Стандарты ИБ: ищем ошибки в новом ГОСТе
Осенью 2006 года наконец был опубликована новая версия ГОСТа, посвященного практическим правилам управления ИБ. Этого давно ждали, но чего же дождались? Во-первых, специалисты получили лишь перевод устаревшей версии международного стандарта ИСО 17799 2000 года, а во-вторых, качество этого перевода оставляет желать много лучшего.ГОСТ Р ИСО/МЭК 17799-2005 "Информационная технология - Практические правила управления информационной безопасностью", подготовленный Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России"), был опубликован осенью 2006 года.
Специалисты в области информационной безопасности и ряда смежных отраслей уже давно ждали принятия этого ключевого стандарта в качестве национального. Несколько огорчает то, что был получен перевод версии 2000 года, а не существенно более современной и детальной версии 2005 года. Обе версии, как известно, были переведены и прошли публичное обсуждение. Возможно, комитет-разработчик стандарта предпочел не спешить и как следует доработать по итогам обсуждения перевод стандарта ИСО 17799:2005 и "парного" к нему сертификационного стандарта ИСО 27001:2005, - а пока опубликовать лучше "отлаженный" перевод версии 2000 года.
Основные принципы СУИБ
ГОСТ Р ИСО/МЭК 17799-2005 представляет собой перечень мер, необходимых для обеспечения информационной безопасности организации, включая действия по созданию и внедрению системы управления информационной безопасности (СУИБ), которая строится таким же образом и на тех же принципах, что и система менеджмента качества, и совместима с ней. Это - не единственный документ такого рода, однако именно в стандарте ИСО 17799 (и в его предшественнике – британском стандарте BS 7799-1) впервые предпринята попытка охватить весь комплекс проблем, связанных с информационной безопасностью. Наиболее важными являются следующие особенности этого документа.
Обеспечение непрерывности работы компании в случае непредвиденных обстоятельств вынесено в отдельный раздел нового стандарта
Информационная безопасность не сводится только к компьютерной. Стандарт говорит не только о защите компьютерных систем, сетей и носителей информации, но и о других активах организации: об информации и документах на "традиционных" носителях (бумага, микропленка), а также об информации, хранящейся в головах сотрудников организации. При этом обеспечить защиту необходимо на всех стадиях обработки информации, таких как копирование, хранение, передача и уничтожение.
Обеспечение информационной безопасности не сводится к защите от действий криминального характера. Самое серьезное внимание уделено обеспечению наличия и доступности информации и документов, необходимых организации для деловой деятельности и для защиты своих прав и интересов, а также защите целостности и аутентичности этих документов в ходе нормальной деловой деятельности.
В отдельные разделы выделены вопросы обеспечения соответствия организации законодательно-нормативным требованиям, а также обеспечение непрерывности деловой деятельности в случае непредвиденных обстоятельств и ее восстановления после катастроф.
Учитывая важность этого стандарта, а также его использование в процессе сертификации СУИБ, хочется надеяться на то, что его разработчики впредь постараются не повторять печальный опыт перевода стандартов ИСО серии 9000 по системе менеджмента качества. Допущенные тогда многочисленные грубые ошибки до сих пор дают о себе знать, а в последнее время привели к "обострению отношений" между специалистами по качеству и по документационному обеспечению управления.
Особенности перевода
Знакомство с текстом стандарта оставляет двоякое впечатление. С одной стороны, переводчики сумели правильно отразить все основные идеи, и данный ГОСТ, безо всякого сомнения, будет очень полезен для широкого круга заинтересованных лиц.
С другой стороны, данному документу присущи все те недостатки, которые, к сожалению, стали типичными для "переводных" национальных стандартов. Качество русского текста оставляет желать лучшего. Создается впечатление, что при подготовке стандарта сэкономили на редакционной литературной правке, и в результате то и дело попадаются выражения типа "обеспечение уверенности в том-то" вместо "обеспечения того-то" (а ведь информационная безопасность – это не психотерапия!).
Проведенная сверка текста стандарта с англоязычным оригиналом выявила многочисленные (хотя и относительно мелкие) погрешности перевода и допущенные переводчиками вольности – например, сплошь и рядом условные конструкции преобразуются в безусловные; к месту и не к месту вставляется уточнение "… информационной безопасности", в отдельных случаях искажающее смысл оригинального текста.
Например, в п.7.1.2 (второй подпункт перечисления) фраза "An audit trail of all access should be securely maintained" (т.е. требование протоколировать все случаи доступа в защищенном журнале) переведена следующим образом: "Необходимо также надежным образом проводить аудит журналов регистрации доступа".
В подпункте c) (в переводе – в)) п.7.2.1 в оригинале написано "Items requiring special protection should be isolated to reduce the general level of protection required" т.е. "отдельные элементы оборудования, требующие специальной защиты, должны быть изолированы, с тем, чтобы можно было понизить требуемый общий уровень защиты". В стандарте читаем прямо противоположное: "отдельные элементы оборудования, требующие социальной защиты, необходимо изолировать, чтобы повысить общий уровень необходимой защиты".
Подпункт e) (в переводе – д)) того же пункта: "An organization should consider its policy towards eating, drinking and smoking on in proximity to information processing facilities" т.е. "организации следует определить свою политику по отношению к приему пищи и напитков и к курению вблизи средств обработки информации" переведен так: "в организации необходимо определить порядок приема пищи, напитков и курения вблизи средств обработки информации". И если оригинал прозрачно намекает на необходимость запрета, то в ГОСТе речь идет о том, как правильно организовать питание и места для курения!
Там же, в подпункте h) (в переводе – з)): "The impact of a disaster happening in nearby premises, e.g. a fire in a neighbouring building, water leaking from the roof or in floors below ground level or an explosion in the street should be considered." т.е. "Следует принять во внимание возможный ущерб вследствие бедствия, которое может произойти в близлежащих помещениях, - например, вследствие пожара в соседнем здании, вследствие протечки воды через крышу или в подвальных помещениях, или вследствие взрыва на улице". В ГОСТе читаем: "необходимо разработать меры по ликвидации (!) последствий бедствий, случающихся в близлежащих помещениях, например, пожар в соседнем здании, затопление в подвальных помещениях или протекание воды через крышу, взрыв на улице".
При переводе последнего абзаца п.8.6.2 переводчики "потеряли" часть предложения, и вместо "собранное вместе большое количество несекретной информации может стать более конфиденциальным, чем небольшое количество секретной информации" получилось "большой объем открытой информации может сделать ее более важной".
В п.8.7.3 переводчики решили "доработать" стандарт, и дописали следующую фразу: "Для обеспечения безопасности электронной торговли необходимо проанализировать степень достоверности и обоснованности предлагаемых поставщиками мер обеспечения информационной безопасности" (интересно, что в этом пункте о поставщиках вообще речи не идет!).
В п.8.7.5 читаем: "Необходимо учитывать последствия для информационной безопасности и бизнес-процессов от взаимодействия вышеуказанных средств, в частности:… - идентификацию статуса пользователей, например служащих организации или подрядчиков, в отдельных директориях, для удобства других пользователей". Правильнее было бы перевести, например, так: "Рассматривая деловые последствия и последствия в области безопасности вследствие взаимодействия этих систем, следует подумать о следующем: … - об указании в справочниках статуса пользователей (например, "сотрудник организации", "представитель подрядчика") для удобства других пользователей".