CSC (Common Security Criteria)
Giriş
CSC (Ortak Güvenlik Kriterleri), bilgi teknolojisi (BT) sistemlerinin güvenlik gereksinimlerinin değerlendirılması ve sertifikalandırılması için uluslararası kabul görmüş bir çerçevedir. 1999 yılında Uluslararası Bilgi Teknolojisi Güvenlik Değerlendirme Kriterleri (ITSEC) ve Kanada Güvenlik Değerlendirme Kriterleri (CSEVAL) gibi mevcut ulusal güvenlik kriterlerinin bir birleşiminden geliştirilmiştir.
Amaç
CSC’nin temel amacı, BT sistemlerinin güvenlik özelliklerinin tutarlı ve güvenilir bir değerlendirme ve sertifikalandırma süreci sağlamaktır. Bu, farklı ülkelerden ve sektörlerden kuruluşların güvenlik gereksinimlerinin tutarlı bir anlayışını ve değerlendirme sürecini kolaylaştırmayı amaçlar.
Kapsam
CSC, BT sistemlerinin güvenlik gereksinimlerinin değerlendirılması ve sertifikalandırılması için bir çerçeve sağlar. Aşağıdakiler de dahil olmak üzere çeşitli güvenlik yönlerine odaklanır:
- Güvenlik hedefleri
- Güvenlik gereksinimleri
- Güvenlik tasarımı
- Güvenlik testi
- Güvenlik değerlendirme raporu
Yapı
CSC, üç ana bölümden oluşan hiyerarşik bir yapıya sahiptir:
- Bölüm 1: Giriş ve Genel Model: CSC’nin amacını, kapsamını ve genel modelini tanımlar.
- Bölüm 2: Güvenlik Fonksiyonel Gereksinimleri: BT sistemlerinin güvenlik işlevselliğini tanımlayan 11 güvenlik sınıfı içerir.
- Bölüm 3: Güvenlik Destekleyici Gereksinimleri: BT sistemlerinin güvenlik işlevselliğini destekleyen güvenlik destekleyici gereksinimleri tanımlar.
Güvenlik Sınıfları
CSC’nin 2. Bölümü, 11 güvenlik sınıfı tanımlar:
- Sınıf AVA: Güvenlik değerlendirme güvencesi
- Sınıf ALC: Yaşam döngüsü güvencesi
- Sınıf ASE: Güvenlik hedefleri güvencesi
- Sınıf ATE: Test güvencesi
- Sınıf AVA: Güvenlik hedefleri güvencesi
- Sınıf FMT: Finansal yönetim güvencesi
- Sınıf FPT: Gizlilik güvencesi
- Sınıf FCS: İletişim güvencesi
- Sınıf FDP: Veri koruma güvencesi
- Sınıf FIA: Kimlik ve erişim yönetimi güvencesi
- Sınıf FRU: Kaynak kullanımı güvencesi
Değerlendirme ve Sertifikalandırma Süreci
CSC çerçevesini kullanarak bir BT sisteminin güvenlik değerlendirme ve sertifikalandırma süreci aşağıdaki adımları içerir:
- Güvenlik Hedeflerinin Tanımlanması: Kuruluş, BT sistemi için güvenlik hedefleri belirler.
- Güvenlik Gereksinimlerinin Tanımlanması: Güvenlik hedefleri, CSC güvenlik sınıfları kullanılarak güvenlik gereksinimlerine dönüştürülür.
- Güvenlik Tasarımının Geliştirilmesi: BT sistemi, güvenlik gereksinimlerine uygun bir güvenlik tasarımı ile geliştirilir.
- Güvenlik Testinin Gerçekleştirilmesi: BT sistemi, güvenlik gereksinimlerine uygunluğunu doğrulamak için test edilir.
- Güvenlik Değerlendirme Raporunun Hazırlanması: Bir güvenlik değerlendirme kuruluşu, BT sisteminin güvenlik değerlendirme raporunu hazırlar.
- Sertifikalandırma: Güvenlik değerlendirme raporu, bir sertifikalandırma kuruluşu tarafından incelenir ve BT sistemi sertifikalandırılırsa bir sertifika verilir.
Faydalar
CSC’nin kullanılmasının çeşitli avantajları vardır:
- Tutarlılık: Farklı ülkelerden ve sektörlerden kuruluşlar için güvenlik gereksinimlerinin tutarlı bir anlayışını sağlar.
- Güvenilirlik: Güvenlik değerlendirme ve sertifikalandırma sürecinin güvenilirliğini ve güvenilirliğini artırır.
- Karşılaştırılabilirlık: Farklı BT sistemlerinin güvenlik özelliklerinin karşılaşılmasını kolaylaştırır.
- Uluslararası Tanınırlık: CSC, dünya çapında tanınan ve kabul edilen bir çerçevedir.
- Azaltılmış Risk: CSC uyumlu BT sistemlerinin kullanılması, güvenlik risklerinin azaltılmasına yardımcı olur.
İlgili Kaynaklar
- CSC Resmi Web Sitesi
- NIST CSC Web Sitesi
- ISO/IEC 15408:2009
- Güvenlik Değerlendirme Kuruluşları Listesi
- Sertifikalandırma Kuruluşları Listesi