ISO/IEC 15408:2023 Standardı Nedir?

ISO/IEC 15408:2023, bilişim teknolojileri güvenliği için değerlendirme kriterlerini tanımlayan uluslararası bir standarttır. Bu standart, güvenlik özelliklerine sahip BT ürünlerinin ve sistemlerinin güvenlik işlevlerini ve bu işlevlerin etkinliğini değerlendirmek için kullanılır. ISO/IEC 15408, genellikle “Ortak Kriterler” (Common Criteria) olarak bilinir ve güvenlik değerlendirmesi için global bir referans noktasıdır.

Standart Kapsamı ve Bileşenleri

Güvenlik Fonksiyonel Gereksinimleri: Bu gereksinimler, BT ürünlerinin ve sistemlerinin güvenlik gereksinimlerini standart bir şekilde ifade etmek için güvenlik fonksiyonel bileşenlerinin bir setini oluşturur. Bu bileşenler, ürünlerin belirli güvenlik işlevlerini nasıl yerine getireceğini tanımlar.

• Güvenlik Denetimi (FAU)
• İletişim (FCO)
• Kriptografik Destek (FCS)
• Kullanıcı Verisi Koruması (FDP)
• Kimlik Doğrulama (FIA)
• Güvenlik Yönetimi (FMT)
• Gizlilik (FPR)
• TSF Koruması (FPT)
• Kaynak Kullanımı (FRU)
• TOE Erişimi (FTA)
• Güvenli Yol/Kanallar (FTP)

Güvenlik Güvencesi Gereksinimleri: Bu gereksinimler, BT ürünlerinin ve sistemlerinin güvenlik güvencesi gereksinimlerini standart bir şekilde ifade eden güvence bileşenlerinin bir kataloğunu sunar. Bu, ürünlerin belirli bir güvenlik seviyesine ulaşması için hangi güvence önlemlerinin alınması gerektiğini belirler.

• Koruma Profili Değerlendirmesi (APE)
• Güvenlik Hedefi Değerlendirmesi (ASE)
• Geliştirme (ADV)
• Rehber Dokümanlar (AGD)
• Yaşam Döngüsü Desteği (ALC)
• Testler (ATE)
• Zafiyet Değerlendirmesi (AVA)
• Kompozisyon (ACO)

Değerlendirme Güvencesi Seviyeleri (EAL): ISO/IEC 15408, BT ürünlerinin ve sistemlerinin güvenlik düzeylerini değerlendirmek için yedi farklı güvence seviyesi belirler. Her seviye, belirli bir güvenlik güvencesi düzeyine karşılık gelir ve ürünün veya sistemin ne kadar güvenli olduğunu gösterir. Bunlar aşağıda maddeler halinde verilmiştir;

1. EAL 1 – Fonksiyonel Test Edilmiş: Ürün veya sistemin temel fonksiyonlarının, dokümantasyon ve test yoluyla doğrulandığı en düşük güvence seviyesidir.
2. EAL 2 – Yapılandırma Yönetimi ile Test Edilmiş: Ürün veya sistemin tasarımının, uygulamasının ve testlerinin dokümantasyonu incelenir ve yapılandırma yönetimi süreçleri ile doğrulanır.
3. EAL 3 – Sistematik Olarak Test Edilmiş ve Kontrol Edilmiş: Ürün veya sistemin güvenlik fonksiyonlarının daha detaylı bir şekilde test edilmesi ve kontrol edilmesi, geliştirme süreçlerinin incelenmesi ile doğrulanır.
4. EAL 4 – Sistematik Olarak Tasarlanmış, Test Edilmiş ve Gözden Geçirilmiş: Ürün veya sistemin güvenlik tasarımının ve uygulamasının detaylı bir şekilde gözden geçirilmesi ve test edilmesi ile doğrulanır.
5. EAL 5 – Yarı-Formal Tasarım ve Test: Ürün veya sistemin güvenlik tasarımının yarı-formal yöntemlerle doğrulanması ve test edilmesi. Geliştirme sürecinde yüksek düzeyde güvenlik mühendisliği uygulanır.
6. EAL 6 – Yarı-Formal Doğrulama Tasarımı ve Test: Ürün veya sistemin güvenlik tasarımının yarı-formal yöntemlerle doğrulanması ve daha kapsamlı bir test süreci. Güvenlik analizi, gelişmiş tehditlere karşı dayanıklılık sağlamayı hedefler.
7. EAL 7 – Formal Doğrulama Tasarımı ve Test: En yüksek güvence seviyesi olan EAL 7, ürün veya sistemin güvenlik tasarımının ve uygulamasının formal yöntemlerle doğrulanması ve test edilmesini içerir. Güvenlik analizi, en ileri düzey tehditlere karşı maksimum güvenlik sağlar. 

ISO/IEC 15408:2023 Standartlarının Faydaları

• Güvenlik Güvencesi: Bu standart, ürünlerin ve sistemlerin güvenlik gereksinimlerine uygun olduğunu doğrulamak için güvenilir bir değerlendirme sağlar. Bu, hem kullanıcılar hem de üreticiler için güvence sunar. 

• Pazar Erişimi: ISO/IEC 15408 sertifikası, uluslararası pazarda daha geniş bir kabul görür ve ürünlerin veya sistemlerin global olarak tanınmasını sağlar. Sertifikalı ürünler, müşterilere daha fazla güven verir ve rekabet avantajı sağlar.
• Risk Azaltma: Bu standart, belirli güvenlik tehditlerine karşı uygun güvenlik önlemlerinin alındığını ve doğru bir şekilde uygulandığını garanti eder. Bu, BT ürünleri ve sistemleri için güvenlik risklerini önemli ölçüde azaltır.
• Geliştirilmiş Güvenlik Uygulamaları: ISO/IEC 15408, güvenlik gereksinimlerini karşılayan ürün ve sistemlerin geliştirilmesini teşvik eder. Bu, güvenliğin bir öncelik olduğu sektörlerde daha güçlü güvenlik uygulamalarının benimsenmesini sağlar.

Hangi Firmalar İçin Gereklidir?

ISO/IEC 15408:2023 standardı, çeşitli sektörlerde faaliyet gösteren firmalar için uygundur:

Yazılım Geliştiricileri: Güvenlik işlevlerine sahip yazılım ürünleri geliştiren firmalar.
Bilişim Teknolojileri Hizmet Sağlayıcıları: Müşterilerine güvenlik çözümleri sunan BT firmaları.
Ürün Satıcıları: Güvenlik özellikleri içeren ürünler satan firmalar.
Değerlendirme Laboratuvarları: Güvenlik ürünlerini ve sistemlerini bağımsız olarak değerlendiren ve sertifikalandıran kuruluşlar.
Kamu Kurumları ve Özel Sektör: Güvenlik standartlarına uygun ürün ve sistemleri satın almak isteyen kurumlar.

Sertifikasyon Süreci

1. 1-Hazırlık ve Planlama: Firmanızın mevcut süreçlerinin değerlendirilmesi ve ISO/IEC 15408:2023 standardına uyum sağlamak için gerekli adımların planlanması ile başlar.
2. 2-Uygulama ve Eğitim: Gerekli iyileştirmeler yapılır ve personel eğitimi sağlanır. Bu aşamada, firmanızın tüm süreçleri, standardın gereksinimlerine uygun hale getirilir.
3. 3-İç Denetim: Firmanızın süreçleri, iç denetimlerle kontrol edilir ve gerekli düzeltici önlemler alınır. Bu denetimler, sertifikasyon denetimine hazırlık niteliğindedir.
4. 4-Sertifikasyon Denetimi: Bağımsız bir denetim kuruluşu tarafından gerçekleştirilen bu denetimde, firmanızın süreçleri ve uygulamaları, ISO/IEC 15408:2023 standardına uygunluk açısından değerlendirilir.

Aşan Danışmanlık ile ISO/IEC 15408:2023 Sertifikasyonu

Aşan Danışmanlık olarak, yazılım ve bilişim teknolojisi firmalarının ISO/IEC 15408:2023 standardına uygunluğunu sağlamak için kapsamlı danışmanlık ve belgelendirme hizmetleri sunuyoruz. Uzman ekibimiz, firmaların bu uluslararası standartlara uygun güvenlik çözümleri geliştirmesine ve sertifikalandırılmasına yardımcı olur. Güvenlik değerlendirmeleri, risk analizi ve sertifikasyon süreçlerinde profesyonel destek alarak, ürün ve sistemlerinizin güvenlik gereksinimlerine tam uyumlu olduğunu güvence altına alabilirsiniz.