Что такое «Общие критерии»?
Один из лучших способов соответствовать требованиям к кибербезопасности и нормативно-правовым требованиям — использовать продукт, прошедший признанную во всем мире сертификацию по стандарту «Общие критерии».
Не знакомы с ним? Позвольте нам объяснить.
Ниже мы ознакомим вас с основами оценки по стандарту «Общие критерии». Рассмотрим все, что нужно знать: что это такое, почему это важно и как сертифицированный продукт может помочь вашей компании.
Что такое сертификация по стандарту «Общие критерии»?
Общие критерии оценки защищенности информационных технологий (сокращенно «Общие критерии», или ОК) — международный стандарт для сертификации компьютерной безопасности. Он основан на стандарте ISO/IEC 15408, и его основная цель — обеспечение гарантии того, что продукты для ИТ-безопасности проходят строгую и регулярную оценку. Если говорить конкретнее, этот стандарт гарантирует, что каждый продукт проходит тестирование в соответствии с его предполагаемым вариантом использования.
Изначально сертификация по стандарту ОК была разработана для унификации и замены схем сертификации безопасности, действующих в разных странах. К ним относились США, Канада, Германия, Великобритания, Франция, Австралия и Новая Зеландия. Теперь она представляет собой всеобъемлющую систему кибербезопасности, которая обеспечивает наиболее широкое взаимное признание безопасных ИТ-продуктов во всем мире.
Обзор
Решения, прошедшие сертификацию по стандарту «Общие критерии», используются государственными органами и предприятиями для защиты критически важных инфраструктур.
В действительности эта сертификация зачастую является предварительным условием для услуг квалифицированной цифровой подписи в соответствии с Регламентом Европейского союза об электронной идентификации и доверительных услугах, более известным как eIDAS. Кроме того, клиенты — государственные учреждения США часто запрашивают безопасные ИТ-продукты, которые значатся в списке Национального партнерства по повышению надежности информации (NIAP), что требует сертификата «Общие критерии».
Почему? Потому что стандарт «Общие критерии» гарантирует, что определенные аспекты безопасности продукта тщательно внедряются, тестируются, поддерживаются и проверяются независимой стороной. В рамках требований к безопасности в ходе сертификации по стандарту ОК рассматривается следующее:
- разработка продукта и связанные с ним функции безопасности, в том числе высокоуровневое проектирование, архитектура и внедрение;
- руководство по безопасному развертыванию и подготовке продукта;
- управление жизненным циклом документов и процессов, связанных с настройкой, доставкой продукта и его изъятием из эксплуатации;
- тестирование функций безопасности в соответствии с базовыми требованиями к ним.
Центры сертификации
Поскольку «Общие критерии» — это международный стандарт, им управляет партнерство разных стран через организации, называемые органами сертификации. Каждый орган сертификации несет ответственность за независимую оценку и сертификацию продуктов в соответствии с требованиями к безопасности, предусмотренными стандартом «Общие критерии».
Понимание стандарта «Общие критерии»: основные понятия
Существует несколько терминов и фраз, уникальных для стандарта «Общие критерии». Ниже представлен их краткий список с объяснением того, почему они важны.
- Объект оценки (TOE). Означает продукт, который проходит оценку по стандарту ОК.
- Задание по безопасности (ST). Задание по безопасности — это документ, определяющий функции и свойства безопасности TOE. ST позволяет поставщикам настраивать оценку в соответствии с конкретными возможностями своего решения, а также помогает клиентам определить, какие функции безопасности были протестированы. Оно может ссылаться на один или несколько профилей защиты (PP).
- Профиль защиты (PP). Это документ, создаваемый для определения требований к безопасности для конкретного типа продукта, например устройства для создания квалифицированных подписей. Поставщики часто используют профиль защиты в качестве основы для создания собственного задания по безопасности.
- Функциональные требования к безопасности (SFR). Означают все уникальные функции и возможности безопасности продукта.
- Требования гарантии безопасности (SAR). Список SAR используется для описания действий, которые необходимо предпринять, чтобы продукт соответствовал заявленным стандартам.
- Уровень гарантии оценки (EAL). EAL — это численный показатель, описывающий глубину и строгость оценки. Проще говоря, он указывает клиентам на то, насколько тщательно тестировался продукт в соответствии с предъявляемыми к нему требованиями гарантии безопасности. Показатель EAL может иметь значение от 1 (самая базовая оценка) до 7 (самая строгая оценка).
Процедура сертификации по стандарту «Общие критерии»
Все продукты и решения, проходящие сертификацию по стандарту «Общие критерии», должны тестироваться и проверяться независимой стороной в соответствии с конкретной процедурой оценки:
- Разработчик сначала должен описать задание по безопасности и предоставить все подтверждающие документы, содержащие общие сведения о продукте, информацию о его функциях безопасности и любых потенциальных уязвимостях.
- По желанию организация может выбрать профиль защиты, который будет служить для нее руководящим документом на протяжении всей процедуры сертификации по стандарту ОК. Выбирать PP не обязательно, но этот выбор означает обязательство провести тщательную оценку, гарантирующую соответствие TOE предполагаемому варианту использования.
- После этого независимый лицензированный орган сертификации проводит оценку продукта, чтобы убедиться, что он соответствует стандарту «Общие критерии». По завершении он обобщает свои выводы в отчете об оценке.
- Если TOE соответствует предъявляемым к нему минимальным требованиям, орган сертификации выдает сертификат «Общие критерии».
После проверки все продукты, сертифицированные по стандарту «Общие критерии», вносятся в список на портале стандарта «Общие критерии».
Используйте для своих проектов решений для цифровой подписи стандарт «Общие критерии» с модулями HSM nShield и модулем активации подписей от Entrust
Аппаратные модули безопасности (HSM) nShield от Entrust обеспечивают безопасный корень доверия, который протестирован и сертифицирован в соответствии со строгим стандартом «Общие критерии», помогая вам соблюдать нормы, а также давая уверенность в решении для безопасности.
Наши модули HSM Solo XC, Connect X и nShield 5 прошли сертификацию по стандарту ОК, подтверждающую их соответствие требованиям EN 419 221-5 «Профиль защиты по общим критериям» — отраслевого стандарта для всех аппаратных модулей безопасности. Наши решения предоставляют гарантию безопасности, позволяя генерировать криптографические активы, соответствующие Регламенту eIDAS.
Эти модули HSM обеспечивают устойчивую к взлому среду с усиленной защитой от несанкционированного вмешательства для безопасной криптографической обработки, генерирования и защиты ключей, шифрования и ряда других задач. Модули HSM nShield от Entrust предлагаются в трех форм-факторах как услуга, и их можно использовать в различных сценариях развертывания.
Если вы хотите развернуть службу удаленного подписания, соответствующую Регламенту eIDAS, Entrust также предлагает модуль активации подписей (SAM), сертифицированный по стандарту «Общие критерии» CEN EN 419 241-2. Его можно объединить с одним из наших модулей HSM, сертифицированных по стандарту ОК, чтобы развернуть устройство для создания квалифицированных подписей (QSCD), соответствующее Регламенту eIDAS.