Роль стандартов информационной безопасности

С развитием информационных технологий появилась необходимость стандартизации требований в области защиты информации.

Главная задача стандартов информационной безопасности — создать основу для взаимодействия между производителями, потребителями и специалистам по сертификации. Каждая из этих групп имеет свои интересы и свои взгляды на проблему информационной безопасности.

Производители нуждаются в стандартах как средстве сравнения возможностей своих продуктов, и в применении процедуры сертификации как механизме оценки их свойств, а также в стандартизации определенного набора требований безопасности, который мог бы ограничить фантазию заказчика конкретного продукта и заставить его выбирать требования из этого набора.

Потребители заинтересованы в методике, позволяющей обоснованно выбрать продукт, отвечающий их нуждам и решающий их проблемы, для чего им необходима шкала оценки безопасности и инструмент, с помощью которого они могли бы формулировать свои требования производителям.

Специалисты по сертификации рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности, обеспечиваемый системой, и предоставить потребителям возможность сделать обоснованный выбор. Специалисты по сертификации заинтересованы в четких и простых критериях, так как они должны дать обоснованный ответ пользователям — удовлетворяет продукт их нужды, или нет. В конечном счете именно они принимают на себя ответственность за безопасность продукта, получившего квалификацию уровня безопасности и прошедшего сертификацию.

Таким образом, перед стандартами информационной безопасности стоит непростая задача создать эффективный механизм взаимодействия всех сторон.