ГОСТ Р ИСО 7498-2-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации;
ГОСТ Р ИСО/МЭК 9594-8-98 Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации;
ГОСТ Р ИСО/МЭК 9594-9-95 Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 9. Дублирование.
К ним можно добавить нормативные документы по средствам, системам и критериям оценки защищенности средств вычислительной техники и автоматизированных систем, которыми являются:
руководящий документ ГОСТЕХКОММИССИИ "РД. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" (Гостехкомиссия России, 1997);
ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования";
ГОСТ28147-89.Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования;
ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки
электронной подписи на базе асимметричного криптографического алгоритма;
ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования.
Последняя группа документов преимущественно ориентирована на защиту государственной тайны, также как и многие ранее созданные зарубежные документы.
Следуя по пути интеграции, в 1990 году Международная организация по стандартизации (ИСО) начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования, названные "Common Criteria(CC)" или "Общие Критерии Оценки Безопасности Информационных Технологий(ОК)". В разработке Общих Критериев участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), Органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция), которые опирались на солидный задел.
Новые критерии адаптированы к потребностям взаимного признания результатов оценки безопасности ИТ в мировом масштабе и предназначены для использования в качестве основы для такой оценки. За десятилетие разработки лучшими специалистами мира ОК неоднократно редактировались. В результате был подготовлен Международный Стандарт ISO/IEC 15408. Текст документа ISO/IEC 15408 был опубликован как "Общие критерии оценки безопасности информационных технологий" (ОК) и в 1999 году утвержден. Ведущие мировые производители оборудования ИТ основательно подготовились к этому моменту и сразу стали поставлять заказчикам любые средства, полностью отвечающие требованиям ОК.
Подводя итог вышеизложенному, следует отметить, что для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:
- законодательного;
- административного;
- процедурного;
- программно-технического.
В современном мире нормативно-правовая база должна быть согласована с международной практикой. Назрела необходимость приведения российских стандартов и сертификационных нормативов в соответствие с международным уровнем ИТ вообще и по критериям оценки безопасности информационных технологий в частности. Приведем основные причины:
- необходимость защищенного взаимодействия с зарубежными организациями и зарубежными филиалами российских организаций;
- доминирование аппаратно-программных продуктов зарубежного производства.
Обеспечение безопасности ИТ невозможно без разработки соответствующих законодательных актов и нормативно-технических документов. Новые критерии оценки безопасности информационных технологий занимают среди них особое место. Только стандартизованные отечественные критерии позволяют проводить сравнительный анализ и сопоставимую оценку продуктов ИТ.
Последний тезис подкрепляется материалами конференции "Информационная безопасность России в условиях глобального информационного общества". Конференция была организована Советом Безопасности и Государственной Думой РФ и прошла в Москве 5 февраля с.г. Актуальность рассматриваемой тематики
статьи и конференции подчеркивается документом "Доктрина информационной безопасности Российской Федерации", который был утвержден Президентом 09.09.2000. В нем, в частности говорится, что "серьезную угрозу для нормального функционирования экономики в целом представляют компьютерные преступления, связанные с проникновением криминальных элементов в компьютерные системы и сети банков и иных кредитных организаций".