Многим известно, что Национальный банк Украины в прошлом году снабдил отечественные банки стандартом систем управления информационной безопасностью, основанным на международных стандартах серии ISO/IEC 27000. Некоторые его даже читали и знают, что в ходе вольного перевода текста стандарта был допущен ряд стилистических ошибок и упущений. Совсем немногие в курсе, что "под раздачу" толкователей попали и основные термины оригинального стандарта: информационный актив и контроль безопасности.
Активы в переведенном стандарте названы ресурсами СУИБ. Это было сделано, чтобы не вносить панику в ряды банковских служащих, потому что от информационных активов у них возникает ложная ассоциация устоявшимся термином банковский актив, в результате чего наступает масштабнейший когнитивный диссонанс. Новый термин ресурс СУИБ (в смысле актив) моментально коррелирует с фигурирующими в стандарте ресурсами СУИБ в их оригинальном значении: тем, чем СУИБ снабжается и без чего ее быть не может.
Фундаментальное понятие контроль безопасности переводчик опрометчиво нарек средством безопасности (укр.: засіб безпеки), и если в случае с активами причины более или менее ясны и последствия достаточно скромные, то здесь мы имеем расхождение менее очевидное, но более серьезное. Контроль безопасности это регулярно выполняемый процесс, то есть нечто уже спроектированное, реализованное и исполняемое; существующее в реальности и дающее некий результат после каждого выполнения контроля. В то время, как средство защиты обладает потенциальным характером: это один из факторов, который может способствовать построению контроля, если это средство применить.
Например: программа-антивирус это средство защиты, а антивирусная защита это контроль, который состоит из:
Например: программа-антивирус это средство защиты, а антивирусная защита это контроль, который состоит из:
- установленного и постоянно обновляемого антивируса,
- процесса централизированного сбора журналов мониторинга вирусной активности,
- регулярного просмотра этих журналов администратором ИТ-безопасности,
- мерами, предпринимаемыми по результатам изучения журналов: ручным обновлениям антивируса "на местах", руганью с антивирусным вендором, удалением вирусов вручную и т.д.
Все гораздо хуже: они не "information asset" превратили в "ресурсы СУИБ", а
ОтветитьУдалить"3.1 ресурси СУІБ (asset)
Усе, що має цінність для організації [2]"
Я планировал пример с «ресурсами СУИБ» использовать в следующую пятницу, ничего если я повторюсь? ;-)
Обычно у нас путают Control (управление) и Monitoring (контроль), но НБУ умудрился найти «черную кошку» там, где ее не было…
С точки зрения москальской мовы, средства - это очень хороший вариант.
ОтветитьУдалитьПроблема в том, что вы отождествляете средства и технические средства.
По своей же лености привыкли называть морскую свинку свинкой, а потом вам приводят обычную свинку и говорят: "вот свинка", а вы - "нее, это что-то другое!".
Ригелю:
ОтветитьУдалитьПо-первах «свинкой» мы называем «паротит» - ;-)
«С точки зрения москальской мовы, средства - это очень хороший вариант.»
В том то и беда, что у нас русский язык немного иной и иначе воспринимается: так если у Бизнеса, попросить денег на Средства, то он может их даже дать, потому как представляет, что это «раз и на всегда», а вот «организация Контролей» (читай Процесс Управления) разового выделения средств не приемлет, а требует периодичности (причем не наша прихоть то – Деминг требует).
;-)
@Ригель
ОтветитьУдалитьМожет и так, хотя лично я никогда не использую термин "средство защиты". Темное аудиторское прошлое дает о себе знать :)
Владимир, я не это имел в виду.
ОтветитьУдалитьУ нашего слова "средство" есть три значения: а) прием, способ, б) инструмент, в) деньги, материальные возможности.
Соответственно у "средств ИБ" их тоже три: защитные меры, защитные тулзы и бюджет на безопасность.
Если кто-то больше привык употреблять какое-то одно из, это не делает два друние неправильными.
Но насколько это верно итак для вашего "засіб", я не знаю.
Этот комментарий был удален автором.
ОтветитьУдалить@Ригель
ОтветитьУдалитьВсе еще не понял. Ни одно из переведенных значений не покрывает значение "контроль". В частности, таких его характеристик, как исполняемость (собственно, сущность любого процесса) и дискретность (выполняется многократно, каждый раз предоставляя отдельный результат).
Аргументирую по пунктам: а) прием и способ дают возможность, но не обеспечивают и не проверяют результат. Примеров полно: админы настроили WSUS, но никогда не проверяют патчлевел рабочих станций, свято веря в могущество ПО от Майкрософт; б) инструмент -- аналогично (а); в) согласитесь, это значение выходит из контекста.
Слово "засіб" практически идентично "средству" в русском.
З.Ы. Это латинская "і" у вас на клавиатуре, или?.. ;)
Нет! Всего этого нет в слове "контроль". В самом слове. Это требования стандарта к тому, что в нем названо этим словом.
ОтветитьУдалитьИ если бы на месте слова "средство" (в значении "способ достижения чего-нибудь") был "контроль" или "защитная мера", или какое другое, к нему точно так же нужно было прилагать пояснялки про повторяемость и проверяемость.
Когда переводчик выбрал "средство" - это нормально. Его значение (первое) не противоречит дальнейшей миссии. Второе, как Вами отмечено в исходном посте, и третье, как отмечено в последнем, конечно нет.
Так ок?
Ой, Владимир! Я проглядел Ваше "если у Бизнеса, попросить денег на Средства, то он поймет это как...". Я все понял теперь, это действительно заслуживающий учета аспект.
ОтветитьУдалить"Нет! Всего этого нет в слове "контроль". В самом слове."
ОтветитьУдалитьЯ говорю не о слове, а о понятии в управлении ИБ. Хотя этимология наверняка намного более интересный вид деятельности :)
"Его значение (первое) не противоречит дальнейшей миссии."
Резко не согласен. Об этом и пост.
Этимология этимологией, терминология терминологией. Без этого ни как. Это одна из производных "вавилонского греха"
ОтветитьУдалитьРигелю: у нас здесь два Владимира ;-) Я очень далек (к сожалению) от знания англ. языка, но некоторые слова я знаю. В своем первом посте я обращал внимание, что "обычно у нас путают Control (управление) и Monitoring (контроль)".
В подтверждение написанного:
Control is the ability to purposefully direct, or suppress, change. (http://en.wikipedia.org/wiki/Control)
A word whose contents determine actions elsewhere; it may be used to control the use of a resource. (http://www.encyclopedia.com/doc/1O11-controlword.html)
Я считаю, что правильный перевод "УПРАВЛЕНИЕ" с глагольним "привкусом"
Я бы все-таки привел вот это определение, оно максимально приближено к теме: http://en.wikipedia.org/wiki/Internal_control
ОтветитьУдалить"Internal control: a process implemented in an organization to help in achieving specific goals"
В.Г.:
ОтветитьУдалитьДа, с двумя Владимирами я поздно просёк.
Вот из-за того, что "контроль" не понимают как "управление, его и _не_ желательно брать.
А действие в слове "средство" есть, когда оно в значении метод, способ.