Информационная безопасность Казахстана оказалась вне закона

Опубликовано
Эксперт-аналитик Ak Kamal Security Михаил Поздняков рассказал о стандартах безопасности

Обновленный стандарт СТ РК ISO/IEC 15408:2017 является одним из основополагающих в информационной безопасности (ИБ): только после прохождения сертификации программного обеспечения на соответствие данному стандарту оно может попасть в список доверенного ПО.

Предыдущий стандарт СТ РК ГОСТе Р ИСО/МЭК 15408-2006 был основан на российском ГОСТе. Это нормальная практика, которая используется во всем мире и называется гармонизацией государственных стандартов. Плюсов у гармонизации много: единообразные стандарты в разных странах упрощают импорт и экспорт, аудит и многие другие трансграничные операции.

Новый СТ РК ISO/IEC 15408:2017 тоже является результатом гармонизации. Вот только за основу в этот раз решили взять не соответствующий российский ГОСТ, который, по сути, является переводом соответствующего международного стандарта ISO, а, собственно, изначальный ISO/IEC 15408 2008-09 годов и перевести его самостоятельно. По идее, ничего плохого случиться не могло. Но случилось.

Первой проблемой нового стандарта стала терминология. Информационная безопасность – область специфическая, в которой за много лет сложилась своя, особая терминология, чаще всего привязанная к изначальным английским терминам и сокращениям. В частности, один и тот же термин target of evaluation и его аббревиатура ToE изначально переводится как «цель оценки», но почему-то с сокращением (ОО). Далее по тексту могут всплывать не только эти термины, но и «объект оценки», а к середине документа появляется и аббревиатура ЦО. То же самое и с другими важными терминами: «цель безопасности» становится аббревиатурой ЗБ, а далее по тексту можно встретить и само «задание по безопасности». Причем задание по безопасности в казахской версии стандарта неожиданно сохранило оригинальную латинскую аббревиатуру ST, что значительно разобщило две языковые версии стандарта. И это далеко не все примеры путаницы с терминологией.

Вторая проблема этого стандарта в том, что из-за особенностей в нем используется большое количество аббревиатур, с которыми переводчики тоже успели поэкспериментировать. Практически во всем стандарте для обозначения классов, семейств, компонентов и элементов используются латинские обозначения, но в третьей части стандарта, начиная со страницы 90 и до страницы 148, переводчики внезапно решили, что они тоже должны быть на кириллице.

Использование кириллических аббревиатур вместо канонических на латинице было бы уместно только в случае, если бы они использовались в рамках всего стандарта, но не в отдельно взятом блоке. Более того, составители стандарта не озаботились согласовать переведенные на кириллицу обозначения в свод­ных таблицах. В итоге стандарт содержит таблицы, ссылающиеся на семейства и компоненты, которые по факту не описаны в стандарте. Также использование кириллических обозначений выглядит неправильным в перспективе перехода казахского языка на латиницу, так как после перевода кириллических обозначений обратно на латиницу они вряд ли совпадут с оригинальными обозначениями.

Третья проблема стандарта в том, что переводчики не понимали специфики документа, из-за чего делали ошибки или недопустимые упрощения, которые искажали смысл тех или иных моментов или вовсе лишали их сути. К примеру, в пунктах 3.2.8-3.2.11, соответствующих пунктам 115-118 в оригинальном стандарте ISO, переводчики выбросили уточняющие маркеры data, stamp и control, и это привело к тому, что в казахстанской версии получилось четыре одинаковых термина «сцепление вызовов» с разными формулировками.

В общем, несмотря на всю концептуальность и значимость данного стандарта, к его переводу не были привлечены специалисты соответствующего направления. Это привело к тому, что использовать новый документ невозможно. В таких условиях прохождение сертификации на соответствие данному стандарту становится задачей нетривиальной в силу многочисленных ошибок и нестыковок в данном государственном стандарте, который, к сожалению, именно в таком виде прошел все этапы согласований и утверждений.

Кстати, бесплатно получить документ СТ РК ISO/IEC 15408-3-2017 (равно как и любого другого СТ РК) даже в электронном виде невозможно, хотя стандарты ГОСТ РФ находятся в свободном доступе.

Читайте также