Главная тенденция, которая прослеживается при анализе современных стандартов в области информационной безопасности, состоит в отказе от жесткой универсальной шкалы классов безопасности и обеспечении гибкости в подходе к оценке безопасности различных типов изделий ИТ [сс].

Эта концепция была предложена в выпущенных в 1991 году "Гармонизированных критериях европейских стран" [сс9], затем - в "Канадских критериях оценки безопасности компьютерных продуктов" [ссЮ] и "Федеральных критериях безопасности информационных технологий" США [ccl 1].

Появление международного стандарта "Общие критерии оценки безопасности информационных технологий" [сс12-сс14, сс19-сс21] явилось новым этапом в развитии нормативной базы оценки информационной безопасности.

В разработке Общих критериев (ОК) участвовали: Национальный институт стандартов и технологии, Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Нидерланды), Органы исполнения Программы безопасности и сертификации ИТ (Великобритания), Центр обеспечения безопасности систем (Франция).

Разработка международного стандарта по критериям оценки безопасности информационных технологий (ИТ) была начата в 1990 году. Новые критерии были призваны обеспечить взаимное признание результатов стандартизованной оценки безопасности на мировом рынке ИТ. Разработка версии 1.0 ОК [сс12] была завершена в январе 1996 года и одобрена международной организацией по стандартизации (ИСО) в апреле 1996 года. Был проведен ряд экспериментальных оценок на основе версии 1.0 ОК, а также организовано широкое обсуждение документа.

В мае 1998 года была опубликована версия 2.0 ОК [сс13] и на ее основе в июне 1999 года был принят международный стандарт ISO/IEC 15408 [сс19-сс21]. Официальный текст стандарта издан 1 декабря 1999 года. Изменения, внесенные в стандарт на завершающей стадии его принятия, учтены в версии 2.1 ОК [сс14], идентичной стандарту по содержанию.

Практически одновременно с ОК разрабатывались версии Общей методологии оценки безопасности информационных технологий (ОМО) [сс28-сс29].

В августе 1999 г. опубликована версия 1.0 ОМО (часть 2) для оценочных уровней доверия (ОУД) 1-4 [сс29] .

В январе 2004 г. опубликованы версии 2.2 ОК и ОМО [ccl5], [сс31] с учетом принятых к этому времени интерпретаций.

В августе 2005 г. опубликованы версии 2.3 ОК [сс16] и ОМО [сс32], положенные в основу стандартов ISO/IEC 15408:2005 [сс22-сс24] и ISO/IEC 18045:2005 [сс35] соответственно. В июле 2005 г. опубликованы новые версии 3.0 ОК [сс17] и ОМО [ссЗЗ], в которых предыдущие версии ОК и ОМО подверглись существенной ревизии. Как показало обсуждение этих версий в международном сообществе, далеко не все предложенные авторами изменения были целесообразны и корректны. В результате, в сентябре 2006 года появились версии 3.1 ОК [сс18] и ОМО [сс34], которые и были признаны Управляющим комитетом по Общим критериям официальными версиями ОК и ОМО наряду (на переходный период) с версиями 2.3 ОК и ОМО.

Общие критерии обобщили содержание и опыт использования Оранжевой книги и ее интерпретаций [сс7], [сс8], развили оценочные уровни доверия Европейских критериев, воплотили в реальные структуры концепцию типовых профилей защиты Федеральных критериев США.