ümay akkaya –türk standardları enstitüsü (tse)

Download Report

Transcript ümay akkaya –türk standardları enstitüsü (tse) 

Mayıs 2014, ICSG
Yazılım Test ve Belgelendirme Daire Başkanlığı
Mariye Umay Akkaya
Mustafa YILMAZ
Sunum İçeriği
Bilişim Teknolojileri Belgelendirmeleri
2. Siber Güvenlik Eylem Planı çerçevesinde yapılan
çalışmalar
3. Akıllı Sayaç Koruma Profili Çalışmaları
1.
TSE
BİLİŞİM TEKNOLOJİLERİ
BELGELENDİRMELERİ
BELGELENDİRME HİZMETLERİ
TS ISO/IEC 15408
ORTAK KRİTERLER (COMMON CRITERIA)
VERİLEN SERTİFİKA TÜRLERİ
SİBER GÜVENLİK BELGELENDİRMELERİ
•
Bilişim teknolojisi
ürünleri
için
geliştirilmiş
güvenlik değerlendirme
standardıdır.
•
7 güvenlik seviyesi vardır.
•
Verilen belgeler 26 ülkede tanınmaktadır.
•
Faaliyetler 3 adet TSE tarafından Lisanslı
Laboratuvar ile birlikte yürütülmektedir.
•
Lisanslı Laboratuvarlar:
OKTEM (TÜBİTAK-Türkiye)
Epoche Espri (İspanya)
Cygnacom (Amerika)
•
ISO/IEC 19790 Kritik verilerin
güvenliğini
sağlayan
kripto
modülleri için güvenlik gereklerini
belirler.
•
ISO/IEC 24759 standardı test
metodolojisi olarak hazırlanmıştır.
•
•
Lisanslı Laboratuvar :
Epoche &Espri / Cygnacom/OKTEM
•
Temel Seviye Güvenlik Belgelendirmesi,
Basit, hızlı ve etkin bir şekilde bir ürün
veya sistemin sahip olması gereken asgari
seviyede
güvenlik
gereksinimlerini
tanımlar.
•
Saha Güvenlik Belgelendirmesi, CC
belgelendirmesine
tabi
olacak
ürünlerinin geliştirildikleri ortamın
güvenliğini güvence altına alır.
SİBER GÜVENLİK EYLEM PLANI
20.06.2013 Resmi Gazete 2013-2014 Ulusal
Siber Güvenlik Stratejisi ve Eylem Planı
•
TSE;
•
•
Madde 10 ile «İlgili»
Madde 12 den «Sorumlu»
•
“Siber Güvenlik Özel Komitesi” kurulmuş ,
35 dış uzmanla 28 yeni projede aktif çalışmalar
devam etmektedir.
Hedef:
TÜM KAMU İÇİN SİBER GÜVENLİK
SİBER GÜVENLİK EYLEM PLANI
Madde 12/a “BEYAZ ŞAPKALI HACKER BELGELENDİRMESİ”
Bilgi sistemlerinin güvenlik testlerini yapan, siber
güvenlik konusunda eğitim ve danışmanlık veren, siber
güvenlik konusunda belirlenecek diğer alanlarda hizmet
sunan gerçek ve tüzel kişilerde bulunması gereken asgari
özelliklerin belirlenmesi ve belgelendirmenin yapılması
Madde 12/b “TÜM KAMU GÜVENLİK BELGELENDİRMESİ”
Kamu Kurumları tarafından kullanılan ve siber güvenlik
açısından kritik öneme sahip bilgi teknolojileri ve bilgi
sistemleri ürünlerinin ve bunların sahip olması gereken
asgari güvenlik gereksinimlerinin belirlenmesi ve
belgelendirmenin yapılması
2013-2014
SİBER GÜVENLİK EYLEM PLANI
Madde 12 için YAPILANLAR
TSE «Sorumlu»
12-b kapsamında DETAYLI GÖRÜŞÜLEN KURUMLAR
 SAĞLIK BAKANLIĞI
 Bilişim Sistemleri Genel Müdürlüğü (HBYS, AHBS PPs)
 BİLİM SANAYİ VE TEKNOLOJİ BAKANLIĞI
 Metroloji ve Standardizasyon Genel Müdürlüğü (Akıllı Sayaçlar PP)
 Tübitak Bilgem Uekae (Akıllı Kartlar PPs)
 MALİYE BAKANLIĞI
 Gelir İdaresi Başkanlığı (IP Tabanlı Yazar Kasa PP)
 ÇEVRE VE ŞEHİRCİLİK BAKANLIĞI
 Coğrafi Bilgi Sistemleri Genel Müdürlüğü (CBS PP)
 BAŞBAKANLIK
 Devlet Arşivleri Genel Müdürlüğü (EBYS PP)
 SGK
Siber Güvenlik Özel Komite Örnek Çalışma Konuları
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
Güvenli EBYS Koruma Profili
Kart Erişim Cihazları ( KEC) ve EKDS
Belgelendirmesi
Güvenli Coğrafi Bilgi Sistemleri ( CBS )
Koruma Profili
Akıllı Sayaçlar Güvenliği Belgelendirmesi
E-Kimlik Koruma Profili
GEM Koruma Profili
Mobile ID Koruma Profili
Secure IC Koruma Profili
Embedded OS Koruma Profili
IP Tabanlı Yazar Kasa Belgelendirmesi
Yazılım Testçiler için Kriterlerin Belirlenmesi
Cloud Computing-Bulut Bilişim
E-Pasaport Koruma Profili
BT ürünleri Açıklıkları Kütüphanesi
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
Sızma Testi yapan kişi ve firma kriterleri
SSL kriterleri
Biyometrik Ürünler için Koruma Profili
Web Servisleri Koruma Profili
Güvenli Web Uygulamaları Koruma Profili
Veri Merkezleri (Sistem Odaları)
Belgelendirmesi
Bankacılık Sektörü Güvenlik Kriterleri
Mobil Uygulamalar PP
IT Ürünleri Zayıflık Veritabanı
Sızma Testi Teknik Kriterleri
Savunma Sanayi Ürünleri Test Kriterleri
Güvenli E-Ticaret Belgelendirmesi
Madde 12/a için Yapılanlar:
 Sızma Testi (Pen-Test) yapan personel ve firmalar için
 İdari Kriterler hazırlandı
 Teknik Kriterler hazırlanmakta
 2 adet Çalıştay düzenlendi
 Sızma Testi yapan personellere Teorik ve Pratik
sınav yapabilmek için CTF (Capture the Flag)
Laboratuvarı kuruldu.
SİBER GÜVENLİK- SIZMA TESTİ YAPAN FİRMA VE PERSONEL BELGELENDİRMESİ
«Beyaz Şapkalı Hacker» BELGELENDİRMESİ
•
Beyaz Şapkalı Hackerlar,TSE'nin hazırlamış olduğu
eğitim programına katılıp yazılı ve uygulamalı
sınavlara tabi olacaktır.
•
•
Eğitimler Mayıs 2014
Sınavlar Haziran 2014
Basında TSE-Beyaz Şapkalı Hacker

NTV Canlı yayınına konuk olduk
(28 Ekim 2013)
ULUSAL SİBER GÜVENLİK STRATEJİSİ VE 2013-2014 EYLEM
PLANI MADDE 10
-
Yazılım güvenliği ile ilgili eğitimlerin
hazırlanması ve yazılım geliştiricilere
verilmeye başlanması
-
10
Aralık 2013
Kritik altyapılar için geliştirilen yazılımlar
Yazılım
için güvenli yazılım geliştirme temel
Güvenliği
kurallarının yayımlanması
Aralık 2013
Programının
Yürütülmesi
-
Kritik altyapılar için geliştirilen
yazılımların güvenlik değerlendirmeleri
için ilgili kurumların bünyesinde gerekli
teknik altyapının kurulmasına yönelik
fizibilitenin hazırlanarak Siber Güvenlik
Kuruluna sunulması
Mart 2014
TÜBİTAK (S)
Ulaştırma, Denizcilik ve
Haberleşme Bakanlığı
(İ)
TSE (İ)
Koruma Profilleri :
Ortak Kriterler dilinde yazılmış teknik şartnamelerdir
 Bir
ürün ailesinin
gereksinimlerini belirler.
sağlaması
gereken
güvenlik
 Ürünün BT ortamını tanımlar.
 Varsayımları ve tehditleri tanımlar.
 Mevcut varsayımlar altında var olan tehditleri karşılamak
için güvenlik gereksinimlerini tanımlar.
 Üretici, değerlendirici ve son kullanıcı arasında ortak bir
bakış açısı oluşturur.
 Ürünün güvenlik teknik şartnamesi olarak tanımlanabilir.
19
PP-Koruma Profili: Asgari Güvenlik Gereksinimleri
Varsayımlar
Varlıklar
Tehditler
Güvenlik
Hedefleri
Politikalar
Kullanıcı adı,
Parola,
Şifreleme,
Anahtarları,
Sertifikalar,
Kayıtlar
20
Cihazın korumalı
odada kullanılması
Kriptanaliz
Yetkisiz erişim
Araya girme
SSL ile haberleşme
Çevre İçin
Güvenlik
Hedefleri
BT Güvenlik
Gereksinimleri
TOE
Güvenlik
Hedefleri
Bilinçli kullanıcı,
Fiziksel güvenli ortam
Kimlik doğrulması,
Yetkilendirme,
Şifreli saklama
Koruma Profili Çalışması Süreci
Ülkemizde uygulanan sistemin ihtiyaçları doğrultusunda
Akıllı sayaç ve çevre bileşenleri için bir Koruma Profili
oluşturma çalışması yapılmıştır.
Bilim, Teknoloji ve Sanayi Bakanlığı tarafından SAYKOM
bünyesinde koordine edilmiştir.
Maddi olarak TSE tarafından fonlanmıştır.
Uluslararası sertifikalı bir CC laboratuvarı olan TÜBİTAK
BİLGEM-OKTEM tarafından hazırlanmıştır.
Çalışma sürecinde;
Yapılan toplantılar ile EPDK, Dağıtım Şirketleri ve Sayaç
Üreticilerinin görüş ve tavsiyeleri öğrenilerek dikkate alınmıştır.
21
Akıllı Sayaç Koruma Profili
 Hazırlanan Koruma Profili ve Güvenlik Mimarisi;
 Akıllı Sayaçların Güvenliği,
 Sayaçlarda üretilen verilerin güvenli bir şekilde Veri ve Kontrol
Merkezi’ne iletilmesi
 Veri ve Kontrol Merkezi’nden gönderilen verilerin Akıllı Sayaç
tarafından güvenli bir şekilde alınması
konularını kapsar.
 MODEM tarafından sağlanması gereken güvenlik özellikleri
Koruma Profili dokümanında politika olarak belirtilmiştir.
 Uzaktan Okuma ve Kontrol Merkezi (DCC) için fiziksel ve
siber güvenliğin sağlanması bu çalışmanın kapsamı
dışındadır.
22
Güvenlik Fonksiyonel Gereksinimleri (SFRs)
Depolanan tüketim verilerinin güvenliğini
Anahtar ve sertifikaların güvenli bir şekilde
saklanmasını
Sayaç-Haberleşme Modülü arasında güvenli haberleşme
kanalını
Haberleşme Modülü-Kontrol Merkezi arasında güvenli
haberleşme kanalını
Sayaç modülünün uzaktan güvenli bir şekilde kontrol
ve konfigürasyonunu
Hem lokal hem uzak işlemlerde erişim kontrolünü
Yapılan müdahalelerde olay kayıtlarının üretimi ve
devamında güvenliğini
Ürün güvenlik fonksiyonlarının devamlılığını
sağlayan bir güvenlik mimarisi tasarlanmıştır.
23
TEŞEKKÜRLER……
Mariye Umay AKKAYA
[email protected]
0312 416 63 01
Mustafa YILMAZ
[email protected]
0312 416 64 51