Ortak Kriterlerde Security Target Dökümanı

admin tarafından tarihinde yayınlandı

Güvenlik Hedefi (Security Target) Dokümanı Nedir?

Güvenlik Hedefi (İngilizce karşılığı olarak Security Target) Dokümanı ISO 15408 Ortak Kriterler kapsamında değerlendirmeye girecek her bir ürün için, üretici tarafından hazırlanan bir dokümandır. Burada ürüne örnek olarak Hastane Bilgi Yönetim Sistemi Yazılımı v1.0, SİEM v1.0 vb. verilebilir.

Güvenlik Hedefi Dokümanında temel olarak ilgili ürünün;

  • Tanımı,
  • Çalışma ortamı ve çevre bileşenleri,
  • Korumayı hedefleyeceği olası varlıkları,
  • Kullanıcı rolleri,
  • Çalışma şartlarına yönelik varsayım ve politikalar,
  • Karşılaşabileceği bilgi güvenliği tehditleri,
  • Tehditler, varsayım ve politikaların karşılanması için ürünün ve çevresinin sağlaması beklenen güvenlik özellikleri,
  • Tehditler, varsayım ve politikaların ürün veya çevresi tarafından karşılandığını gösteren analizi,
  • Ürünün güvenlik fonksiyonlarının Ortak Kriterler standardı jargonunda detaylı ifadesi

yer alır.

Güvenlik Hedefi Dokümanı Ne Zaman Hazırlanır?

Bir ürünün ISO 15408 Ortak Kriterler Değerlendirmesine başvurması için öncelikle Güvenlik Hedefi Dokümanının değerlendirmeyi yapacak laboratuvara teslim edilmesi gerekmektedir. Dolayısıyla dokümanın Ortak Kriterler Değerlendirmesi sürecinin en başında hazırlanması beklenmektedir.

Güvenlik Hedefi Dokümanının Ortak Kriterler sertifikasına başvuracak her ürün için hazırlanması zorunludur. Bu doküman aynı zamanda ürünün Sertifika Makamı tarafından onaylanması durumunda Ortak Kriterler Portalı olan commoncriteria.org sitesinde yayınlanır.

Güvenlik Hedefi Dokümanı Detay Seviyesi Nedir?

Güvenlik Hedefi Dokümanı ürüne özel bir doküman olduğundan o ürün için tüm özellikleri açık ve net olarak tanımlamak zorundadır. Örneğin, Güvenlik Hedefi Dokümanı ürünün kimlik doğrulama yapacağını söylemekle yetinemez. Bunun yerine; parola, token gibi hangi yöntemlerle kimlik doğrulama yapacağını belirtmek zorundadır. Ancak Güvenlik hedefi Dokümanını tasarım veya kaynak koda ilişkin detaylar içermesi beklenmez.

Güvenlik Hedefi Dokümanı Gizli midir?

Ürün Ortak Kriterler kapsamında sertifikalandırıldıktan sonra, dünya çapında müşterilerin ürünü inceleyebilmeleri ve sertifikasyon kapsamını kontrol edebilmeleri için bu doküman Ortak Kriterler Portalı (commoncriteriaportal.org) üzerinde yayınlanacaktır. Dolayısıyla bu doküman gizli bilgi içermemelidir.

Kategoriler: Blog

0 yorum

Bir cevap yazın

Avatar placeholder

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Benzer yazılar

Software Quality Iso 15504
Blog

ISO 15504: Yazılım Süreç Değerlendirme Standardı ve Spice Belgelendirme

Başlık: ISO 15504: Yazılım Süreç Değerlendirme Standardı ve Spice Belgelendirme Giriş: ISO 15504, yazılım geliştirme süreçlerinin yetkinlik değerlendirmesini sağlayan bir uluslararası standarttır. Genellikle “SPICE” (Software Process Improvement and Capability Determination) olarak da bilinen bu standart, Devamı…

bilgi_güvenliği_farkındalık
Blog

TS 13638 CERTBY SIZMA TESTİ FİRMASI

Penetrasyon Testi, Etik Hacking veya Red Teaming’e ile test edilmek mi istiyorsunuz? Cevabınız evet ise bu yazı tam size göre! Güvenliği ölçmek zordur. Sistemleri (ve içindeki verileri) güvende tutmak için (‘bilgi güvencesi’ olarak da bilinir) Devamı…

Pcidss Bankalar 300x200
Blog

PCI DSS Uyumluluğu: Kart Sahibi Verilerinin Güvenliğini Sağlamaya Yönelik Kılavuz

Veri ihlalleri, kart ödemelerini işleyen tüccarlar için en büyük tehditlerden birisidir. PCI DSS gereksinimleri, bu tür olayları önlemek ve işletmelere kart sahiplerinin verilerini korumaya yönelik yönergeler sağlamak için oluşturulmuştur. Şirketlere veri koruma standartlarına uymaları için Devamı…