Стандарты ИБ: ищем ошибки в новом ГОСТе
Осенью 2006 года наконец был опубликована новая версия ГОСТа, посвященного практическим правилам управления ИБ. Этого давно ждали, но чего же дождались? Во-первых, специалисты получили лишь перевод устаревшей версии международного стандарта ИСО 17799 2000 года, а во-вторых, качество этого перевода оставляет желать много лучшего.В п.8.7.7 c) (в переводе – в)): фраза "not leaving messages on answering machines since these may be replayed by unauthorized persons, stored on communal systems or stored incorrectly as a result of misdialling" т.е. "не оставлять сообщений на автоответчиках, поскольку эти сообщения могут быть воспроизведены неавторизованными лицами, могут быть сохранены в общедоступных системах либо неправильно сохранены вследствие неверного набора номера", переведена так: "не оставлять сообщения на автоответчиках, переадресация на которые произошла вследствие ошибки соединения, или автоответчиках операторов связи, поскольку эти сообщения могут быть воспроизведены неавторизованными лицами".
Согласно новой версии стандарта, "в организации необходимо определить порядок приема пищи, напитков и курения вблизи средств обработки информации"
Из п.9.2.3 можно узнать, что, согласно ГОСТу, "пароли являются наиболее распространенными средствами подтверждения идентификатора пользователя" - а вовсе не его личности, как это записано в оригинале.
В п.9.4.2 встречаем более серьезную терминологическую ошибку, когда вместо "принудительно устанавливаемого маршрута" (enforced path) вдруг начинает использоваться термин "оптимальный маршрут".
В п.9.5 a) фраза "identifying and verifying the identity, and if necessary the terminal or location of each authorized user" т.е. "идентификация и проверка личности, а при необходимости – терминала и местоположения каждого авторизованного пользователя" переведена так: "идентификацию и верификацию компьютера пользователя и, если необходимо, терминала и местоположение каждого авторизованного пользователя".
Серьезная ошибка допущена в п. 10.2.1 "Подтверждение корректности ввода данных", подпункт а). Перевод "Для этого целесообразно применение … а) проверки исключения двойного ввода или другие проверки ввода с целью обнаружения следующих ошибок" полностью искажает смысл данного пункта, который как раз рекомендует двойной ввод как меру обеспечения правильности исходных данных.
Особенно много мелких и не очень мелких неточностей в переводе главы 12, где часто встречаются термины, относящиеся к юриспруденции и делопроизводству. Следуя печальной традиции, заложенной еще при переводе стандартов ИСО серий 9000 и 14000, термин records как только ни переводился, однако ни разу не было использовано его правильное значение - "документы", и это существенно повлияло на смысл получившегося текста.
Можно было бы еще долго перечислять аналогичные примеры. Ошибки подобного рода вполне терпимы там, где данный ГОСТ будет применяться для общего ознакомления с мерами, обеспечивающими информационную безопасность. Однако его вряд ли можно рекомендовать для использования в тех случаях, когда каждое слово может иметь значение – т.е. в случае сертификации СМИБ по стандартам ISO 27001 или BS 7799-2. Обидно, что всех этих "накладок" вполне можно было бы избежать, если бы "публичное" обсуждение данной версии стандарта в 2005 году было действительно публичным, - ведь именно в области информационной безопасности мы располагаем большим количеством высококвалифицированных специалистов, многие из которых к тому же прекрасно владеют английским языком.
Полезный инструмент
Несмотря на многочисленные погрешности различного характера, широкая трактовка информационной безопасности делает стандарт полезным инструментом не только для специалистов в области информационных технологий и информационной безопасности, но и для представителей кадровой, юридической служб и службы документационного обеспечения управления (ДОУ). Так, например, специалисты ДОУ могут использовать ГОСТ Р ИСО/МЭК 17799-2005 совместно со стандартом ISO 15489:2001 по управлению документами. ГОСТ Р ИСО/МЭК 17799-2005 подробно раскрывает многие вопросы, лишь схематично обрисованные в ISO 15489.
Также стандарт можно и нужно использовать в практической работе служб делопроизводства даже с перечисленными выше недочетами. Большое значение имеет то, что, хотя документ подготовлен для специалистов совершенно другого направления, он постоянно затрагивает вопросы организации работы с документами на всех видах носителей – причем в качестве одного из основных элементов деятельности по обеспечению информационной безопасности организации.
Стандарт дает возможность поднять престиж работы с документами в глазах высшего руководства организации и влиятельных служб ИТ и информационной безопасности. Многие специалисты ДОУ порой затрудняются четко и обоснованно ответить на часто задаваемый вопрос: "А зачем нужно хорошо налаженное и организованное делопроизводство?". ГОСТ Р ИСО/МЭК 17799 говорит: деятельность службы ДОУ, прежде всего, направлена на обеспечение информационной безопасности организации.
В частности, специалисты по управлению документацией могут использовать в своей работе нижеперечисленные положения.
Так, в п.8.6.2. рассматривается вопрос об "утилизации носителей информации". В нем перечислены основные носители информации, которые использует в своей работе организации, и первыми в списке идут бумажные документы. Организация работы по уничтожению документов на всех видах носителей по истечении установленных сроков хранения является одной их основных обязанностей службы делопроизводства.
В п.8.4, посвященном вопросам безопасности, связанным с использованием электронной почты, предусматривается решение вопроса о хранения сообщений электронной почты. Сообщения должны сохраняться таким образом, чтобы их можно было использовать в случае судебных разбирательств. Это возможно только тогда, когда обеспечивается целостность и аутентичность электронных сообщений. Как показывает опыт, выполнить эту работу в организации без участия службы ДОУ весьма затруднительно.
Особое внимание рекомендуется обратить на раздел 12, который скромно назван "Соответствие требованиям". В первую очередь, речь идет о необходимости обеспечить соответствие деятельности организации законодательно–нормативным требованиям. Практика работы показывает, что специалисты ДОУ, наравне с юристами, отвечают за это направление деятельности, особенно тогда, когда необходимо выполнять требования, непосредственно связанные с документированием деятельности организации.
Пункт 12.1.3 (содержание которого было бы яснее и понятнее, если бы вместо "записей" был использован термин "документ") полностью посвящен вопросам защиты документов организации и их хранению. Специалистам ДОУ стоит обратить внимание на то, что в стандарте рекомендуется с этой целью разработать "руководство в отношении сроков хранения, порядка хранения и утилизации данных и меры для защиты важной информации от потери, разрушения и фальсификации" (иными словами, инструкцию по делопроизводству); а также "опись источников ключевой информации и график хранения наиболее важных данных" (т.е. номенклатуру дел).
Добиваясь поддержки высшим руководством разработки инструкции по делопроизводству и номенклатуры дел, можно ссылаться на эти требования, содержатся в уважаемом во всем мире стандарте, регламентирующем такой ответственный вид деятельности, как обеспечение информационной безопасности.
В целом, нужно отметить, что хотя версия ISO 17799 2000 года, на основе которой разработан ГОСТ Р ИСО/МЭК 17799-2005 в целом несколько устарела, некоторые вопросы обеспечения информационной безопасности освещены в ней лучше – например, более подробно говорится об обеспечении безопасности при использовании электронной почты, что весьма актуально для России.
Подводя итог, хотелось бы поставить оценку "хорошо" переводчикам, которые подготовили вполне добротный "продукт", - и "двойку" организации-разработчику и техническому комитету ТК 362, которые не смогли организовать проверку точности перевода и литературное редактирование документа, чтобы его качество действительно соответствовало высокому званию "национального стандарта Российской Федерации".
Наталья Храмцовская / CNews