Стандарты в информационной безопасности. Классификация.

В общем случае стандартом принято называть документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт может задавать и другие требования – например, к символике или терминологии.

Формальной причиной необходимости использованиястандартов является тот факт, что необходимость следования некоторым из них закреплена законодательно. Реальные причины гораздо глубже – обычно стандарт является результатом формализации опыта лучших специалистов в той или иной области, и потому представляет собой надёжный источник оптимальных и проверенных решений.

Стандарты являются также одним из основных механизмов обеспечения совместимости продуктов и систем – в частности, АС, использующих решения от различных производителей.

Остановимся на стандартах в области информационной безопасности. Их общепринятая классификация с примерами приведена на рис. 3.1.

Перечислим основные стандарты в области информационной безопасности, имеющие в настоящее время официальный статус в Российской Федерации:

- Руководящие документы (РД) Гостехкомиссии России действуют и активно используются при проведении сертификации средств защиты информации в системах сертификации ФСТЭК России, Минобороны России, а также в ряде добровольных систем сертификации.

- Стандарт ГОСТ Р ИСО/МЭК 15408-2002, более известный как «Общие критерии», действует и применяется при проведении сертификации средствзащиты, не предназначенных для работы с информацией, составляющейгосударственную тайну. В перспективе предполагается отказ от РДГостехкомиссии России и полноценный переход к «Общим критериям» какединому оценочному стандарту.