Güvenlik Hedefi (Security Target) Dokümanı Nedir?

Güvenlik Hedefi (İngilizce karşılığı olarak Security Target) Dokümanı ISO 15408 Ortak Kriterler kapsamında değerlendirmeye girecek her bir ürün için, üretici tarafından hazırlanan bir dokümandır. Burada ürüne örnek olarak Hastane Bilgi Yönetim Sistemi Yazılımı v1.0, SİEM v1.0 vb. verilebilir.

Güvenlik Hedefi Dokümanında temel olarak ilgili ürünün;

  • Tanımı,
  • Çalışma ortamı ve çevre bileşenleri,
  • Korumayı hedefleyeceği olası varlıkları,
  • Kullanıcı rolleri,
  • Çalışma şartlarına yönelik varsayım ve politikalar,
  • Karşılaşabileceği bilgi güvenliği tehditleri,
  • Tehditler, varsayım ve politikaların karşılanması için ürünün ve çevresinin sağlaması beklenen güvenlik özellikleri,
  • Tehditler, varsayım ve politikaların ürün veya çevresi tarafından karşılandığını gösteren analizi,
  • Ürünün güvenlik fonksiyonlarının Ortak Kriterler standardı jargonunda detaylı ifadesi

yer alır.

Güvenlik Hedefi Dokümanı Ne Zaman Hazırlanır?

Bir ürünün ISO 15408 Ortak Kriterler Değerlendirmesine başvurması için öncelikle Güvenlik Hedefi Dokümanının değerlendirmeyi yapacak laboratuvara teslim edilmesi gerekmektedir. Dolayısıyla dokümanın Ortak Kriterler Değerlendirmesi sürecinin en başında hazırlanması beklenmektedir.

Güvenlik Hedefi Dokümanının Ortak Kriterler sertifikasına başvuracak her ürün için hazırlanması zorunludur. Bu doküman aynı zamanda ürünün Sertifika Makamı tarafından onaylanması durumunda Ortak Kriterler Portalı olan commoncriteria.org sitesinde yayınlanır.

Güvenlik Hedefi Dokümanı Detay Seviyesi Nedir?

Güvenlik Hedefi Dokümanı ürüne özel bir doküman olduğundan o ürün için tüm özellikleri açık ve net olarak tanımlamak zorundadır. Örneğin, Güvenlik Hedefi Dokümanı ürünün kimlik doğrulama yapacağını söylemekle yetinemez. Bunun yerine; parola, token gibi hangi yöntemlerle kimlik doğrulama yapacağını belirtmek zorundadır. Ancak Güvenlik hedefi Dokümanını tasarım veya kaynak koda ilişkin detaylar içermesi beklenmez.

Güvenlik Hedefi Dokümanı Gizli midir?

Ürün Ortak Kriterler kapsamında sertifikalandırıldıktan sonra, dünya çapında müşterilerin ürünü inceleyebilmeleri ve sertifikasyon kapsamını kontrol edebilmeleri için bu doküman Ortak Kriterler Portalı (commoncriteriaportal.org) üzerinde yayınlanacaktır. Dolayısıyla bu doküman gizli bilgi içermemelidir.

Categories: Blog

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir