Если читателю доводилось слышать термин "система сертифицирована по классу С2", то это как раз термин, обозначающий уровень информационной безопасности по данным критериям.

При этом необходимо отметить, что в России существуют свои нормативные документы по данному вопросу. Это документы, выпущенные Государственной технической комиссией при Президенте Российской Федерации: Классификация автоматизированных систем и требования по защите информации, Показатели защищенности от несанкционированного доступа к информации, Положение по аттестации объектов информатизации по требованиям безопасности информации и др., о которых будет рассказано в главе 29.

Если отсутствуют соответствующие регламенты на использование того или иного подхода к оценке конкретной информационной системы, то можно выбрать наиболее понравившийся — практически все указанные документы доступны в Интернете. Хотелось бы только предостеречь от поверхностного подхода к таким оценкам.

Например, ряд руководителей, услышав, что С2 — это уровень, рекомендованный для использования в коммерческих учреждениях, начинают в качестве требований к поставщикам указывать необходимость соответствия данному уровню, до конца не понимая из чего он складывается. В таких случаях мы бы рекомендовали пройтись хотя бы по названиям подпунктов раздела С2 "Красной книги", чтобы иметь общее представление о данном стандарте. В этой статье в разделе "Классификация информационных объектов" будут немного подробнее затронуты вопросы критериев оценки систем.