Ana Sayfa /

ISO 29115 Kimlik Doğrulama Güvencesi Nedir?

ISO 29115 Kimlik Doğrulama Güvencesi Nedir?

Bir uzmanla konuşun

+90 (212) 951 0703
İLETİŞİM
İLETİŞİM

ISO 29115 Kimlik Doğrulama Güvencesi Nedir?

ISO/IEC 29115, “Bilgi teknolojisi- Güvenlik teknikleri- Varlık kimlik doğrulama güvence çerçevesi” başlıklı uluslararası bir standarttır.

ISO/IEC 29115, “Bilgi teknolojisi- Güvenlik teknikleri- Varlık kimlik doğrulama güvence çerçevesi” başlıklı uluslararası bir standarttır. ISO/IEC 29115:2013, belirli bir bağlamda varlık kimlik doğrulama güvencesini yönetmek için bir çerçeve sağlamak üzere ISO tarafından düzenlenmiştir

Yapay Zeka’nın, Online bankacılık sistemlerinin aktifleşmesiyle birlikte bu standart gittikçe dikkat çekmekte ve önem kazanmaktadır. Kimlik doğrulama süreçlerinin güvenliğini ve güvenilirliğini sağlamak için bir çerçeve sağlar. Standart, bir bireyin veya bir tüzel kişinin kimliğinin güvenli bir şekilde doğrulanmasında güvence seviyesini değerlendirmek ve yönetmek için kullanılır.

Güvence Seviyeleri

Güvence seviyeleri, Kimlik kanıtlama sürecinin gücüne ve bir işlem sırasında kullanılan kimlik bilgileri ve kimlik doğrulama mekanizmalarının türlerine bağlıdır. Kimlik kanıtlama için, güvence seviyesi kimlik belirleme yöntemine (örn. yüz yüze veya uzaktan), toplanan özniteliklere ve bu özniteliklerin doğrulandığı kesinlik derecesine (örn. çapraz kontroller ve tekilleştirme yoluyla) bağlıdır. Kimlik doğrulama için, güvence seviyesi kimlik bilgilerinin türüne, kullanılan kimlik doğrulama faktörlerinin sayısına (yani, bire karşı birden fazla) ve işlemin kriptografik gücüne bağlıdır.

ISO 29115’in temel amacı, bir kuruluşun bir kimlik iddia eden bir varlığın aslında o varlık olduğundan ne kadar emin olabileceğini tanımlamaya yardımcı olan dört Güvence Seviyesini (LoA) ana hatlarıyla belirtmektir. Bu seviyeler şunları içerir:

Seviye 1: Düşük Güvence

Yanlış veya hileli talep riski, daha düşük seviyeli güvenlik işlemleri için kabul edilebilir.

Seviye 2: Orta Güvence

Risk orta düzeydedir, Seviye 1’e göre daha sağlam kimlik doğrulama gereksinimleri vardır, ancak yine de standart uygulamalar için uygundur.

Seviye 3: Yüksek Güvence

Genellikle çok faktörlü kimlik doğrulama veya diğer güvenli mekanizmalar gerektiren, tüzel kişinin kimliğine yönelik güçlü bir güven gereklidir.

Seviye 4: Çok Yüksek Güvence

Genellikle son derece hassas veya kritik sistemler için kimlik doğrulamada en yüksek düzeyde güven gerektirir.

ISO 29115, kuruluşların erişilen sistemlerin hassasiyetine ve ilgili potansiyel risklere dayalı olarak uygun kimlik doğrulama yöntemlerini uygulamalarına yardımcı olur. Çevrimiçi bankacılık, devlet hizmetleri, sağlık hizmetleri ve güvenli kimlik doğrulamanın çok önemli olduğu diğer sektörler gibi alanlarda yaygın olarak uygulanabilir.

Bu standart yayınlandığı tarihten itibaren Avrupa, İngiltere ve Amerika’da kullanılmaya başlandı. Avrupa Birliği Hukuku tarafından Eylül 2015’te yayımlanan ”eIDAS” (Elektronik Kimlik Belirleme, Kimlik Doğrulama ve güven Hizmetleri) ISO/IEC 29115 ile süreçlere ve teknolojilere dayalı olarak güvence seviyelerini sınıflandırmak için standartlar geliştirmiştir. ABD Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) (NIST 800-63-3) son kılavuzları, Madde 39’da gösterildiği gibi kimlik kanıtlama (“kimlik güvence seviyesi” veya IAL) ve kimlik doğrulama (“kimlik doğrulayıcı güvence seviyesi” veya AAL) için güvence seviyelerini ayırmak üzere bu çerçeveyi uyarlamıştır. Buna ek olarak, NIST çerçevesi, federe bir ortamda kimliğin doğrulanması için güvence seviyelerini (“federe güvence seviyesi” veya FAL) ayırır.

Elektronik Kimlik Belirleme, Kimlik Doğrulama ve Güven Hizmetleri Nelerdir?

EIDAS Yönetmeliği, elektronik işlemlerle ilgili aşağıdaki önemli hususlar için düzenleyici ortam sağlamaktadır.

Dijital kimlik:

Vatandaşların yasal geçerliliğe sahip dijital kimlik doğrulaması için Avrupa çapında bir çerçeve (Avrupa Dijital Kimlik Cüzdanı, EDIW). Avrupa dijital kimliğinin dokuz ilkesi tanımlanmıştır: kullanıcı seçimi, gizlilik, birlikte çalışabilirlik ve güvenlik, güven, kolaylık, kullanıcı rızası ve kontrol orantılılığı, karşı taraf bilgisi ve küresel ölçeklenebilirlik.

Gelişmiş elektronik imza (AdES):
Bir elektronik imza belirli gereksinimleri karşılıyorsa gelişmiş olarak kabul edilir:

  • İmza sahibine bağlayan benzersiz tanımlayıcı bilgiler sağlar.
  •  İmza sahibinin elektronik imzayı oluşturmak için kullanılan veriler üzerinde tek kontrolü vardır.
  • Mesaja eşlik eden verilerin imzalandıktan sonra değiştirilip değiştirilmediğini belirleyebilmelidir. İmzalanan veri değişmişse, imza geçersiz olarak işaretlenir.
  •  Elektronik imza için bir sertifika, imza sahibinin kimliğini doğrulayan ve elektronik imza doğrulama verilerini bu kişiye bağlayan elektronik kanıt vardır.
  • Gelişmiş elektronik imzalar, ETSI tarafından belirtilen dijital imzalar için XAdES, PAdES, CAdES veya ASiC Baseline Profile (Associated Signature Containers/ İlişkili İmza Kapsayıcıları) standardını izleyerek teknik olarak uygulanabilir.
  • Nitelikli elektronik imza, elektronik imzalar için nitelikli bir sertifikaya dayalı olarak nitelikli bir elektronik imza oluşturma cihazı tarafından oluşturulan gelişmiş bir elektronik imza.
  • Nitelikli elektronik imza dijital sertifikası, nitelikli elektronik imzanın gerçekliğini kanıtlayan ve nitelikli bir güven hizmeti sağlayıcısı tarafından verilen sertifika.
  •  Nitelikli web sitesi kimlik doğrulama sertifikası, eIDAS Yönetmeliği’nde tanımlanan güven hizmetleri kapsamında nitelikli dijital sertifika.
  • Güven hizmeti, elektronik imzaları, zaman damgalarını, mühürleri ve sertifikaları oluşturan, doğrulayan ve onaylayan bir elektronik hizmettir. Ayrıca, bir güven hizmeti web sitesi kimlik doğrulaması ve oluşturulan elektronik imzaların, sertifikaların ve mühürlerin korunmasını sağlayabilir. Bu işlem bir güven hizmeti sağlayıcısı tarafından gerçekleştirilir.
  • Avrupa Birliği Güvenilir Listeleri (EUTL)

Henüz Türkiye’de kullanım alanına sahip olmayan bu standardın Online bankacılık, online kimlik doğrulama şirketleri, Fintech ve kripto para platformlarının SPK ve BDDKtarafından onaylı lisansların verilmesi yaygınlaştıkça önem kazanacağına inanıyoruz.

CFEAudit ve CFECERT olarak Avrupa Birliği Bankacılık Regülasyonlarına uymak isteyen İngiltere, İrlanda ve Avrupa birliğindeki müşterilerimize ISO Yönetim Sistemleri Belgelendirme Tetkikleri, GAP Analizi, İç Tetkik ve IT Uyum tetkik hizmetlerimizin yanında ISO 29115 Standardının Eğitimi ve Akreditasyonuna başladığımızı belirtmek isteriz, sizde bu standart hakkında daha fazla bilgi almak isterseniz bize sales@cfecert.co.uk mail adresinden ulaşabilirsiniz.

 

ISO 9001 KYS

ISO 9001, kuruluşların bir Kalite Yönetim Sistemi (QMS) uygulamasına yardımcı olmak için tasarlanmış uluslararası standarttır.

 Daha Fazla Bilgi Alın
Hakkımızda Belgelendirme Hizmetler Süreç Etkinlikler UKAS Accreditation IAS Accreditation CPD Accreditation Bize Ulaşın
cfe cert linkedin
iso 27001 certification iso 22301 certification iso 37001 certification iso 20000 certification bs 10012 certification gdpr certification
© 2021 - CFECERT | Tüm hakları saklıdır
Çerez Politikası Gizlilik Sözleşmesi Şartlar ve Koşullar
Hakkımızda Belgelendirme Hizmetler Süreç Etkinlikler UKAS Accreditation IAS Accreditation CPD Accreditation Bize Ulaşın Çerez Politikası Gizlilik Sözleşmesi Şartlar ve Koşullar
cfe cert linkedin
© 2021 - CFECERT | Tüm hakları saklıdır
iso 27001 certification iso 22301 certification iso 37001 certification
iso 20000 certification bs 10012 certification gdpr certification