Введение — ISO 15408 (Common Criteria) — ключевой международный стандарт, регулирующий требования к оценке безопасности информационных технологий (IT) и программного обеспечения. Для бизнеса внедрение и подтверждение соответствия этим критериям повышает не только доверие клиентов и партнёров, но и конкурентоспособность на рынке, особенно при работе с государственными заказами или критической ИТ-инфраструктурой. Платформа FindCert как агрегатор сертификационных услуг помогает пройти все этапы оформления максимально быстро и прозрачно.
Основные требования и процедуры сертификации по ISO 15408
Стандарт ISO 15408 (Common Criteria for Information Technology Security Evaluation) определяет единые критерии оценки безопасности IT-продуктов и систем. Сертификация по этой модели признана более чем в 30 странах, включая Россию (через ГОСТ Р 15408). Вот ключевые аспекты:
Область применения: ISO 15408 охватывает программное обеспечение, аппаратные решения, комбинированные IT-продукты, системы хранения и обработки данных, а также сетевое оборудование.
Требования к безопасности: Необходимо подготовить обоснованную документацию по функциям безопасности, архитектуре, управлению доступом, работе с ошибками и уязвимостями, а также процедурам логирования.
Классы оценивания (EAL): Стандарт описывает 7 уровней Assurance (EAL 1–7) — от базовой функциональной проверки до максимального анализа с верификацией кода и моделирования угроз.
Процедура оценки: Независимый аккредитованный орган (в России — сертифицированные лаборатории, перечень — на сайте Минпромторг) проводит аудит документации, тестирование и верификацию соответствия заявленным требованиям.
Законодательная база: На территории РФ сертификация проводится согласно ГОСТ Р ISO/IEC 15408-1, 15408-2, 15408-3 и включает обеспечение требований ФСТЭК РФ для отечественного ПО.
Перечень обязательств производителя: Производитель должен обеспечить прозрачность разработки, управления обновлениями, исправления выявленных уязвимостей и поддержания жизненного цикла продукта согласно заявленному EAL.
Сертификация по Common Criteria часто обязательна для IT-продуктов, внедряемых в государственных, финансовых и энергетических организациях. Для производителей ПО этот стандарт служит подтверждением комплексного подхода к безопасности на всех этапах жизненного цикла продукта.
Пошаговый алгоритм прохождения сертификации Common Criteria
Сертификация по ISO 15408 — один из самых трудоёмких и детально регулируемых процессов в области IT-безопасности. Пошаговый алгоритм действий включает:
1. Подготовка предварительной оценки: Определите целевой уровень EAL, исходя из областей применения и требований заказчиков (базовый EAL 2–3 для коммерческого ПО; EAL 4–5 для государственных и критических систем).
2. Формирование пакета документов: Создание профиля защиты (Security Target — ST) с описанием функций, моделей угроз, архитектуры, способов управления и мониторинга.
3. Выбор аккредитованной лаборатории: Ознакомьтесь с реестром утверждённых организаций на сайте Минпромторг либо в модуле сертификации ГИСП. Получите коммерческое предложение и заключите договор.
4. Предварительное тестирование продукта: Проверьте продукт на соответствие заявленным требованиям, устраните уязвимости, подтвердите корректную работу систем логирования и управления доступом.
5. Передача материалов в лабораторию: Передайте полный пакет документации, исходных кодов (если требуется заявленный EAL), образцов продукции и инструкций по установке.
6. Проведение исследований и тестов: Лаборатория проводит аудит, моделирование угроз, анализ архитектуры, тесты устойчивости к взлому, экспертизу сопровождающей документации.
7. Оформление отчёта: На основании экспертизы лаборатория формирует экспертный отчёт с рекомендацией и передаёт его в аккредитующую организацию (например, ФСТЭК РФ).
8. Регистрация сертификата: Решение о выдаче сертификата вносится в реестр на официальном сайте. В среднем процесс занимает от 6 до 12 месяцев (в зависимости от EAL и готовности документации).
Краткое сравнение сроков и трудоёмкости по уровням EAL:
EAL1–EAL2: до 3–6 месяцев;
EAL3–EAL4: 6–9 месяцев;
EAL5 и выше: 9–18 месяцев (высокие требования к исходным кодам, процессу разработки и сопровождению).
Документация: что необходимо для подачи и успешного прохождения
Для прохождения сертификации по ISO 15408 система документов должна быть полна, структурирована и соответствовать официальным методическим рекомендациям. Перечень включает:
Security Target (ST): Центральный документ, в котором формализуется функционал безопасности продукта, описание зон доверия, моделей угроз и мероприятий по предотвращению атак.
Архитектурное описание: Модели сетевых взаимодействий, схемы компонентов, описание жизненного цикла и администрирования.
Внутренняя документация: Регламенты обновлений, исправлений, сопровождения, инструкции для администраторов и пользователей.
Исходные коды и сборочные скрипты: Для EAL3+ (и выше) требуется предоставить полный доступ к критическим модулям и инструментам автоматизированной сборки.
Протоколы тестирования: Описания методик, чек-листы, результаты функциональных и нагрузочных тестов.
Доказательная база соответствия: Таблицы трассировки требований, сопоставление заявленных функций с реальными практиками разработки и внедрения.
Разрешительные письма: Для программных комплексов, основанных на открытом ПО — лицензии и письма от правообладателей (при необходимости).
Шаблоны и точные требования можно получить в лаборатории аккредитации, либо ознакомиться с образцами на портале Минпромторга или ГИСП.
Практические советы, типичные ошибки и FAQ
Экспертный опыт FindCert и компаний-партнёров выявил типовые проблемы и оптимальные стратегии прохождения ISO 15408. В этом разделе — исключительно практические рекомендации для предпринимателей.
⚠️ Ошибка 1: Недооценка подготовки Security Target. Больше 30% заявителей терпят неудачу на стадии аудита из-за неясного или неполного ST. Совет: используйте утверждённые шаблоны от лабораторий и привлекайте специалистов для транслирования ваших требований на терминологию Common Criteria.
⚡ Ошибка 2: Неполная документация на продукт. Важно обеспечить соответствие всех модулей, даже если часть функций реализована сторонними интеграторами. Совет: включите в комплект сопровождающие документы по всем компонентам и используемым библиотекам.
📊 Ошибка 3: Отсутствие тестовой среды и артефактов тестирования. Сертификационная лаборатория имеет право затребовать результаты реальных нагрузочных и функциональных тестов. Совет: заранее создайте контролируемую среду и соберите полный комплект логов, отчётов, скриншотов.
📌 Ошибка 4: Невыполнение требований к сопровождению. Сертификация актуальна только при подтверждённом механизме управления обновлениями и исправлениями. Совет: опишите процессы быстрого реагирования на инциденты и регламент внедрения патчей.
FAQ от FindCert:
Вопрос: Сертификат полученный в России, применим ли за рубежом?
Ответ: Да, если лаборатория аккредитована в международной схеме Common Criteria (CCRA). Пожалуйста, уточняйте перечень стран на официальном портале.Вопрос: Обязателен ли доступ к исходному коду?
Ответ: Зависит от EAL: для EAL1-2 достаточно спецификаций и инструкций; для EAL3 и выше — требуется предоставить исходные коды, сборочные скрипты и историю изменений.Вопрос: Какие расходы и сроки сертификата?
Ответ: Стоимость определяется лабораторией (обычно от 1,5 до 10 млн руб. для коммерческих решений; сроки — от 6 до 18 месяцев в зависимости от объема и этапа готовности).Вопрос: Какие преимущества сертификации для бизнеса?
Ответ: Возможность участия в госзакупках, повышение лояльности клиентов, снижение рисков взлома; продукт вносится в государственные реестры, что облегчает продвижение.
💡 Практический совет: Для ускорения процесса используйте сервис FindCert — сравнивайте предложения, фиксируйте сроки и стоимость на старте, получайте рекомендации по наиболее частым ошибкам от службы поддержки. Обращайтесь к компаниям с прослеживаемым опытом в вашем сегменте ПО.
Заключение и рекомендации FindCert
Сертификация по ISO 15408 — не только доказательство высокого уровня информационной безопасности, но и необходимое условие допуска к ряду государственных и корпоративных рынков. Процесс сложен и требует компетентной подготовки документов, тестирования, отладки процедур сопровождения.
FindCert как агрегатор сертификационных услуг предоставляет предпринимателям возможность сравнить условия, выбрать оптимального партнёра, получить консультацию по сложным вопросам и избежать типичных ошибок при оформлении.
Советуем заранее спланировать сертификацию своего продукта, оценить требования к уровню EAL, подключить узкоотраслевых экспертов, а также активно использовать платформу FindCert (findcert.ru) для поиска проверенных компаний и актуальной информации о документации. Ваше доверие — наш ключевой приоритет!
Автор: Эксперт FindCert
Специалист в области сертификации товаров и услуг
Более 10 лет опыта в сфере сертификации, декларирования и получения разрешительных документов. Помогает бизнесу легально работать на российском рынке.
