«Dumb and dumber» = «Тупой и ещё тупее»?

Аватар пользователя Атаманов Геннадий
Автор: Атаманов Геннадий,
(5)
()
Опубликовано в:

Зарёкся комментировать «документы», выходящие из-под пера ФСТЭК/ ГНИИИ ПТЗИ: времени и сил тратится много, а толку никакого. Вообще. 0.

Но вот товарищ прислал очередной проект очередного ГОСТа: ГОСТ Р «Информационная технология. Методы и средства обеспечения безопасности. Система менеджмента безопасности информации. Требования» и информационное письмо:

По уровню абсурдности – это, конечно, не ГОСТ из серии «Информатизация здоровья» (ГОСТ Р 54624-2011 и др., о которых я упоминал в своей презентации), но тоже недалеко от них ушёл. И в том, что этот (с позволения сказать) ГОСТ будет принят, лично у меня нет никаких сомнений.

Вопросы возникают сразу, как только начинаешь читать этот опус.

Так, например, в п. 1 проекта написано, что он разработан ФСТЭК России, ФАУ «ГНИИИ ПТЗИ ФСТЭК России» и ООО «НПФ «Кристалл» на основе аутентичного перевода стандарта ISO/IEC 27001:2013.

А в п. 4 проекта написано, что стандарт разработан с учетом основных нормативных положений международного стандарта ИСО/МЭК 27001.

При этом в пояснительной записке к проекту (ПЗ) читаем, что перевод стандарта осуществлен сотрудниками ФАУ «ГНИИИ ПТЗИ ФСТЭК России» и что форма применения стандарта выбрана «неэквивалентный».

Вопрос 1.

Проект – аутентичный перевод стандарта ISO/IEC 27001:2013. Перевод выполнен ГНИИИ ПТЗИ. А причём здесь  ООО «НПФ «Кристалл»? Какова его роль в разработке этого т.н. ГОСТа? Я конечно же догадываюсь, но может быть мои догадки неверны?

Вопрос 2.

Согласно словарям:

аутентичный – действительный, подлинный, соответствующий подлинному;

эквивалентный – равнозначный, равносильный чему-либо, полностью заменяющий что-либо в каком-либо отношении.

Следовательно, неэквивалентный – это неравнозначный, неравносильный чему-либо, неполностью заменяющий (или полностью незаменяющий) что-либо в каком-либо отношении.

То, что перевод не соответствует подлинному, очевидно даже для меня – человека, не знающего ни английского, ни американского языка. Это обстоятельство я обыграл в саркастической форме в заглавии: как «тупой и ещё тупее» не аутентично «dumb and dumber», так и проект ГОСТа не аутентичен ISO/IEC 27001:2013.

И как всегда меня особенно впечатлили «термины и определения». Начну с п. 3.2, где «система менеджмента безопасности информации» определяется как «часть общей системы менеджмента организации, основанная на использовании методов оценки рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения безопасности информации». Более антинаучного определения дать очень сложно. С оригиналом свериться не удалось: стандарт платный. Но давать определение через описание того, на чём это основано, - это признак суперметодологической безграмотности. А если подставить вместо непереведенного слова «менеджмент» его русскоязычный аналог, получим «система управления безопасности информации». Это о чём? Чем управлять-то собираются эти деятели? Я думал, что управлять нужно системой обеспечения информационной безопасности, а оно вона как, т.е. не пойми как.

А пресловутые конфиденциальность, целостность, доступность (п. 3.7, 3.8, 3.9 проекта) – не есть свойства безопасности информации, а есть свойства информации. А «документированная информация: Зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию, или в установленных законодательством Российской Федерации случаях ее материальный носитель» - согласно тернарной концепции истины очень похоже на ахинею, а может быть и бред.

И вообще, вопросов по этому «проекту» - громадьё, но продолжать не буду. И так понятно, что то, что американцу хорошо, то русскому смерть!

Сразу к предложениям.

Я вот думаю, что пора, наверное, уже переходить в сфере информационной безопасности на английский/американский язык и принимать их ISO, NISTы и прочие стандарты и НПА без такого вот аутентичного, но неэквивалентного перевода, после которого наверняка рабочий документ превращается в абсурд/ахинею, а местами и в откровенный бред.

Справедливости ради стоит отметить один положительный момент: «использование понятия «безопасность информации» вместо используемого в международном стандарте, в заменяемом национальном стандарте ГОСТ Р ИСО/МЭК 27001-2006 и других стандартах этой серии понятия «информационная безопасность» (ПЗ к проекту). Понятно, что «information security» никогда не было «безопасность информации», а было и есть «охрана информации» ("security" - это не безопасник, это - "охранник"), но отказ от «информационной безопасности» в пользу «безопасность информации» для нашего регулятора уже огромный шаг в сторону здравого смысла. Надеюсь не последний.

Оцените материал:
Total votes: 116
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Ржавский Константин

Геннадий Альбертович, хорошо бы еще к таким ГОСТам прикладывать инструкцию по применению, его место в системе ЗИ. Может стоило начать с более приземленных и нужных ГОСТов?

up
7 users have voted.
Аватар пользователя Атаманов Геннадий

Про инструкцию - это правильно, но не ко мне. Это к  ФСТЭКу и ГНИИИ ПТЗИ. Правда, и инструкции от них будут аналогичными. Я могу только совет дать. 

up
10 users have voted.
Аватар пользователя Атаманов Геннадий

Совет 1:

Учитывая, что сами по себе юридической силы национальные стандарты не имеют, на них можно наплевать и забыть. ФСТЭК конечно может сделать их обязательными, но, насколько я понимаю, ей это невыгодно: начнутся вопросы, главный из которых – почему за бюджетные деньги (думаю, неслабые) имеем такой слабый результат?

up
7 users have voted.
Аватар пользователя root

Очень радикальный подход. Мы же не в штатах живём и разговариваем на русском языке. Може получится, что произойдёт обмен "шило на мыло", т.е. к уже существующим проблемам добавятся проблемы интерпритации.

up
6 users have voted.
Аватар пользователя Атаманов Геннадий

Это сейчас мы имеем проблемы c интерпретацией. А если перейдём на англоязычные версии, такой проблемы не будет. Будет другая - незнание языка. Кто не выучит, вынужден будет уйти. А так: сколько же можно издеваться над некогда великим и могучим? Пусть он останется в памяти народов как язык Толстого, Пушкина, Тургенева, Куприна, Лескова и многих других, но не как язык этих "переводчиков".  

up
7 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.