Новые тенденции сертификации по Common Criteria

1 Отзыв

Организация NIAP (National Information Assurance Partnership), регулирующая сертификацию средств защиты информации в США, в октябре опубликовала несколько профилей защиты, которые могут быть интересны в свете последних тенденции в системе сертификации, регулируемой ФСТЭК России.

Опубликованы (ссылка):

  • профиль защиты VPN-клиента — Protection Profile for IPsec Virtual Private Network (VPN) Clients;
  • профиль защиты системы управления мобильными устройствами — Protection Profile for Mobile Device Management Systems;
  • профиль защиты мобильных устройств — Protection Profile for Mobile Devices;
  • профиль защиты VOIP-приложения — Protection Profile for VOIP Applications.

Отметим, что с 2012 года NIAP ведется коренная реформа сертификации по схеме Common Criteria. Основные преобразования следующие:

  1. Отказ от понятия «оценочный уровень доверия» (EAL). Опыт проведения сертификации по классическим Common Criteria показал, что во многих случаях невозможно обеспечить повторяемость и воспроизводимость при проведении испытаний (даже при сертификации на EAL3 или EAL4 не всегда удается этого достичь). Новые профили содержат требования доверия, сформулированные на основе «старого» ОУД2.
  2. Для обеспечения повторяемости и воспроизводимости  результатов профили защиты дополняются типовыми методиками испытаний (как для требований доверия, так и для функциональных требований безопасности).
  3. Справочная информация (например, обоснования требований или целей безопасности) вынесена в приложение к документу.
  4. Профили защиты разрабатываются техническими комитетами, в которые, как правило, входят представители разработчиков.
  5. Создаются базовые профили защиты и пакеты расширений (Extended Package):
  • базовый профиль (например, профиль защиты на сетевое устройство) описывает функции безопасности, характерные для всех сетевых устройств (идентификация/аутентификация администратора, регистрация событий и т.д.);
  • пакет расширения базового ПЗ  содержит требования, характерные для конкретного типа СЗИ на базе сетевых устройств (например, межсетевой экран или СОВ).

К реформе уже присоединились другие страны (Англия, Австралия и Канада). Более подробная информация представлена в информационном письме NIAP (ссылка).

В планах NIAP разработка профилей защиты для следующих перспективных типов СЗИ:

  • центр сертификации;
  • KVM переключатели (Peripheral Sharing Switch for Human Interface Devices);
  • многофункциональные устройства;
  • системы обнаружения вторжений.

Это лишний раз подтверждает актуальность работ, выполняемых ФСТЭК России,  по преобразованию системы сертификации!

Possibly Related Posts:


Эксперт сообщества Александр Барабанов

Выпускник МГТУ им. Н.Э.Баумана по специальности "Комплексное обеспечение информационной безопасности автоматизированных систем". Доцент кафедры "Информационная безопасность" МГТУ им. Н.Э. Баумана, кандидат технических наук, CISSP, CSSLP.

Рубрика: Общие критерии, Сертификация. Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.

1 Отзыв на «Новые тенденции сертификации по Common Criteria»


  1. Центр компетенции по стандарту "Общие критерии" » Отчет о ICCC 2015

    […] сертификации по методологии «Общих критериев». Напомню, что по инициативе ряда систем сертификации (в […]