Özet:
Güvenli yazılım geliştirme modellerinden biri olan “Sistem
Güvenlik Mühendisliği Yetenek Olgunluk Modeli“ gerekliliklerin bir sonucu
olarak oluşturulmuş, bir disiplin çerçevesinde ele alınan modellerden ve
güvenlik mühendisliği sürecinin temel özelliklerini tanımlayan bir sistemdir.
1980’lerde Amerikan Savunma Bakanlığı’nın, yazılım projelerinde
yaşanan sıkıntılara çözüm bulması için Carnegie Mellon Üniversitesi’nden yardım
istemesi üzerine, üniversitede kurulan (Software Engineering Institute-SEI) tarafından
geliştirilen Yetenek Olgunluk Modeli (Capability Maturity Model-CMM), yazılım
üreten kurumların süreçlerini iyileştirmelerine, yazılım tedariği yapan kurumların
ise yüklenici firmaların seçiminde ve kalite düzeylerinin belirlenmesinde kullanılmaktadır.
Güvenli yazılım
geliştirme modelleri:
İnternet ve yazılım teknolojilerinin gelişmesi ile bilgi
varlıkları ve bunlara yönelik tehditler de çoğaldı. Bu durum güvenlik konusunun
daha disiplinli bir çalışma haline getirilme gerekliliğini ortaya koymuştur.
Yazılım geliştirme
aşamalarında ve güvenlik işlemleri:
Yazılım geliştirme aşamalarında güvenlik eylemlerinin
sistematik olarak gerçekleştirilebilmesi için güvenli yazılım geliştirme
modelleri konusunda çalışmalar yapılarak standartlar ve çerçeve yapılar
oluşturulmuştur.
Bu modeller mevcut yazılım süreçlerini değiştirmeyi
gerektirmez, sadece bir dizi yüksek etkili güvenlik etkinliği ekleyerek
gelişmelerini sağlamaktadırlar. Bunlar;
· Yazılım
Güvencesi Olgunluk Modeli (SAMM)
Açık Web Uygulaması Güvenlik
Projesi (OWASP), kurumların güvenli uygulamalar tasarlamasını, geliştirmesini,
elde etmesini, kullanmasını ve bakımını sağlamaya adanmış kar amacı gütmeyen
bir örgütlenmedir.
· Microsoft
Güvenlik Geliştirme Yaşam Döngüsü (Microsoft SDL)
Geliştiricilerin daha güvenli
bir yazılım oluşturmasına ve güvenlik uyumluluk gereksinimlerini karşılamasına
ve geliştirme maliyetini düşürmesine yardımcı olan bir yazılım geliştirme
sürecidir.
· Yazılım
Güvenliği Temas Noktaları (Touchpoints)
Yazılım Güvenliği Temas
Noktaları Modeli (Software Security Touchpoints), en iyi uygulamalardan oluşan
bir küme setidir ve 2006 yılında Gary McGraw tarafından geliştirilmiştir.
Ulusal Siber Güvenlik Görev Gücü raporu sonucunda ABD İç Güvenlik Departmanı
tarafından benimsenmiş ve kullanıma geçirilmiştir.
· Ortak
Kriterler (ISO 15408)
Ortak Kriterler, Kanada,
Fransa, Hollanda, İngiltere, Almanya ve Amerika Birleşik Devletleri'nin ulusal
güvenlik organizasyonları ve standartlar enstitüleri ile birlikte ortak bir
çalışma sonucunda bu ülkelerde kullanılan güvenlik değerlendirme kriterlerinin
yerine kullanılması amacıyla ortaya çıkmıştır.
* SİSTEM GÜVENLİK
MÜHENDİSLİĞİ YETENEK OLGUNLUK MODELİ (SSE-CMM)
Uluslararası Sistem Güvenliği Mühendisliği Birliği (ISSA)
tarafından sürdürülen Sistem Güvenlik Mühendisliği Yetenek Olgunluk Modeli iyi
bir güvenlik mühendisliği sağlamak için var olması gereken bir kuruluşun
güvenlik mühendisliği sürecinin temel özelliklerini tanımlayan bir sistemdir.
Organizasyonların güvenlik mühendisliği yeteneğini
geliştirip değerlendirmeleri için kullanabilecekleri bir modeldir.
Yetenek Olgunluk Modelleri, örgütlerin süreçlerini,
teknolojilerini, insan kaynaklarını ve örgütsel iş yapabilme performansını uzun
vadeli geliştirerek örgütleri olgunlaştıran modellerdir.
(SSE-CMM) - (Systems Security Engineering Capability
Maturity Model) anlamına gelir. SSE-CMM modelinin başlıca amacı uygulamaların
performansını belirlemek ve performansta iyileştirmektir.
ISO/IEC 21827 adı ile standartlaştırılmıştır.
SSE-CMM, güvenlik mühendislik pratiklerini genel olarak
kabul edilmiş mühendislik prensiplerine göre değerlendirip kabul edilebilir bir
çerçeve ortaya koyar. Böyle bir çerçeve güvenlik mühendislik prensiplerinin
uygulamalarında performansı ölçme ve iyileştirmeyi sağlar.
Orijinal proje ABD Ulusal Güvenlik Dairesi (NSA) sponsorluğunda
başlamıştır. Model, güvenlik mühendisliği uygulamalarını
değerlendirmek ve hassaslaştırmak için mühendislik kuruluşları tarafından, bir
sağlayıcının güvenlik mühendisliği yeteneğini değerlendirmek için müşteriler
tarafından ve güvenlik mühendisliği değerlendirme kuruluşları tarafından
örgütsel yeteneğe dayalı güveni oluşturmak için kullanılabilir.
Mevcut süreç yeteneklerini ve kalite ve süreç gelişimi
için en önemli kritik noktaları belirleyerek uygun süreç gelişim
stratejilerinin seçiminde bir rehber olarak hizmet vermektedir. CMMI, yazılım
geliştirmek amacıyla oluşturulan yazılımda kalite sertifikasyonunu sağlamak,
kalite sistemlerini ve süreçlerini değerlendirmek, süreçleri iyileştirmek ve
yetenek belirlemek amacıyla geliştirilen bir modeldir.
CMMI’nın basamaklı gösterim modelinde, işletmedeki tüm
süreç alanlarının performansını iyileştirmek için başlangıçta tanımlı ilgili
genel ve özel uygulamalar bulunur. İşletmenin sahip olduğu olgunluk düzeyi işin
yürütüldüğü süreç alanında ve tüm iş süreçleri dâhilinde organizasyondaki
performansı saptayacak bir anahtardır. CMMI’daki her olgunluk düzeyi
işletmedeki süreçleri dengeler ve her defasında bir üst olgunluk düzeyine
ulaşılması adına zemin hazırlar. CMMI basamaklı gösterim modelinde beş olgunluk
düzeyi vardır. Bunlar aşağıdaki gibidir:
Bu modeller mevcut yazılım süreçlerini değiştirmeyi gerektirmez, sadece bir dizi yüksek etkili güvenlik etkinliği ekleyerek gelişmelerini sağlamaktadırlar. Bunlar;
1. Başlangıç (Initial)
|
2. Yönetilen (Managed)
|
3. Tanımlı (Defined)
|
4. Nicel Yönetilen (Quantitatively Managed)
|
5. Optimize (Optimizing)
|
Güvenlik mühendisliği
kapsamı;
|
·
Geliştirme,
işletme, bakım ve hizmetten çıkarma faaliyetleri.
|
·
Proje
bir yaşam döngüsüdür.
|
·
Yönetim,
kurumsal ve mühendislik faaliyetleri içerir.
|
·
Sistem
yönetimi, çalıştırma ve bakım
|
·
Edinme,
sistem yönetimi, sertifikasyon.
|
·
Uygunluk,
değerlendirme ve diğer kuruluşlarla olan etkileşimler.
|
SSE-CMM Modelinin olgunluk seviyeleri;
|
·
Gayri
resmi Olarak Gerçekleştirildi
|
·
Planlı
ve İzlenen
|
·
İyi
Tanımlanmış
|
·
Nicel
Kontrollü
|
·
Sürekli
İyileştirme
|
Genel kabul görmüş güvenlik
mühendisliği ilkeleri.
|
·
Güvenlik
mühendisliği
|
·
Proje
ve organizasyon
|
Proje ve Organizasyon
Süreçleri
|
·
Kaliteyi
Sağla
|
·
Konfigürasyonu
Yönet
|
·
Proje
Riskini Yönet
|
·
Teknik
Eforu İzle ve Kontrol Et
|
·
Teknik
Eforu Planla
|
·
Organizasyonun
Sistem Mühendisliği Sürecini Tanımla
|
·
Organizasyonun
Sistem Mühendisliği Sürecini İyileştir
|
·
Ürün
Hattı Değerlendirmesini Yönet
|
·
Sistem
Mühendisliği Destek Ortamını Yönet
|
·
Yetenek
ve Bilginin Sürekliliğini Sağla
|
·
Tedarikçilerle
Koordinasyon Sağla
|
·
Proje Riskini Yönet
|
·
Teknik
Eforu İzle ve Kontrol Et
|
·
Teknik
Eforu Planla
|
·
Organizasyonun
Sistem Mühendisliği Sürecini Tanımla
|
·
Organizasyonun
Sistem Mühendisliği Sürecini İyileştir
|
·
Ürün
Hattı Değerlendirmesini Yönet
|
·
Sistem
Mühendisliği Destek Ortamını Yönet
|
·
Yetenek
ve Bilginin Sürekliliğini Sağla
|
·
Tedarikçilerle
Koordinasyon Sağla
|
Birçok yazılım firması uluslararası geçerliliği olan ve
ömrü insan ömrüyle sınırlanmayacak kaliteli ürün geliştirebilmek için yazılım süreç
modellerini kullanmaya başlamıştır. Yazılım geliştirme süreçlerinde
karşılaşılan yetenek ölçme sorununa cevap vermek amacıyla hazırlanan CMMI
modeli yazılım sektöründe faaliyet gösteren firmalara sorunlarını çözebilmesi
yolunda önemli bir yol gösterici olmuştur. CMMI esnek ve basamaklı yapısı
sayesinde her boyuttaki firma için uygun rehber olabilecek niteliktedir.
KAYNAKLAR:
☞
Gülizar Duygu KURT KAYA – (BİLGİ
GÜVENLİĞİ VE SİBER GÜVENLİK KAPSAMINDA BAKANLIK UYGULAMALARI İÇİN GÜVENLİ
YAZILIM GELİŞTİRME METEDOLOJİSİ ÖNERİSİ) (https://webdosya.csb.gov.tr/db/cbs/icerikler/tez_gdk-_v4-20180925134524.pdf)
☞ Güler
KOÇ – (YAZILIM GELİŞTİRME MODELLERİNİN GÜVENLİK AÇISINDAN ANALİZİ VE BİR
GÜVENLİ YAZILIM GELİŞTİRME MODELİ ÖNERİSİ)
(http://www.openaccess.hacettepe.edu.tr:8080/xmlui/bitstream/handle/11655/3991/10163080.pdf?sequence=1&isAllowed=y)
☞ Halime
GÖKTAŞ KULUALP – AKADEMİK BAKIŞ DERGİSİ (BİLGİ YÖNETİMİ OLGUNLUK MODELLERİNE
GÖRE İŞLETMELERİN BİLGİ YÖNETİMİ DÜZEYLERİ: GENEL BİR BAKIŞ)
(https://dergipark.org.tr/tr/download/article-file/383389)
☞ Erkut
BEYDAĞLI – 4. ULUSAL YAZILIM MÜHENDİSLİĞİ SEMPOZYUMU (GÜVENLİ YAZILIM
GELİŞTİRME MODELLERİ VE ORTAK KRİTERLER STANDARDI
(http://www.emo.org.tr/ekler/0801491e6797bbd_ek.pdf)
☞ AHMET
UNUDULMAZ - YAZILIM PROJELERİNDE RİSK FAKTÖRLERİ VE FARKLI KESTİRİM
YAKLAŞIMLARI İLE RİSK DEĞERLENDİRME MODELLERİ ÇIKARIMI
(http://dspace.yildiz.edu.tr/xmlui/bitstream/handle/1/7361/0113687.pdf?sequence=1&isAllowed=y)
☞ Sakine
Ayça ALPARSLAN - CMMI İLE YAZILIM SÜREÇLERİNİN İYİLEŞTİRİLMESİ VE YAZILIM
ŞİRKETLERİNİN CMMI 3 SEVİYESİNE GÖRE DEĞERLENDİRİLMESİ
(https://kddb.alanya.edu.tr/ctrcms/media/31/tmp/doc/sakine_ayca_alparslan_tez.pdf.pdf)