ISO 15408 Common Criteria: сертификация IT-безопасности, защита информации

Введение: золотой стандарт IT-безопасности

ISO 15408 (Common Criteria) — международный стандарт оценки безопасности IT-продуктов, без которого невозможно работать с критической инфраструктурой, госорганами и оборонными структурами. Рынок кибербезопасности стоимостью $345 млрд в год требует проверенных решений.

Статистика 2025:
95% государственных и 87% оборонных закупок IT требуют сертификации Common Criteria. $10,5 трлн — глобальный ущерб от киберпреступности. Средний контракт с сертификацией: $15 млн, без неё — доступ закрыт.

За 8 лет Реестр Гарант помог 22+ IT-компаниям получить сертификацию ISO 15408 и выйти на защищенные рынки. Совокупная стоимость контрактов клиентов: более $180 млн.

Сертифицируйте IT-продукт по Common Criteria:

• Телефон: +7 920-898-17-18
• Email: reestrgarant@mail.ru

---

Что такое ISO 15408

Определение стандарта

ISO/IEC 15408 — "Information technology — Security techniques — Evaluation criteria for IT security" (Информационные технологии — Методы и средства обеспечения безопасности — Критерии оценки безопасности информационных технологий)

Common Criteria (CC) — общепринятое название стандарта

Части стандарта:

• ISO 15408-1 — Введение и общая модель
• ISO 15408-2 — Функциональные требования безопасности
• ISO 15408-3 — Требования доверия к безопасности

История развития

1990-е: Объединение национальных критериев:

• TCSEC (США) — Orange Book
• ITSEC (Европа) — Information Technology Security Evaluation Criteria
• CTCPEC (Канада) — Canadian Trusted Computer Product Evaluation Criteria

1999: Публикация ISO 15408
2022: Текущая версия v3.1 Release 5

Цель стандарта

Обеспечение: → Единых критериев оценки безопасности по всему миру
→ Взаимного признания результатов сертификации
→ Доверия к IT-продуктам и системам
→ Сравнимости различных решений безопасности

---

Зачем IT-продуктам нужен ISO 15408

1. Доступ к защищенным рынкам

Государственные структуры:

США:

• NIAP (National Information Assurance Partnership) — обязательные требования
• DoD (Department of Defense) — только сертифицированные продукты
• NSA — Commercial Solutions for Classified (CSfC)
• FIPS 140-2 + Common Criteria для криптографии

Европейский Союз:

• EUCI (EU Classified Information) — обязательная сертификация
• ANSSI (Франция) — критическая инфраструктура
• BSI (Германия) — правительственные сети
• NCSC (Великобритания) — национальная безопасность

Россия:

• ФСТЭК — требования к средствам защиты информации
• ФСБ — криптографические средства
• Минобороны — оборонные системы
• Критическая инфраструктура — энергетика, транспорт, связь

Без сертификации: исключение из тендеров на $50+ млрд ежегодно

---

2. Доверие критических отраслей

Финансовый сектор:

Банки:

• Core banking системы требуют EAL4+
• SWIFT сообщения — только сертифицированная защита
• Cryptocurrency exchanges — растущие требования
• Central Bank Digital Currency (CBDC) — обязательная сертификация

Страхование:

• Actuarial системы с персональными данными
• Claims processing — защита конфиденциальности
• Regulatory compliance (Solvency II, Basel III)

Критическая инфраструктура:

Энергетика:

• SCADA системы управления электростанциями
• Smart Grid — интеллектуальные энергосети
• Nuclear facilities — атомные объекты
• Oil & Gas — нефтегазовые комплексы

Транспорт:

• Air Traffic Control — управление воздушным движением
• Railway signaling — железнодорожная сигнализация
• Autonomous vehicles — беспилотный транспорт
• Maritime navigation — морская навигация

---

3. Защита от киберугроз

Стоимость кибератак:

Крупнейшие инциденты:

• Equifax (2017): 147 млн записей, $4 млрд ущерб
• Colonial Pipeline (2021): $90 млн выкуп, экономические потери
• SolarWinds (2020): 18 000+ организаций, государственная безопасность
• NotPetya (2017): $10+ млрд глобальный ущерб

Типы атак: → APT (Advanced Persistent Threats) — государственные хакеры
→ Ransomware — шифрование данных за выкуп
→ Supply Chain attacks — атаки через поставщиков
→ Zero-day exploits — использование неизвестных уязвимостей
→ Insider threats — угрозы изнутри организации

Common Criteria защищает через: → Формальные модели безопасности
→ Независимую оценку устойчивости к атакам
→ Тестирование на проникновение
→ Анализ уязвимостей и их устранение

---

4. Конкурентные преимущества

Рыночное позиционирование: → Premium brand в сфере безопасности
→ Доверие клиентов к защищенности продукта
→ Дифференциация от конкурентов
→ Маркетинговые преимущества

Ценовая премия: → Сертифицированные продукты: +50-300% к цене
→ Эксклюзивные контракты с премиальными клиентами
→ Long-term partnerships вместо разовых сделок

---

Структура ISO 15408

Модель оценки

Target of Evaluation (TOE)

TOE — объект оценки, IT-продукт или система, подлежащая сертификации

Типы TOE: → Operating Systems — операционные системы
→ Firewalls — межсетевые экраны
→ VPN gateways — шлюзы виртуальных частных сетей
→ Smart cards — смарт-карты
→ Cryptographic modules — криптографические модули
→ Database systems — системы управления базами данных
→ Web applications — веб-приложения

Security Target (ST)

ST — документ, описывающий требования безопасности для конкретного TOE

Структура ST: → TOE summary — описание объекта оценки
→ Conformance claims — заявления о соответствии
→ Security problem definition — определение проблемы безопасности
→ Security objectives — цели безопасности
→ Extended components definition — расширенные компоненты
→ Security requirements — требования безопасности
→ TOE summary specification — спецификация TOE

---

Функциональные требования (SFR)

Классы функциональных требований

FAU (Security Audit): → Audit data generation — генерация данных аудита
→ Audit review — просмотр аудита
→ Audit event selection — выбор событий аудита
→ Audit event storage — хранение событий

FCO (Communication): → Non-repudiation of origin — неотказуемость источника
→ Non-repudiation of receipt — неотказуемость получения

FCS (Cryptographic Support): → Cryptographic key management — управление ключами
→ Cryptographic operation — криптографические операции

FDP (User Data Protection): → Access control policy — политика контроля доступа
→ Information flow control — контроль потоков информации
→ Residual information protection — защита остаточной информации

FIA (Identification and Authentication): → Authentication failures — неудачные попытки аутентификации
→ User identification — идентификация пользователей
→ User authentication — аутентификация пользователей

FMT (Security Management): → Management of security functions — управление функциями безопасности
→ Management of security attributes — управление атрибутами безопасности

FPR (Privacy): → Anonymity — анонимность
→ Pseudonymity — псевдонимность
→ Unlinkability — несвязываемость

FPT (Protection of TSF): → TSF self-test — самотестирование TSF
→ Trusted recovery — доверенное восстановление
→ TSF domain separation — разделение доменов TSF

FRU (Resource Utilisation): → Fault tolerance — отказоустойчивость
→ Priority of service — приоритет обслуживания
→ Resource allocation — распределение ресурсов

FTA (TOE Access): → Limitation on scope of selectable attributes — ограничение атрибутов
→ Session locking — блокировка сессий

FTP (Trusted Path/Channel): → Trusted path — доверенный путь
→ Trusted channel — доверенный канал

---

Требования доверия (SAR)

Evaluation Assurance Levels (EAL)

EAL1 — Функционально тестируемый: → Базовый уровень доверия
→ Functional testing — функциональное тестирование
→ Minimal effort — минимальные усилия

EAL2 — Структурно тестируемый: → Анализ архитектуры высокого уровня
→ Independent testing — независимое тестирование
→ Small to medium effort — малые/средние усилия

EAL3 — Методично тестируемый и проверяемый: → Detailed testing — детальное тестирование
→ Architectural analysis — анализ архитектуры
→ Medium effort — средние усилия

EAL4 — Методично разработанный, тестируемый и просматриваемый: → Implementation analysis — анализ реализации
→ Vulnerability assessment — оценка уязвимостей
→ Medium to high effort — средние/высокие усилия
→ Наиболее популярный для коммерческих продуктов

EAL5 — Полуформально разработанный и тестируемый: → Semi-formal design — полуформальное проектирование
→ Penetration testing — тестирование на проникновение
→ High effort — высокие усилия

EAL6 — Полуформально верифицированный: → Structured development — структурированная разработка
→ Formal verification — формальная верификация
→ Very high effort — очень высокие усилия

EAL7 — Формально верифицированный: → Highest assurance — наивысший уровень доверия
→ Formal proof — формальные доказательства
→ Extremely high effort — экстремально высокие усилия
→ Редко используется из-за сложности и стоимости

---

Protection Profiles (PP)

Определение PP

Protection Profile — стандартизированный набор требований безопасности для определенного класса продуктов

Популярные Protection Profiles

Network Device Protection Profile: → Firewalls — межсетевые экраны
→ Routers — маршрутизаторы
→ Switches — коммутаторы
→ IDS/IPS — системы обнаружения/предотвращения вторжений

Operating System Protection Profile: → General Purpose OS — ОС общего назначения
→ Server OS — серверные ОС
→ Mobile OS — мобильные ОС
→ Embedded OS — встраиваемые ОС

Application Software Protection Profile: → Web browsers — веб-браузеры
→ Email clients — почтовые клиенты
→ VPN clients — клиенты VPN
→ Document viewers — просмотрщики документов

Smart Card PP: → Cryptographic IC — криптографические микросхемы
→ Smart card platforms — платформы смарт-карт
→ Contact/contactless cards — контактные/бесконтактные карты

---

Процедура сертификации

Подготовительный этап (6-12 месяцев)

Анализ требований

Определение scope: → Границы TOE (что включается/исключается)
→ Операционная среда (hardware, OS, network)
→ Предполагаемое использование
→ Модель угроз

Выбор Protection Profile

Соответствие существующим PP или разработка специализированного Security Target

Команда проекта

Key roles: → Project Manager — управление проектом
→ Security Architect — архитектор безопасности
→ Developer — разработчик с пониманием безопасности
→ Security Tester — тестировщик безопасности
→ Documentation Specialist — специалист по документации

Разработка Security Target (2-4 месяца)

Анализ угроз

Threat modeling: → Asset identification — идентификация активов
→ Threat agents — источники угроз
→ Attack vectors — векторы атак
→ Risk assessment — оценка рисков

Определение Security Objectives

Mapping угроз к целям безопасности: → Confidentiality — конфиденциальность
→ Integrity — целостность
→ Availability — доступность
→ Authentication — аутентификация
→ Authorization — авторизация
→ Non-repudiation — неотказуемость
→ Accountability — подотчетность

Выбор лаборатории

Аккредитованные лаборатории

США (NIAP): → Acumen Security — специализация на network devices
→ Lightship Security — smartcards и crypto
→ Science Applications International Corporation (SAIC)

Европа: → CESG (UK) — правительственные оценки
→ ANSSI (France) — критическая инфраструктура
→ BSI (Germany) — коммерческие продукты

Канада: → EWA-Canada — широкий спектр продуктов

Австралия: → Stratsec — азиатско-тихоокеанский регион

Процесс оценки (6-18 месяцев)

Фазы оценки

Phase 1: Security Target evaluation → ST consistency check
→ PP conformance verification
→ Requirements analysis

Phase 2: TOE evaluation
→ Configuration management review
→ Delivery procedures check
→ Development documentation analysis

Phase 3: Testing → Developer testing review
→ Independent testing by lab
→ Penetration testing
→ Vulnerability assessment

Типы тестирования

Functional testing: → All SFRs должны быть протестированы
→ Positive testing — ожидаемое поведение
→ Negative testing — обработка ошибок

Penetration testing: → Basic attacks (EAL2-EAL3)
→ Enhanced-basic (EAL4)
→ Moderate attacks (EAL5-EAL6)
→ High attacks (EAL7)

Vulnerability analysis: → Public vulnerability databases
→ Independent vulnerability research
→ Automated scanning tools
→ Manual code review (высокие EAL)

---

Стоимость и сроки

Инвестиции в сертификацию

Firewall продукт (EAL4):

Статья
Стоимость
Разработка Security Target
$80-120 тыс.
Подготовка документации
$150-250 тыс.
Лабораторная оценка
$300-500 тыс.
Устранение findings
$100-200 тыс.
Certification body fees
$50-80 тыс.
Internal effort (12-18 месяцев)
$400-600 тыс.
ИТОГО
$1,08-1,75 млн

Сроки по EAL уровням

EAL2: 6-9 месяцев
EAL3: 9-12 месяцев
EAL4: 12-18 месяцев
EAL5: 18-24 месяца
EAL6+: 24+ месяца

ROI анализ

Увеличение market access: → Government contracts: $10-100 млн
→ Enterprise premium: +50-200% pricing
→ Global markets opening
→ Competitive differentiation

Типичный ROI: 300-800% в 3-5 лет

---

Реальный кейс: VPN gateway

Компания: Разработчик сетевого оборудования, 45 человек

Продукт: Enterprise VPN gateway с IPsec

Цель: Доступ к правительственным контрактам США и ЕС

Выбранный уровень: EAL4 (balance между cost и assurance)

Protection Profile: Network Device Collaborative Protection Profile

Путь к сертификации:

1. Security Target разработка (4 месяца)
2. Architecture документирование (3 месяца)
3. Testing framework создание (2 месяца)
4. Lab evaluation процесс (14 месяцев)
5. Findings устранение (6 итераций)
6. Certificate получен

Особенности проекта: → Crypto module потребовал отдельной FIPS 140-2 сертификации
→ Side-channel analysis для защиты ключей
→ Penetration testing выявил 3 уязвимости (устранены)
→ Formal methods для критических алгоритмов

Инвестиции: $1,4 млн

Результаты: → DoD contract: $35 млн/5 лет
→ NATO procurement: €15 млн
→ Enterprise sales рост на 180%
→ Premium pricing: +120% vs non-certified
→ Market leadership в secure VPN segment

ROI: 625% за 3 года

Комментарий CTO:
«Common Criteria certification превратил нас из стартапа в serious player на рынке enterprise security. Правительственные клиенты доверяют только независимо оцененным продуктам»

Lessons learned: → Early planning критично — архитектура с учетом безопасности
→ Expert consultants окупают себя ускорением процесса
→ Internal security культура значительно улучшилась
→ Ongoing compliance требует постоянных инвестиций

---

Maintenance сертификата

Assurance Continuity

Product updates: → Minor changes — Impact Analysis Letter
→ Major changes — re-certification required
→ Security patches — documented process
→ Version control строгий

Vulnerability handling

Process: → Vulnerability discovery/reporting
→ Impact assessment на certified configuration
→ Patch development и testing
→ Customer notification
→ Certificate update (если нужно)

---

Международное признание

CCRA (Common Criteria Recognition Arrangement)

31 страна взаимно признает сертификаты:

Полное признание (до EAL4): → США, Канада, Великобритания, Германия, Франция, Япония, Австралия, Южная Корея

Производители (могут выдавать сертификаты): → США, Канада, Великобритания, Германия, Франция, Япония, Нидерланды, Австралия

Потребители (признают чужие сертификаты): → Все 31 страна включая Россию, Китай, Индию, Бразилию

---

Тенденции развития

Cloud Security

Cloud PP: → Infrastructure as a Service (IaaS)
→ Platform as a Service (PaaS)
→ Software as a Service (SaaS)
→ Multi-tenant security requirements

IoT Security

Connected Device PP: → Device identity и lifecycle management
→ Secure communication protocols
→ Update mechanisms
→ Privacy protection

AI/ML Security

Emerging requirements: → Model integrity — защита от adversarial attacks
→ Training data protection
→ Bias detection и mitigation
→ Explainable AI for security decisions

Quantum-ready Cryptography

Post-quantum PP: → Quantum-resistant algorithms
→ Migration strategies от current crypto
→ Hybrid systems during transition

---

Как Реестр Гарант помогает

Программа «Secure by Design»

Экспертиза: → 22+ проекта Common Criteria
→ Security architects в команде
→ Government и enterprise опыт
→ International lab partnerships

Услуги: → Security Target разработка
→ Architecture review для compliance
→ Documentation подготовка
→ Lab liaison и project management
→ Vulnerability remediation support

Партнеры: → NIAP-approved labs в США
→ European certification bodies
→ Crypto experts для FIPS 140-2
→ Penetration testing specialists

Получите сертификацию мирового уровня:

• ☎ +7 920-898-17-18
• ✉ reestrgarant@mail.ru

---

Заключение

ISO 15408 (Common Criteria) — золотой стандарт безопасности IT-продуктов, обеспечивающий доступ к защищенным рынкам стоимостью $345 млрд. 95% государственных закупок требуют сертификации по данному стандарту.

Главное:

→ 95% госзакупок требуют Common Criteria
→ 7 уровней доверия от EAL1 до EAL7
→ EAL4 — оптимальный balance cost/assurance
→ ROI: 300-800% за 3-5 лет
→ 31 страна взаимно признает сертификаты

Реестр Гарант — эксперт по ISO 15408.

Защитите критическую инфраструктуру:
Телефон: +7 920-898-17-18
Email: reestrgarant@mail.ru