Открыть сервис

Common Criteria

Common Criteria (Общие критерии, официальное название — Common Criteria for Information Technology Security Evaluation, ISO/IEC 15408) — это международный стандарт (ISO/IEC 15408) и набор методологий для оценки безопасности информационных технологий (ИТ). Он устанавливает единые требования к функциям безопасности и уровням гарантии их реализации, позволяя проводить независимую сертификацию продуктов и систем ИТ в различных странах. Common Criteria является преемником более ранних национальных стандартов, таких как американский «Оранжевая книга» (TCSEC), европейский ITSEC и канадский CTCPEC.

История

Разработка Common Criteria началась в начале 1990-х годов как попытка объединить существующие национальные и региональные стандарты оценки безопасности ИТ. Основными участниками стали правительственные организации США, Канады, Великобритании, Франции, Германии и Нидерландов. Первая версия стандарта была опубликована в 1996 году. В 1999 году он был принят как международный стандарт ISO/IEC 15408, а в 2000 году — как стандарт Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (IEC). С тех пор стандарт неоднократно обновлялся; последняя на начало 2024 года редакция — версия 3.1, выпущенная в 2012 году с последующими уточнениями.

Структура и основные понятия

Common Criteria состоит из трёх основных частей:

  1. ISO/IEC 15408-1: Введение и общая модель — определяет основные концепции, терминологию и общую структуру оценки.
  2. ISO/IEC 15408-2: Функциональные компоненты безопасности — содержит каталог стандартизированных функциональных требований, которые могут быть предъявлены к продукту (например, управление доступом, аутентификация, аудит).
  3. ISO/IEC 15408-3: Компоненты гарантии безопасности — содержит каталог требований к уровню доверия к реализации функций безопасности, а также методологию оценки (CEM — Common Evaluation Methodology).

Ключевые понятия:

  • Цель оценки (Target of Evaluation, TOE)продукт или система, которые подвергаются оценке (например, операционная система, смарт-карта, межсетевой экран).
  • Профиль защиты (Protection Profile, PP) — документ, определяющий независимый от реализации набор требований безопасности для класса продуктов (например, «Профиль защиты для межсетевых экранов»). ПП служит эталоном для сравнения.
  • Задание по безопасности (Security Target, ST) — документ, в котором разработчик продукта описывает, какие именно функции безопасности реализованы в его TOE, и как они соответствуют требованиям из ПП или стандарта. ST является основой для оценки.
  • Уровень гарантии оценки (Evaluation Assurance Level, EAL) — числовая шкала от 1 до 7, показывающая глубину и строгость проведённой оценки. Чем выше EAL, тем больше уверенности в том, что продукт правильно реализует заявленные функции безопасности. EAL1 — самый низкий уровень (функциональное тестирование), EAL7 — самый высокий (формальная верификация).

Процесс сертификации

Сертификация по Common Criteria — это формальный процесс, который включает несколько этапов:

  1. Разработка документации: Разработчик создаёт ST и, при необходимости, ПП.
  2. Оценка: Независимая лаборатория по оценке безопасности (ITSEF — Information Technology Security Evaluation Facility), аккредитованная национальным органом по сертификации, проводит анализ документации и тестирование TOE в соответствии с методологией CEM.
  3. Сертификация: Национальный орган по сертификации (например, Федеральное агентство по безопасности информационных технологий BSI в Германии, Агентство национальной безопасности NSA в США, в России — ФСТЭК России) проверяет отчёт оценки и выдаёт сертификат, если продукт соответствует требованиям.
  4. Взаимное признание: Страны, подписавшие Соглашение о взаимном признании сертификатов Common Criteria (CCRA — Common Criteria Recognition Arrangement), признают сертификаты, выданные друг другом, на определённых уровнях EAL (обычно до EAL4 включительно). Существует также отдельное соглашение для профилей защиты (PP).

Уровни гарантии оценки (EAL)

УровеньНазваниеКраткое описание
EAL1Функциональное тестированиеПроверка, что продукт работает так, как заявлено в документации.
EAL2Структурное тестированиеАнализ архитектуры и тестирование на уровне исходного кода.
EAL3Методическое тестирование и проверкаБолее глубокий анализ архитектуры, тестирование с использованием инструментов.
EAL4Методическое проектирование, тестирование и анализПолный анализ архитектуры, тестирование, проверка исходного кода.
EAL5Полуформальное проектирование и тестированиеИспользование полуформальных методов для анализа архитектуры и реализации.
EAL6Полуформальная верификация проекта и тестированиеФормальная верификация ключевых компонентов.
EAL7Формальная верификация и тестированиеПолная формальная верификация всей системы.

Применение в России

В Российской Федерации стандарт Common Criteria применяется на основе национального стандарта ГОСТ Р ИСО/МЭК 15408 (серия «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»), который является аутентичным переводом ISO/IEC 15408. Сертификацию по этим стандартам проводит Федеральная служба по техническому и экспортному контролю (ФСТЭК России). Сертификаты ФСТЭК России, выданные на основе Common Criteria, признаются на территории РФ и стран-участниц Евразийского экономического союза (ЕАЭС). В России сертификация по Common Criteria обязательна для многих классов продуктов, используемых в государственных информационных системах, системах управления критической информационной инфраструктурой (КИИ) и в системах, обрабатывающих персональные данные. Российские органы по сертификации (например, ФСТЭК России) также участвуют в международном признании сертификатов в рамках CCRA, но с ограничениями, связанными с национальными требованиями.

Критика и ограничения

Несмотря на широкое распространение, Common Criteria подвергается критике по нескольким причинам:

  • Сложность и стоимость: Процесс сертификации, особенно на высоких уровнях EAL, является дорогостоящим и длительным (от нескольких месяцев до нескольких лет). Это делает его малодоступным для небольших компаний.
  • Формализм: Критики утверждают, что Common Criteria оценивает не столько реальную безопасность продукта, сколько соответствие формальным требованиям, описанным в документации. Продукт может получить высокий EAL, но при этом содержать уязвимости, не описанные в ST.
  • Запаздывание: Стандарт обновляется медленно, и его требования могут не успевать за быстро развивающимися угрозами и технологиями (например, облачными вычислениями, искусственным интеллектом).
  • Ограниченное признание: Взаимное признание сертификатов в рамках CCRA ограничено уровнями EAL1–EAL4. Для более высоких уровней или для продуктов, сертифицированных по национальным требованиям (например, российским), признание не гарантируется.
  • Проблемы с профилями защиты: Разработка качественных ПП требует высокой экспертизы, и многие ПП остаются невостребованными или устаревшими.

Список литературы

  1. ISO/IEC 15408-1:2022 «Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Part 1: Introduction and general model».
  2. ISO/IEC 15408-2:2022 «Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Part 2: Security functional components».
  3. ISO/IEC 15408-3:2022 «Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Part 3: Security assurance components».
  4. ГОСТ Р ИСО/МЭК 15408-1-2012 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель».
  5. Common Criteria Recognition Arrangement (CCRA) — официальный сайт (commoncriteriaportal.org).
  6. Федеральная служба по техническому и экспортному контролю (ФСТЭК России) — официальный сайт (fstec.ru).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →