TR7, bağımsız güvenlik değerlendirmesi sonucunda EAL 4+ (Evaluation Assurance Level 4 Augmented) Common Criteria sertifikasını almaya hak kazanmıştır. Bu sertifika, TR7'nin kamu kurumları ve kritik altyapı projeleri için en yüksek güvenlik standartlarını karşıladığını belgelemektedir.
Neden Önemli?
Siber güvenlik ürünlerinin güvenilirliği, özellikle kamu kurumları ve kritik altyapılar için hayati önem taşımaktadır. Common Criteria (ISO/IEC 15408), bilgi teknolojileri ürünlerinin güvenlik özelliklerinin bağımsız ve uluslararası standartlarda değerlendirilmesini sağlayan dünya çapında kabul görmüş bir sertifikasyon çerçevesidir.
TR7'nin EAL 4+ sertifikası alması, ürünümüzün metodolojik olarak tasarlandığını, kapsamlı testlerden geçtiğini ve kaynak kod seviyesinde güvenlik incelemesine tabi tutulduğunu kanıtlamaktadır. Bu, ticari ürünler için pratikte ulaşılabilecek en yüksek güvence seviyesidir.
EAL Seviyeleri ve Anlamları
Common Criteria, EAL 1'den EAL 7'ye kadar yedi güvence seviyesi tanımlar. Her seviye, artan test derinliği ve güvenlik incelemesi gerektirir.
Fonksiyonel test ve yapısal analiz
Sistematik test ve tasarım kontrolü
Kaynak kod incelemesi ve bağımsız test
Askeri ve istihbarat sistemleri için
EAL 4+ Neden Kritik?
EAL 4+ seviyesi, ticari ürünler için ekonomik olarak ulaşılabilir en yüksek güvence seviyesidir ve aşağıdaki avantajları sağlar:
Kaynak Kod İncelemesi
Bağımsız laboratuvarlar tarafından kaynak kod seviyesinde güvenlik analizi yapılır.
Bağımsız Test
Akredite laboratuvarlar ürünü sıfırdan test eder, üreticinin testlerine güvenmez.
Tasarım Dokümentasyonu
Güvenlik mimarisi ve tasarım kararları detaylı şekilde belgelenir ve incelenir.
Zafiyet Analizi
Ürün, bilinen saldırı vektörlerine karşı sistematik olarak test edilir.
Türkiye'de Siber Güvenlik Gereksinimleri
Türkiye'de siber güvenlik ürünlerinin kamu kurumları ve kritik altyapılarda kullanımı, Bilgi Teknolojileri ve İletişim Kurumu (BTK) ve Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından düzenlenmektedir.
Siber Güvenlik Kanunu kapsamında, kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetlerinin yetkilendirilmiş ve belgelendirilmiş üreticilerden tedarik edilmesi zorunlu tutulmaktadır. Ayrıca, siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve milli ürünlerin tercih edilmesi ilkesi benimsenmiştir.
Kamu kurumlarına yapılan satışlarda TSE sertifikasyonu veya eşdeğer uluslararası sertifikalar aranmaktadır. EAL 4+ Common Criteria sertifikası, bu gereksinimlerin ötesinde, ürünün güvenlik özelliklerinin uluslararası standartlarda doğrulandığını kanıtlar.
Kritik Sektörler İçin Güvence
Finans ve Bankacılık
- BDDK düzenlemelerine uyum
- Ödeme sistemleri güvenliği
- Müşteri verisi koruması
- 7/24 kesintisiz erişilebilirlik
Kamu ve E-Devlet
- Vatandaş verisi güvenliği
- Kritik altyapı koruması
- Yerli ve milli ürün önceliği
- BTK uyumluluk gereksinimleri
Enerji ve Telekomünikasyon
- SCADA/ICS sistem güvenliği
- Operasyonel süreklilik
- Ulusal güvenlik gereksinimleri
- Yüksek erişilebilirlik (HA)
Uluslararası Tanınırlık
EAL 4+ sertifikası, iki önemli uluslararası anlaşma kapsamında dünya genelinde tanınmaktadır:
| Anlaşma | Kapsam | Tanınma Seviyesi |
|---|---|---|
| CCRA | 31 ülke (ABD, Kanada, Japonya, Türkiye dahil) | EAL 2'ye kadar zorunlu, üstü isteğe bağlı |
| SOG-IS MRA | 17 Avrupa ülkesi (Almanya, Fransa, İtalya dahil) | EAL 4+'ya kadar tam tanınma |
| NATO | NATO üyesi ülkeler | Savunma projeleri için EAL 4+ tercih |
| AB Kurumları | Avrupa Birliği | Kritik sistemler için EAL 4+ zorunlu |
Türkiye, 2000 yılından bu yana Common Criteria Recognition Arrangement (CCRA) üyesidir. Bu sayede TR7'nin EAL 4+ sertifikası, CCRA üyesi 31 ülkede uluslararası geçerliliğe sahiptir.
TR7 ile Güvenli Altyapı
EAL 4+ sertifikası, TR7'nin sunduğu kapsamlı güvenlik özelliklerinin bağımsız doğrulamasıdır:
Sertifikalı WAF
OWASP Top 10 ve API güvenliği için EAL 4+ onaylı web uygulama güvenlik duvarı.
Güvenli Yük Dengeleme
Kritik uygulamalar için güvenlik testlerinden geçmiş yük dengeleme altyapısı.
Zero Trust Erişim
Sertifikalı erişim kontrolü ve kimlik doğrulama mekanizmaları.
Güvenli Yönetim
Şifreli yönetim arayüzü ve denetim kayıtları.
Uyumluluk Standartlarıyla Entegrasyon
EAL 4+ sertifikası, diğer önemli uyumluluk standartlarıyla birlikte değerlendirildiğinde ek avantajlar sağlar:
PCI DSS v4.0 kapsamında zorunlu hale gelen WAF gereksinimleri (Requirement 6.4.2), EAL 4+ sertifikalı bir ürün ile karşılandığında denetim süreçleri kolaylaşır. KVKK ve GDPR kapsamındaki veri koruma gereksinimleri için de uluslararası standartlarda güvenlik doğrulaması önemli bir avantaj sağlar.
ISO 27001 sertifikasyonu süreçlerinde, EAL 4+ sertifikalı ürünlerin kullanımı, güvenlik kontrollerinin etkinliğini belgeleyen güçlü bir kanıt olarak değerlendirilmektedir.
TR7, Türkiye Siber Güvenlik Kümelenmesi üyesi olarak yerli siber güvenlik ekosisteminin gelişimine katkıda bulunmaktadır. Kümelenme, yerli ürünlerin test ve sertifikasyon süreçlerini destekleyerek kamu kurumlarına güvenilir çözümler sunulmasını sağlamaktadır.
Sonuç
TR7'nin EAL 4+ Common Criteria sertifikası alması, Türkiye'nin kritik altyapıları için uluslararası standartlarda güvenlik sağlayan yerli bir çözümün varlığını teyit etmektedir.
Bu sertifika, kamu kurumları, finans sektörü, enerji ve telekomünikasyon gibi kritik sektörlerdeki müşterilerimize, TR7'nin güvenlik özelliklerinin bağımsız laboratuvarlar tarafından doğrulandığının güvencesini sunmaktadır. Yerli ve milli ürün önceliği politikalarıyla birlikte değerlendirildiğinde, TR7 Türkiye'nin siber güvenlik altyapısı için stratejik bir çözüm olarak öne çıkmaktadır.
EAL 4+ Sertifikalı Güvenlik Çözümü
TR7'nin EAL 4+ sertifikalı ADC platformu hakkında detaylı bilgi almak ve kamu/kurumsal projeniz için uygunluğunu değerlendirmek için ekibimizle iletişime geçin.
Bizimle İletişime Geçin