Hlavní navigace

Další nekoncepční strategie?

Zbyněk Novotný 15. 7. 2005

Když jsem si na konci června přečetl na stránkách ministerstva informatiky, že je připravena strategie informační bezpečnosti, byl jsem příjemně potěšen. Při podrobnějším čtení jsem se však z letargie brzy probral. Stává se asi klasickým zvykem našich resortů, že nepoužívají správných pojmů pro jednotlivé dokumenty. Podle mého názoru musí každá strategie vycházet z analýzy současného stavu a na tomto základě stanovit priority tam, kde byly v průběhu analýzy zjištěny nedostatky.

Typickým příkladem může být zdravotnictví. Pokud lékař předepisuje léčbu, je logické, že tomu předchází prohlídka pacienta a stanovení diagnózy. Národní strategie informační bezpečnosti (NSIB) však z žádné analýzy stavu informační bezpečnosti v České republice nevychází, respektive žádná taková analýza nebyla provedena a není ani součástí materiálu. V takovém případě NSIB stanovuje priority bez jakéhokoliv ukotvení v realitě. V podstatě si je paní ministryně sype z rukávu. Není tedy jisté, zda priority a opatření navržená NSIB reagují na skutečné potřeby a slabá místa v informační bezpečnosti ČR, nebo zda řešíme problémy, které vlastně ani problémy nejsou, a ty opravdové necháváme bez povšimnutí. Použijeme-li pokračování našeho příkladu ze zdravotnické praxe, nastává proces stanovení léčebné metody a aplikace léků. Ale bez receptu a alespoň zběžné prohlídky pacienta. Pravda, existuje jakási pravděpodobnost, že se pacient částečně uzdraví. V oblastech, o kterých ani nevíme, nezjištěná a neléčená choroba bují dál.

NSIB je v podstatě kompilát finské a americké (USA) strategie národní bezpečnosti. Pro kvalitu strategie může být samozřejmě prospěšné, pokud se v některých aspektech inspiruje ze zahraničních zkušeností, ale model Finska a USA nejde bezhlavě aplikovat na české prostředí. A to zejména pokud nebyla provedena již výše zmiňovaná analýza.

Cíle v NSIB jsou přehledně strukturovány do priorit, jednotlivé priority se rozpadají na cíle, ty potom na opatření a opatření dále na jednotlivé akce. Formálně je tato struktura určitě správná, protože začíná velmi obecnými oblastmi priorit a ve čtvrté úrovni končí konkrétními akcemi. Pokud se však podíváme na jednotlivé akce, kde by už měly být stanoveny konkrétní kroky k dosažení stanovených cílů, setkáme se jenom s množstvím obecných frází. Tyto fráze půjdou jen ztěžka změřit na nejnižší úrovni, natož na úrovni priorit. Jeden příklad za všechny:

CIF16

Příloha č. 1 aktivity Ministerstva informatiky: „Šířit znalosti je nejlepší praxe v oblasti informační bezpečnosti.

Přestože se považuji za člověka s velkou představivostí, tak tady opravdu nevím. Jak mám změřit to, zda ministerstvo šíří správné informace, ve správném rozsahu a obsahu, v definovaných periodách a specifikovanými informačními kanály? Bude ministerstvu stačit, že se účastní různých seminářů, kde bude přítomné informovat? Proč strategie nestanoví konkrétné kroky, které je potřeba provést? Proč se zde ukládají resortům úkoly, které nejsou specifikovány? Dalším nedostatkem strategie je neexistence časových horizontů plnění u jednotlivých úkolů a průběžné kontroly plnění.

Národní strategii informační bezpečnosti rozhodně podporuji. Vzhledem ke všem výše uvedeným argumentům mohu však jen říci, že připravený návrh je kus popsaného papíru, který nespecifikuje žádné konkrétní kroky, nedá se kontrolovat a v podstatě ani aplikovat. Jenom škoda, že už stál daňové poplatníky 300.000 korun za úvodní studii. Věřím, že z meziresortního připomínkování bude strategie doplněna o stejné argumenty a bude vrácena k přepracování.

Našli jste v článku chybu?
Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Lupa.cz: Poučný příběh jednoho rozšíření pro Chrome

Poučný příběh jednoho rozšíření pro Chrome

DigiZone.cz: RRTV: licence pro Šlágr TV

RRTV: licence pro Šlágr TV

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

Lupa.cz: Bude Google platit médiím za použití článků?

Bude Google platit médiím za použití článků?

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Podnikatel.cz: Vytvořte si web sami. Redakční systém Tumblr

Vytvořte si web sami. Redakční systém Tumblr

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě