Bilgi teknolojileri sistemlerinin ortak olarak kriterlere uygun olarak güvenlik değerlendirmesi

Abstract

Günümüzde organizasyonlar varlıklarını bilgi sistemlerini kullanarak saklamakta, işlemekte ve iletmektedir. Gelişen teknoloji ile birlikte bu varlıklara gerçekleştirilen saldırıların sayısı ve niteliği artmaktadır. Organizasyonların yasal zorunlulukların ve iş gereksinimlerinin sonucu olarak bilgi sistemlerinin güvenliklerine verdikleri önem de artmaktadır. Bunların sonucu olarak BT (Bilgi Teknolojileri) sistemlerinin güvenlik değerlendirmelerinin bağımsız kuruluşlar tarafından ölçülmesi ihtiyacı doğmuştur. CC (Ortak Kriterler) standardı BT ürünlerinin ve sistemlerinin güvenlik değerlendirmelerinin gerçekleştirilmesi için geliştirilmiş bir standarttır. Standardın kullanımı giderek yaygınlaşmıştır fakat şu anki haliyle yalnızca ürün değerlendirmelerinde kullanılabilmektedir. Çünkü BT sistemlerinde kullanılabilmesi için yeterli değildir. Bu çalışmada Ortak Kriterler standardının kullanımı ile ilgili bilgi verilmiş, ürün değerlendirmelerinde nasıl kullanıldığı incelenmiştir. Ayrıca sistem değerlendirmeleri için standardın eksikleri ortaya koyulmuş ve bu eksiklerin giderilmesi için çözüm önerileri sunulmuştur. İSO 17799 bilgi sistemlerinin yönetimi için genel prensipler tanımlamıştır. Bu çalışmada standart BT sistemlerinin Ortak Kriterîer'e uygun değerlendirilebilmesi için kaynak olarak kullanılmıştır. Çalışmanın son kısmında BT sisteminin Ortak Kriterler standardına ve önerilen çözümlere uygun olarak nasıl güvenli olarak tasarlanıp gerçeklenebileceği ortaya konulmuştur.After the developments on IT sector for fifteen years, nowadays organizations'* use IT systems in order to store, process and transmit almost all of their assets. Although this development also inceased the number and quality of the attacks to this information systems. The mandatory laws about data protection and increase of attacks forced organizations to give more importance to the security of their information systems. As result evaluation of their IT systems by independent third party labs became neccessary. Common Criteria is a standart which is developed for evaluation of IT products and system. The usage of CC is became world wide since 2000, although its current version is just applicable for IT products because it current version is not sufficient for system evaluations. This study first shows how to conduct evaluations according to CC. After list the deficiencies of the standart for system evaluations and propose solutions for these deficiencies. ISO 17799 is a standard which propose general principals for IT system management. This study used ISO 17799 as a resource for evaluations of IT systems according to CC. In the last part of this study a methodology is proposed for IT systems. With this methodology it is possible to design and implement an IT system according to CC and evaluate it according to CEM and ISO 17799.