Common Criteria nedir?
Bilgi Teknolojisi (BT) ürünlerine ve sistemlerinin güvenliğini değerlendirerek sertifikalandırılmasında kullanılan uluslar arası bir ürün güvenliği standardıdır. Uluslararası ortak güvenlik anlayışı ihtiyacının bir sonucu olarak ortaya çıkmıştır. Uluslararası kamuoyunda bilinen yaygın adı Common Criteria (CC) dir. Türkçe olarak ise “Ortak Kriterler” adı ile bilinir. ISO/IEC 15408 adı alında ISO standardı haline getirilmiştir.
Common Criteria nasıl ortaya çıktı? İhtiyaç nasıl doğdu?
IT ürünleri için güvenlik sertifikasyonu aslında hep bir ihtiyaçtı. Bu yüzden 1960’lı yıllardan sonra teknolojide önde olan ülkeler (ABD; Kanada, Avrupa) zaten bunun için standartlar ortaya koymuştu. Ama şöyle bir sorun vardı. Bir ülkede alınan sertifika diğer ülkede geçerli olmuyor bu da maliyet başta olmak üzere ek problemler çıkarıyordu. İşte bu problemi aşmak için önce sınırlı sayıda daha fazla sayıda ülke ortaya çıkarak aralarında anlaşma sağladılar. En basit ifade ile Common Criteria bu şekilde ortaya çıktı.
Common Criteria’nın ortak kabul edilmesi ne demek? Tam olarak hangi ülkeler kabul etmektedir?
Commmon Criteria’nın (CC) ortak kabul edilmesi tabiki kendiliğinden olmamaktadır. Sürece dahil olmak isteyen ülkelerdeki sertifikasyon makamlarının CCRA (Common Criteria Recognition Arrangement) anlaşmasını onatlamaları gerekmektedir.
Güncel olarak Common Criteria tanınırlığına dahil olan ülkelerin tam listesine aşağıdan görebilirsiniz (link: https://www.commoncriteriaportal.org/).
Common Criteria’nın alternatifi var mıdır?
IT ürünlerinde özel çalışma alanları için güvenlik standartları mevcuttur. Örneğin kripto modüllerinin sertifikasyonu için FIPS 140 standardı, finans işlemlerinde kullanılan POS (Point of Sale) ürünleri için PCI PTS standardı kullanılır.
Ancak Common Criteria bir ürün yada özel işletim alanına kısıtlı olmayan genel bir güvenlik analizi metodolojisi içermesi ve uluslararası geniş tanınırlığı ile tek olarak değerlendirilebilir.
Hangi ürün gruplarına Common Criteria uygulanabilir?
Teorik olarak güvenlik fonksiyonu içeren tüm IT ürünlerine CC sertifikası alınabilir. Bu bağlamda çok geniş bir ürün kategorisi mevcuttur.
Olası ürün gruplarını görmek için sertifikalanmış ürünlerin yer aldığı aşağıdaki bağlantı incelenebilir.
https://www.commoncriteriaportal.org/products/
Bununla beraber sertifika almış ürünlerde bir değişiklik yapıldığı zaman laboratuvar ve sertifikasyon makamının çalışmasını içeren tekrardan bir gözden geçirme gerekir. Bu nedenle web uygulamaları gibi sık güncelleme yapılan ürünlere uygulanması zordur.
Sertifika üretmek veya tüketmek ne demek?
Anlaşmaya taraf olan ülkelerin tamamı ürünler için CC sertifikası vermeye yetkisi yoktur. Sadece sertifika üreticisi ülkeler sertifika verebilir.
Ürünler için verilen sertifika ve onayın bir seviyesi var mıdır?
CC’nin kendi metodolojisi içinde tanımlanmış güvenlik seviyeleri vardır. Bu seviyeler EAL (Evaluation Assurance Level) olarak isimlendirilir.
Seviye arttıkça ürün güvenliği artar. Bununla beraber değerlendirme (sertifikasyon) eforu ve geliştirici tarafından harcanan efor da artar.
Sertifika veren ülkelerden alınan bir sertifika diğer tüm ülkelerde sınırsız olarak geçerli midir?
Formal olarak ülkeler arası sınırsız tanınırlık EAL-1 ve EAL-2 seviyesi içindir. Ancak ülkeler aralarındaki alt anlaşmalarla daha fazla seviyede tanınırlık sağlanabilir (Bkz: https://sogis.org/index_en.html).
Buradaki iyi haber şudur. Her ne kadar EAL-2 seviyesi 7 seviye arasında kıyaslandığında düşük bir seviye görünse de, IT ürünlerinin çok önemli bir kısmının sertifikasyonu EAL-2 seviyesinde yapılmaktadır. Dolayısıyla EAL-2 seviyesindeki ortak tanınırlık bile ürün sahipleri için önemli bir avantaj sağlamaktadır.
Sertifikasyon sürecinde taraflar kimlerdir? Süreç nasıl işlemektedir?
Süreçte temel olarak 3 taraf yer almaktadır.
1- Ürün Sahibi:
Ürünü geliştiren veya sahip olan taraf olup. CC sertifikası almak için talep yapması gerekir.
2- Değerlendirme Laboratuvarı:
Ürün sahibinden ürünü ve ürüne ait detaylı dokümantasyon verisini alır. CC metodolojisine göre; ürünü değerlendirip güvenlik testlerini gerçekleştirir. Gerekli durumlarda Ürün sahibinden ek talep ve düzeltme ister.
3- Sertifikasyon Makamı:
Laboratuvarın kendine ilettiği raporlar doğrultusunda sertifika verir. Yetersiz gördüğü durumlarda raporları iade ederek düzeltme isteyebilir.
Bu kapsamda;
- Ürün sahibi ürüne ait ST (Security Target) dokümanı ile onaylı bir laboratuvara başvuru yapar.
- Laboratuvar ile anlaşma sağlandıktan sonra sertifikasyon makamına bilgi verilir.
- Ürün sahibi, ürünü ve ona ait dokümantasyonu laboratuvara teslim eder.
- Laboratuvar değerlendirme ve test işlemini yerine getirir. Her bir ara adım sonucu sertifikasyon makamına rapor sunar.
- Tüm değerlendirme ve testler bittiğinde laboratuvar sertifikasyon makamına nihai raporu sunar.
- Sertifikasyon makamı tarafından nihai rapor verilir.
Türkiye’de sertifika veriliyor mu? Yetkili makamlar kimlerdir.
Türkiye sertifika üreticisi bir ülke olup bu kapsamda sertifika verilmektedir.
Sertifikasyon makamı TSE’dir.
TSE açısından CC sertifikasyonu hakkında bilgilendirme ve onaylı laboratuvarlara aşağıdaki linkten erişilebilir.
https://www.tse.org.tr/IcerikDetay?ID=950&ParentID=3295
Sertifika süreci ne kadar zahmetlidir? Danışman gerekir mi?
CC sertifikasyonu kapsamında üreticiden çok sayıda dokümanı (doküman adedi ve derinliği talep edilen güvenlik seviyesine bağlıdır) CC metodolojisine uygun hazırlaması gerekir. Bu çalışmanın görece karmaşık olan CC metodolojisine göre hazırlanması kolay değildir. Bu nedenle ürün sahiplerinin yetkin bir danışmandan destek almaları sürecin sağlıklı işlemesi açısından faydalı olacaktır.
Sertifika süreci ne kadar sürer?
Süreç için birçok parametre olduğundan doğrudan zaman belirtmek kolay değildir. Bununla beraber EAL-2 seviyesi değerlendirmeler 3 ay civarı sürerken, EAL-4 seviyesi değerlendirmeler 6 ay civarı sürebilir. Tabi bu süreçte tarafların değerlendirme planına uygun hareket etmesi gerekmektedir. Aksi takdirde süre daha da uzayacaktır.
Bir ürünün sertifikalı olduğu nasıl teyit edilir?
Sertifika almış ürünler CC’nin uluslararası portalında yayınlanır. Bu sayede ürün müşterileri gibi isteyen tüm taraflar sertifika durumunu teyit edebilir.
İlgili sayfaya aşağıdaki bağlantıdan erişilebilir.