Page 75 - bilgem-teknoloji-dergisi-9
P. 75
Bilgi Güvenliği
OKTEM – Ortak Kriterler Test Laboratuvarı
Kurulduğu günden bu yana yaklaşık 20 yıldır uluslara-
rası akreditasyona sahip olarak test ve değerlendirme-
ler yapan BİLGEM TDBY’ye bağlı Ortak Kriterler Test
Merkezi (OKTEM) ülkemizde geliştirilen birçok ürün ve
sistemin güvenliğine katkı sağlamıştır. Yürütülen test
ve değerlendirme faaliyetlerinde TSE’den lisans, Türk
Akreditasyon Kurumu’ndan (TÜRKAK) akreditasyon ve
lanılması, kartların kullanılacağı kart okuyucularının ve çeşitli kurumlardan verilen yetki ile kullanılan metotlar
kimlik doğrulama sistemlerinin güvenli hale getirilmesi şunlardır:
amaçlanmıştır. Ortak Kriterler standardına göre en yük- ‣ Ortak Kriterler Standardı (TS ISO/IEC 15408, TS ISO/
sek güvenlik gereksinimlerine göre sertifikalandırılmış IEC 18045)
akıllı kart donanımlarının üzerinde çalışan milli işletim ‣ Kripto Modül Testleri (TS ISO/IEC 19790, TS ISO/IEC
sistemleri de en yüksek güvenlik seviyesinde değerlen- 24759)
dirilip sertifikalandırılmaktadır. ‣ Temel Seviye Güvenlik Belgelendirmesi (TSE K 505)
‣ Elektronik Kimlik Kartları için Güvenli Kart Erişim Ci-
Kartların kullanılacağı kart okuyucu cihazlar Türk hazları (TS 13582, TS 13583, TS 13584, TS 13585)
Standartları Enstitüsü’nün (TSE) TS 13682, TS13583, ‣ Elektronik Kimlik Doğrulama Sistemi (TS 13678, TS
TS13584, TS13585 Elektronik kimlik kartları için gü- 13679, TS 13680, TS 13681)
venli kart erişim cihazları standartlarına uyumlu ol- ‣ Gelir İdaresi Başkanlığı’nın Yeni Nesil Ödeme Kayde-
dukları test edilip onaylanmaktadır. Yine aynı şekilde dici Cihaz Teknik Kılavuz Testleri
sistemin diğer bileşenleri olan kimlik doğrulama ve
rol sunucuları ise TS 13678, TS 13679, TS 13680, TS OKTEM, EAL5 ve üstü seviyelerde Ortak Kriterler De-
13681 Elektronik kimlik doğrulama sistemi standartla- ğerlendirmeleri (Tümdevre ve Akıllı Kart Ürünleri), Krip-
rına uyumlulukları test edilmektedir. Tüm bu çalışmalar to Modül Testleri, Elektronik Kimlik Kartları için Güven-
sayesinde bütün sistemin güvenli olması, vatandaşla- li Kart Erişim Cihazları, Elektronik Kimlik Doğrulama
Ortak Kriterler, değerlendirme metodolojisi ve güvenlik altyapısı gibi web uygulamaları, işletim sistemleri, inter- rın bilgilerinin her ortamda korunması sağlanmaktadır. Sistemi ve Gelir İdaresi Başkanlığı’nın Yeni Nesil Öde-
kriterleri sunduğu için yapılacak testlerin belirlenmesi net bağlantılı ürünler, şifreleme cihazları, ödeme uygu- me Kaydedici Cihaz Teknik Kılavuz Testleri alanında
değerlendiriciye bırakılmıştır. Fonksiyonel testlerin ar- lamaları, Hastane Bilgi Yönetim Sistemleri ve Elektronik Yeni Nesil Ödeme Kaydedici Cihaz Projesi Türkiye’deki tek yetkili laboratuvardır. Alanında uzman
dından ürün kapsamına yönelik olası tüm tehditler için Belge Yönetim Sistemleri de Bilgi Güvenliği Mühendisli- Bilgi Güvenliği alanında ülkemizin öncü olduğu diğer personel ile test ve değerlendirme faaliyetlerinin yanı
araştırma yapılır ve açıklık analizi testleri gerçekleştiri- ği alanında ülkemizde test edilen sistemlerdir. bir alan olan Yeni Nesil Ödeme Kaydedici Cihaz pro- sıra eğitim, danışmanlık, araştırma ve geliştirme faa-
lir. Örneğin akıllı kart ürünü değerlendirilirken donanım- jesinde ise her yazar kasanın internet bağlantılı hale liyetleri de yürütmekte, kamu kurum ve kuruluşlarına
sal saldırılara örnek olarak güç ve elektromanyetik yan Ürün ve sistemlerin güvenliklerinin sağlanması için Or- gelerek Gelir İdaresi Başkanlığı’na doğrudan bağla- Bilgi Güvenliği konusunda destek olmaktadır.
kanal analizleri, elektriksel, optik, elektromanyetik hata tak Kriterler standardı haricinde ulusal ve uluslararası nabilir halde olması amaçlanmıştır. Ayrıca cihazların
enjeksiyonu, elektron mikroskobu ile görüntüleme ve standartlar da bulunmaktadır. Kriptografik cihazların içerdiği donanımsal ve yazılımsal koruma önlemlerinin
iyon müdahalesi gibi güvenlik testleri gerçekleştirilmesi test edilmesi için oluşturulmuş olan uluslararası stan- yanı sıra haberleşme güvenliği ile hassas verilerin ko-
gerekmektedir. Türkiye Cumhuriyeti kimlik kartlarında dartların başında ISO/IEC 19790 Kripto Modül Testleri runması sağlanmıştır. Bu projelerde kullanılan ürün ve
ve pasaportlarda kullanılan milli tümdevreler ve milli standardı bulunmaktadır. Bu standart ile kriptografik sistemlerin güvenli hale getirilmesi, testlerinin yapıla-
işletim sistemlerinin değerlendirmeleri Bilgi Güvenliği işlem yapan yazılım ve donanımların güvenliği garanti bilmesi için kurumlar tarafından ulusal standartlar ve
Mühendisliği uygulama alanlarının en güzel örneklerin- altına alınmaktadır. Kripto Modüller, algoritma doğrula- kılavuzlar yayınlanmıştır. Bu kılavuzlarda mali verilerin
den bir tanesidir. Bu kartların uluslararası standartlara ması ve rassal sayı testlerinde başarılı olduktan sonra korunması amacıyla yazılımsal ve donanımsal özellik-
uygunluğu, yetkisiz kimseler tarafından kartın yeniden arayüzler, rol ve kullanıcı, yazılım ve fiziksel güvenlik, ler tanımlanmış, haberleşme güvenliğinin nasıl sağla-
üretilememesi, kart içindeki bilgilerin değiştirilememe- hassas parametrelerin yönetimi ve yaşam döngüsü nacağı anlatılmıştır.
si, güvenli kimlik doğrulama işlemleri gibi özellikler yerli testleri gibi başlıkları içeren 11 ana başlık altında detaylı
imkânlarla test edilerek güvenlik garantisi ve milli ürün- bir şekilde test edilmektedir. Bilgi Güvenliği Mühendis-
lerin tasarımlarının yurt dışına çıkmaması sağlanmaktadır. leri, Kamu Sertifikasyon Merkezi, Türk Silahlı Kuvvetleri Özetle, bilgilerin kötü niyetli kişilerin eline geçmemesi,
ve çeşitli kurumlar tarafından talep edilen donanım gü- güvenli çalışma koşullarının devamlılığı gibi amaçlar
Ortak Kriterler standardına göre değerlendirilen ürünle- venliği modüllerini bu standarda uygun olarak test edip için kritik ürün ve sistemler Bilgi Güvenliği Mühendis-
rin arasında akıllı kart donanım ve yazılımları, web gü- güvenli hale getirmektedirler. leri tarafından tasarlanmakta, test edilmekte ve çalış-
venliği ürünleri, mobil ve sunucu uygulamaları, donanım ma durumları izlenmektedir. Elektronik ve bilgisayar
kripto cihazları, işletim sistemleri gibi çok geniş yelpa- Elektronik Kimlik Kartları Projesi sistemlerinin, çevrimiçi cihazların yaygınlaştığı günü-
zede ürünler bulunmaktadır. Akıllı kartlar, Ortak Kriterler Ülkemizde Bilgi Güvenliği alanında yapılan en yaygın müzde disiplinler arası bilgi birikimi ve kritik analitik
standardına göre en çok değerlendirilen ürünler olsa da çalışmaların başında Elektronik Kimlik Kartları projesi düşünme gibi yetenekler gerektiren bu alana duyulan
veri koruma, olay yönetimi, ağ güvenlik duvarı ve bulut gelmektedir. Bu proje ile güvenli kimlik kartlarının kul- ihtiyaç artmaktadır.
72 73