Система контроля защищенности и соответствия стандартам безопасности MaxPatrol, разработанная компанией Positive Technologies, прошла успешную сертификацию по стандарту ISO 15408 в Германии. Международный сертификат по требованиям безопасности выдан немецким Федеральном ведомством по безопасности в сфере информационных технологий (BSI) — аналогом ФСТЭК в России.

Стандарт ISO 15408 «Common Criteria for Information Technology Security Evaluation» (сокращенно Common Criteria или CC) был принят в 1999 году как унифицированный международный стандарт сертификации информационных систем по требованиям безопасности. Стандарт позволяет формировать задания по безопасности — унифицированные документы, с помощью которых компьютерной системы могут изложить требования к безопасности продукта, разработчики могут заявить о свойствах безопасности своего продукта, эксперты по безопасности — определить, удовлетворяет ли продукт этим заявлениям, а потребители оценить, пригоден ли продукт для их компьютерных систем. Таким образом, стандарт обеспечивает условия, в которых процесс описания, разработки и проверки продукта на требования по безопасности производится с необходимой скрупулёзностью.

Процедура сертификации, предусмотренная ISO 15408, имеет два важных отличия от других видов оценки соответствия. Во-первых, в отличие, например, от сертификации на соответствие техническим условиям, разработчик сертифицируемого продукта обязан не только декларировать функции безопасности своего решения, но и обосновать достаточность этих функций для противодействия угрозам, характерных для тех условий, в которых предполагается эксплуатация. Во-вторых, в сертификате указывается уровень доверия (Evaluation Assurance Level, EAL), позволяющий потребителю сертифицированного решения судить о том, насколько глубоко это решение было исследовано в ходе сертификационных испытаний.

Сертификат системы MaxPatrol подтверждает, что функции безопасности системы предотвращают несанкционированный доступ к результатам сканирования, настройкам и иной важной информации, обрабатываемой системой. Испытания проводилось в соответствии с уровнем доверия EAL2, который предусматривает не только тестирование продукта испытательной лабораторией, но и детальное изучение проектной документации, процессов разработки и тестирования, а также поиск уязвимостей в файлах дистрибутива системы.

Стандарт ISO 15408 стал инструментом, позволившим на основе международного соглашения Common Criteria Recognition Agreement создать систему взаимного признания сертификатов, выданных уполномоченными государственными ведомствами стран-участников соглашения. Сертификат, выданный в Германии, также признается в 25 других странах мира — в Австралии, Австрии, Великобритании, Венгрии, Голландии, Греции, Дании, Израиле, Индии, Испании, Италии, Канаде, Малайзии, Новой Зеландии, Норвегии, Пакистане, Сингапуре, США, Турции, Финляндии, Франции, Чехии, Швеции, Южной Корее и Японии.

«Это первая успешная сертификация программного продукта российской компании за рубежом в рамках соглашения CCRA. Не скрою, когда мы только начали эту работу, у нас были некоторые опасения, что политические осложнения помешают ее завершить. Но они, к счастью, не оправдались, — отмечает Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies. — Сравнивая опыт зарубежной и российской сертификации, мы не заметили каких-либо существенных различий в работе немецкой и российских испытательных лабораторий. Основной сложностью, пожалуй, оказалась необходимость разработать комплект документации по форме, которая установлена требованиям ISO 15408: состав и содержание документов кардинально отличаются от того, что предписывается российским разработчикам привычными стандартами ЕСПД».

Помимо немецкого ведомства BSI, система MaxPatrol сертифицирована SAP, «Газпромом», ФСТЭК, Минобороны РФ, CIS Security Benchmarks и другими организациями.