşılamak için aynı ISO/IEC 15408-2 bileşeninin tekrar tekrar kullanımı (yani, tekrar işleminin uygulanması) mümkündür. TOE güvenliği gereksinimleri ifadesinin, TOE güvenlik amaçlarını karşılamak için, TOE ve değerlendirilmesi için destekleyici kanıtların yerine getirmesi gereken fonksiyonel gereksinimleri ve garanti gereksinimlerini tanımlaması gerekir. TOE güvenlik gereksinimlerinin aşağıdaki şekilde ifade edilmesi gerekir:

1) TOE güvenlik fonksiyonel gereksinimleri ifadesinin TOE için fonksiyonel gereksinimleri,

uygun yerlerde, ISO/IEC 15408-2'den alınan fonksiyonel bileşenler olarak tanımlaması önerilir.

AVA_SOF.1'in TOE güvenlik garanti gereksinimleri içinde yer aldığı yerlerde (örneğin, EAL2 ve daha yükseği), TOE güvenlik fonksiyonel gereksinimleri ifadesinin, bir olasılık ya da permütasyonlu mekanizmayla (örneğin bir şifre ya da sıra değiştirme fonksiyonu) gerçekleştirilen TOE güvenlik fonksiyonları için bir en düşük güç düzeyi içermesi gerekir. Bu düzeyin aşağıdakilerden biri olması gerekir: SOF-temel, SOF-orta, SOF-yüksek. Düzeyin seçiminin, TOE için belirlenen güvenlik amaçlarıyla uyumlu olması gerekir. İsteğe bağlı olarak, TOE için güvenlik amaçlarına ulaşmak amacıyla seçilen fonksiyonel gereksinimler için fonksiyon ölçülerinin gücü özel olarak tanımlanabilir.

TOE güvenlik fonksiyonları değerlendirmesinin (AVA_SOF.1) bir parçası olarak, her bir TOE güvenlik fonksiyonu ve genel en düşük güç düzeyi iddialarının TOE tarafından karşılanıp karşılanmadığının incelenmesi gerekir.

2) TOE güvenlik garanti gereksinimleri ifadesinin, garanti gereksinimlerini, isteğe bağlı olarak ISO/IEC 15408-3 garanti bileşenleri tarafından büyütülen EAL'lerden biri olarak ifade etmesi önerilir. ST ayrıca, ISO/IEC 15408-3'ten alınmayan ek garanti gereksinimlerini açık bir şekilde ifade ederek EAL'yi genişletebilir.

b) IT ortamı için güvenlik gereksinimleriyle ilgili isteğe bağlı ifadenin, TOE'nin IT ortamı tarafından

karşılanacak IT güvenliği gereksinimlerini belirtmesi gerekir. ST'nin bu bölümündeki gereksinimler ISO/IEC 15408-2 ve ISO/IEC 15408-3’ten elde edilebilir ve bu yapılırsa, TOE değil, IT ortamının gereksinimi karşılamasını açıkça belirtmek için yeniden ifade edilmesi önerilir. Bu tür yeniden ifade etme ayrıntılandırmanın özel bir durumudur ve değiştirilmiş ISO/IEC 15408 bileşenleri ile ilişkili değerlendirme gereksinimleri kapsamında değildir. TOE'nin IT ortamı üzerinde belirtilen hiçbir bağımlılığı yoksa ST'nin bu bölümü boş bırakılabilir.

c) Aşağıdaki ortak koşulların, TOE ve IT ortamı için güvenlik fonksiyonel gereksinimleri ve garanti

gereksinimlerinin ifadesine aynı şekilde uygulanması gerekir: 1) Bütün IT güvenlik gereksinimlerinin, uygun olan yerlerde, ISO/IEC 15408-2 ya da ISO/IEC

15408-3'ten alınan güvenlik gereksinimi bileşenlerine gönderme yapılarak ifade edilmesi önerilir. ISO/IEC 15408-2 ya da ISO/IEC 15408-3 gereksinimleri bileşenlerinin hiçbiri güvenlik gereksinimlerinin hepsine ya da bir bölümüne kolayca uygulanamıyorsa, PP'de bu gereksinimlerin, ISO/IEC 15408'ye gönderme yapılmadan açık bir şekilde ifade edilmesi gerekir.

2) TOE güvenlik fonksiyonel ya da garanti gereksinimlerinin herhangi bir açık ifadesinin,

değerlendirme ve uygunluğun gösterilmesi mümkün olacak şekilde, açık ve yanlış anlamalara neden olmayacak bir biçimde ifade edilmesi gerekir. Mevcut ISO/IEC 15408 fonksiyonel gereksinimler ya da garanti gereksinimlerinin ayrıntı düzeyi ve ifade biçiminin model alınması gerekir.


38

3) İstenen herhangi bir çalışmanın, gereksinimleri, güvenlik amaçlarının karşılandığını göstermeye yetecek ayrıntı düzeyine büyütmek için kullanılması gerekir. Gereksinim bileşenleri üzerinde istenen bütün çalışmaların gerçekleştirilmesi gerekir.

4) IT güvenliği gereksinimleri arasındaki bütün bağımlılıkların yerine getirilmesi önerilir.

Bağımlılıklar, ilgili gereksinim, TOE güvenlik gereksinimlerine eklenerek ya da ortam üzerindeki bir gereksinimle yerine getirilebilir.

B.2.7 TOE özet belirtimi TOE özet belirtiminin (spesifikasyonu), TOE için güvenlik gereksinimlerinin somutlaştırılmasını tanımlaması gerekir. Bu belirtimin, TOE güvenlik gereksinimlerine uyan güvenlik fonksiyonu ve garanti kriterlerinin bir tarifini sunması gerekir. TOE özet belirtiminin bir parçası olarak sunulan fonksiyonel bilgiler, bazı durumlarda TOE için ADV_FSP gereksinimlerinin bir parçası olarak sunulacak bilgilerle aynı olabilir. TOE özet belirtimi aşağıdakileri içermektedir: a) TOE güvenlik fonksiyonları ifadesinin, IT güvenlik fonksiyonlarını kapsaması ve bu fonksiyonların

TOE güvenlik fonksiyonel gereksinimlerini nasıl karşıladığını belirtmesi gerekir. Bu ifadenin, fonksiyonlarla gereksinimler arasında, hangi fonksiyonların hangi gereksinimleri karşıladığını ve bütün gereksinimlerin karşılandığını açık bir şekilde gösteren iki yönlü bir eşleştirmeyi içermesi gerekir. Her bir güvenlik fonksiyonunun, en azından bir TOE güvenlik fonksiyonel gereksiniminin karşılanmasına katkıda bulunması gerekir.

1) IT güvenliği fonksiyonlarının, amaçlarının anlaşılmasını sağlayacak bir ayrıntı düzeyinde resmi

olmayan bir üslupla tanımlanması gerekir. 2) ST'nin içinde bulunan güvenlik mekanizmalarıyla ilgili bütün referansların, her bir fonksiyonun

uygulanmasında hangi güvenlik mekanizmalarının kullanıldığı görülecek şekilde ilgili güvenlik fonksiyonlarıyla ilişkilendirilmesi gerekir.

3) AVA_SOF.1, TOE garanti gereksinimlerinde yer aldığında, bir olasılık ya da permütasyon

mekanizmasıyla (örneğin bir şifre ya da sıralama değiştirme fonksiyonuyla) gerçekleştirilen bütün IT güvenlik fonksiyonlarının belirtilmesi gerekir. Bu fonksiyonların mekanizmalarının bilerek ya da kazara bir saldırıyla bozulması olasılığı TOE'nin güvenliğiyle ilgilidir. Bu fonksiyonların her biri için TOE fonksiyonu gücü analizi sunulması gerekir. Belirlenen her bir fonksiyonun gücünün belirlenmesi ve SOF-temel, SOF-orta ya da SOF-yüksek, ya da isteğe bağlı olarak tanımlanan özel ölçü olduğunun belirtilmesi gerekir.

b) Garanti kriterleri ifadesi, TOE'nin belirtilen garanti gereksinimlerini karşıladığı iddia edilen garanti

kriterlerini belirtmektedir. Garanti kriterlerinin, hangi kriterlerin hangi gereksinimlerin karşılanmasına katkıda bulunduğu görülebilecek şekilde garanti gereksinimleriyle ilişkilendirilmesi gerekir.

Uygunsa, garanti kriterlerinin tanımı, ilgili kalite planları, kullanım ömrü planları ya da yönetim planlarına göndermelerle yapılabilir.

B.2.8 PP iddiaları ST isteğe bağlı olarak TOE'nin bir (ya da muhtemelen birden fazla) PP'nin gereksinimlerine uyduğu iddiasında bulunabilir. Herhangi bir PP'ye uygunluk iddiası için, ST'de, iddiaları kanıtlamak için gerekli açıklama, doğrulama ve diğer destek malzemelerini içeren bir PP iddiaları ifadesinin bulunması gerekir. TOE amaçları ve gereksinimleriyle ilgili ST ifadelerinin içeriği ve sunumu, TOE için ortaya konulan PP iddialarından etkilenebilir. ST üzerindeki etki, iddia edilen her bir PP için aşağıdaki durumlar göz önünde bulundurularak özetlenebilir: a) Eğer PP uyumuyla ilgili hiçbir iddia yoksa, TOE amaçları ve gereksinimleriyle ilgili bütün sunumun bu

ekte tarif edilen şekilde yapılması önerilir. Hiçbir PP iddiasının yer almaması gerekir. b) ST, sadece PP'nin gereksinimlerine uygunluk iddiasındaysa ve başka bir nitelemeye gerek yoksa,

TOE amaçları ve gereksinimlerini tanımlamak ve doğrulamak için PP'ye referans yapılması yeterlidir. PP içeriğinin yeniden ifade edilmesi gereksizdir.


39

c) ST, bir PP'nin gereksinimlerine uygunluk iddia ediyorsa ve PP ek niteleme istiyorsa, ST’nin, PP'nin niteleme gereksinimlerinin karşılandığını göstermesi gerekir. Böyle bir durum genelde PP, tamamlanmamış işlemler içerdiğinde ortaya çıkar. Böyle bir durumda, ST, özel gereksinimlere göndermede bulunabilir ama işlemleri ST'nin içinde tamamlayabilir. İşlemlerin tamamlanmasıyla ilgili gereksinimlerin önemli olduğu durumlarda, açıklık sağlamak için ST'nin içinde PP içeriğinin yeniden ifade edilmesi tercih edilebilir.

d) ST, bir PP'nin gereksinimlerine uygun olduğunu iddia ederse ama başka amaçlar ve gereksinimler

ekleyerek söz konusu PP'yi genişletirse, o zaman ST eklerinin tanımlanması gerekir. Öte yandan, PP amaçları ve gereksinimlerinin tanımlanması için bir PP referansının yeterli olabilmesi gerekir. Eklemelerin önemli oranlarda olduğu bazı durumlarda, açıklık sağlamak için ST'nin içinde PP içeriğinin yeniden ifade edilmesi tercih edilebilir.

e) Bir ST'nin bir PP'ye kısmen uyumlu olduğunu iddia ettiği durum ISO/IEC 15408 değerlendirmesi için

kabul edilemezdir. ISO/IEC 15408, PP amaçlarının ve gereksinimlerinin yeniden ifade edilmesi ya da referans gösterilmesinin seçimi bakımından kural koyucu değildir. Buradaki temel gereksinim, ST içeriğinin, ST'nin değerlendirilmesine imkan tanıyacak, ST, TOE değerlendirmesi için kabul edilebilir bir temel oluşturacak ve iddia edilen herhangi bir PP'yle ilişkilendirme açık olacak şekilde eksiksiz, açık ve kolayca anlaşılır olmasıdır. Herhangi bir PP uyumu iddiasında bulunulduysa, PP iddiaları ifadesinin iddia edilen her bir PP için aşağıdaki malzemeleri içermesi gerekir. a) PP referansı ifadesinin, uyum iddiasında bulunulan PP'yi ve bu iddiayla ilgili gerekebilecek herhangi

bir büyütmeyi belirtmesi gerekir. Geçerli bir iddia, TOE'nin bütün PP gereksinimlerine uyduğunu işaret eder.

b) PP uyarlama ifadesinin, PP'nin izin verilen çalışmalarını karşılayan ya da PP gereksinimlerini ek

olarak niteleyen IT güvenlik gereksinimi ifadelerini belirtmesi gerekir. c) PP ekleri ifadesinin, PP amaçları ve gereksinimlerine ek olan TOE amaçları ve gereksinimi ifadelerini

belirtmesi gerekir. B.2.9 Uygulama notları ST'nin bu isteğe bağlı bölümü ST’nin anlaşılması için kullanışlı ve ilgili olduğu düşünülen ek bilgi içerebilir. ST bir PP’nin gereksinimleriyle uyum iddia ederse, PP’nin potansiyel uygulama notları alt maddesinde bulunan bazı bilgilerin ST’nin diğer alt maddelerine eklenmesinin uygun olabileceğine dikkat edilmelidir. Örneğin, TOE’nin oluşturulması ile ilgili bilgi, olasılıkla TOE özet belirtimi ya da ST gerekçesinde, ayrı uygulama notları alt maddelerine göre daha uygun biçimde sunulur. ST’nin değerlendirmesini kolaylaştırmak için ve bu ekte listelenen ST sunum yapısının zorunlu olmadığı verildiğine göre, değerlendirmeye uygun malzeme içeren bir uygulama notunun, değerlendirme hususu için kanıt sağlayan ST alt maddesinin bir bölümü olması önerilir. B.2.10 Gerekçe ST'nin bu bölümü ST değerlendirmesinde kullanılan kanıtları sunar. Bu kanıtlar, ST'nin eksiksiz ve uyumlu bir gereksinim kümesi olduğu, uyumlu bir TOE'nin güvenlik ortamı içinde etkili bir IT güvenliği karşı önlemleri kümesi sağlayacağı ve TOE özet belirtiminin gereksinimleri karşıladığı iddialarını destekler. Gerekçenin aşağıdakileri içermesi gerekir: a) Güvenlik amaçları gerekçesinin, belirtilen güvenlik amaçlarının, TOE güvenlik ortamında belirtilen

bütün yönlerle ilişkilendirilebildiğini ve bunları kapsamaya uygun olduğunu göstermesi gerekir. b) Güvenlik gereksinimleri gerekçesinin, güvenlik gereksinimleri kümesinin (TOE ve ortam) güvenlik

amaçlarını karşılamaya uygun ve bunlarla ilişkilendirilebilir olduğunu göstermesi gerekir. Aşağıdakilerin gösterilmesi gerekir:

1) TOE ve onun IT ortamı için ayrı fonksiyonel bileşenler ve garanti bileşenlerinin bir araya

getirilmesi, birlikte, belirtilen güvenlik amaçlarını karşılamaktadır,


40

2) Güvenlik gereksinimleri kümesi birlikte, karşılıklı destekleyici ve kendi içinde tutarlı bir bütün oluşturmaktadır,

3) Güvenlik gereksinimleri seçimi haklıdır. Aşağıdaki durumlardan herhangi biri varsa, nedeninin

özel olarak açıklanması gerekir:

i) ISO/IEC 15408-2 ya da ISO/IEC 15408-3'te olmayan gereksinimlerin seçimi, ii) Bir EAL içermeyen garanti gereksinimlerinin seçimi ve iii) Bağımlılıkların yerine getirilmemesi.

4) ST için seçilen fonksiyon düzeyi gücü, herhangi bir açık fonksiyon gücü iddiasıyla birlikte, TOE

için güvenlik amaçlarıyla uyumludur. c) TOE özet belirtimi gerekçesinin, TOE güvenlik fonksiyonları ve garanti kriterlerinin TOE güvenlik

gereksinimlerini karşılamaya uygun olduğunu göstermesi gerekir. Aşağıdakilerin gösterilmesi gerekir:

1) Belirtilen TOE IT güvenlik fonksiyonları birleşiminin, TOE güvenlik fonksiyonel gereksinimlerini karşılamak için birlikte çalıştığı,

2) TOE fonksiyonu gücü iddialarının geçerli olduğu ya da bu iddiaların gereksiz olduğu yolundaki

ifadelerin geçerli olduğu, 3) Belirtilen garanti kriterlerinin garanti gereksinimleriyle uyumlu olduğu iddiasının haklı olduğu.

Gerekçe ifadesinin, güvenlik fonksiyonları tanımının ayrıntı düzeyiyle aynı ayrıntı düzeyinde sunulması gerekir.

d) PP iddiaları gerekçesi ifadesinin, ST güvenlik amaçları ve gereksinimleriyle, uyum iddiasında

bulunulan herhangi bir PP'ninkiler arasındaki herhangi bir farkı açıklaması gerekir. PP uyumuyla ilgili herhangi bir iddiada bulunulmuyorsa ya da ST güvenliği amaçları ve gereksinimleri iddia edilen herhangi bir PP'ninkilerle aynıysa bu bölüm geçilebilir.

Bu potansiyel olarak çok yer kaplayan malzeme, bütün ST kullanıcıları için uygun ya da kullanışlı olmayabileceği için ayrı olarak dağıtılabilir.


41

Kaynaklar [1] Bell, D. E. and LaPadula, L. J., Secure Computer Systems: Unified Exposition and MULTICS

Interpretation, Revision 1, US Air Force ESD-TR-75-306, MITRE Corporation MTR-2997, Bedford MA, March 1976.

[2] Biba, K. J., Integrity Considerations for Secure Computer Systems, ESD-TR-372, ESD/AFSC,

Hanscom AFB, Bedford MA., April 1977. [3] Canadian Trusted Computer Product Evaluation Criteria, Version 3.0, Canadian System Security

Centre, Communications Security Establishment, Government of Canada, January 1993. [4] Federal Criteria for Information Technology Security, Draft Version 1.0, (Volumes I and II), jointly

published by the National Institute of Standards and Technology and the National Security Agency, US Government, January 1993.

[5] Goguen, J. A. and Meseguer, J., “Security Policies and Security Models,” 1982 Symposium on

Security and Privacy, pp.11-20, IEEE, April 1982. [6] Goguen, J. A. and Meseguer, J., “Unwinding and Inference Control,” 1984 Symposium on Security

and Privacy, pp.75-85, IEEE, May 1984. [7] Information Technology Security Evaluation Criteria, Version 1.2, Office for Official Publications of the

European Communities, June 1991. [8] ISO/IEC 7498-2:1989, Information processing systems — Open Systems Interconnection — Basic

Reference Model — Part 2: Security Architecture. [9] ISO/IEC 15292:2001, Information technology — Security techniques — Protection Profile registration

procedures. [10] Trusted Computer Systems Evaluation Criteria, US DoD 5200.28-STD, December 1985.

tÜrk standardi · tÜrk standardi turkish standard ts iso/iec 15408-1 nisan 2006 ics 35.040...

Documents