В обзорах про ISO 15408 (Common Criteria) встречается точная цифра «95% государственных закупок требуют сертификации», реальный инцидент Colonial Pipeline с искажённой суммой выкупа, и кейс с фиксированным контрактом Минобороны США. При этом сама техническая часть стандарта (уровни доверия EAL, структура оценки) в оригинале описана в основном корректно. Разбираем честно: что в ISO 15408 реальный рабочий стандарт, а что вокруг него — фабрикация и искажённые цифры.

Осторожно: реальный инцидент с искажённой суммой

Атака на Colonial Pipeline (2021) реальный, широко задокументированный инцидент, но сумма выкупа искажена: компания заплатила группировке DarkSide 75 биткоинов, что на тот момент составляло около $4,4–5 млн (позже ФБР вернуло часть суммы), а не «$90 млн», как иногда пишут. Другие инциденты в оригинале (утечка Equifax в 2017 году, 147 млн записей; атака SolarWinds в 2020 году, более 18 000 затронутых организаций) указаны точно и соответствуют официальным расследованиям.

Главное: не нужно завышать реальные инциденты для драматического эффекта. Сами по себе Equifax, SolarWinds и даже Colonial Pipeline с корректной суммой достаточно наглядно показывают цену слабой защиты информации.

Что такое ISO 15408 на самом деле

ISO/IEC 15408, известный как Common Criteria (CC), международный стандарт оценки безопасности IT-продуктов, объединивший в 1999 году более ранние национальные критерии (американский TCSEC, европейский ITSEC, канадский CTCPEC). Стандарт задаёт семь уровней доверия к оценке: от EAL1 (базовая проверка) до EAL7 (формальная верификация для самых критичных систем), а не абсолютную гарантию неуязвимости продукта.

Реальная структура оценки — сохранена

ПонятиеСуть
TOE (Target of Evaluation)Конкретный IT-продукт или система, подлежащая оценке: межсетевой экран, VPN-шлюз, смарт-карта, криптомодуль
Security Target (ST)Документ, описывающий заявленные требования безопасности именно для этого TOE — основа, по которой лаборатория проводит оценку
Уровни EALEAL2–EAL3 — базовые атаки, EAL4 — типичный практический баланс между стоимостью и уровнем доверия, EAL5–EAL7 — усиленный анализ вплоть до формальной верификации
CCRACommon Criteria Recognition Arrangement — реальное соглашение о взаимном признании сертификатов между странами-участницами (полное признание обычно распространяется до EAL4)

Это официально задокументированная методология, применяемая аккредитованными лабораториями (в США, например, в рамках программы NIAP), а не выдуманные термины для статьи.

Для каких продуктов реально нужна сертификация Common Criteria

Стандарт применим к широкому кругу IT-продуктов: операционным системам, межсетевым экранам, VPN-шлюзам, смарт-картам, криптографическим модулям, системам управления базами данных. Для криптографических компонентов на практике часто требуется отдельная, дополнительная сертификация по стандарту FIPS 140-2, которая не входит в Common Criteria автоматически, даже если основной продукт уже проходит оценку. Выбор конкретных Protection Profile и уровня EAL стоит делать исходя из реальных требований целевого рынка и категории продукта, а не по общему списку «что вообще можно сертифицировать».

Осторожно: точные проценты требований к сертификации

Утверждение «95% государственных и 87% оборонных закупок IT требуют Common Criteria» не сопровождается ссылкой на исследование. Логика правдоподобна (критическая инфраструктура и оборонные ведомства во многих странах действительно предпочитают независимо оценённые продукты), но точный процент охвата закупок зависит от страны, категории продукта и уровня секретности проекта, а не выражается единой цифрой.

Осторожно: кейс с контрактом Минобороны и фейковой цитатой CTO

Кейс «разработчик VPN-шлюза → сертификация EAL4 → контракт с Минобороны США и NATO» без названия компании нельзя использовать как доказательство: ни цитата CTO, ни конкретные суммы государственных контрактов не поддаются проверке. Условия реальных контрактов с оборонными ведомствами не публикуются в открытых источниках, что делает такой анонимный кейс невозможным для проверки в принципе. Этот паттерн уже подробно разобран в отдельном материале про фейковые цитаты и кейсы с именами компаний.

Типичная ошибка: выбор EAL без учёта Protection Profile

Частая ошибка команд, впервые проходящих сертификацию Common Criteria, — выбирать уровень EAL произвольно, ориентируясь только на бюджет, вместо того чтобы сначала изучить applicable Protection Profile для своей категории продукта (например, для сетевых устройств или межсетевых экранов). Многие целевые рынки и заказчики требуют соответствия конкретному Protection Profile, а не просто «сертификата Common Criteria вообще» — несоответствие профилю обесценивает уже полученный сертификат для конкретного тендера, даже если формальный уровень EAL высокий.

Вторая типичная ошибка — начинать сертификацию уже готового продукта без учёта требований безопасности на этапе разработки: архитектурные изменения, которые легко внести на раннем этапе, становятся значительно дороже после того, как продукт уже выпущен и продаётся.

Реалистичные сроки и стоимость

По рыночным оценкам сертификация типичного продукта (например, межсетевого экрана) на уровне EAL4 обходится примерно в $1–1,75 млн с учётом разработки Security Target, документации, лабораторной оценки и устранения замечаний; официального фиксированного тарифа не существует. Сроки сильно зависят от выбранного уровня: EAL2 занимает 6–9 месяцев, EAL4 занимает 12–18 месяцев, а EAL6 и выше требуют от 24 месяцев. Начать стоит с консультации: специалисты центра «Реестр Гарант» помогут честно определить, какой уровень EAL реально нужен именно для вашего продукта и целевого рынка.

Вопросы и ответы

Правда ли, что выкуп Colonial Pipeline составил $90 млн?

Нет: компания заплатила около $4,4–5 млн в биткоинах, часть из которых позже вернуло ФБР. Сумма «$90 млн» не соответствует официальным данным расследования.

Правда ли, что 95% государственных закупок IT требуют сертификации Common Criteria?

Точной сводной статистики не существует, хотя критическая инфраструктура и оборонные закупки во многих странах действительно предпочитают независимо оценённые продукты.

Что означают уровни EAL в Common Criteria?

Уровень доверия к глубине оценки продукта: от EAL1 (базовая проверка) до EAL7 (формальная верификация для самых критичных систем). Это не абсолютная гарантия неуязвимости, а глубина и строгость независимой проверки.

Можно ли доверять кейсу с контрактом Минобороны США и цитатой CTO?

Нет: условия реальных оборонных контрактов не публикуются в открытых источниках, поэтому анонимный кейс с такими суммами невозможно проверить в принципе.

Что такое CCRA и сколько стран признают сертификаты Common Criteria?

Common Criteria Recognition Arrangement — реальное соглашение о взаимном признании сертификатов между странами-участницами, где полное признание обычно распространяется до уровня EAL4.

Какой уровень EAL выбрать для обычного коммерческого продукта?

Чаще всего EAL4 как практический баланс между стоимостью сертификации и требуемым уровнем доверия; более высокие уровни оправданы только для по-настоящему критических систем.

Источники