12.12.2005 РешенияСтандарты в структуре информационной безопасности (ИБ) выступают как связующее звено между технической и концептуальной стороной вопроса. Их нельзя сравнить, скажем, со "стандартом на изготовление кривошипно-шатунных изделий" по одной простой причине: в стандартах на ИБ косвенно затрагиваются правовые вопросы - такие, как "защита жизненно важных интересов личности" (закон РФ No 2446-1 "О безопасности" от 5 марта 1992 г. с изменениями от 25 декабря 1992 г.). В связи с необходимостью обеспечить совместимость аппаратно-программных систем и их компонентов за основу российских стандартов ИБ ("Гостехкомиссия России. Руководящий документ. Концепция защиты СВТ и АС от НСД к информации". - М., 1992 г.), брались стандарты США - так называемая "Оранжевая книга" (Department of Defense Trusted Computer System Evaluation Criteria.- DoD 5200.28 - STD, December 26, 1985). Эта "оранжевая революция" в ИТ привела к тому, что правовую базу пришлось так или иначе подтягивать к стандартам. Возникают определенные трудности с пониманием вопроса, тем более что количество стандартов и спецификаций (международных, национальных, отраслевых и т. п.) в области ИБ весьма велико. Чтобы разобраться в вопросах применения российских стандартов, необходимо представить себе административно-правовую структуру информационной безопасности и понять, какое место они в ней занимают. Эта структура показана на рис. 1, откуда видно, что стандарты относятся к специальным ...
читать далее.