пятница, 21 октября 2011 г.

Проекты новых ГОСТов системы менеджмента информационной безопасности



29 сентября 2011 года на сайте Евро-азиатской ассоциации производителей товаров и услуг в области безопасности ЕВРААС ( http://евраас.рф ) появилось сообщение о том, что Ассоциацией ЕВРААС и ООО «НИИ СОКБ» подготовлены первые редакции проектов национальных стандартов:
  • ГОСТ Р ИСО/МЭК 27000-201х «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология» (идентичен ISO/IEC 27000:2009), http://евраас.рф/uploads/smartsection/2_ГОСТ_Р_ИСО_МЭК_27000__1_ред_2011-09-14.pdf .

    Данный стандарт содержит обзор системы менеджмента информационной безопасности, а также определения терминов.

  • ГОСТ Р ИСО/МЭК 27003–201х «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности» (идентичен ISO/IEC 27003:2010), http://евраас.рф/uploads/smartsection/2_ГОСТ_Р_ИСО_МЭК_27003__1_ред_2011-09-14.pdf

    Данный стандарт является руководством по разработке и внедрению системы менеджмента информационной безопасности в соответствии со стандартом ISO/IEC 27001:2005.
Ранее из серии стандартов ИСО 27000 системы менеджмента информационной безопасности были адаптированы в качестве национальных следующие документы:
  • ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (идентичен ISO/IEC 27001:2005)

  • ГОСТ Р ИСО/МЭК 17799-2005 "Информационная технология. Практические правила управления информационной безопасностью" (идентичен ISO/IEC 17799:2000, действующая редакция стандарта ИСО - ISO/IEC 27002:2005 )

  • ГОСТ Р ИСО/МЭК 27005-2010 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности" (идентичен ISO/IEC 27005:2008, действующая редакция стандарта ИСО - ISO/IEC 27005:2011)

  • ГОСТ Р ИСО/МЭК 27006-2008 "Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности" (идентичен ISO/IEC 27006:2007)
Что представляет интерес для специалистов по управлению документами: К сожалению, очередной раз в проекте ГОСТ Р ИСО/МЭК 27000 неверно переведен термин record – и когда только специалистам ИБ и ИТ надоест навязывать свои «записи» вместо правильного перевода «документы»?!

В итоге получается забавная конструкция: «2.32 Запись (record): документ, содержащий достигнутые результаты или свидетельства осуществлённой деятельности

Никакие отсылки на скверно переведенный ранее стандарт менеджмента качества ISO 9000 разработчиков не оправдывают, поскольку им уже не раз предлагалось заглянуть в законодательство страны и убедиться, что подобных «записей» в нем нет и пока не ожидается.

В результате вот как выкручивался переводчик: в п.3.5.5 фразу
An organization needs to maintain and improve the ISMS through monitoring and assessing performance against organization policy and objectives, and reporting the results to management for review. This ISMS review will allow evidence of validation, verification, and traceability of corrective, preventive and improvement actions based on the records of these monitored areas, including the monitoring of information security controls.
Что IMHO означает:
Организации нужно поддерживать и улучшать систему менеджмента информационной безопасности (СМИБ) посредством мониторинга и оценки её эффективности в сопоставлении с политикой и целями организации, и сообщения результатов руководству, которое должно дать им оценку. Эта оценка СМИБ должна принимать во внимание подтверждения (доказательства) проверки и отслеживаемости корректирующих, превентивных и улучшающий действий, основанные на документах о функционировании этих контролируемых областей, включая мониторинг мер контроля и управления информационной безопасности.
Авторы проекта перевели следующим образом:
Организация должна поддерживать работоспособность и улучшать СМИБ посредством контроля и оценки деятельности, направленной против (!) политики и целей организации, и сообщения о результатах менеджменту для анализа. Этот анализ СМИБ позволит наглядно показать правильность и отслеживаемость корректирующих, профилактических действий и действий по усовершенствованию, основанных на этих результатах, включая контроль средств управления информационной безопасностью.
Как говорится, «почувствуйте разницу»…

В проекте ГОСТ Р ИСО/МЭК 27003 представляет интерес п.9.2.2, название которого я бы перевела как «Разработка концепции документирования в СМИБ» (в проекте – «Разработка основы для документирования СМИБ»). Сравните мой перевод фрагмента содержащихся в этом пункте рекомендаций:
Разработка системы документирования работы СМИБ включает следующие действия:
a) Концепцию, описывающую принципы документирования в СМИБ, структуру процедур документирования в СМИБ, вовлеченные роли, форматы данных, и каналы отчетности перед руководством;
b) Разработку требований к документации СМИБ,
c) Разработку требований к документированию работы СМИБ.

Документация СМИБ должна включать документы, фиксирующие принятые руководством решения; обеспечивать возможность связать совершаемые действия с политиками и решениями руководства, а также воспроизводимость задокументированных результатов.

Документы СМИБ должны подтверждать [букв. «обеспечивать доказательства того»], что меры контроля и управления выбраны на основе результатов анализа и обработки риска, и что эти процессы внедрены в соответствии политикой и целями СМИБ.
и перевод, данный в проекте:
Разработка записей СМИБ включает следующие действия:
a) основа, описывающая принципы документирования СМИБ, структура процедур документирования СМИБ, связанные роли, форматы данных и каналы передачи данных для отчетности перед руководством;
b) разработка требований к документации;
c) разработка требований к записям.

Документация по СМИБ должна включать записи (!) решений руководства, обеспечивать возможность отслеживания действий для принятия решений и разработки политики руководством и воспроизводимость записанных результатов.

Документы по СМИБ должны содержать признаки (!) того, что средства управления выбраны на основе результатов оценки риска и обработки риска, и что такие процессы применяются в сочетании с политикой и целями СМИБ.
Кстати, в этом стандарте в приложении D упоминается «политика в отношении сроков хранения документов» (the record retention policy), что переведено как «политика сохранения записей» :)

Благодарность: Большое спасибо Алексею Лукацкому за информацию об этих проектах

Источники: сайт ЕВРААС / твиттер А.Лукацкого
http://евраас.рф
http://twitter.com/#!/alukatsky

3 комментария:

  1. Наташа, добрый день!
    Подскажите, пожалуйста, как же тогда быть в том случае, если встречается рядом в английском тексте и record, и document? Например:
    1. The ability of government agencies to use and manage
    electronic records is just a start. It is also necessary for
    these agencies to exchange information with each other.
    Although all such agencies have record management
    systems that work with electronic records, business
    cases, and sub-cases including documents, the objects
    were specific to the manufacturer of the software and
    not built according to a uniform standard.
    2. Meta-data that describes a record, business
    (sub-)case, or document
    3. Search for records by simple search (across all
    information held) and by advanced search (i.e.
    by choosing the appropriate fields). This
    includes the ability to search within the full text
    of documents.
    4. The advantages of electronic record processing are
    obvious. ELAK substantially reduces the amount of
    time required for processing applications since
    documents no longer need to be sent back and forth
    between ministries and public authorities.
    Вероника

    ОтветитьУдалить
  2. Уважаемая Вероника, хочу обратить Ваше внимание на то, что автор текста – австриец, и ему IMHO не всегда удается «переложение» своей национальной терминологии на английский язык. У австрийцев Dokument, насколько я понимаю, может означать как компоненту документа (скажем, приложение), так и документ, создание или обработка которого ещё не завершена (например, неутвержденный проект документа). В доброй старой английской терминологии document, помимо этого, также используется в отношении материалов информационно-справочного характера, а также «чужих» документов и материалов, не отражающих деловую деятельность данного конкретного ведомства – которые у нас часто также называются «документами». В общем, с учетом контекста, я бы перевела эти фрагменты так:

    1. «Способность государственных органов использовать электронные документы и управлять ими – лишь начало. Государственным органам также необходимо обмениваться информацией друг с другом. Хотя у всех у них есть системы управления электронными документами, работающие с делами, суб-делами, деловыми транзакциями/досье [имеются в виду папки в составе суб-дел], а также с отдельными документами, проектами документов и их компонентами, однако представление электронных объектов в этих системах не соответствует какому-то единому стандарту, а является специфическим для каждого производителя программного обеспечения».

    2. «Метаданные, описывающие дела, суб-дела, документы, проекты документов и их компоненты» [IMHO “or” лучше переводить здесь как «и»]

    3. «Простой (по всей имеющейся информации) или расширенный (т.е. по соответствующим полям) варианты поиска документов, включая возможность полнотекстового поиска по контенту документов». [здесь IMHO различать record и document нет необходимости]

    4. «Преимущества электронной обработки документов очевидны. Система ELAK позволяет существенно сократить время на обработку заявлений, поскольку больше нет необходимости пересылать туда-сюда документы и информацию между министерствами и другими органами государственной власти.»

    ОтветитьУдалить
  3. Большое спасибо!

    ОтветитьУдалить