Стандарты информационной безопасности – это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам.
Стандарты в области информационной безопасности выполняют следующие важнейшие функции:
- выработка понятийного аппарата и терминологии в области информационной безопасности;
- формирование шкалы измерений уровня информационной безопасности;
- повышение технической и информационной совместимости продуктов, обеспечивающих ИБ;
- накопление сведений о лучших практиках обеспечения информационной безопасности и их предоставление различным группам заинтересованной аудитории – производителям средств ИБ, экспертам, ИТ-директорам, администраторам и пользователям информационных систем;
- функция нормотворчества – придание некоторым стандартам юридической силы и установление требования их обязательного выполнения.
Согласно Федеральному закону №184-ФЗ «О техническом регулировании», целями стандартизации являются:
- повышение уровня безопасности жизни и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества, объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера, повышение уровня экологической безопасности, безопасности жизни и здоровья животных и растений;
- обеспечение конкурентоспособности и качества продукции (работ, услуг), единства измерений, рационального использования ресурсов, - взаимозаменяемости технических средств (машин и оборудования, их составных частей, комплектующих изделий и материалов), технической и информационной совместимости, сопоставимости результатов исследований (испытаний) и измерений, технических и экономико-статистических данных, проведения анализа характеристик продукции (работ, услуг), исполнения государственных заказов, добровольного подтверждения соответствия продукции (работ, услуг);
- содействие соблюдению требований технических регламентов;
- создание систем классификации и кодирования технико-экономической и социальной информации, систем каталогизации продукции (работ, услуг), систем обеспечения качества продукции (работ, услуг), систем поиска и передачи данных, содействие проведению работ по унификации.
Основными областями стандартизации информационной безопасности являются:
• аудит информационной безопасности;
• модели информационной безопасности;
• методы и механизмы обеспечения информационной безопасности;
• криптография;
• безопасность межсетевых взаимодействий;
• управление информационной безопасностью.
Существуют российские стандарты информационной безопасности (ГОСТ Р ИСО/МЭК 15408, ГОСТ Р 51275 и др.), причем Федеральный закон №184-ФЗ «О техническом регулировании» декларирует принцип «применения международного стандарта как основы разработки национального стандарта, за исключением случаев, если такое применение признано невозможным вследствие несоответствия требований международных стандартов климатическим и географическим особенностям Российской Федерации, техническим и (или) технологическим особенностям или по иным основаниям, либо Российская Федерация в соответствии с установленными процедурами выступала против принятия международного стандарта или отдельного его положения».
Необходимость следования некоторым стандартам информационной безопасности закреплена законодательно. Однако и добровольное выполнение стандартов очень полезно и эффективно, поскольку в них описаны наиболее качественные и опробованные методики и решения.
Статью подготовила доцент кафедры социально-гуманитарных дисциплин Волгушева Алла Александровна. 
