яльності у сфері систематизації вимог і характеристик захищених інформаційних комплексів стала Система міжнародних і національних стандартів безпеки інформації, яка налічує більше сотні різних документів. Як приклад можна привести стандарт ISO 15408, відомий як Common Criteria .
Ухвалений 1998 року базовий стандарт інформаційної безпеки ISO 15408, безумовно, дуже важливий для російських розробників. Тим більше що в поточному, 2001 Держстандарт планує підготувати гармонізований варіант цього документа. Міжнародна організація по стандартизації (ISO) приступила до розробки Міжнародного стандарту за критеріями оцінки безпеки інформаційних технологій для загального використання Common Criteria ( Загальні критерії оцінки безпеки ІТ ) в 1990 році. У його створенні брали участь: Національний інститут стандартів і технології і Агентство національної безпеки (США), Установа безпеки комунікацій (Канада), Агентство інформаційної безпеки (Німеччина), Агентство національної безпеки комунікацій (Голландія), органи виконання Програми безпеки і сертифікації ІТ (Англія) , Центр забезпечення безпеки систем (Франція). Після остаточного затвердження стандарту йому було присвоєно номер ISO 15408.
Загальні критерії (ОК) створені для взаємного визнання результатів оцінки безпеки ІТ у світовому масштабі і являють собою її основу. Вони дозволяють порівняти результати незалежних оцінок інформаційної безпеки та допустимих ризиків на основі безлічі загальних вимог до функцій безпеки засобів і систем ІТ, а також гарантій, застосовуваних до них у процесі тестування.
Головні переваги ОК - повнота вимог до інформаційної безпеки, гнучкість в застосуванні і відкритість для подальшого розвитку з урахуванням новітніх досягнень науки і техніки. Критерії розроблені таким чином, щоб задовольнити потреби всіх трьох груп користувачів (споживачів, розробників і оцінювачів) при дослідженні властивостей безпеки засобу або системи ІТ (об'єкта оцінки). Цей стандарт корисний в якості керівництва при розробці функцій безпеки ІТ, а також при придбанні комерційних продуктів з подібними властивостями. Основний напрямок оцінки - це загрози, що з'являються при злочинних діях людини, але ОК також можуть використовуватися і при оцінці загроз, викликаних іншими факторами. У майбутньому очікується створення спеціалізованих вимог для комерційної кредитно-фінансової сфери. Нагадаємо, що колишні вітчизняні та зарубіжні документи такого типу були прив'язані до умов урядової чи військової системи, обробній секретну інформацію, в якій може міститися державна таємниця.
Випуск і впровадження цього стандарту за кордоном супроводжується розробкою нової, стандартізуемих архітектури, яка покликана забезпечити інформаційну безпеку обчислювальних систем. Іншими словами, створюються технічні та програмні засоби ЕОМ, відповідати загальним критеріям. Наприклад, міжнародна організація Open Group raquo ;, що об'єднує близько 200 провідних фірм-виробників обчислювальної техніки і телекомунікацій з різних країн світу, випустила нову архітектуру безпеки інформації для комерційних автоматизованих систем з урахуванням зазначених критеріїв. Крім того, Open Group створює навчальні програми, що сприяють швидкому і якісному впровадженню документів зі стандартизації.
1.3 Особливості процесу стандартизації в Інтернеті
У Глобальної мережі вже давно існує цілий ряд комітетів, що займаються стандартизацією всіх інтернет-технологій. Ці організації, що становлять основну частину Робочої групи інженерів Інтернету (Internet Engineering Task Force, IETF), вже стандартизировали кількох важливих протоколів, тим самим прискоривши їх впровадження в мережі. Сімейство протоколів для передачі даних TCP/IP, SMTP і POP для електронної пошти, а так само SNMP (Simple Network Management Protocol) для управління мережею - результати діяльності IETF.
За кілька останніх років мережевий ринок став свідком так званого фрагментованого впливу на формування стандартів. У міру того, як Інтернет ширився і знаходив риси споживчого та комерційного ринку, деякі фірми стали шукати шляхи впливу на стандартизацію, створивши подобу конкурентної боротьби. Тиск відчули навіть неформальні органи, такі як IETF. У міру розвитку ринків, пов'язаних з Інтернетом, підприємці почали об'єднуватися в спеціальні групи або консорціуми для просування своїх власних стандартів. В якості прикладів можна згадати OMG (Object Management Group), VRML (Virtual Reality Markup Language) Forum і Java Development Connection. Часом стандарти де-факто задають своїми покупками або замовленнями серйозні споживачі інтернет-послуг.
Одна з причин появи різних груп по стандартизації полягає в протиріччі між постійно зростаючими темпами розвитку технологій і тривалим циклом створення стандартів.
