Ülkemizde TSE Türk Standartları Enstitüsü (TSE)nün görevlerinden bir taneside uluslararası standartlar konusunda çalışmalar yapmaktır. TSE Uluslar arası Standartlar organizasyonu (ISO) tarafından geliştirilmiş standartları ulusal düzeyde uygulanmasını sağlar. Son yıllarda bilişimin gelişmesiyle birlikte TSE bilişim alanında da uluslararası bir çok standartda ulusal düzeyde hizmet vermektedir. Bu standartların yaygınlaştırılması ve tanıtılması, danışmanlık hizmeti, eğitim hizmeti, denetim ve belgelendirme hizmeti vermektedir. işte TSE nin bilişim alanında eğitim, danışmanlık, denetim ve belgelendirmesini yaptığı standartlar aşağıdaki gibidir.
1- TS ISO/IEC 15408 Bilgi Teknolojileri Ürün Güvenliği İçin Değerlendirme Kriterleri
Ortak Kriterler Standart Hakkında
-
Standardın Yapısı
Ortak Kriterler standardı üç(3) bölümden oluşmaktadır:
- Birinci bölümde; Ortak Kriterler standardına giriş yapılır ve genel olarak standardın modeli hakkında bilgi verilir.
- İkinci bölümde; BT ürünü veya sistemi güvenlik gereksinimleri belirlenirken kullanılacak ve genel bir dil oluşturulması için Ortak Kriterler formatından belirtilmiş güvenlik fonksiyonel gereksinimleri bulunmaktadır.
- Üçüncü bölümde; ürünün veya sisteminin garanti iddiasının belirlenebilmesi için Ortak Kriterler formatından belirtilmiş güvenlik garanti gereksinimleri bulunmaktadır.
Common Evaluation Methodology (CEM)olarak adlandırılan ISO 18045 ise Ortak Kriterler değerlendirme laboratuarları değerlendirici personelinin, değerlendirme sırasında uyacağı metodolojiyi detaylıca anlatmaktadır.
-
Garanti Seviyeleri
EAL(Evaluation Assurance Level/Değerlendirme Garanti Seviyesi) olarak adlandırılan 7 seviye (EAL 1-7) bulunmaktadır. EAL 7 seviyesi en yüksek garanti düzeyi, EAL 1 seviyesi en düşük garanti düzeyidir. Üst seviye garanti düzeyleri, alt seviye garanti düzeylerini kapsamaktadır. -
CCRA
Ortak Kriterler Sertifika Üretici ülkelerin Sertifika Makamları tarafından verilen Ortak Kriterler sertifikaları CCRA (Common Criteria Recognition Arrangement) anlaşmasını imzalayan 25 ülke tarafından EAL 4 garanti seviyesine kadar tanınmakta ve bu sertifikaların uluslararası geçerliliği bulunmaktadır. Ortak Kriterler Sertifika Üretici ülkeler şu şekildedir:
- Türkiye
- Kanada
- Fransa
- Almanya
- İtalya
- Japonya
- Malezya
- Hollanda
- Norveç
- Güney Kore
- İspanya
- İsveç
- Avusturalya-Yeni Zellanda
- İngiltere
- ABD
Ortak Kriterler Sertifika Müşterisi ülkelerin Sertifika Makamları tarafından verilen Ortak Kriterler sertifikaları CCRA (Common Criteria Recognition Arrangement) anlaşmasını imzalayan diğer ülkeler tarafından tanınmamakta ve bu sertifikaların uluslararası geçerliliği bulunmamaktadır. Ortak Kriterler Sertifika Müşterisi ülkelere buradan ulaşabilirsiniz
-
Ürün Kategorileri
- Erişim kontrol cihaz ve sistemleri
- Sınır koruma cihaz ve sistemleri
- Veri tabanları
- Veri koruma
- Tespit cihaz ve sistemleri
- Akıllı kartlar(kredi kartları, atm kartları, cep telefonları sim kartları, doğalgaz ön ödemeli sayaç kartları, elektrik-su ön ödemeli sayaç kartları, elektronik alışveriş kartları, kimlik kartları vb.)
- Anahtar yönetimi cihaz ve sistemleri
- Ağ iletişimi ile ilgili cihazlar
- İşletim sistemleri
-
Bağlantılar
Standardın güncel versiyonlarına bu linklerden ulaşabilirsiniz:
2- TS 13298 Elektronik Belge Yönetimi
TSE; TS 13298 Elektronik Belge Yönetimi standardında da belgelendirme hizmeti vermektedir. Bu standart, kurumlarda üretilen ve/veya üretilmesi muhtemel elektronik dokümanların belge niteliğinin korunabilmesi için gerekli standartların belirlenmesi amacıyla aşağıdaki konuları kapsar:
a) Elektronik belge yönetimi sistemi (EBYS) için gerekli sistem gereksinimleri,
b) EBYS için gerekli belge yönetim teknikleri ve uygulamaları,
c) Elektronik belgelerin yönetilebilmesi için gerekli gereksinimler,
d) Elektronik ortamda üretilmemiş belgelerin yönetim fonksiyonlarının elektronik ortamda yürütülebilmesi için gerekli gereksinimler
e) Elektronik belgelerde bulunması gereken diplomatik özellikler,
f) Elektronik belgelerin hukuki geçerliliklerinin sağlanması için alınması gereken önlemler,
g) Güvenli elektronik imza ve mühür sistemlerinin uygulanması için gerekli sistem alt yapısının tanımlanması.
TS 13298 Belgelendirme Hizmetleri, TÜRKAK tarafından akredite edilmiştir.
3- TS ISO 9241-151 İnsan Sistem Etkileşiminin Ergonomisi
-
151 Dünya Geneli Ara yüzleri Kılavuzu
-
TSEK 194 , TS ISO/IEC 40500 Web İçeriği Erişilebilirlik Kılavuzları
Web kullanıcı arayüzü geliştirilmesinde en önemli hedef, arayüzünü, engelli kişilerde dâhil mümkün olan en geniş kullanıcı yelpazesinin erişimine açık hale getirmektir. Web kullanıcı arayüzlerinin erişilebilirliği bakımından da önemli olmasına rağmen, erişilebilirliği etraflı bir şekilde kapsamayı hedeflememektedir.
Web kullanıcı arayüzleri tasarımının aşağıda belirtilen yönlerine odaklanır:
- Üst düzey tasarım kararları ve tasarım stratejisi,
- İçerik tasarımı,
- Gezinme ve arama,
- İçerik sunumu.
Kullanıcı arayüzü için web uygulamaları; kamuoyu bilgilendirme web siteleri, elektronik ticaret uygulamaları, intranet uygulamaları, konuma uyarlanır servisler ve diğer birçoğu gibi, geniş bir spektrumdaki amaçlara hizmet eder. Bu yüzden, geliştirilecek olan web uygulamalarının amacı ve stratejik hedefinin açık bir şekilde tanımlanması, üst düzey tasarım kararıdır.
Web kullanıcı arayüzünün kavramsal bir modeli, içerik ve gezinme yapısının tanımlanmasında önemli bir esastır. Böyle bir kavramsal model, konu hiyerarşisi gibi mevcut bilgi yapıları ile beraber muhtemel kullanıcıların görevleri ve zihinsel yapılarının analizi ile de geliştirilebilir. Web sitesinin içeriği, sitenin amacı ve kullanıcının tipik bilgi ihtiyaçları bakımından yeterli ölçüde olmalıdır.
Gezinme, bir web kullanıcı arayüzünde, sistemin o anda görünen çıktısından bir diğerine hareket etmek için kullanıcının icra ettiği faaliyetleri içerir. Arama, gezinmenin aksine arama fonksiyonları, içeriğin geri getirilmesi şartıyla içeriğe doğrudan erişim sunar. Gezinme ve arama çoğu zaman kombine olarak kullanılır.
Gelişen içerik nesnelerinin sunumlarından bağımsız olması tavsiye edilir. Web sayfalarının tasarımında, insan algılamasının genel prensipleri dikkate alınmalıdır. Sayfa tasarımı hususlarında; sayfa düzeni, başlık bilgisi, görselleştirmeler, uygun sayfa uzunlukları, renk düzeni ve çerçevelerin kullanımı dikkatli bir şekilde oluşturulmalıdır. Kullanıcılar için bağlantı tasarımları olmazsa olmazlardandır. Bağlantılar, kullanıcılar tarafından kolaylıkla tanınabilir olmalıdır. Bağlantılar kullanıcıya vurgulanmalıdır.
Web kullanıcı arayüzü, farklı kullanıcı gruplarının ilgili karakteristiklerini dikkate alır şekilde tasarlanmalıdır.
STANDARTLAR
ISO bünyesinde standard çalışmaları yürüten 187 Teknik Komite , 552 Alt Komite ve 2100 Çalışma Grubu vardır. 31/Aralık/2000 itibarıyla, ISO’nun yayınladığı 13025 Uluslarlarası standart ve standart niteliğinde doküman bulunmaktadır. ISO bünyesinde her ülkeyi bir kurum temsil eder. Türkiye’yi ISO’da Türk Standardları Enstitüsü (TSE) temsil etmektedir. TSE, 1955 yılından beri üyesi olduğu ISO’nun 35 Teknik Komitesi ile 89 Alt Komitesi’nin asal üyesidir.
Standartlar Niçin Önemlidir?
Standart serisi, Toplam Kalite Yönetimi’ nin satın alınan malzeme kaliteli olmadıkça, kalite de mükemmelliğe ulaşmak imkansızdır. Bu standartlar, firmanın kalite yönetim sistemlerinin kalitesini ölçmek ve bu yolla müşterilerine kalite güvencesi vermek amacına yöneliktir. Bu standart, kalite ile ilgili tüm problemleri çözmez, neyin yapılacağını değil, nasıl yapılacağını söyler ve bunlara ilaveten, etkin bir kalite yönetim sistemi için minimum şartları belirtir.
TSE K 194 , WCAG VE ISO/IEC 40500:2012
(WEB İÇERİĞİ KULLANILABİLİRLİK STANDARTLARI VE KRİTERİ)
Web içeriği kullanılabilirlik kriteri, Web içeriğinin engelli insanlar için nasıl daha kullanılabilir yapılabileceğini açıklamaktadır. Kullanılabilirlik, görsel, işitsel, fiziksel, konuşmayla ilgili, bilişsel, dille ilgili, öğrenmeyle ilgili ve nörolojik engelleri içeren geniş bir yelpazedeki engelleri kapsamaktadır. Bu kriter, geniş bir yelpazedeki hususları kapsamakla birlikte, engellerin tipi, derecesi ve bileşimi bakımından tüm engellilerin ihtiyaçlarına yönelik değildir. Bu kriter aynı zamanda, Web içeriğini yaşlanmaya bağlı olarak yetenekleri değişen yaşlı bireyler için daha kullanılabilir hale getirmekte ve genel olarak çoğu yerde kullanıcılar için kullanılabilirliği artırmaktadır.
Web içeriği kullanılabilirlik kriteri, günümüzdeki ve gelecekteki farklı Web teknolojilerinde yaygın olarak uygulanmak üzere ve otomatik test ve insanlar tarafından yapılan değerlendirmenin bir bileşimi ile test edilebilir şekilde geliştirilmiştir.
Prensipler – En üstte Web kullanılabilirliği için temel teşkil eden dört prensip mevcuttur: algılanabilirlik,
çalıştırılabilirlik, anlaşılabilirlik ve dayanıklılık.
Başarı kriterleri – Her bir ana esas için, gereklilikler ve uygunluk testinin gerekli olduğu, tasarım
spesifikasyonu, satın alma, düzenlemeler ve sözleşmeli anlaşmalar gibi yerlerde Web içeriği kullanılabilirlik kriterinin kullanılmasına olanak tanımak için test edilebilir başarı kriterleri verilmiştir. Farklı grupların ve farklı durumlardaki ihtiyaçların karşılanması maksadıyla üç seviyede uygunluk tanımlanmaktadır: A (en düşük), AA ve AAA (en yüksek).
A düzeyindeki isterler genel olarak daha çok kitleye hitap eder ve kullanıcılar açısından algılanabilirlik, çalıştırılabilirlik, anlaşılabilirlik ve dayanıklılık prensiplerinde belli bir kalitenin sağlanmasını hedefler. AA ve AAA düzeyleri daha özel durumlar ve şartlarda kullanıcılar için algılanabilirlik, çalıştırılabilirlik, anlaşılabilirlik ve dayanıklılık prensiplerinde daha üst seviyeyi hedefler ve Web Sayfaları için daha detaylı özellikleri ve teknolojileri gerektirir.
A düzeyi: Web sayfası, A düzeyinde (asgari uygunluk düzeyi) uygunluk için, tüm A düzeyi başarı kriterlerini karşılar ya da uygunluk sağlayan alternatif bir model sağlanır.
AA düzeyi: Web sayfası AA düzeyinde uygunluk için, tüm A düzeyi ve AA düzeyi başarı kriterlerini karşılar ya da AA düzeyinde uygunluk sağlayan alternatif bir model sağlanır.
A AA düzeyi: Web sayfası AAA düzeyinde uygunluk için, tüm A düzeyi, AA düzeyi ve AAA düzeyi başarı kriterlerini karşılar ya da AAA düzeyinde uygunluk sağlayan alternatif bir model sağlanır.
Not 1 – Sadece ifade edilen düzeylerde uygunluğa ulaşılabilse de, Web tasarımcılarının ulaşılan uygunluk seviyesinin ötesindeki tüm düzeylerden başarı kriterlerinin karşılanmasına yönelik olarak sağlanan herhangi bir ilerlemeyi bildirmeleri (uygunluk iddialarında) teşvik edilir.
Not 2 – AAA düzeyinde uygunluğun genel bir politika olarak Web sitelerinin tamamı için gerekli olması
tavsiye edilmemektedir, çünkü bazı içerikler için AAA düzeyindeki başarı kriterlerinin yerine
getirilmesi mümkün değildir.
Web içeriğinin nasıl daha kullanılabilir yapılabileceği hakkında kılavuzluk sağlanması için kriter
katmanlarının (prensipler, ana esaslar, başarı kriterleri ve yeterli ve tavsiye niteliğindeki teknikler) tamamı bir arada çalışır. Web tasarımcıları, mümkün olan en geniş yelpazedeki kullanıcıların ihtiyaçlarına cevap verebilmek maksadıyla, tavsiye niteliğindeki teknikler dâhil olmak üzere, uygulayabilecekleri tüm katmanları incelemeleri ve uygulamaları için teşvik edilmektedir.
Tarayıcılardaki kullanılabilirlik özellikleri ve diğer kullanıcı temsilcilerinin yanı sıra, kullanıcıların yardımcı teknolojileri tarafından desteklenmelidir.
-Sesli açıklamalar, -Yanma sönmeler, -Metin blokları,
-Alt yazılar, -Konuşma dili, -İşaret dili,
-Kırmızı parlamalar, -Girdi hataları, -Yazı tipi ve boyutu,
-Kayan yazı, -Jargon, -Logolar
Bu belgelendirme kriteri, ISO/IEC 40500:2012 Information technology ve WCAG 2.0 (Web Content Accessibility Guidelines – Web içeriği) esas alınarak hazırlanmıştır.
4- SPICE-TS ISO/IEC 15504 Yazılım Süreçleri İyileştirme, Yetenek ve Olgunluk Belirleme
-
TS ISO/IEC 12207 Yazılım Yaşam Döngüsü
5- KRİPTO TS ISO/IEC 19790 & ISO/IEC 24759 Kriptolama Modülleri İçin Güvenlik ve Test Gereksinimleri
Bilgi Teknolojisi sisteminlerinde işlenen kritik verilerin güvenli saklanması güvenli iletimi ve kaynağının doğrulanması şifrelenme, şifre çözme, bütünlük kontrolleri elektronik imza v.b. kriptografik işlemleri zorunlu kılmaktadır.
Haberleşme ve bilgisayar sistemlerinde bu işlemler sistem içerisinde yer alan kripto modülleri ile sağlanmaktadır.
Bu kripto modüllerinin güvenlik özelliklerini aksatmadan yerine getirmesi önem arz etmektedir.
ISO/IEC 19790, bilgi teknolojisi sistemlerinde yer alan ve kritik verilerin güvenliğini sağlayan bu kripto modülleri için güvenlik gereklerini belirleyen bir standarttır.
ISO/IEC 19790 standardı, kripto modülleri içinde yer alan kriptografik yapıları, fiziksel yapıları, işletim ortamı, dokümantasyon vb. çeşitli konuları içermektedir.
İstenilen güvenlik özellikleri standart içerisinde aşağıdaki ana başlıklar altında verilmektedir.
1- Modül Özellikleri(specification)
2- Portlar ve arayüzler
3- Roller, servisler ve asıllama (authentication)
4-Sonlu durum modeli
5- Fiziksel güvenlik
7- işletim otamları
8- Kriptografik anahtar yöntemi
9- Öz sınama (self-test)
10- Tasarım garantisi (design assurance)
11- Diger saldırıların azaltıması (mitigation of other attacks)
6- TS ISO/IEC 25051 Bilgi Teknolojileri Yazılım Paketleri Kalite Özellikleri ve Test Yönergesi
TSE; TS ISO IEC 12119 yerine geçen TS ISO IEC 25051 Satışa sunulan Yazılım Ürünlerinin Kalite Özellikleri ve Değerlendirmesi standardında da belgelendirme hizmeti vermektedir. Bu standart; metin işlemciler, hesap çizelgeleri, veri tabanı programları, grafik paketleri, teknik veya bilimsel fonksiyonlara ait programlar ve yardımcı programlar gibi yazılım paketlerine uygulanabilir.
TS ISO IEC 25051;
− Satışa sunulan yazılım paketlerinin kalite gereksinimlerini,
− Bu paketlerin test dokümanlarının ne tür özelliklere sahip olması gerektiğini,
− Yazılım paketlerinin uyumluluk değerlendirmeleri için gerekli talimatları açıklar.
TS ISO IEC 25051 yazılım paketlerinin kendi üretim süreçlerini ya da tedarikçi firmaların kalite sistem gereksinimlerini kapsamaz.
SPICE modelinin amacı farklı yazılım süreç değerlendirme model ve yöntemleri için ortak bir ana prensip sağlamaktır. Böylece değerlendirmelerin sonuçlarının ortak bir bağlamda rapor edilmesi sağlanır.
Faruk Çalıkuşu 