Common Criteria
Common Criteria (Общие критерии, официальное название — Common Criteria for Information Technology Security Evaluation, ISO/IEC 15408) — это международный стандарт (ISO/IEC 15408) и набор методологий для оценки безопасности информационных технологий (ИТ). Он устанавливает единые требования к функциям безопасности и уровням гарантии их реализации, позволяя проводить независимую сертификацию продуктов и систем ИТ в различных странах. Common Criteria является преемником более ранних национальных стандартов, таких как американский «Оранжевая книга» (TCSEC), европейский ITSEC и канадский CTCPEC.
История
Разработка Common Criteria началась в начале 1990-х годов как попытка объединить существующие национальные и региональные стандарты оценки безопасности ИТ. Основными участниками стали правительственные организации США, Канады, Великобритании, Франции, Германии и Нидерландов. Первая версия стандарта была опубликована в 1996 году. В 1999 году он был принят как международный стандарт ISO/IEC 15408, а в 2000 году — как стандарт Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (IEC). С тех пор стандарт неоднократно обновлялся; последняя на начало 2024 года редакция — версия 3.1, выпущенная в 2012 году с последующими уточнениями.
Структура и основные понятия
Common Criteria состоит из трёх основных частей:
- ISO/IEC 15408-1: Введение и общая модель — определяет основные концепции, терминологию и общую структуру оценки.
- ISO/IEC 15408-2: Функциональные компоненты безопасности — содержит каталог стандартизированных функциональных требований, которые могут быть предъявлены к продукту (например, управление доступом, аутентификация, аудит).
- ISO/IEC 15408-3: Компоненты гарантии безопасности — содержит каталог требований к уровню доверия к реализации функций безопасности, а также методологию оценки (CEM — Common Evaluation Methodology).
Ключевые понятия:
- Цель оценки (Target of Evaluation, TOE) — продукт или система, которые подвергаются оценке (например, операционная система, смарт-карта, межсетевой экран).
- Профиль защиты (Protection Profile, PP) — документ, определяющий независимый от реализации набор требований безопасности для класса продуктов (например, «Профиль защиты для межсетевых экранов»). ПП служит эталоном для сравнения.
- Задание по безопасности (Security Target, ST) — документ, в котором разработчик продукта описывает, какие именно функции безопасности реализованы в его TOE, и как они соответствуют требованиям из ПП или стандарта. ST является основой для оценки.
- Уровень гарантии оценки (Evaluation Assurance Level, EAL) — числовая шкала от 1 до 7, показывающая глубину и строгость проведённой оценки. Чем выше EAL, тем больше уверенности в том, что продукт правильно реализует заявленные функции безопасности. EAL1 — самый низкий уровень (функциональное тестирование), EAL7 — самый высокий (формальная верификация).
Процесс сертификации
Сертификация по Common Criteria — это формальный процесс, который включает несколько этапов:
- Разработка документации: Разработчик создаёт ST и, при необходимости, ПП.
- Оценка: Независимая лаборатория по оценке безопасности (ITSEF — Information Technology Security Evaluation Facility), аккредитованная национальным органом по сертификации, проводит анализ документации и тестирование TOE в соответствии с методологией CEM.
- Сертификация: Национальный орган по сертификации (например, Федеральное агентство по безопасности информационных технологий BSI в Германии, Агентство национальной безопасности NSA в США, в России — ФСТЭК России) проверяет отчёт оценки и выдаёт сертификат, если продукт соответствует требованиям.
- Взаимное признание: Страны, подписавшие Соглашение о взаимном признании сертификатов Common Criteria (CCRA — Common Criteria Recognition Arrangement), признают сертификаты, выданные друг другом, на определённых уровнях EAL (обычно до EAL4 включительно). Существует также отдельное соглашение для профилей защиты (PP).
Уровни гарантии оценки (EAL)
| Уровень | Название | Краткое описание |
|---|---|---|
| EAL1 | Функциональное тестирование | Проверка, что продукт работает так, как заявлено в документации. |
| EAL2 | Структурное тестирование | Анализ архитектуры и тестирование на уровне исходного кода. |
| EAL3 | Методическое тестирование и проверка | Более глубокий анализ архитектуры, тестирование с использованием инструментов. |
| EAL4 | Методическое проектирование, тестирование и анализ | Полный анализ архитектуры, тестирование, проверка исходного кода. |
| EAL5 | Полуформальное проектирование и тестирование | Использование полуформальных методов для анализа архитектуры и реализации. |
| EAL6 | Полуформальная верификация проекта и тестирование | Формальная верификация ключевых компонентов. |
| EAL7 | Формальная верификация и тестирование | Полная формальная верификация всей системы. |
Применение в России
В Российской Федерации стандарт Common Criteria применяется на основе национального стандарта ГОСТ Р ИСО/МЭК 15408 (серия «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»), который является аутентичным переводом ISO/IEC 15408. Сертификацию по этим стандартам проводит Федеральная служба по техническому и экспортному контролю (ФСТЭК России). Сертификаты ФСТЭК России, выданные на основе Common Criteria, признаются на территории РФ и стран-участниц Евразийского экономического союза (ЕАЭС). В России сертификация по Common Criteria обязательна для многих классов продуктов, используемых в государственных информационных системах, системах управления критической информационной инфраструктурой (КИИ) и в системах, обрабатывающих персональные данные. Российские органы по сертификации (например, ФСТЭК России) также участвуют в международном признании сертификатов в рамках CCRA, но с ограничениями, связанными с национальными требованиями.
Критика и ограничения
Несмотря на широкое распространение, Common Criteria подвергается критике по нескольким причинам:
- Сложность и стоимость: Процесс сертификации, особенно на высоких уровнях EAL, является дорогостоящим и длительным (от нескольких месяцев до нескольких лет). Это делает его малодоступным для небольших компаний.
- Формализм: Критики утверждают, что Common Criteria оценивает не столько реальную безопасность продукта, сколько соответствие формальным требованиям, описанным в документации. Продукт может получить высокий EAL, но при этом содержать уязвимости, не описанные в ST.
- Запаздывание: Стандарт обновляется медленно, и его требования могут не успевать за быстро развивающимися угрозами и технологиями (например, облачными вычислениями, искусственным интеллектом).
- Ограниченное признание: Взаимное признание сертификатов в рамках CCRA ограничено уровнями EAL1–EAL4. Для более высоких уровней или для продуктов, сертифицированных по национальным требованиям (например, российским), признание не гарантируется.
- Проблемы с профилями защиты: Разработка качественных ПП требует высокой экспертизы, и многие ПП остаются невостребованными или устаревшими.
Список литературы
- ISO/IEC 15408-1:2022 «Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Part 1: Introduction and general model».
- ISO/IEC 15408-2:2022 «Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Part 2: Security functional components».
- ISO/IEC 15408-3:2022 «Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Part 3: Security assurance components».
- ГОСТ Р ИСО/МЭК 15408-1-2012 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель».
- Common Criteria Recognition Arrangement (CCRA) — официальный сайт (commoncriteriaportal.org).
- Федеральная служба по техническому и экспортному контролю (ФСТЭК России) — официальный сайт (fstec.ru).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →