Ortak Kriterler (Common Criteria veya ISO/IEC 15408) standardı; Bilişim Teknolojisi ürünlerinin sağladığı Confidentiality (C), Integrity (I) ve Availability (A) özelliklerinin iddia edilen seviyede yeterlilik sağlayıp sağlamadığını analiz eden ve analiz sonucuna uygun olarak CIA yeterlilik derecesini garanti seviyesi vererek (EAL1,2,3,4,5,6,7) sınıflandıran uluslararası test standardıdır.

1996 yılında, ITSEC (Information Technology Security Evaluation Criteria), TCSEC  (Trusted Computer System Evaluation Criteria) ve CTCPEC (Canadian Trusted Computer Product Evaluation Criteria)  standartları temel alınarak Ortak Kriterler sürüm 1.0 test standardı ortaya çıkarılmıştır. İlk sürüm; Kanada, Fransa, Almanya, İngiltere, Avustralya, Yeni Zelanda ve Amerika Birleşik Devletleri’nin yaptığı ortak çalışma ile ortaya çıkmıştır. 1996 yılından bu yana belirli aralıklarla standart güncellenmiş ve son olarak Temmuz 2009’da sürüm 3.1 yayınlanmıştır (www.commoncriteriaportal.org).

Uluslararası alanda Ortak Kriterler standardını tanıyan, toplam 26 Ortak Kriterler üyesi ülke bulunmaktadır (http://www.commoncriteriaportal.org/members.html).  Bu ülkeler, Bilişim Teknolojisi (BT) ürünlerinin güvenlik ve güvenilirlik testlerinde Ortak Kriterler standardını kullanmaktadırlar.

Ortak Kriterler Standardı BT Ürün Portföyü

Ortak Kriterler standardı kapsamında güvenlik ve güvenilirlik testi gerçekleştirilebilecek BT ürün sınıfları aşağıda belirtilmiştir:

1. Erişim Kontrol (Access Control)

2. Biyometrik (Biometric)

3. Sınır Koruma (Boundary Protection)

4. Veri Koruma (Data Protection)

5. Veritabanı (Database)

6. Akıllı kart (Smart Card)

7. Akıllı Kart Okuyucu (Smart Card Reader)

8. Anahtar Yönetimi (Key Management)

9. Ağ Cihazları (Network Devices)

10. İşletim Sistemi (Operating System)

11. Elektronik İmza (Digital Signature)

12. Trusted Computing

13. Security Gateway (ör: Firewall, IDS, IPS)

14. Takograf

Uluslararası Alanda Ortak Kriterler Yapısı

Ortak Kriterler testleri Ortak Kriterler üyesi her ülkede bulunan Sertifikasyon Makamı ve bu Sertifikasyon Makamı’na bağlı olarak çalışan lisanlı Ortak Kriterler laboratuarı/laboratuarları tarafından gerçekleştirilir. Geliştirici veya BT ürün sahibi tarafından lisanslı Ortak Kriterler laboratuarına teslim edilen BT ürünü, laboratuar tarafından Ortak Kriterler standardına uygun olarak test edilir ve hazırlanan teknik sonuç raporu ülkede bulunan Ortak Kriterler Sertifikasyon Makamı’na gönderilir. Ortak Kriterler Sertifikasyon Makamı, teknik sonuç raporunu değerlendirir ve uygun görürse BT ürününü Ortak Kriterler standardına göre sertifikalandırır.

Uluslararası alanda, 26 Ortak Kriterler üye ülke bulunmaktadır. Üye ülkeler arasında Certificate Authorizing (Sertifika Üreticisi) ve Certificate Consuming (Sertifika Müşterisi) şeklinde ayrım bulunmaktadır. Sertifika Üreticisi ülkeler tarafından BT ürünlerine verilen Ortak Kriterler sertifikaları tüm üye ülkeler tarafından tanınmaktadır. Sertifika Müşterisi ülkeler tarafından verilen sertifikalar diğer üye ülkeler tarafından tanınmamaktadır. Aşağıda Sertifika Üreticisi ve Sertifika Müşterisi ülkeler belirtilmiştir.

Sertifika Üreticisi ülkelere bağlı ve lisanslı toplam 60 adet Ortak Kriterler laboratuarı uluslararası alanda hizmet vermektedir (http://www.commoncriteriaportal.org/labs.html). En fazla Ortak Kriterler laboratuarı, toplam 12 adet ile Almanya’da bulunan Bundesamt für Sicherheit in der Informationstechnik (BSI) Sertifika Makamı’na bağlı olarak çalışmaktadır.

Lisanslı Ortak Kriterler laboratuarları tarafından test edilen ve Ortak Kriterler Sertifika Makamları tarafından sertifikalandırılan tüm BT ürünlerinin Güvenlik Hedefi (Security Target) dokümanı ve sertifika raporları Ortak Kriterler resmi sitesinde yayınlanmaktadır. Güvenlik Hedefi dokümanı BT ürününe ilişkin tehditleri ve bu tehditlerin nasıl ortadan kaldırılacağını birlikte içermektedir. Uluslararası alanda Ortak Kriterler sertifikası alan tüm BT ürün listesine http://www.commoncriteriaportal.org/products.html linkinden erişilebilmektedir. BT ürünü geliştiren veya BT ürünü satın almak isteyen sırasıyla geliştiriciler ve tüketiciler için yukarıda belirtilen linkte bulunan dokümanların incelenmesi son derece faydalıdır.

Türkiye'de Ortak Kriterler Yapısı

Türkiye, Eylül 2003 tarihinde Ortak Kriterler standardını resmi olarak tanımış ve Sertifika Müşterisi ülke olarak Ortak Kriterler üye ülke olmuştur.

Türkiye’de Ortak Kriterler Sertifika Makamı olarak Türk Standartları Enstitüsü (http://www.tse.org.tr/Turkish/belgelendirme/ortakkritergenel.asp), lisanslı Ortak Kriterler laboratuarı olarak da TÜBİTAK-UEKAE OKTEM (Ortak Kriterler Test Merkezi) (http://www.bilgiguvenligi.gov.tr/ortak_kriterler/index.php) görev almaktadır. Şu ana kadar bu yapı tarafından Ortak Kriterler sertifikası verilen BT ürünleri ve garanti düzeyleri aşağıda belirtilmiştir.

Ayrıca TSE ve TÜBİTAK tarafından Ortak Kriterler değerlendirmesi devam ettirilen BT ürün listesi ve iddia edilen garanti düzeyleri aşağıda belirtilmiştir.

Türkiye'nin Sertifika Üreticilik Takvimi

Türkiye’de kurulu olan Ortak Kriterler Yapısı (Sertifika Makamı: TSE, Test Makamı: TÜBİTAK) tarafından BT ürünlerine verilmekte olan Ortak Kriterler sertifikalarının uluslararası alanda tanınır olabilmesi için Türkiye’nin Sertifika Üreticisi ülke olması gerekmektedir. Bu kapsamda gerekli başvurular yapılmış ve Sertifika Üreticisi ülke Sertifika Makamları çalışanlarından atanan Hollanda ve Fransa temsilcileri tarafından 12-16 Nisan 2010 tarihleri arasında Türkiye Sertifika Yapısı denetlenmiştir. Denetim sonucunda başarı sağlanmış ve Türkiye’nin Sertifika Üreticisi ülke olmaya hak kazandığı bildirilmiştir. Resmi sonucun 21-23 Eylül 2010 tarihinde Antalya’da gerçekleşecek 11. Uluslararası Ortak Kriterler konferansında açıklanması beklenmektedir. Elde edilen bu başarı ile Ekim 2010 tarihinden itibaren Türkiye Sertifikasyon Makamı (TSE) tarafından verilecek Ortak Kriterler sertifikalarının uluslararası alanda tanınırlığı sağlanmıştır. Bu önemli gelişme ile Ortak Kriterler standardına uygun olarak gerçekleştirilecek BT ürün sertifikasyonunda Türkiye’ye talebin ulusal ve uluslararası alanda artması beklenmektedir.

Sonuç

Bağımsız laboratuarlar tarafından BT ürünlerine sağladıkları güvenlik ve güvenilirlik kapsamında garanti dereceleri verilmesi, tüketicilere satın aldıkları BT ürünlerinin iddia ettikleri güvenlik ve güvenilirliği ne ölçüde sağladığına ilişkin fikir vermektedir. Bu kapsamda, Ortak Kriterler standardına uygun olarak test edilmiş BT ürünlerinin kritik uygulamalarda kullanılması önerilmektedir. Tüketiciler, kendileri için değerli olan varlıklarını korumak için seçtikleri BT ürünlerinin Ortak Kriterler standardına uygun olarak veya uygun bir test standardına göre yeterli garanti düzeyinde sertifikalandırıldığını kontrol etmelidirler. Sertifikasyonu olmayan BT ürünlerinin kritik uygulamalarda veya sistemlerde kullanılması güvenlik ve güvenilirlik riskini artırmaktadır.

Türkiye’de var olan ve TSE-TÜBİTAK işbirliği ile birlikte yürütülen Ortak Kriterler Yapısı, kritik uygulamalarda kullanılacak olan BT ürünlerinin hangi düzeyde garanti sağladığına yönelik analiz yapmakta, raporlamakta ve Ortak Kriterler standardına uygun olarak sertifikalandırmaktadır. Önemli bir gelişme olarak da, Ekim 2010 tarihinden itibaren Türkiye Ortak Kriterler Yapısı tarafından verilecek olan Ortak Kriterler sertifikalarının uluslararası alanda geçerliliği sağlanmış olacaktır.

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.