Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий" (издан 1 декабря 1999 года) относится к оценочным стандартам. Этот международный стандарт стал итогом почти десятилетней работы специалистов нескольких стран. Он вобрал в себя опыт существовавших к тому времени документов национального и межнационального масштаба. Именно поэтому этот стандарт очень часто называют "Общими критериями". "Общие критерии" являются метастандартом, определяющим инструменты оценки безопасности информационных систем и порядок их использования...

Эта история произошла в 2018 г. Её нам рассказали коллеги из органа по сертификации, проводившие сертификацию системы менеджмента информационной безопасности в одной из организаций на соответствие требованиям ГОСТ Р ИСО/МЭК 27001. Руководство организации решило идти в ногу со временем в части развития системы менеджмента, автоматизации, цифровизации своей деятельности, а для этого необходимо было обеспечить информационную безопасность. Представителем руководства назначили директора по безопасности. Ответственность за разработку, внедрение и поддержание системы менеджмента возложили на начальника отдела по IT-инфраструктуре...