Обновленный стандарт СТ РК ISO/IEC 15408:2017 является одним из основополагающих в информационной безопасности (ИБ): только после прохождения сертификации программного обеспечения на соответствие данному стандарту оно может попасть в список доверенного ПО.
Предыдущий стандарт СТ РК ГОСТе Р ИСО/МЭК 15408-2006 был основан на российском ГОСТе. Это нормальная практика, которая используется во всем мире и называется гармонизацией государственных стандартов. Плюсов у гармонизации много: единообразные стандарты в разных странах упрощают импорт и экспорт, аудит и многие другие трансграничные операции.
Новый СТ РК ISO/IEC 15408:2017 тоже является результатом гармонизации. Вот только за основу в этот раз решили взять не соответствующий российский ГОСТ, который, по сути, является переводом соответствующего международного стандарта ISO, а, собственно, изначальный ISO/IEC 15408 2008-09 годов и перевести его самостоятельно. По идее, ничего плохого случиться не могло. Но случилось.
Первой проблемой нового стандарта стала терминология. Информационная безопасность – область специфическая, в которой за много лет сложилась своя, особая терминология, чаще всего привязанная к изначальным английским терминам и сокращениям. В частности, один и тот же термин target of evaluation и его аббревиатура ToE изначально переводится как «цель оценки», но почему-то с сокращением (ОО). Далее по тексту могут всплывать не только эти термины, но и «объект оценки», а к середине документа появляется и аббревиатура ЦО. То же самое и с другими важными терминами: «цель безопасности» становится аббревиатурой ЗБ, а далее по тексту можно встретить и само «задание по безопасности». Причем задание по безопасности в казахской версии стандарта неожиданно сохранило оригинальную латинскую аббревиатуру ST, что значительно разобщило две языковые версии стандарта. И это далеко не все примеры путаницы с терминологией.
Вторая проблема этого стандарта в том, что из-за особенностей в нем используется большое количество аббревиатур, с которыми переводчики тоже успели поэкспериментировать. Практически во всем стандарте для обозначения классов, семейств, компонентов и элементов используются латинские обозначения, но в третьей части стандарта, начиная со страницы 90 и до страницы 148, переводчики внезапно решили, что они тоже должны быть на кириллице.
Использование кириллических аббревиатур вместо канонических на латинице было бы уместно только в случае, если бы они использовались в рамках всего стандарта, но не в отдельно взятом блоке. Более того, составители стандарта не озаботились согласовать переведенные на кириллицу обозначения в сводных таблицах. В итоге стандарт содержит таблицы, ссылающиеся на семейства и компоненты, которые по факту не описаны в стандарте. Также использование кириллических обозначений выглядит неправильным в перспективе перехода казахского языка на латиницу, так как после перевода кириллических обозначений обратно на латиницу они вряд ли совпадут с оригинальными обозначениями.