Стандарты информационной безопасности - совокупность отечественных и международных нормативных и методических документов, формулирующих требования и рекомендации к процессам обеспечения информационной безопасности, используемым мерам и технологиям, а также описывающих способы контроля соответствия данным стандартам. Это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам.
Создание стандартов в области информационной безопасности направлено на решение следующих основных задач:
-
разработка понятийного аппарата и терминологии в области ИБ
-
формирование шкалы измерений уровня ИБ
-
повышение технической и информационной совместимости продуктов, обеспечивающих ИБ
-
накопление сведений о лучших практиках обеспечения информационной безопасности и ознакомление с ними профессионального сообщества
-
установление требования обязательного выполнения ряда стандартов и требований.
Начиная с 80-х годов прошлого века были созданы десятки иностранных, международных и отечественных стандартов в области информационной безопасности. Среди наиболее известных - Оранжевая книга (система стандартов в области компьютерной безопасности, разработанная Министерством обороны и Национальным комитетом компьютерной безопасности США), общеевропейские критерии (Information Technology Security Evaluation Criteria, ITSEC), группа стандартов ISO 27000 и NIST SP 800.