// ORTAK KRİTERLER DANIŞMANLIĞI
ISO/IEC 15408 değerlendirmesi için uçtan uca süreç rehberliği.
Bilgi teknolojisi ürünlerinin güvenlik özelliklerinin uluslararası karşılıklı tanınma anlaşması (CCRA) çerçevesinde değerlendirilmesi için danışmanlık.
// NEDEN KRİTERA
Türkiye’de sınırlı sayıdaki CC danışmanı
ISO/IEC 15408 değerlendirme süreci 9-18 aylık karmaşık bir yolculuktur. Kritera bu yolda EAL2’den EAL4+’ya kadar projeleri başarıyla teslim eder.
01
EAL2 – EAL4+ Deneyimi
Yerli HSM, akıllı kart, kriptografik modül, güvenlik duvarı projelerinde değerlendirme süreçleri tamamlanmış.
02
TSE Akredite Lab Bağlantısı
TSE, Beam Teknoloji gibi TÜRKAK akredite değerlendirme laboratuvarlarıyla yakın çalışma deneyimi. Süreç boyunca iletişim koordinasyonu.
03
Üretici Atölyesi
Mühendislik ekibinizle birlikte Security Target hazırlığı — sadece doküman değil, ürünün gerçek mimarisini yansıtan, savunulabilir.
// SÜREÇ
Ortak Kriterler değerlendirme yolculuğu
AY 1
Hedef Tanımlama
EAL seviyesi seçimi (iş hedefi + bütçe + zaman üçlüsü), Protection Profile (PP) seçimi veya custom Security Target tasarımı.
AY 2-3
Security Target (ST)
ST hazırlığı — TOE (Target of Evaluation) tanımı, güvenlik problem tanımı, güvenlik hedefleri, fonksiyonel güvenlik gereksinimleri (SFR), güvence (SAR) seviyesi.
AY 3-6
Geliştirme Kanıtları
Geliştirme süreç dokümanları (ADV), test dokümantasyonu (ATE), kılavuzlar (AGD), yaşam döngüsü (ALC), zayıflık analizi (AVA).
AY 6-9
Lab Değerlendirmesi
Akredite laboratuvarın deneme testleri, doküman incelemesi, soru-cevap döngüleri. Kritera bu döngülerin koordinasyonunu üstlenir.
AY 9-12
Sertifikasyon
Lab’ın final raporu, Sertifikasyon Otoritesi (Türkiye’de TSE) tarafından onay, CC sertifikası alımı. CCRA listesinde yayın.
// TUZAKLAR
CC sürecinde en kostlu beş hata
Türkiye’de CC sertifikası başvurusu yapan üreticilerin %40’ı ilk denemede başarısız olur. En sık beş hata:
EAL seçimi yanlış
Pazarda EAL4+ rekabet ederken EAL2 hedeflemek (veya tersi). Çözüm: Pazar + bütçe + zaman üçlüsü analizi.
Generic ST yazımı
Kopya-yapıştır Security Target — lab’da reddedilir. Çözüm: Ürünün GERÇEK güvenlik mimarisine dayalı, savunulabilir ST.
Geliştirme süreciyle uyumsuzluk
ALC dokümanları gerçek SDLC’yi yansıtmıyor. Çözüm: Sertifikasyon başlamadan SDLC’yi CC uyumlu hale getirme.
Test kanıtları yetersiz
ATE_FUN test belgeleri eksik, tekrarlanamaz. Çözüm: Otomatize test framework, sürüm-kontrollü test kanıtları.
Zafiyet analizi yüzeysel
AVA_VAN sadece checklist gibi. Çözüm: Penetration test analojisi ile gerçek zafiyet keşfi, sistematik düzeltme.
// İLETİŞİM
Ürününüz için CC değerlendirme yol haritası
EAL seviyesi belirleme, kapsam, süre ve maliyet için ücretsiz ön değerlendirme.