Bilişim teknolojileri belgelendirmelerinde öne çıkan hususlardan biri de Temel Seviye Güvenlik Belgelendirmesidir.T emel Seviye Güvenlik Belgelendirmesi( 1st Level Security Certification) basit, hızlı ve etkin bir güvenlik değerlendirmesini hedefleyen bir güvenlik değerlendirme programıdır
Temel Seviye Güvenlik Belgelendirmesinin(TSGB) tarafları,
- Belgelendirme Kuruluşu,
- Değerlendirme Kuruluşu,
- Ürün Sahibi
- Ürün Geliştirici olarak sınıflandırılabilir.
Ürün Sahibi ve Ürün Geliştirici aynı firma olabileceği gibi farklı firmalarda olabilir.
Belgelendirme Kuruluşu, TSGB nin uygulanmasını sağlayacak olan standardlar, formlar, kılavuzlar, vb. içerikleri hazırlar, TSGB için değerlendirme kriterlerini ve genel yöntemlerini belirler ve değerlendirme kuruluşlarını yetkilendirir.
Değerlendirme Kuruluşu,TSE (Belgelendirme Kuruluşu) tarafından yeterli uzmanlığa sahip olduğu teknik alanlarda yetkilendirilmiş kuruluşu ifade eder. Bünyesinde bulundurduğu teknik uzmanlar vasıtasıyla ürünler üzerinde değerlendirme gerçekleştirir ve bulguları belgelendirme kuruluşuna rapor eder.
TSGB nin temel süreçleri şekildeki gibidir.
Temel Seviye Güvenlik kriterleri bir ürün veya sistemin sahip olması gereken asgari seviyede güvenlik gereksinimlerini tanımlar. Bir ürünün değerlendirmesi, ürünün güvenlik hedefinde belirtilen güvenlik özelliklerini sağladığını ve tüm güvenlik fonksiyonlarının en azından “temel” direnç seviyesine ulaştığını ve değerlendirmede herhangi bir güvenlik açığının kullanılamadığını doğrulamalıdır.
– Ürünün güvenlik spesifikasyonuna uygunluğunu tespit etmek,
– Ürün tarafından sunulan güvenlik fonksiyonlarının etkinliğini belirlemek.
Ürünün temel güvenlik fonksiyonları kripto mekanizmaları tarafından sağlanıyorsa, değerlendirmenin iki ek hedefi daha vardır:
TSE nin Kripto Modül/Algoritma Doğrulama Programı (CMVP/CAVP) kapsamında, TS ISO/IEC 24759 Kripto modülleri için test gereksinimlerine uygun şekilde yapılan testlerde ürünün kripto mekanizmalarının;
– TS ISO/IEC 19790 Kripto modülleri için güvenlik gereksinimlerine uygunluğunu tespit etmek,
– Tanımlarına göre ürün yoluyla bu mekanizmaların doğru şekilde uygulandığını tespit etmek.
Değerlendirme aşağıdakilere dayanır :
– mevcut dokümantasyon;
– test edilmesi gereken en azından bilinen zafiyetlerin genel zafiyet veritabanları;
– öngörülen kullanım ortamını temsil eden bir test platformuna kurulmuş olarak, ürünün kendisi.