Общие критерии

Общие критерии (англ. Common Criteria, CC) — это набор международно признанных стандартов (ISO 15408), предназначенных для объективной оценки безопасности информационных систем и программного обеспечения^[1]. Общие критерии возникли в результате сотрудничества Канады, США и стран Европы и предлагают единый подход к формированию требований к безопасности и их проверке. Благодаря заложенным принципам пользователи информационных технологий могут использовать профили защиты для формализации функциональных требований безопасности, а оценщики — удостоверяться в соответствии продукции необходимым уровням гарантий^[2].

Внедрение Общих критериев — результат соглашения о взаимном признании сертификатов безопасности в области информационных технологий. Сертификаты, выданные компетентным органом одной из стран-участниц, признаются всеми подписантами соглашения и позволяют использовать сертифицированную продукцию без дополнительных проверок^[3].

Несмотря на свои достоинства, внедрение стандарта часто оказывается затратным, слабо понятно неспециалистам и сложно реализуемым, из-за чего появились различные подходы и методики по его применению^[4].

В 1983 и 1985 годах Национальный институт стандартов и технологий США (NIST) и Агентство национальной безопасности (NSA) опубликовали «Оранжевую книгу» (англ. Trusted Computer System Evaluation Criteria, TCSEC), — стандарт оценки способности компьютерных систем защищаться от атак^[5].

Европа в 1991 году на основе TCSEC разработала собственные критерии оценки — англ. Information Technology Security Evaluation Criteria (ITSEC), устранённые недостатки которых позволили повысить эффективность анализа рисков^[6].

В 1993 году Канада представила свой стандарт CTCPEC (англ. Canadian Trusted Computer Product Evaluation Criteria), а признание сертификатов оставалось в рамках соглашений между странами^[7].

В Европе действует соглашение SOG-IS, а с 1999 года Общие критерии закреплены в виде международного стандарта ISO 15408, охватывающего государства — участники соглашения CC-MRA (Common Criteria Mutual Recognition Arrangement). Помимо 17 подписантов, ещё 9 стран признают данные сертификаты^[8].

Общие критерии служат ориентиром для разработки и проверки продуктов и систем информационных технологий, обрабатывающих данные различного рода. Их цель — защита от несанкционированного раскрытия, изменения или потери доступности информации (конфиденциальность, целостность и доступность). Учитываются риски как от человеческих действий, так и не связанных с участием человека^[6].

Оцениваемыми могут быть компьютерные сети, операционные системы, распределённые системы, прикладные программные комплексы и др. Система оценивается в контексте предполагаемого использования по двум категориям требований: функциональные и требования гарантии^[6].

Целевая аудитория

Пользователи заинтересованы в обеспечении доступности, конфиденциальности и подлинности персональных данных. Общие критерии рассчитаны на три категории пользователей:

Конечные пользователи — могут оценивать, удовлетворяет ли продукт их требованиям, по результатам сертификации.
Разработчики — используют Общие критерии для формализации требований безопасности к продукту.
Оценщики — могут использовать критерии для проверки соответствия продукта целям и формальному профилю. Стандарт определяет перечень действий, но не устанавливает обязательные процедуры^[6].

Документация стандарта

Общие критерии описаны в трёх взаимосвязанных документах:

Введение и общая модель: основные концепции, модель оценки, глоссарий терминов и ключевых слов.; TI — информационные технологии.; TOE (англ. Target Of Evaluation) — объект оценки. Это продукт или система, прошедшие сертификацию, с сопутствующей документацией для администратора и пользователя.; TSF (англ. TOE Security Functions) — совокупность функций безопасности объекта оценки.

Функциональные требования безопасности: каталог компонентов безопасности, организованных по классам и семействам.
Требования по гарантии безопасности: перечень требований к разработчику и действиям оценщика.

Функциональные требования

Функциональные требования безопасности — это перечень спецификаций к функциям безопасности, объединённых в 11 классов, каждый из которых разбит на семейства и компоненты^[9].

FAU — аудит безопасности: 6 семейств (распознавание, регистрация, хранение и анализ действий безопасности).
FCO — коммуникации: контроль непризнания отправки и получения.
FCS — криптографическая поддержка: высший уровень защиты на основе криптографии (2 семейства: управление ключами, генерация ключей).
FDP — защита пользовательских данных: 8 семейств по работе с пользовательской информацией.
FIA — идентификация и аутентификация: 6 семейств (идентификация, аутентификация, управление доступом).
FMT — администрирование безопасности: 6 семейств по определению ролей и управляющих функций.
FPR — защита персональных данных: предотвращение мошеннического раскрытия или использования личности.
FPT — защита объекта оценки: требования к функционированию средств безопасности самой TOE.
FRU — управление ресурсами: доступность через устойчивость, распределение и приоритет сервисов.
FTA — контроль доступа: контроль установления соединения пользователя.
FTP — доверенные пути и каналы: поддержка защищённых каналов связи.

Разработчик может выбирать необходимые компоненты в зависимости от функциональности продукта; возможно добавление новых при необходимости. Например, для сертификации биометрических решений добавляются специализированные семейства — как SPOD («обнаружение подделки биометрических данных»)^[10].

Требования гарантии безопасности

Эта категория охватывает меры проверки переданных материалов, документации и самого продукта. Для разработчика это перечень доказательств, которые он должен подготовить, а для оценщика — список действий для подтверждения соответствия^[11].

Список представлен классами, каждый отражает определённую область, разбитую на семейства и компоненты различной глубины (именуются Axx):

Требования по гарантии безопасности
Класс	Охватываемая область
ADV	Разработка
ACO	Композиция
AGD	Документация
ALC	Жизненный цикл
APE	Оценка профиля защиты
ASE	Оценка цели безопасности
ATE	Тестирование
AVA	Анализ уязвимостей

ADV — с момента спецификации до реализации TOE.
ACO — учёт взаимодействия с внешними сертифицированными компонентами.
AGD — требования к пользовательской документации.
ALC — процессы жизненного цикла, в том числе устранение выявленных дефектов.
APE — полнота профиля защиты.
ASE — техническая состоятельность оценки объекта.
ATE — достаточность тестирования.
AVA — идентификация уязвимостей на всех этапах работы.

Уровни гарантии EAL

По результатам оценки присваивается один из семи уровней гарантии (Evaluation Assurance Level — EAL1...EAL7), соответствующий минимальному набору требований ^[12]. Каждый следующий уровень включает требования предыдущего. Уровни отражают баланс между степенью доверия и затратами при реализации:

EAL1 — минимальный (без участия разработчика, охватывает только явно известные угрозы).
EAL2 — требует передачи информации о спецификациях и тестах.
EAL3 — выявляются очевидные уязвимости.
EAL4 — компромисс между безопасностью и затратами, не требует специальной экспертизы.
EAL5 — включает анализ функций безопасности на основании всей документации.
EAL6 — для решений с высокими рисками.
EAL7 — максимальный, предполагает формальную спецификацию и высокий уровень требований.

Профили защиты

Профиль защиты — это документ, определяющий требования безопасности для класса продуктов вне зависимости от их реализации, который можно использовать повторно в схожих проектах^[6]. Структура профиля включает:

Общее описание и обзор профиля защиты,
Описание контекста,
Окружение (техническое, организационное, угрозы),
Цели безопасности,
Перечень функциональных и гарантийных требований.

Организация процесса

Право выдачи сертификатов имеют только страны — участники соглашения CC-MRA, они же определяют приём новых членов^[13]. Так, Индия стала 17-м участником соглашения в 2013 году^[14].

Оценку производит независимая лаборатория, аккредитованная государственным органом страны-участника CC-MRA^[3].

США: программу координирует NSA в рамках NIAP —National Information Assurance Partnership.
Франция: по закону ответственна Агентство национальной безопасности информационных систем (ANSSI); она лицензирует Центры оценки (CESTI) и выдаёт итоговый сертификат.

Государственные организации стран-участников CC-MRA^[8]
Страна	Государственная организация
Австралия	Australian Signals Directorate ASD
Канада	Canadian Common Criteria Evaluation and Certification Scheme CECS
Франция	Agence Nationale de la Sécurité des Systèmes d'Information ANSSI
Германия	Bundesamt für Sicherheit in der Informationstechnik BSDI
Индия	Indian Common Criteria Certification Scheme IC3S
Италия	Organismo di Certificazione della Sicurezza Informatica OCSI
Япония	Japan IT Security Evaluation and Certification Scheme JISEC
Малайзия	CyberSecurity Malaysia
Нидерланды	NSCIB operated by TrustCB
Новая Зеландия	Defence Signals Directorate
Норвегия	SERTIT
Республика Корея	IT Security Certification Center (ITSCC)
Испания	Organismo de Certificación de la Seguridad de las Tecnologías de la Información
Швеция	Swedish Certification Body for IT Security FMV/CSEC
Турция	Turkish Standards Institution Common Criteria Certification Scheme TSE
Великобритания	UK IT Security Evaluation and Certification Scheme
США	National Information Assurance Partnership NIAP

Этапы сертификации

Сертификация проходит в три этапа:

Заявка на оценку — организация обращается в свой национальный сертификационный орган, предоставляя перечень требований безопасности, характеристику продукта и описание угроз.
Оценка — независимая лаборатория проверяет полноту и корректность тестирования продукта, а также готовит технический отчёт.
Сертификация — компетентный орган по результатам отчёта выдает или не выдает сертификат соответствия Общим критериям.

Снижение рисков и контроль затрат

Вовлечение требований безопасности на ранних фазах разработки продукта позволяет снизить количество уязвимостей и повысить его надёжность. Эксперты отмечают, что внедрение практик по Общим критериям способствует экономии времени и ресурсов, снижая дублирующие процессы^[15].

Доверие пользователей

Сертификация по Общим критериям повышает доверие к программным продуктам у конечных пользователей, позволяя производить объективное сравнение продуктов по уровню безопасности^[16].

Конкурентные преимущества для производителей

На некоторых рынках (например, банковском) наличие сертификации является обязательным требованием. Сертификация открывает доступ к закрытым или специализированным рынкам и повышает маркетинговую ценность продукта.

Контроль и снижение рисков на государственном уровне

Для государственных органов сертификация — инструмент контроля использования продукции критической важности, снижающий риск масштабных атак на национальные информационные системы.

Некорректная реализация

На практике требования безопасности зачастую формулируются слишком поверхностно, а заказчики и разработчики не всегда могут однозначно определить эти требования. Сложности возникают и с управлением ими на протяжении жизненного цикла продукта^[17].

Высокая сложность и затраты

Общие критерии допускают неоднозначные трактовки, их реализация требует значительных ресурсов и подготовки. Многие отмечают высокую сложность стандарта, что увеличивает затраты на подготовку специалистов для его применения^[18].

Требуют специальных знаний

Стандарт в целом недостаточно прозрачен для неспециалистов, многие элементы трудно документируются в рамках привычных процессов разработки^[19].

Сложность применения на практике

Современные системы не всегда могут быть адаптированы к стандарту Общих критериев. Реальные требования зачастую отличаются от типовых профилей, а стандарт не покрывает всех аспектов, особенно для коммерческого ПО.

Взгляд со стороны отрасли и потребителей

Уровни сертификации редко применяются в практике промышленности, поскольку методология стандарта часто не стыкуется с внутренними процессами разработки. Соответственно ценность сертификации может быть неочевидна ни для покупателей, ни для производителей ПО^[20].

Государственное доверие

Неодинаковое толкование требований в разных странах сдерживает их международное признание. Отраслевое и коммерческое сообщество рассматривает стандарт как результат государственных регуляций, что негативно влияет на популярность сертификации среди заказчиков и производителей.

Диаграммные подходы

Часть методик (например, по Taguchi) строится на диаграммах вариантов использования, отражающих требования безопасности на всех этапах проектирования продукта^[15]. Такой подход предполагает формализацию угроз, целей и требований безопасности через метамодель стандарта. Для визуализации и документирования используются специализированные графические инструменты (например, open-source UML-средства).

Интеграция Общих критериев в процесс разработки

Методики (в частности, по Vetterling) предусматривают интеграцию требований ОК во все фазы жизненного цикла проекта, от планирования до внедрения, при этом основной упор делается на итеративную оценку каждого результата^[21]. Это позволяет своевременно доводить документацию до необходимого уровня детализации, соответствующей выбранному EAL, и избегать большой доли предписываемых несогласованностей.

Прочие решения

Существуют подходы (например, Romero-Mariona), при которых требования безопасности ОК «проецируются» на архитектурные элементы программной системы. На их основе генерируются спецификации систем, тестовые наборы и итоговые отчёты^[22]. Иные методики предполагают расширение формата целей безопасности для учёта программных уязвимостей и связей между ними.

Официальный сайт Common Criteria (англ.). commoncriteriaportal.org. Дата обращения: 17 июня 2024.
Общие критерии. Часть 1: Введение и общая модель (фр.). ssi.gouv.fr. Дата обращения: 17 июня 2024. Архивировано 1 января 2015 года.
Общие критерии. Часть 2: Функциональные требования безопасности (фр.). ssi.gouv.fr. Дата обращения: 17 июня 2024. Архивировано 1 января 2015 года.
Общие критерии. Часть 3: Требования по гарантии безопасности (фр.). ssi.gouv.fr. Дата обращения: 17 июня 2024. Архивировано 1 января 2015 года.
Общие критерии. Часть 3: Требования по гарантии безопасности, версия 3 (англ.). commoncriteriaportal.org. Дата обращения: 17 июня 2024.
CCMRA Comité: Procédures (англ.). commoncriteriaportal.org. Дата обращения: 17 июня 2024.
CCMRA Certificats (англ.). commoncriteriaportal.org. Дата обращения: 17 июня 2024.
Common Methodology for Information Technology Security Evaluation (англ.). commoncriteriaportal.org. Дата обращения: 17 июня 2024.
Décret № 2009-834 (фр.). legifrance.gouv.fr. Дата обращения: 17 июня 2024.
CCMRA membres (англ.). commoncriteriaportal.org. Дата обращения: 17 июня 2024.
site CCMRA stats (англ.). commoncriteriaportal.org. Дата обращения: 17 июня 2024.
Портал SOGIS (англ.). sogisportal.eu. Дата обращения: 17 июня 2024.
Портал Общих критериев (англ.). commoncriteriaportal.org. Дата обращения: 17 июня 2024.
Соглашение о взаимном признании (фр.). ssi.gouv.fr. Дата обращения: 17 июня 2024.
MorphoSmart Optic 301 Public Security Target (англ.). commoncriteriaportal.org. Дата обращения: 17 июня 2024.
NIAP and COTS Products Evaluation (англ.). nsa.gov. Дата обращения: 17 июня 2024.
Mellado, D. (апрель 2006). “A comparison of the Common Criteria with proposals of information systems security requirements”. Availability, Reliability and Security, 2006. ARES 2006. The First International Conference on [англ.]. DOI:10.1109/ARES.2006.2. Дата обращения 2024-06-17. Проверьте дату в |date= (справка на английском); |access-date= требует |url= (справка)
Keblawi, F. (апрель 2006). “Applying the common criteria in systems engineering”. Security & Privacy, IEEE (Volume:4, Issue:2) [англ.]. DOI:10.1109/MSP.2006.35. Дата обращения 2024-06-17. Проверьте дату в |date= (справка на английском); |access-date= требует |url= (справка)
Taguchi, K. (июнь 2010). “Aligning Security Requirements and Security Assurance Using the Common Criteria”. Secure Software Integration and Reliability Improvement (SSIRI), 2010 Fourth International Conference on [англ.]. DOI:10.1109/SSIRI.2010.30. Дата обращения 2024-06-17. Проверьте дату в |date= (справка на английском); |access-date= требует |url= (справка)
Romero-Mariona, J. (август 2007). “CCARCH: Architecting Common Criteria Security Requirements”. Information Assurance and Security, 2007. IAS 2007. Third International Symposium on [англ.]. DOI:10.1109/IAS.2007.30. Дата обращения 2024-06-17. Проверьте дату в |date= (справка на английском); |access-date= требует |url= (справка)
Razzazi, M. (2006). “Common Criteria Security Evaluation: A Time and Cost Effective Approach”. Information and Communication Technologies, 2006. ICTTA '06. 2nd (Volume:2) [англ.]. DOI:10.1109/ICTTA.2006.1684943. Дата обращения 2024-06-17. |access-date= требует |url= (справка)
Isa, M.A.M. (июнь 2012). “Finest authorizing member of common criteria certification”. Cyber Security, Cyber Warfare and Digital Forensic (CyberSec), 2012 International Conference on [англ.]. DOI:10.1109/CyberSec.2012.6246109. Дата обращения 2024-06-17. Проверьте дату в |date= (справка на английском); |access-date= требует |url= (справка)
Nguyen, T.D. (апрель 2006). “High robustness requirements in a Common Criteria protection profile”. Information Assurance, 2006. IWIA 2006. Fourth IEEE International Workshop on [англ.]. DOI:10.1109/IWIA.2006.13. Дата обращения 2024-06-17. Проверьте дату в |date= (справка на английском); |access-date= требует |url= (справка)
Bialas, A. (июль 2009). “Ontology-Based Security Problem Definition and Solution for the Common Criteria Compliant Development Process”. Dependability of Computer Systems, 2009. DepCos-RELCOMEX '09. Fourth International Conference on [англ.]. DOI:10.1109/DepCoS-RELCOMEX.2009.15. Дата обращения 2024-06-17. Проверьте дату в |date= (справка на английском); |access-date= требует |url= (справка)
Preschern, C. (сентябрь 2012). “Structuring Modular Safety Software Certification by Using Common Criteria Concepts”. Software Engineering and Advanced Applications (SEAA), 2012 38th EUROMICRO Conference on [англ.]. DOI:10.1109/SEAA.2012.9. Дата обращения 2024-06-17. Проверьте дату в |date= (справка на английском); |access-date= требует |url= (справка)
Dadeau, F. (март 2013). “Test Generation and Evaluation from High-Level Properties for Common Criteria Evaluations -- The TASCCC Testing Tool”. Software Testing, Verification and Validation (ICST), 2013 IEEE Sixth International Conference on [англ.]. DOI:10.1109/ICST.2013.60. Дата обращения 2024-06-17. Проверьте дату в |date= (справка на английском); |access-date= требует |url= (справка)
Sauveron, D. (декабрь 2007). “Which Trust Can Be Expected of the Common Criteria Certification at End-User Level?”. Future Generation Communication and Networking (FGCN 2007), Volume:2 [англ.]. DOI:10.1109/FGCN.2007.235. Дата обращения 2024-06-17. Проверьте дату в |date= (справка на английском); |access-date= требует |url= (справка)
Ardi, S. (сентябрь 2009). “Introducing Vulnerability Awareness to Common Criteria's Security Targets”. Software Engineering Advances, 2009. ICSEA '09. Fourth International Conference on [англ.]. DOI:10.1109/ICSEA.2009.67. Дата обращения 2024-06-17. Проверьте дату в |date= (справка на английском); |access-date= требует |url= (справка)
Rannenberg, K. (декабрь 2000). “Protection profiles for remailer mixes. Do the new evaluation criteria help?”. Computer Security Applications, 2000. ACSAC '00. 16th Annual Conference [англ.]. DOI:10.1109/ACSAC.2000.898864. Дата обращения 2024-06-17. Проверьте дату в |date= (справка на английском); |access-date= требует |url= (справка)
Hearn, J. (февраль 2004). “Does the common criteria paradigm have a future?”. Security & privacy IEEE [англ.]. DOI:10.1109/MSECP.2004.1264857. Дата обращения 2024-06-17. Проверьте дату в |date= (справка на английском); |access-date= требует |url= (справка)
Vetterling, M. (ноябрь 2002). “Secure systems development based on the common criteria: the PalME project”. ACM SIGSOFT Software Engineering [англ.]. DOI:10.1145/605466.605486. Дата обращения 2024-06-17. Проверьте дату в |date= (справка на английском); |access-date= требует |url= (справка)
Ware, M.S. (апрель 2005). “Using the Common Criteria to Elicit Security Requirements with Use Cases”. SoutheastCon, 2006. Proceedings of the IEEE [англ.]. DOI:10.1109/second.2006.1629363. Дата обращения 2024-06-17. Проверьте дату в |date= (справка на английском); |access-date= требует |url= (справка)
Shoichi, M. (2007). “Formal verification of security specifications with common criteria”. SAC '07 Proceedings of the 2007 ACM symposium on Applied computing [англ.]. DOI:10.1145/1244002.1244325. Дата обращения 2024-06-17. |access-date= требует |url= (справка)
Kallberg, K. (июль-август 2012). “Common Criteria meets Realpolitik - Trust, Alliances, and Potential Betrayal”. Security & Privacy, IEEE (Volume:10, Issue:4) [англ.]. DOI:10.1109/MSP.2012.29. Дата обращения 2024-06-17. Проверьте дату в |date= (справка на английском); |access-date= требует |url= (справка)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]