29 сентября 2011 года на сайте Евро-азиатской ассоциации производителей товаров и услуг в области безопасности ЕВРААС ( http://евраас.рф ) появилось сообщение о том, что Ассоциацией ЕВРААС и ООО «НИИ СОКБ» подготовлены первые редакции проектов национальных стандартов:
- ГОСТ Р ИСО/МЭК 27000-201х «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология» (идентичен ISO/IEC 27000:2009), http://евраас.рф/uploads/smartsection/2_ГОСТ_Р_ИСО_МЭК_27000__1_ред_2011-09-14.pdf .
Данный стандарт содержит обзор системы менеджмента информационной безопасности, а также определения терминов.
- ГОСТ Р ИСО/МЭК 27003–201х «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности» (идентичен ISO/IEC 27003:2010), http://евраас.рф/uploads/smartsection/2_ГОСТ_Р_ИСО_МЭК_27003__1_ред_2011-09-14.pdf
Данный стандарт является руководством по разработке и внедрению системы менеджмента информационной безопасности в соответствии со стандартом ISO/IEC 27001:2005.
- ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (идентичен ISO/IEC 27001:2005)
- ГОСТ Р ИСО/МЭК 17799-2005 "Информационная технология. Практические правила управления информационной безопасностью" (идентичен ISO/IEC 17799:2000, действующая редакция стандарта ИСО - ISO/IEC 27002:2005 )
- ГОСТ Р ИСО/МЭК 27005-2010 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности" (идентичен ISO/IEC 27005:2008, действующая редакция стандарта ИСО - ISO/IEC 27005:2011)
- ГОСТ Р ИСО/МЭК 27006-2008 "Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности" (идентичен ISO/IEC 27006:2007)
В итоге получается забавная конструкция: «2.32 Запись (record): документ, содержащий достигнутые результаты или свидетельства осуществлённой деятельности.»
Никакие отсылки на скверно переведенный ранее стандарт менеджмента качества ISO 9000 разработчиков не оправдывают, поскольку им уже не раз предлагалось заглянуть в законодательство страны и убедиться, что подобных «записей» в нем нет и пока не ожидается.
В результате вот как выкручивался переводчик: в п.3.5.5 фразу
An organization needs to maintain and improve the ISMS through monitoring and assessing performance against organization policy and objectives, and reporting the results to management for review. This ISMS review will allow evidence of validation, verification, and traceability of corrective, preventive and improvement actions based on the records of these monitored areas, including the monitoring of information security controls.Что IMHO означает:
Организации нужно поддерживать и улучшать систему менеджмента информационной безопасности (СМИБ) посредством мониторинга и оценки её эффективности в сопоставлении с политикой и целями организации, и сообщения результатов руководству, которое должно дать им оценку. Эта оценка СМИБ должна принимать во внимание подтверждения (доказательства) проверки и отслеживаемости корректирующих, превентивных и улучшающий действий, основанные на документах о функционировании этих контролируемых областей, включая мониторинг мер контроля и управления информационной безопасности.Авторы проекта перевели следующим образом:
Организация должна поддерживать работоспособность и улучшать СМИБ посредством контроля и оценки деятельности, направленной против (!) политики и целей организации, и сообщения о результатах менеджменту для анализа. Этот анализ СМИБ позволит наглядно показать правильность и отслеживаемость корректирующих, профилактических действий и действий по усовершенствованию, основанных на этих результатах, включая контроль средств управления информационной безопасностью.Как говорится, «почувствуйте разницу»…
В проекте ГОСТ Р ИСО/МЭК 27003 представляет интерес п.9.2.2, название которого я бы перевела как «Разработка концепции документирования в СМИБ» (в проекте – «Разработка основы для документирования СМИБ»). Сравните мой перевод фрагмента содержащихся в этом пункте рекомендаций:
Разработка системы документирования работы СМИБ включает следующие действия:и перевод, данный в проекте:
a) Концепцию, описывающую принципы документирования в СМИБ, структуру процедур документирования в СМИБ, вовлеченные роли, форматы данных, и каналы отчетности перед руководством;
b) Разработку требований к документации СМИБ,
c) Разработку требований к документированию работы СМИБ.
Документация СМИБ должна включать документы, фиксирующие принятые руководством решения; обеспечивать возможность связать совершаемые действия с политиками и решениями руководства, а также воспроизводимость задокументированных результатов.
Документы СМИБ должны подтверждать [букв. «обеспечивать доказательства того»], что меры контроля и управления выбраны на основе результатов анализа и обработки риска, и что эти процессы внедрены в соответствии политикой и целями СМИБ.
Разработка записей СМИБ включает следующие действия:Кстати, в этом стандарте в приложении D упоминается «политика в отношении сроков хранения документов» (the record retention policy), что переведено как «политика сохранения записей» :)
a) основа, описывающая принципы документирования СМИБ, структура процедур документирования СМИБ, связанные роли, форматы данных и каналы передачи данных для отчетности перед руководством;
b) разработка требований к документации;
c) разработка требований к записям.
Документация по СМИБ должна включать записи (!) решений руководства, обеспечивать возможность отслеживания действий для принятия решений и разработки политики руководством и воспроизводимость записанных результатов.
Документы по СМИБ должны содержать признаки (!) того, что средства управления выбраны на основе результатов оценки риска и обработки риска, и что такие процессы применяются в сочетании с политикой и целями СМИБ.
Благодарность: Большое спасибо Алексею Лукацкому за информацию об этих проектах
Источники: сайт ЕВРААС / твиттер А.Лукацкого
http://евраас.рф
http://twitter.com/#!/alukatsky
Наташа, добрый день!
ОтветитьУдалитьПодскажите, пожалуйста, как же тогда быть в том случае, если встречается рядом в английском тексте и record, и document? Например:
1. The ability of government agencies to use and manage
electronic records is just a start. It is also necessary for
these agencies to exchange information with each other.
Although all such agencies have record management
systems that work with electronic records, business
cases, and sub-cases including documents, the objects
were specific to the manufacturer of the software and
not built according to a uniform standard.
2. Meta-data that describes a record, business
(sub-)case, or document
3. Search for records by simple search (across all
information held) and by advanced search (i.e.
by choosing the appropriate fields). This
includes the ability to search within the full text
of documents.
4. The advantages of electronic record processing are
obvious. ELAK substantially reduces the amount of
time required for processing applications since
documents no longer need to be sent back and forth
between ministries and public authorities.
Вероника
Уважаемая Вероника, хочу обратить Ваше внимание на то, что автор текста – австриец, и ему IMHO не всегда удается «переложение» своей национальной терминологии на английский язык. У австрийцев Dokument, насколько я понимаю, может означать как компоненту документа (скажем, приложение), так и документ, создание или обработка которого ещё не завершена (например, неутвержденный проект документа). В доброй старой английской терминологии document, помимо этого, также используется в отношении материалов информационно-справочного характера, а также «чужих» документов и материалов, не отражающих деловую деятельность данного конкретного ведомства – которые у нас часто также называются «документами». В общем, с учетом контекста, я бы перевела эти фрагменты так:
ОтветитьУдалить1. «Способность государственных органов использовать электронные документы и управлять ими – лишь начало. Государственным органам также необходимо обмениваться информацией друг с другом. Хотя у всех у них есть системы управления электронными документами, работающие с делами, суб-делами, деловыми транзакциями/досье [имеются в виду папки в составе суб-дел], а также с отдельными документами, проектами документов и их компонентами, однако представление электронных объектов в этих системах не соответствует какому-то единому стандарту, а является специфическим для каждого производителя программного обеспечения».
2. «Метаданные, описывающие дела, суб-дела, документы, проекты документов и их компоненты» [IMHO “or” лучше переводить здесь как «и»]
3. «Простой (по всей имеющейся информации) или расширенный (т.е. по соответствующим полям) варианты поиска документов, включая возможность полнотекстового поиска по контенту документов». [здесь IMHO различать record и document нет необходимости]
4. «Преимущества электронной обработки документов очевидны. Система ELAK позволяет существенно сократить время на обработку заявлений, поскольку больше нет необходимости пересылать туда-сюда документы и информацию между министерствами и другими органами государственной власти.»
Большое спасибо!
ОтветитьУдалить