Начиная с 2000 года в области информационной безопасности заметно расширилась практика прямого применения стандартов, в основном разработанных совместным техническим комитетом международной организации по стандартизации и международного электротехнического комитета «Безопасность информационных технологий» ISO/IEC JTC1/SC27. В первую очередь это стандарты ИСО/МЭК 15408, 17799, 27001, 13335, TR 19791.

В условиях быстрого роста рынка продуктов и услуг в области информационной безопасности с одной стороны и дефицита отечественной нормативной базы с другой стороны такая практика обеспечивает решение проблемы нормативного обеспечения информационной безопасности.

Однако решение представляется сегодня не самым оптимальным. Любые, даже самые качественные, но заочные переводы стандартов ставят авторов под неизбежный огонь критики и порождают умножение толкований, поскольку чрезвычайно сложно сделать адекватную русскоязычную интерпретацию текста без многолетнего участия в согласительных процедурах в рамках международных организаций по стандартизации.

Однако для такой организации процесса необходимо, как говорится «иметь, что сказать», в условиях отставания российских бизнес-практик обеспечения информационной безопасности; иметь политическую волю к последовательной и непрерывной работе, несмотря на постоянные административные изменения и неустойчивость бизнес-планов, и, наконец, немалые финансовые средства.

Необходима разработка и реализация сбалансированной интересами государственных регуляторов рынка, бизнеса и потребителей стратегии стандартизации в области информационной безопасности. Кроме этого, ничто принципиально не мешает воспользоваться, кровью заработанным Советским Союзом во второй мировой войне, правом выносить к принятию оригинальные международные стандарты ИСО на одном из трех официальных – русском языке, что полностью снимает проблемы оценки качества переводов.

При разработке стратегии стандартизации, кроме создания современной нормативной базы, как основы для контрольно-надзорной деятельности, возможно также предусмотреть достижение и других целей:
- продвижение на международные рынки передовых и конкурентноспособных отечественных решений, например, криптографических средств защиты информации, средств защиты информации от несанкционированного доступа и утечки по техническим каналам;
- поддержка и распространение экономически успешных и эффективных организаций и бизнес-практик;
- увеличение внутреннего и международного оборота продуктов и услуг в области информационной безопасности;
- содействие быстрому распространению передовых знаний и новшеств для усиления конкуренции в бизнесе и, как следствие, повышению качества продуктов и услуг, установлению обоснованных цен;
- сокращение объема административных регуляторов рынка за счет делегирования бизнесу компетенции разработки стандартов, как одной из составляющих технического регулирования;
- устранение международных и внутрироссийских отраслевых технических барьеров при распространении продуктов и услуг в области информационной безопасности;
- содействие взаимопроникновению технологий из разных сфер безопасности;
- внедрение процедур разработки стандартов с ограниченным согласованием, как средства поддержки продуктов с короткими фазами разработки и эксплуатации;
- использование стандартизации как механизма защиты инвестиций в разработку и продвижение новых продуктов, в том числе государственных капиталовложений в НИОКР;
- использование механизмов соглашений по совместной разработке стандартов ИСО для взаимодействия с другими международными организациями, работающими в области информационной безопасности (ITU , ICANN , IETF , ETSI , ENISA);
- фактическая реализация через стандартизацию модели технического самоуправления в отрасли информационной безопасности.

Признание необходимости достижения этих целей может оказать значительное влияние на содержание и формы проведения работ по стандартизации в области информационной безопасности. В первую очередь это приведет к увеличению возможности и необходимости участия в процессах стандартизации бизнес-организаций. Практика работы иностранных компаний в международных организациях по стандартизации показывает целесообразность и возможность такого участия преимущественно для крупных и финансово стабильных компаний.

Участие российских бизнес-организаций в работе международных технических комитетов в одиночку затруднено в силу следующих причин:
- принадлежность большинства отечественных участников рынка информационной безопасности к малому и среднему бизнесу с соответствующими финансовыми, организационными и кадровыми ограничениями;
- сложность организации одновременной разработки продукта и его поддержки стандартизацией в течение 3-5 лет, несовпадения современного «горизонта» российского бизнес - планирования со сроками разработки стандартов;
- сложность одиночного отстаивания позиций в условиях сильного конкурентного давления и фактического ведения лингвистической борьбы с англоязычными оппонентами.

Одним из возможных решений комплекса этих проблем может быть организация участия участников рынка в процедурах международной стандартизации в форме частно-государственного партнерства. При этом даже небольшая финансовая поддержка государства позволит консолидировать усилия многих участников рынка, создать реальные постоянно-действующие экспертные группы, обеспечить непрерывность и преемственность работы, согласовать бизнес-интересы отдельных участников и не допустить узко-конъюнктурных предложений. В тоже время, государственные регуляторы рынка получат возможность требовать от импортеров интеграции с нашими решениями, заставлять сертифицировать импортные продукты в отечественных системах сертификации (работающих, в том числе, и на основе международных стандартов), без чего их продвижение на российском рынке должно быть затруднено.

Реализация стратегии стандартизации, преследующей эти цели разумеется потребует больших усилий. Необходимо будет:
- организовывать взаимодействие государственных регуляторов, бизнеса и ассоциаций;
- упорядочивать распределение сфер ответственности за разработку стандартов в области информационной безопасности между различными национальными техническими комитетами, стремясь сделать структуру «зеркальной» по отношению к международной системе стандартизации;
- создавать реально работающие сети для связей с общественностью и информационной деятельности;
- рекламировать преимущества стандартизации;
- интенсифицировать образование и подготовку кадров для стандартизации;
- оценивать рыночную значимость проектов новых стандартов;
- интегрировать работы по стандартизации в исследования и разработку;
- следить за развитием новых рынков и технологий; определять наиболее приоритетные направления среди российских технологий обеспечения информационной безопасности;
- разграничивать стандартизацию и законодательную деятельность, внедрять отношение к стандартам, как к договору между производителем и потребителем.

Разумеется, такая работа столкнется с большими трудностями. Сложно будет найти, обосновать и поддерживать государственное софинансирование проекта, найти конкурентноспособные технологии, требующие поддержки на уровне международной стандартизации, преодолевать обычаи ведомственной обособленности сфер деятельности, препятствующие стандартизации интегрированных технологий и пр. Однако, даже начало этой деятельности, знакомство с практикой разработки международных стандартов, направлениями совершенствования международной системы стандартов в области информационной безопасности и перспективами развития технологий в этой области может дать серьезный импульс для отечественных организаций – производителей продуктов и услуг в области информационной безопасности.

Практически апробировать предлагаемые подходы возможно уже весной этого года. Ассоциация «ЕВРААС» выступает техническим организатором выездного заседания технического подкомитета ISO/IEC JTC1/SC27, проводимом впервые на территории России и стран СНГ (http://sc27.evraas.ru). Заседание пройдет на борту теплохода, следующего по маршруту Москва-Санкт-Петербург с 2 по 12 мая 2007 года. Там же, 3 мая в Москве, 5 мая в Ярославле и 10 мая в Санкт-Петербурге пройдет международная конференция «Проблемы международной стандартизации в области безопасности информационных технологий» с участием руководителей рабочих групп технического подкомитета ISO/IEC JTC1/SC27, представителей государственных и корпоративных структур. Участникам рынка будет предоставлена возможность участия в заседаниях рабочих групп и конференции, что позволит каждой организации определить свою позицию по вопросам необходимости участия в международной стандартизации.