Sisoft, Uluslararası Standart Örgütü ISO'dan 1999 yılından beri kabul gören ve ISO/IEC 15408 olarak adlandırılan Ortak Kriterler (Common Criteria) EAL2+ seviyesi ile akredite oldu. TÜBİTAK BİLGEM OKTEM laboratuvarında değerlendirilen Sisoft WEBHBYS V2.0.0.3, EAL2+ seviyesinde güvenli olduğunu kanıtladı.

            Orlando Universal Stüdyolarında yer alan Margaritaville Restaurant'da gercekleşen Ödül Töreni'nde, Türkiye'den 6 sertifika sahiplerini buldu. Sağlık alanındaki ilklerden birisi olarak Sisoft Web Hbys de ödül alan ve EAL2+ ile sertifikalandırılan güvenli ürünler arasına katıldı. Her zaman iyinin kaliteden geleceğine inanan Sisoft, uluslararası belge ve başarılarına bir yenisini daha ekledi.

            Değerlendirme sonuçlarının sertifikasyonu, belirlenen tehditler için güvenlik ölçütlerinin yeterli olduğu ve bu ölçütlerin doğru olarak üründe uygulandığı konusunda temel bir garanti sağlamaktadır. Fakat bu sonuçların sertifikasyonunun ürünün güvenlik alanında kesin bir garanti sağladığı anlamına gelmediği unutulmamalıdır. Çünkü güvenlik her zaman bulunulan ortam için bir tehdit kümesi ve kabullenmelerle birlikte ele alınmalıdır. Ortak Kriterler bir ürünün veya sistemin sağlamış olduğu güvenliği ölçekleyerek müşterinin kullandığı ürünün garanti seviyesini bilmesini sağlamaktadır.

            Ortak Kriterler Değerlendirme Garanti Seviyeleri aracılığıyla ürünlerin güvenlik garantilerinin farklı seviyelerde değerlendirilmesini sağlamaktadır. Ne seviyede güvenliğe ihtiyaç duyulduğuna kullanıcılar korumaları gereken varlıkların değerini, tehdit ortamını ve kullanacakları bütçeyi dikkate alarak karar vermek durumundadırlar.

            Uluslararası tanınan sertifikalar veren bir değerlendirme yapısı altında gerçekleştirilen bir değerlendirme, akredite olmuş bir kalite sisteminde, bağımsız ve tecrübeli değerlendiriciler tarafından gerçekleştirilmiş demektir.

1.4 Değerlendirme ve sertifikasyon

            Ortak Kriterler modeli değerlendirme ve sertifikasyon işlerini ve bu işleri yapacak kişilerin rollerini ve sorumluluklarını birbirinden ayırmaktadır. Sertifikalar ulusal yapılar tarafından, bağımsız test  laboratuarlarının sonuçları temel alınarak verilir. Test laboratuarları genelde ISO 17025 akreditasyonu almış bağımsız kuruluşlardır ve ortak kriter testleri yapabilmek için ulusal yapının sertifikasyon kurumundan lisans almışlardır.

1.5 Akreditasyon ve onay

            Çoğu zaman ortak kriter değerlendirmelerine ihtiyaç, yetkili bir otoritenin isteği doğrultusunda ortaya çıkmaktadır. Bu yetkili otoriteye akreditor veya akreditasyon otoritesi adı verilmektedir. Akreditorler bazı durumlarda bir sistemin fonksiyonel ve garanti gereksinimlerinin belirlenmesinde de etkili olabilmektedirler.

            Akreditörler, farklı Değerlendirme Garanti Seviyelerinin veya garanti paketlerinin, bir BT sisteminin kritik güvenlikli fonksiyonlarına uygulandığında, riskin azaltılması için hedef ölçütleri olarak nasıl kullanılabileceğini bilmelidirler. Bu durumda akreditörler Ortak Kriterlerin üçüncü bölümü konusunda bilgi sahibi olmalıdırlar. 2. ORTAK KRİTERLER NEDİR?

2.1 Ortak Kriterlere Genel Bakış

2.1.1 Ortak Kriterler için yol haritası

            Ortak kriterler birbirleriyle ilişkili üç ayrı bölümden oluşmaktadır.

            Bölüm 1, Giriş ve Genel Model, Ortak kriterlere giriş niteliğindedir. Bu bölüm BT güvenlik değerlendirmelerinin temel konsept ve prensiplerini tanımlar niteliktedir ve genel bir değerlendirme modeli sunmaktadır. Bölüm aynı zamanda BT güvenlik hedeflerinin oluşturulması, BT güvenlik gereksinimlerinin seçilmesi ve tanımlanması, ve ürünlerin veya sistemlerin üst düzey spesifikasyonlarının yazılması konusunda bilgiler içermektedir. Ayrıca standardın bütün bölümlerinin bütün potansiyel kullanıcılar için nasıl kullanılacağı bu bölümde tanımlanmaktadır.

            Bölüm 2, Güvenlik Fonksiyonel Gereksinimleri, değerlendirme hedefinin güvenlik fonksiyonel gereksinimlerinin standart bir dille anlatılabilmesini sağlamak için tanımlanmış olan güvenlik fonksiyonel bileşenleri kümesi bu bölümde listelenmektedir. Standardın ikinci bölümü fonksiyonel bileşenlerini, ailelerini ve sınıflarını kataloglar halinde tanımlamaktadır.

            Bölüm 3, Güvenlik Garanti Gereksinimleri, değerlendirme hedefinin güvenlik garanti gereksinimlerinin standart bir dille anlatılabilmesini sağlamak için tanımlanmış olan güvenlik garanti bileşenleri kümesi bu bölümde listelenmektedir. Standardın üçüncü bölümü garanti bileşenlerini, ailelerini ve sınıflarını kataloglar halinde tanımlamaktadır. Bu bölüm aynı zamanda Koruma Profillerinin ve Güvenlik Hedeflerinin değerlendirme kriterlerini ve değerlendirme garanti seviyelerini oluşturan garanti bileşenlerini de içermektedir.

            Ortak kriterlerin bu üç bölümünün desteklenmesi açısından teknik gerekçeleri ve kılavuz dokümanlarını da içeren birçok doküman yayınlanmıştır.

3. ORTAK KRİTERLER NASIL KULLANILIR?

3.1 Ortak Kriter Uygulamaları

Ortak Kriterler genelde aşağıdaki durumlarda kullanılır ve uygulanır.

· Bir ürünün veya sistemin güvenlik özelliklerinin tespit ederken,

· Bir ürün veya sistem için güvenlik özellikleri eklerken,

· Bir ürünün veya sistemin güvenlik özelliklerini değerlendirirken,

· Güvenlik özellikleri olan bir ürün veya sistem satın alınırken.