Author: BTUYUM

CBDDO BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ UYUM DANIŞMANLIĞI
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi (BİG), Kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerin bilgi ve iletişim güvenliği kapsamında genel olarak alması gereken tedbirleri belirlemek amacıyla hazırlanmış bir standarttır.

Rehber ile ilgili çalışmalar daha önceki yıllara dayansa da, formal olarak sürecin başlaması “Bilgi ve İletişim Güvenliği Tedbirleri konulu 2019/12 sayılı Cumhurbaşkanlığı Genelgesi” yönetmeliğine dayanmaktadır. Söz konusu yönetmeliğe bağlı olarak 2020 yılı Temmuz ayında rehber dokümanı yayınlanmıştır.

Rehber dokümanına göre ilgili kurumların kurumların 24 ay içerisinde hazırlıklarını tamamlaması ve takip eden 1 yıllık süre içinde denetimden geçmeleri gerekmektedir. Denetim için nihai tarihin sektördeki düzenleyici kuruluşlarca daha öne alınması söz konusu olabilmektedir. Bu kapsamda yaygın olan yaklaşım denetim sürecinin 31 Aralık 2022 tarihine kadar tamamlanması şeklindedir.

BİG Rehberi, öncelikli olarak uyum süreci ve bu kapsamda yapılması gereken adımları detaylı olarak tanımlamaktadır. Buna göre süreç adımları en temelde aşağıdaki gibi olacaktır.

Planlama Aşaması:

• Varlık Gruplarının Belirlenmesi
• Varlık Grubu Kritiklik Seviyelerinin Belirlenmesi
• Mevcut Durum ve Boşluk Analizi
• Rehber Uygulama Yol Haritası Belirleme

Uygulama Aşaması

• Tedbirlerin Uygulanması

Kontrol ve Önlem Alma Aşaması

• BİG Denetimi Yapılması
• Rehber Uygulama Yol Haritasının Kontrol Edilmesi

Değişiklik Yönetimi Aşaması

• BİG Rehberi Değişikliklerinin Yönetilmesi
• Varlık Grubu Değişikliklerinin Yönetilmesi

Yetkinlik ve Hizmet Sağlama
BTUYUM olarak; Bilgi ve İletişim Güvenliği Rehberi Başdenetçisi (D1 ve D2) sertifikalara sahip gerek siber güvenlik gerekse de süreç yönetimi konusunda uzman danışman kadromuzla BİG Rehberi Uyum Süreci konusundan sizlere destek vermekteyiz.

Çalışmamız ile kurumun sadece denetime hazırlanması değil, kurum personelinin süreçleri danışmandan bağımsız olarak götürebilecek şekilde içselleştirmesini de sağlamaktayız.

Konu ile ilgili talepleriniz ve ek sorularınız için “[email protected]” adresinden bize ulaşabilirsiniz.

Common Criteria nedir?
Bilgi Teknolojisi (BT) ürünlerine ve sistemlerinin güvenliğini değerlendirerek sertifikalandırılmasında kullanılan uluslar arası bir ürün güvenliği standardıdır. Uluslararası ortak güvenlik anlayışı ihtiyacının bir sonucu olarak ortaya çıkmıştır. Uluslararası kamuoyunda bilinen yaygın adı Common Criteria (CC) dir. Türkçe olarak ise “Ortak Kriterler” adı ile bilinir. ISO/IEC 15408 adı alında ISO standardı haline getirilmiştir.

Common Criteria nasıl ortaya çıktı? İhtiyaç nasıl doğdu?
IT ürünleri için güvenlik sertifikasyonu aslında hep bir ihtiyaçtı. Bu yüzden 1960’lı yıllardan sonra teknolojide önde olan ülkeler (ABD; Kanada, Avrupa) zaten bunun için standartlar ortaya koymuştu. Ama şöyle bir sorun vardı. Bir ülkede alınan sertifika diğer ülkede geçerli olmuyor bu da maliyet başta olmak üzere ek problemler çıkarıyordu. İşte bu problemi aşmak için önce sınırlı sayıda daha fazla sayıda ülke ortaya çıkarak aralarında anlaşma sağladılar. En basit ifade ile Common Criteria bu şekilde ortaya çıktı.

Common Criteria’nın alternatifi var mıdır?
IT ürünlerinde özel çalışma alanları için güvenlik standartları mevcuttur. Örneğin kripto modüllerinin sertifikasyonu için FIPS 140 standardı, finans işlemlerinde kullanılan POS (Point of Sale) ürünleri için PCI PTS standardı kullanılır.

Ancak Common Criteria bir ürün yada özel işletim alanına kısıtlı olmayan genel bir güvenlik analizi metodolojisi içermesi ve uluslararası geniş tanınırlığı ile tek olarak değerlendirilebilir.

Hangi ürün gruplarına Common Criteria uygulanabilir?
Teorik olarak güvenlik fonksiyonu içeren tüm IT ürünlerine CC sertifikası alınabilir. Bu bağlamda çok geniş bir ürün kategorisi mevcuttur.

Olası ürün gruplarını görmek için sertifikalanmış ürünlerin yer aldığı aşağıdaki bağlantı incelenebilir.

https://www.commoncriteriaportal.org/products/

Bununla beraber sertifika almış ürünlerde bir değişiklik yapıldığı zaman laboratuvar ve sertifikasyon makamının çalışmasını içeren tekrardan bir gözden geçirme gerekir. Bu nedenle web uygulamaları gibi sık güncelleme yapılan ürünlere uygulanması zordur.

Sertifika üretmek veya tüketmek ne demek?
Anlaşmaya taraf olan ülkelerin tamamı ürünler için CC sertifikası vermeye yetkisi yoktur. Sadece sertifika üreticisi ülkeler sertifika verebilir.

Ürünler için verilen sertifika ve onayın bir seviyesi var mıdır?
CC’nin kendi metodolojisi içinde tanımlanmış güvenlik seviyeleri vardır. Bu seviyeler EAL (Evaluation Assurance Level) olarak isimlendirilir.

Seviye arttıkça ürün güvenliği artar. Bununla beraber değerlendirme (sertifikasyon) eforu ve geliştirici tarafından harcanan efor da artar.

Sertifika veren ülkelerden alınan bir sertifika diğer tüm ülkelerde sınırsız olarak geçerli midir?
Formal olarak ülkeler arası sınırsız tanınırlık EAL-1 ve EAL-2 seviyesi içindir. Ancak ülkeler aralarındaki alt anlaşmalarla daha fazla seviyede tanınırlık sağlanabilir (Bkz: https://sogis.org/index_en.html).

Buradaki iyi haber şudur. Her ne kadar EAL-2 seviyesi 7 seviye arasında kıyaslandığında düşük bir seviye görünse de, IT ürünlerinin çok önemli bir kısmının sertifikasyonu EAL-2 seviyesinde yapılmaktadır. Dolayısıyla EAL-2 seviyesindeki ortak tanınırlık bile ürün sahipleri için önemli bir avantaj sağlamaktadır.

Sertifikasyon sürecinde taraflar kimlerdir? Süreç nasıl işlemektedir?
Süreçte temel olarak 3 taraf yer almaktadır.

1- Ürün Sahibi:

Ürünü geliştiren veya sahip olan taraf olup. CC sertifikası almak için talep yapması gerekir.

2- Değerlendirme Laboratuvarı:

Ürün sahibinden ürünü ve ürüne ait detaylı dokümantasyon verisini alır. CC metodolojisine göre; ürünü değerlendirip güvenlik testlerini gerçekleştirir. Gerekli durumlarda Ürün sahibinden ek talep ve düzeltme ister.

3- Sertifikasyon Makamı:

Laboratuvarın kendine ilettiği raporlar doğrultusunda sertifika verir. Yetersiz gördüğü durumlarda raporları iade ederek düzeltme isteyebilir.

Bu kapsamda;

• Ürün sahibi ürüne ait ST (Security Target) dokümanı ile onaylı bir laboratuvara başvuru yapar.
• Laboratuvar ile anlaşma sağlandıktan sonra sertifikasyon makamına bilgi verilir.
• Ürün sahibi, ürünü ve ona ait dokümantasyonu laboratuvara teslim eder.
• Laboratuvar değerlendirme ve test işlemini yerine getirir. Her bir ara adım sonucu sertifikasyon makamına rapor sunar.
• Tüm değerlendirme ve testler bittiğinde laboratuvar sertifikasyon makamına nihai raporu sunar.
• Sertifikasyon makamı tarafından nihai rapor verilir.

Türkiye’de sertifika veriliyor mu? Yetkili makamlar kimlerdir.
Türkiye sertifika üreticisi bir ülke olup bu kapsamda sertifika verilmektedir.

Sertifikasyon makamı TSE’dir.

TSE açısından CC sertifikasyonu hakkında bilgilendirme ve onaylı laboratuvarlara aşağıdaki linkten erişilebilir.

https://www.tse.org.tr/IcerikDetay?ID=950&ParentID=3295

Sertifika süreci ne kadar zahmetlidir? Danışman gerekir mi?
CC sertifikasyonu kapsamında üreticiden çok sayıda dokümanı (doküman adedi ve derinliği talep edilen güvenlik seviyesine bağlıdır) CC metodolojisine uygun hazırlaması gerekir. Bu çalışmanın görece karmaşık olan CC metodolojisine göre hazırlanması kolay değildir. Bu nedenle ürün sahiplerinin yetkin bir danışmandan destek almaları sürecin sağlıklı işlemesi açısından faydalı olacaktır.

Sertifika süreci ne kadar sürer?
Süreç için birçok parametre olduğundan doğrudan zaman belirtmek kolay değildir. Bununla beraber EAL-2 seviyesi değerlendirmeler 3 ay civarı sürerken, EAL-4 seviyesi değerlendirmeler 6 ay civarı sürebilir. Tabi bu süreçte tarafların değerlendirme planına uygun hareket etmesi gerekmektedir. Aksi takdirde süre daha da uzayacaktır.

Bir ürünün sertifikalı olduğu nasıl teyit edilir?
Sertifika almış ürünler CC’nin uluslararası portalında yayınlanır. Bu sayede ürün müşterileri gibi isteyen tüm taraflar sertifika durumunu teyit edebilir.

İlgili sayfaya aşağıdaki bağlantıdan erişilebilir.

https://www.commoncriteriaportal.org/products/