Terminologi och fackspråk

Transkript

1 Informationssäkerhet för offentlig sektor Stockholm 1-2 september 2015 Terminologi och fackspråk - språkliga hinder och möjligheter i informationssäkerhetsarbetet Tom Andersson Enheten för systematiskt informationssäkerhetsarbete (SISA) Verksamheten för samhällets informations- och cybersäkerhet (ICS) (MSB)

2 Definitioner Term : benämning för ett begrepp inom ett visst fackområde (TNC/Rikstermbanken) (fackbegrepp) Språk : mänskligt system för kommunikation, ett sätt att överföra idéer, känslor och tankar till andra människor (TNC/Rikstermbanken) Fack : avgränsat område inom mänskligt vetande l. mänsklig forskning l. verksamhet; disciplin, forskningsgren; profession, yrke(sgren), arbetsområde (SAOB)

3 MSB:s ansvar Språklag (2009:600) 12 Myndigheter har ett särskilt ansvar för att svensk terminologi inom deras olika fackområden finns tillgänglig, används och utvecklas. Förordning (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap 11 a Myndigheten ska stödja och samordna arbetet med samhällets informationssäkerhet. Samhällets Informationssäkerhet Nationell handlingsplan 2012 Enhetlig, konsistent, tillgänglig och kvalitetssäkrad terminologi (definitioner av fackord) i syfte att främja informationsutbytet och kunskapsförsörjningen inom och mellan organisationer.

4 Anna Wierzbicka "a basic prerequisite for understanding others (and also for having them understand you) is to have some shared concepts on which this understanding can build Anna Wierzbicka Understanding other requires shared concepts. Pragmatics & Cognition 20:2.

5 Natural semantic metalanguage (NSM)

6 Reflektioner på begreppsbildning med utgångspunkt i NSM Ett 50-tal grundläggande begrepp med utgångspunkt i socialt sampel Begreppsförståelsen till stora delar undermedveten, för att inte säga omedveten Sociala och kulturella gemenskaper är avgörande för vår begreppsförståelse. Lexikala definitioner, även tekniska definitioner, leder inte sällan till cirkelresonemang.

7 Välkända vertikala kommunikationsproblem The lack of proactive security communication that can be understood by nontechnical executives is a significant challenge for a majority of security professionals.

8 The State of Risk-based Security Management - Tripwire & Ponemon Institute CHAPTER 6: COMMUNICATION, COLLABORATION AND CULTURE IN A RISK-BASED SECURITY MANAGEMENT ORGANIZATION

9 The State of Risk-based Security Management - Tripwire & Ponemon Institute

10 Mindre uttalade horisontella problem Ledningsnätverket för Medicinsk Teknik (LfMT) Patientdatalagen i den kliniska vardagen Vilka krav ställs på medintekniska produkter? Vem eller vilka bär huvudansvaret att avgöra vad erforderlig informationssäkerhet är? [ ] Normen idag är att informationssäkerhetsexperter anser sig ha dessa förutsättningar [att ta beslut]. Ska det vara så?

11 Begrepp, språk och gemenskaper Gemenskaper Kultur och diskurser Är informationssäkerhet en språkgemenskap? Fackspråk Text och kontext Terminologi Begrepp

12 Sammanställning av svar på minienkät om terminologifrågor Underlag för reflektion och diskussion Inbjudan till deltagare på terminologipasset 28 intresserade 18 svar

13 Minienkät som underlag för reflektion och diskussion 18 deltagare Fråga 1. Antag att den högsta verksamhetsledningen i din organisation har beslutat att ta fram en kort introduktionsskrift för nyanställda. Den ska bland annat rymma definitioner av fem nyckelord avseende informationssäkerhet. Vilka nyckelord föreslår du?

14 Stor variation i svar, men ändå välbekant mönster. Det mest frekventa ordvalet nämns av 1 av 3. Nyckelord Frekvens Exempel på unika val riktighet 6 tillgänglighet 5 sekretess 4 ansvar 4 informationssäkerhet 3 informationsklassning 3 spårbarhet 3 risk 3 säkerhet 2 konfidentialitet 2 behörighet effektivitet förtroende helhetssyn it-säkerhet kontinuitet kontroll kvalitet regelverk skalskydd

15 Minienkät som underlag för reflektion och diskussion (18 deltagare) Fråga 2 Beskriv spontant och kortfattat betydelserna av dina föreslagna nyckelord. Vänligen konsultera inte litteratur av något slag.

16 Definitioner av riktighet skydd mot oönskad förändring, av misstag eller av obehörig att informationens tillförlitlighet bibehålls under hela livscykeln att vi kan lita på att informationen är riktig, utan att behöva göra extra kontroller. hur känslig informationen är mot att den blir felaktigt ändrad fundamenta Andemeningen i begrepp är att jämföra med att dela en abstrakt vision. Vad händer om vi omsätter dessa begrepp till mätbara mått (operationella definitioner, indikatorer, etc)?

17 Definitioner av sekretess och konfidentialitet skydd mot avslöjande för obehörig att vi kan styra vem som får del av vilken information och när att vi håller skyddsvärd och känslig information för oss själva hur känslig informationen är för att obehöriga ska ta del av den att ingen obehörig får del av informationen Vilka definitioner avser sekretess respektive konfidentialitet? Är det ett eller flera fackområden? Är det en eller flera terminologier?

18 Minienkät som underlag för reflektion och diskussion (18 deltagare) Fråga 3 Har den högsta verksamhetsledningen i din organisation tillräcklig förståelse för grundläggande begrepp på informationssäkerhetsområdet?

19 Ledningens begreppsförståelse Ja 1/3 Nej 1/3 Vet ej/osäker 1/3 Kan högsta ledningen anta en policy för informationssäkerhet utan en grundläggande begreppsförståelse?

20 Minienkät som underlag för reflektion och diskussion (18 deltagare) Fråga 4 Antag att du har fått i uppdrag att stämma av terminologifrågor i din organisation. I ett första skede ska du sätta samman en arbetsgrupp med fem representanter från olika personalgrupper och expertområden. Informationssäkerhet ska representeras av en person. Vilka andra personalgrupper och/eller expertområden väljer du?

21 Personalgrupper för terminologiarbete Personalgrupp Antal svar Jurist 13 Verksamhet 10 Personal 8 It-förvaltning 7 Verksamhetsledning 7 Arkivarie 6 Kommunikatör 4 It-chef 3 Processägare (kvalitet) 3 Säkerhet 2 Om representanter från dessa personalgrupper skulle sätta samman egna terminologigrupper, vilka tar med en representant för informationssäkerhet?

22 Minienkät som underlag för reflektion och diskussion (18 deltagare) Fråga 5 Är dagens terminologi på informationssäkerhetsområdet "ändamålsenlig"? Med "ändamålsenlig" avses att centrala och viktiga begrepp på området är klargjorda och kan tillämpas i alla verksamheter.

23 Ändamålsenlig terminologi Olika organisationer hittar på egna begrepp. Ja 5/18 Nej 9/18 Vet ej/osäker 4/18 Olika uppfattningar om de mest grundläggande begreppen. Felaktiga översättningar (safety vs. security). Väldigt personberoende. Där jag jobbar fungerar det.

24 Minienkät som underlag för reflektion och diskussion (18 deltagare) Fråga 6 Hur stor del av din arbetstid tar informationssäkerhetsfrågor? 0-25% % % 8 Det går givetvis inte att dra några slutsatser, men det är kanske värt att i alla fall reflektera över följande. Personer med lägre andel IS-tid väljer grundläggande IS-begrepp för en introduktionsskrift, t.ex. riktighet, sekretess och informationssäkerhet.

25 Några avslutande kommentarer Fråga 7: Fria eventuella kommentarer och reflektioner Vi bör använda så få fackuttryck som möjligt för att nå ut. Man måste ha förmågan att vara pedagogisk. Entydiga begrepp underlättar eget arbete och samverkan, internt och externt. En gemensam grund för infoklassning är grundläggande i sammanhanget. Ställ inte säkerhetsbegrepp mot varandra i skrifter från MSB. MSB borde ta tag i systematiskt säkerhetsarbete och därefter koppla på samhällsviktig verksamhet - inte tvärtom.

26 Grundbegrepp: Security & safety Piètre-Cambacédès, L., & Chaudet, C. (2010). The SEMA referential framework: Avoiding ambiguities in the terms security and safety. International Journal of Critical Infrastructure Protection, 3(2), Analys av definitioner i 89 dokument, från bland andra: International Electrotechnical Committee (IEC), International Organization for Standardization (ISO), US National Institute of Standards and Technology (NIST),

27 De vanligaste begreppen i definitioner Security Information 25 System 25 Systems 24 Unauthorized 19 Access 15 Availability 13 Integrity 13 Confidentiality 12 Persons 11 Against 9 Safety System 17 Risk 15 Damage 14 Environment 13 Freedom 11 Harm 11 Unacceptable 9 Property 7 Injury 5 Acceptable 4

28 Två centrala distinktioner System vs. Environment (SE) distinction: Security is concerned with the risks originating from the environment and potentially impacting the system, whereas safety deals with the risks arising from the system and potentially impacting the environment. Malicious vs. Accidental (MA) distinction: Security typically addresses malicious risks while safety addresses purely accidental risks.

29 SEMA

30 Reflektioner på ISO språket risk och kontinuitet Kontinuitetsplan (för verksamhet) plan som beskriver åtgärder för att säkerställa att verksamheten kan bedrivas vid allvarlig störning eller avbrott Kontinuitet för informationssäkerhet processer och rutiner som säkerställer att informationssäkerheten upprätthålls Risk osäkerhetens effekt på mål Varians är undertext, till skillnad från sannolikhet gånger konsekvens, förväntat värde. Vilka andra typer av incidenter finns det än angrepp eller attacker?

31 Reflektioner på ISO språket engelska och svenska Integrity Riktighet property of accuracy and completeness skydd mot oönskad förändring Definition med kvalitetskriterier som undertext Definition med läs- och skrivrättigheter som undertext

32 Reflektioner på ISO språket information och data Information innebörd i data Informationssäkerhet bevarande av konfidentialitet, riktighet och tillgänglighet hos information Informationstillgång information, och resurser som hanterar den, som är av värde för en organisation Data representation av fakta, begrepp eller instruktioner i form lämpad för överföring, tolkning eller bearbetning av människor eller av automatiska hjälpmedel Informationssystem applikationer, tjänster, informationstekniska tillgångar, eller andra komponenter som hanterar information

33 Projektarbeten på MSB Rekommendationer från TNC och Visente Terminologiarbetet bör utgå från och bygga på HB550 och SIS arbete SAMFI bör vara huvudman Införande av en terminologigrupp vars kärna finns i SAMFI Tillämpning av standard för elektronisk publicering Pågående projekt med Örebro universitet Målgrupps- och behovsanalys vem bör, vill och kan delta i arbetet med fackspråk? Fallstudie med ett urval personer från identifierade målgrupper attityder och begreppsanalyser Jämförelser av begreppsdefinitioner och representationer