Page 75 - bilgem-teknoloji-dergisi-9
P. 75

Bilgi Güvenliği









                                                                 OKTEM – Ortak Kriterler Test Laboratuvarı
                                                                 Kurulduğu günden bu yana yaklaşık 20 yıldır uluslara-
                                                                 rası akreditasyona sahip olarak test ve değerlendirme-
                                                                 ler  yapan  BİLGEM TDBY’ye  bağlı  Ortak  Kriterler Test
                                                                 Merkezi (OKTEM) ülkemizde geliştirilen birçok ürün ve
                                                                 sistemin güvenliğine katkı sağlamıştır. Yürütülen test
                                                                 ve değerlendirme faaliyetlerinde TSE’den lisans, Türk
                                                                 Akreditasyon Kurumu’ndan (TÜRKAK) akreditasyon ve
                 lanılması, kartların kullanılacağı kart okuyucularının ve   çeşitli kurumlardan verilen yetki ile kullanılan metotlar
                 kimlik doğrulama sistemlerinin güvenli hale getirilmesi   şunlardır:
                 amaçlanmıştır. Ortak Kriterler standardına göre en yük-  ‣ Ortak Kriterler Standardı (TS ISO/IEC 15408, TS ISO/
                 sek güvenlik gereksinimlerine göre sertifikalandırılmış   IEC 18045)
                 akıllı kart donanımlarının üzerinde çalışan milli işletim   ‣ Kripto Modül Testleri (TS ISO/IEC 19790, TS ISO/IEC
                 sistemleri de en yüksek güvenlik seviyesinde değerlen-  24759)
                 dirilip sertifikalandırılmaktadır.              ‣ Temel Seviye Güvenlik Belgelendirmesi (TSE K 505)
                                                                 ‣ Elektronik Kimlik Kartları için Güvenli Kart Erişim Ci-
                 Kartların  kullanılacağı  kart  okuyucu  cihazlar  Türk   hazları (TS 13582, TS 13583, TS 13584, TS 13585)
                 Standartları Enstitüsü’nün (TSE) TS 13682, TS13583,   ‣ Elektronik Kimlik Doğrulama Sistemi (TS 13678, TS
                 TS13584,  TS13585  Elektronik  kimlik  kartları  için  gü-  13679, TS 13680, TS 13681)
                 venli  kart  erişim  cihazları  standartlarına  uyumlu  ol-  ‣ Gelir İdaresi Başkanlığı’nın Yeni Nesil Ödeme Kayde-
                 dukları test edilip onaylanmaktadır. Yine aynı şekilde   dici Cihaz Teknik Kılavuz Testleri
                 sistemin  diğer  bileşenleri  olan  kimlik  doğrulama  ve
                 rol sunucuları ise TS 13678, TS 13679, TS 13680, TS   OKTEM, EAL5 ve üstü seviyelerde Ortak Kriterler De-
                 13681 Elektronik kimlik doğrulama sistemi standartla-  ğerlendirmeleri (Tümdevre ve Akıllı Kart Ürünleri), Krip-
                 rına uyumlulukları test edilmektedir. Tüm bu çalışmalar   to Modül Testleri,  Elektronik Kimlik Kartları için Güven-
                 sayesinde bütün sistemin güvenli olması, vatandaşla-  li  Kart  Erişim  Cihazları,  Elektronik  Kimlik  Doğrulama
 Ortak Kriterler, değerlendirme metodolojisi ve güvenlik   altyapısı gibi web uygulamaları, işletim sistemleri, inter-  rın bilgilerinin her ortamda korunması sağlanmaktadır.   Sistemi ve Gelir İdaresi Başkanlığı’nın Yeni Nesil Öde-
 kriterleri  sunduğu  için  yapılacak  testlerin  belirlenmesi   net bağlantılı ürünler, şifreleme cihazları, ödeme uygu-  me  Kaydedici  Cihaz  Teknik  Kılavuz  Testleri  alanında
 değerlendiriciye  bırakılmıştır.  Fonksiyonel  testlerin  ar-  lamaları, Hastane Bilgi Yönetim Sistemleri ve Elektronik   Yeni Nesil Ödeme Kaydedici Cihaz Projesi  Türkiye’deki tek yetkili laboratuvardır. Alanında uzman
 dından ürün kapsamına yönelik olası tüm tehditler için   Belge Yönetim Sistemleri de Bilgi Güvenliği Mühendisli-  Bilgi  Güvenliği  alanında  ülkemizin  öncü  olduğu  diğer   personel ile test ve değerlendirme faaliyetlerinin yanı
 araştırma yapılır ve açıklık analizi testleri gerçekleştiri-  ği alanında ülkemizde test edilen sistemlerdir.   bir alan olan Yeni Nesil Ödeme Kaydedici Cihaz pro-  sıra eğitim, danışmanlık, araştırma ve geliştirme faa-
 lir. Örneğin akıllı kart ürünü değerlendirilirken donanım-  jesinde  ise  her  yazar  kasanın  internet  bağlantılı  hale   liyetleri  de  yürütmekte,  kamu  kurum  ve  kuruluşlarına
 sal saldırılara örnek olarak güç ve elektromanyetik yan   Ürün ve sistemlerin güvenliklerinin sağlanması için Or-  gelerek  Gelir  İdaresi  Başkanlığı’na  doğrudan  bağla-  Bilgi Güvenliği konusunda destek olmaktadır.
 kanal analizleri, elektriksel, optik, elektromanyetik hata   tak Kriterler standardı haricinde ulusal ve uluslararası   nabilir  halde  olması  amaçlanmıştır.  Ayrıca  cihazların
 enjeksiyonu,  elektron  mikroskobu  ile  görüntüleme  ve   standartlar  da  bulunmaktadır.  Kriptografik  cihazların   içerdiği donanımsal ve yazılımsal koruma önlemlerinin
 iyon müdahalesi gibi güvenlik testleri gerçekleştirilmesi   test edilmesi için oluşturulmuş olan uluslararası stan-  yanı sıra haberleşme güvenliği ile hassas verilerin ko-
 gerekmektedir.  Türkiye  Cumhuriyeti  kimlik  kartlarında   dartların başında ISO/IEC 19790 Kripto Modül Testleri   runması sağlanmıştır. Bu projelerde kullanılan ürün ve
 ve  pasaportlarda  kullanılan  milli  tümdevreler  ve  milli   standardı  bulunmaktadır.  Bu  standart  ile  kriptografik   sistemlerin güvenli hale getirilmesi, testlerinin yapıla-
 işletim  sistemlerinin  değerlendirmeleri  Bilgi  Güvenliği   işlem yapan yazılım ve donanımların güvenliği garanti   bilmesi için kurumlar tarafından ulusal standartlar ve
 Mühendisliği uygulama alanlarının en güzel örneklerin-  altına alınmaktadır. Kripto Modüller, algoritma doğrula-  kılavuzlar yayınlanmıştır. Bu kılavuzlarda mali verilerin
 den bir tanesidir. Bu kartların uluslararası standartlara   ması ve rassal sayı testlerinde başarılı olduktan sonra   korunması amacıyla yazılımsal ve donanımsal özellik-
 uygunluğu, yetkisiz kimseler tarafından kartın yeniden   arayüzler,  rol  ve  kullanıcı,  yazılım  ve  fiziksel  güvenlik,   ler tanımlanmış, haberleşme güvenliğinin nasıl sağla-
 üretilememesi, kart içindeki bilgilerin değiştirilememe-  hassas  parametrelerin  yönetimi  ve  yaşam  döngüsü   nacağı anlatılmıştır.
 si, güvenli kimlik doğrulama işlemleri gibi özellikler yerli   testleri gibi başlıkları içeren 11 ana başlık altında detaylı
 imkânlarla test edilerek güvenlik garantisi ve milli ürün-  bir şekilde test edilmektedir. Bilgi Güvenliği Mühendis-
 lerin tasarımlarının yurt dışına çıkmaması sağlanmaktadır.   leri, Kamu Sertifikasyon Merkezi, Türk Silahlı Kuvvetleri   Özetle, bilgilerin kötü niyetli kişilerin eline geçmemesi,
 ve çeşitli kurumlar tarafından talep edilen donanım gü-  güvenli  çalışma  koşullarının  devamlılığı  gibi  amaçlar
 Ortak Kriterler standardına göre değerlendirilen ürünle-  venliği modüllerini bu standarda uygun olarak test edip   için kritik ürün ve sistemler Bilgi Güvenliği Mühendis-
 rin arasında akıllı kart donanım ve yazılımları, web gü-  güvenli hale getirmektedirler.   leri tarafından tasarlanmakta, test edilmekte ve çalış-
 venliği ürünleri, mobil ve sunucu uygulamaları, donanım   ma  durumları  izlenmektedir.  Elektronik  ve  bilgisayar
 kripto cihazları, işletim sistemleri gibi çok geniş yelpa-  Elektronik Kimlik Kartları Projesi  sistemlerinin,  çevrimiçi  cihazların  yaygınlaştığı  günü-
 zede ürünler bulunmaktadır. Akıllı kartlar, Ortak Kriterler   Ülkemizde  Bilgi  Güvenliği  alanında  yapılan  en  yaygın   müzde  disiplinler  arası  bilgi  birikimi  ve  kritik  analitik
 standardına göre en çok değerlendirilen ürünler olsa da   çalışmaların  başında  Elektronik  Kimlik  Kartları  projesi   düşünme gibi yetenekler gerektiren bu alana duyulan
 veri koruma, olay yönetimi, ağ güvenlik duvarı ve bulut   gelmektedir. Bu proje ile güvenli kimlik kartlarının kul-  ihtiyaç artmaktadır.






 72                                                       73
   70   71   72   73   74   75   76   77   78   79   80