Common Criteria Nedir?
Common Criteria IT ürünlerinin değerlendirilmesi ve sertifikalanmasında kullanılan uluslararası ürün güvenliği standardıdır. Aynı zamanda ISO/IEC 15408 kodu ile ISO sertifikaları arasında yer almaktadır.
Türkçe isim olarak “Ortak Kriterler” şeklinde bilinmektedir.
Common Criteria İçin İhtiyaç ve Standardın Ortaya Çıkması
Common Criteria’nın ortaya çıkışı gelişmiş ülkelerde IT ürünlerinin güvenliğine dair yapılan analiz ve sertifikasyon çalışmalarının birleşme ihtiyacından ortaya çıkmıştır. Çünkü başta ABD ve Avrupa ülkeleri olmak üzere IT ürünleri geliştiren ülkeler için bir değerlendirme ve sertifika ihtiyacı bulunmaktaydı. Zira ürünlerin alıcısı ve kullanıcısı olan kamu ve özel kurumlar bu ürünlerin güvenliğinin garanti edilmesini sağlayacak bir dayanak noktasına ihtiyaç duymaktaydı. Bu kapsamda ise farklı bölge veya ülkelerin farklı güvenlik standartları mevcuttu.
Var olan bu standartlar belli seviyede ihtiyacı karşılamaktaydı. Ancak bu sefer de ortak tanınırlık problemi halen devam etmekteydi. Örneğin ABD’de geliştirilmiş ve sertifikalanarak onay almış bir ürün Avrupa’da piyasaya sürülmek istendiğinde var olan sertifika tanınır olmadığı için tekrar bir sertifikalandırma ihtiyacı ortaya çıkmaktaydı.
Bu sorunun aşılması için ilk başta ABD ve Avrupa ülkelerinden oluşan çekirdek bir grup ülkenin yaptığı anlaşma ve çalışma ile Common Criteria standardı ortaya çıkmıştır.
Standart bugün başta Türkiye, ABD ve Avrupa olmak üzere 27 ülkede ortak olarak geçerliliğini sürdürmektedir.
Bu uluslararası ortak dilin kurulumu için standart, oldukça detaylı ve sıkı kuralları olan bir metodoloji geliştirmiştir. Basit bir örnek vermek gerekirse, ürünün kriprografik bir fonksiyonu olduğu ifade etmek için düz bir ifade ve anlatım yeterli olmayıp Common Criteria metodolojisi ile bir “Güvenlik Fonksiyonel Gereksinimi” yazmak gerekmektedir.
Geliştirdikleri IT ürünleri için sertifika almak isteyen geliştiriciler bu dökümanları hazırlamaları ve önce laboratuvara devamında da dolaylı olarak sertifikasyon makamı olan TSE’ye sunmaları gerekmektedir. Bu dokümanların adetleri ve detayları talep edilen sertifikasyon seviyesine göre değişmektedir. Buna ek olarak Test Laboratuvarı ve Sertifikasyon Makamı nezdinde sürecin koordine edilmesi ve iletilen Gözlem Raporları/Gözlem Kararları için aksiyon alınması gerekmektedir.
Not: (“Common Criteria Danışmanlığı” konusunu daha iyi anlayabilmek için, standart ile ilgili temel noktaların soru/cevap formunda anlatıldığı bir yazıya buradan erişebilirsiniz.)
Yetkinlik ve Hizmet Sağlama
BTUYUM olarak; Common Criteria laboratuvarlarında uzun yıllar görev yapmış ve kritik ürünlerin değerlendirmesini gerçekleştirmiş, tecrübeli ve uzman kadromuzla Common Criteria danışmanlığı konusunda sizlere destek vermekteyiz.
Konu ile ilgili talepleriniz ve ek sorularınız için “[email protected]” adresinden bize ulaşabilirsiniz
