Güvenlik Hedefi Dokümanı Nedir?
Güvenlik Hedefi Dokümanı ISO 15408 Ortak Kriterler kapsamında değerlendirmeye girecek her bir ürün için, üretici tarafından hazırlanan bir dokümandır.
Güvenlik Hedefi Dokümanında temel olarak ilgili ürüne ait aşağıdaki başlıklar yer alır:
- Tanımı,
- Çalışma ortamı ve çevre bileşenleri,
- Korumayı hedefleyeceği olası varlıkları,
- Kullanıcı rolleri,
- Çalışma şartlarına yönelik varsayım ve politikalar,
- Karşılaşabileceği bilgi güvenliği tehditleri,
- Tehditler, varsayım ve politikaların karşılanması için ürünün ve çevresinin sağlaması beklenen güvenlik özellikleri,
- Tehditler, varsayım ve politikaların ürün veya çevresi tarafından karşılandığını gösteren analizi,
- Ürünün güvenlik fonksiyonlarının Ortak Kriterler standardı jargonunda detaylı ifadesi
Güvenlik Hedefi Dokümanı Ne Zaman Hazırlanır?
Bir ürünün ISO 15408 Ortak Kriterler Değerlendirmesine başvurması için öncelikle Güvenlik Hedefi Dokümanının hazırlanması ve değerlendirmeyi yapacak laboratuvara teslim edilmesi gerekmektedir. Dolayısıyla dokümanın Ortak Kriterler Değerlendirmesi sürecinin en başında hazırlanması gerekir.
Güvenlik Hedefi Dokümanının Ortak Kriterler sertifikasına başvuracak her ürün için hazırlanması zorunludur. Yani bu döküman en temel dökümanlardan birisidir denebilir.
Güvenlik Hedefi Dokümanı Detay Seviyesi Ne Olmalıdır?
Güvenlik Hedefi Dokümanı ürüne özel bir doküman olduğundan, o ürün için tüm özellikleri açık ve net olarak tanımlamak zorundadır. Örneğin, Güvenlik Hedefi Dokümanı ürünün kimlik doğrulama yapacağını söylemekle yetinemez. Bunun yerine; parola, token gibi hangi yöntemlerle kimlik doğrulama yapacağını belirtmek zorundadır. Ancak Güvenlik Hedefi Dokümanını tasarım veya kaynak koda ilişkin detaylar içermesi beklenmez.
Güvenlik Hedefi Dokümanı Gizli midir?
Ürün, ISO 15408 Ortak Kriterler kapsamında sertifikalandırıldıktan sonra, dünya çapında müşterilerin ürünü inceleyebilmeleri ve sertifikasyon kapsamını kontrol edebilmeleri için bu doküman Ortak Kriterler Portalı olan commoncriteriaportal.org üzerinde yayınlanacaktır. Dolayısıyla bu doküman gizli bilgi içermemesine dikkat edilmelidir.
Kişisel Veriler Meselesine yönelik bütünsel uyum çalışması tam olarak bu dediğimiz şekle uygun olarak yapılacak bir çalışmadır. Kişisel veri güvenliği ancak tüm organizasyon yapısı ve riskler göz önünde bulundurularak her bir kuruma özel çözümler üretilerek sağlanabilmektedir.
Tüm uyum sürecinin hukuk danışmanları ile teknik danışmanların aktif katılımıyla, bütünleşik olarak ve tam bir uyum içerisinde yürütülmesi bir başarımdır.