Hlavní navigace

Názor k článku Další nekoncepční strategie? od Jan Goll - Mé jméno je Jan Goll a jsem autorem...

  • Článek je starý, nové názory již nelze přidávat.
  • 5. 8. 2005 9:38

    Jan Goll (neregistrovaný)
    Mé jméno je Jan Goll a jsem autorem NSIB ČR (to abych ušetřil práci „Pernikovi“) a reaguji jako soukromá osoba.
    Původně jsem nechtěl reagoval na Váš první článek, jelikož se mi zdálo malicherné se dohadovat o tom, zda se internet píše s malým nebo velkým I. I já jsem byl zvyklý psát Internet, ale pravopis jsme ověřovali v Ústavu pro jazyk český (někteří dokonce tvrdí, že psaní velkého I bylo od počátku chybou). Rovněž se nechci pouštět do objasňování rozdílů internet – intranet – extranet (pod pojmem internet všichni chápou stejnou síť, alespoň to předpokládám). Ale pokud tvrdíte, že nepracujeme pořádně musím se obhajovat.
    K Vašemu článku „Národní strategie informační bezpečnosti ČR“:
    1) „… není jasný ani rozsah ani časové plánování.“
    RE:
    Strategické dokumenty se vytváří na období cca 5 let. Vlastníkem NSIB ČR bude vláda ČR a z toho vyplývá, že životní cyklus tohoto dokumentu končí s koncem funkčního období současné vlády. Nová vláda, která vzejde z nových voleb, má několik možností, jak se strategickými dokumenty naložit (akceptovat, upravit, zcela přehodnotit nebo zrušit).
    2) „… vše je v roli teoretických zadání – zapojených subjektů je tak velké množství, že není reálné je koordinovat a řídit.“
    RE:
    Množství ovlivňuje složitost řídící struktury a nemůže znamenat rezignaci nad řízením něčeho, čeho je moc. Co by musely dělat Spojené státy americké, když počtem obyvatel je Česká republika srovnatelná s New Yorkem?
    3) „Některé body jsou navíc tak obecné, že si je lze vyložit i jako vysloveně nežádoucí - "Soustavné monitorování hrozeb" je příliš snadno zaměnitelné s vytvořením orwelovského systému Velkého bratra přítomného všude.“
    RE:
    Není to zaměnitelné, jedná se o monitorování hrozeb, ne obsahu. Jde o celosvětově všeobecně uznávanou aktivitu a informace jsou v rámci mezinárodní spolupráce vyměňovány. Nebo jste doposud neslyšel například o hrozbě terorismu?
    4) „… , a po shlédnutí Přílohy č.2 (PDF) je vcelku jasné, že NSIB se dotýká tak závratného objemu stávající legislativy, že by ani "legislativní smršt" nepřinesla kýžený efekt“
    RE:
    Výčet legislativy navíc není vyčerpávající a není chybou NSIB ČR toto velké množství. I legislativa byla součástí analýzy o které tvrdíte, že nebyla provedena.
    5) „…jak si vlastně MIČR představuje "zesílení úsilí bezpečnostních složek státu spojených s informační kriminalitou a kyberterorizmem". Zejména v situaci, kdy počítačové vybavení Policie ČR spočívá v řadě případů v počítačích přinesených do práce samotnými policisty. Či v situaci, kdy nejlepší technické vybavení služebny je psací stroj s vyschlou páskou.“
    RE:
    Boj s počítačovou kriminalitou a kyberterorismem je věcí speciálních složek. Jen těžko se může někdo domnívat, že bude řešen na policejní služebně.
    6) „…chce zvyšovat povědomí o informační bezpečnosti. Otázkou zůstává, kolik peněz to opět bude stát, jaká netransparentní výběrová řízení se toho budou týkat a k čemu to nakonec bude. Chápu-li to jako nastínění dalšího zaměření NPPG …“
    RE:
    Tak jako každá aktivita může být i toto řešeno různým způsobem. Pro začátek by stačilo např. rozšířit NPPG o informace na co si uživatelé „mají dát pozor“ (např. formou desatera), aby bylo vedle informací jak s čím zacházet zvýšeno všeobecné povědomí o hrozbách a rizicích při používání ICT.
    7) „… MIČR vidí v PVS lék na úplně všechno. Stejně jako to začíná vypadat, že je MIČR přesvědčeno, že zvládne všechno.“
    RE:
    MI ČR v PVS jistě nevidí lék na všechno, ale jako centrální informační prostředek nemá veřejná správa v současné době k dispozici nic lepšího (v potaz je brána i ekonomická náročnost). MI ČR všechno nezvládne a proto je kladen v NSIB ČR důraz na spolupráci.
    8) „A kde se, mimochodem, náhle v NSIB objevil pojem "standardů", které MIČR v navrhované legislativě mezitím zrušilo?“
    RE:
    MI ČR nemá takovou moc aby zrušilo celosvětově uznávané standardy. Vy máte na mysli asi standardy veřejné správy, ale o těch se v NSIB ČR nikde nepíše.

    K Vašemu článku „Další nekoncepční strategie?“:
    1) „Podle mého názoru musí každá strategie vycházet z analýzy současného stavu a na tomto základě stanovit priority tam, kde byly v průběhu analýzy zjištěny nedostatky.“ „Národní strategie informační bezpečnosti (NSIB) však z žádné analýzy stavu informační bezpečnosti v České republice nevychází, respektive žádná taková analýza nebyla provedena a není ani součástí materiálu.“
    RE:
    Primárním cílem strategií není odstraňování nedostatků. Strategie je jedním z dokumentů zpracovávaných v rámci strategického řízení. Zadaným úkolem bylo vytvořit Národní strategii informační bezpečnosti a tím zahájit celý proces. Samozřejmě formulaci strategie musí předcházet analýza.
    NSIB ČR nepopisuje všechny fáze strategického řízení, ale je výstupem z fáze formulování strategie.
    V této fázi bylo provedeno:
    1) formulace poslání (záměr, filosofie, priority a obecné cíle),
    2) hodnocení relativního interního prostředí (jak formálního, tak neformálního) a rozpoznání silných a slabých stránek,
    3) hodnocení externího prostředí (analýza PEST) za účelem zjištění silných a slabých stránek,
    4) komparativní analýza, jež používá matici SWOT,
    5) identifikace cílů,
    6) volba opatření vedoucích k dosažení cílů.
    Pro Vaši informaci byly realizovány tyto fáze (k postupu tvorby NSIB ČR):
    1) Sestavení organizace projektu – přiřazení zdrojů
    2) Analýza rizik projektu
    a) Rizika externích závislostí
    b) Rizika věcného rámce
    c) Organizační rizika
    d) Rizika odhadování a plánování
    e) Technická rizika
    f) Celkové zhodnocení rizik
    3) Logický rámec projektu
    4) Věcný rámec projektu
    5) Plán a rozpočet projektu
    6) Úvodní projektová studie
    7) Analýza přínosů
    a) Měřitelné přínosy
    b) Neměřitelné přínosy
    c) Strategické přínosy
    8) SWOT analýza
    9) Zahájení projektu
    10) Úvodní studie
    a) Porovnání obdobných dokumentů zemí EU
    b) Porovnání obdobných dokumentů USA
    c) Nalezení společných rysů dokumentů
    d) Nalezení odlišností řešení USA a EU
    e) Posouzení relevantních leg. omezení EU
    f) Posouzení relevantních leg. omezení ČR
    g) Provedení analýzy současného stavu
    h) Posouzení všech vstupních informací
    i) Identifikace oblastí a cílů NSIB ČR
    j) Stanovení priorit NSIB ČR
    k) Základní struktura NSIB ČR
    l) Akceptace Úvodní studie
    11) Vypracování dokumentu NSIB ČR
    a) Vypracování obecných částí
    b) Vypracování části týkající se státní správy
    c) Vypracování příloh
    d) Vypracování komentářů a zdůvodnění
    e) Zpracování podpůrné dokumentace
    f) Akceptace NSIB ČR
    Jednotlivé fáze prošly připomínkováním „Pracovní podskupiny OPS pro bezpečnostní politiku ISVS“, která je složená ze zástupců veřejné správy.
    Po fázi 11f) následovalo interní připomínkové řízení MI ČR a po akceptaci vypořádání připomínek byl dokument zveřejněn k veřejné diskuzi.
    Opět podotýkám, že tento dokument nepostihuje všechny etapy strategického řízení, ale je jeho součástí.
    Dále byly v potaz brány výsledky a trendy z (uvedeny jsou pouze některé):
    1) Průzkum stavu informační bezpečnosti v ČR 1999, 2001 a 2003 provedené organizacemi: Ernst and Young, časopisem DSM a NBÚ.
    2) Průzkum stavu bezpečnosti IS/IT v informačních systémech veřejné správy provedené v roce 1999 (ÚSIS).
    3) Doporučení k rozvoji systémů řízení informační bezpečnosti v ČR – 2003 vznik v rámci projektu PHARE.
    Opravdu nevím, kde jste získal informaci, že nebyla analýza provedena. Pokud máte pochybnosti o cílech, opatřeních nebo aktivitách, které vznikly chybnou interpretací současného stavu (což nastat mohlo – to připouštím) je nutné toto konkretizovat a říci na základě čeho tak usuzujete.
    Vzhledem k jedné z vašich reakcí („Podle mailů, které jsem dostal s nabídkou na spolupráci při dalším připomínkování strategie si myslím, že práce bude ještě dost.“), se domnívám, že se jedná o stejnou firmu, která chtěla NSIB naplánovat a analyzovat (s využitím naší dosavadní práce) za 1,8 mil. Kč bez DPH (výtky a argumenty byly velmi podobné).
    Pokud Vám šlo o kvalitu dokumentu měl jste možnost se zúčastnit veřejného připomínkování, jak učinila celá řada jiných. Množství zapracovaných připomínek je patrný ze zveřejněného dokumentu (jsou označeny modře).
    2) „NSIB stanovuje priority bez jakéhokoliv ukotvení v realitě. V podstatě si je paní ministryně sype z rukávu. Není tedy jisté, zda priority a opatření navržená NSIB reagují na skutečné potřeby a slabá místa v informační bezpečnosti ČR, nebo zda řešíme problémy, které vlastně ani problémy nejsou, a ty opravdové necháváme bez povšimnutí.“
    RE:
    Toto považuji za nekorektní vůči paní ministryni, což nejspíš vychází z představy, že dokumenty tohoto typu zpracovávají ministři. Navíc jistě víte, že dokument byl zpracován již za pana ministra Mlynáře (viz. Váš předchozí článek). Dále tu nejspíš zaměňujete strategickou analýzu s analýzou rizik, jelikož strategie nepopisují pouze reakce na slabá místa.
    3) „NSIB je v podstatě kompilát finské a americké (USA) strategie národní bezpečnosti.“ „…model Finska a USA nejde bezhlavě aplikovat na české prostředí.“
    RE:
    Pokud narážíte na shodu některých cílů například „zvyšování osvěty – rozvoj znalostí“ je toto všeobecně považováno za prioritu a jen kvůli faktu, že to uvedl jiný stát ve své strategii my to přeci nevynecháme. Ve Vašem předchozím článku jste MI ČR dokonce nabádal k „okopírování“ aktivit. Nikdy jsme se netajili skutečností, že americká „THE NATIONAL STARTEGY TO SECURE CYBERRSPACE“ a finská „GOVERNMENT RESOLUTION ON NATIONAL INFORMATION SECURITY STRATEGY“ byly součástí podkladových materiálů (s velkým množstvím dalších). Mimochodem i studium zahraničních materiálů bylo součástí analýzy o které tvrdíte, že nebyla provedena.
    4) „Pokud se však podíváme na jednotlivé akce, kde by už měly být stanoveny konkrétní kroky k dosažení stanovených cílů, setkáme se jenom s množstvím obecných frází. Tyto fráze půjdou jen ztěžka změřit na nejnižší úrovni, natož na úrovni priorit. Jeden příklad za všechny: Příloha č. 1 aktivity Ministerstva informatiky: „Šířit znalosti je nejlepší praxe v oblasti informační bezpečnosti.“ Přestože se považuji za člověka s velkou představivostí, tak tady opravdu nevím. Jak mám změřit to, zda ministerstvo šíří správné informace, ve správném rozsahu a obsahu, v definovaných periodách a specifikovanými informačními kanály?“
    RE:
    Metriky mohou být i měkké. Vámi uvedený příklad může být vyhodnocen Ano šíří / NE nešíří (doprovozeno verbálním textem a dalším doporučením). Pokud by strategie mohly obsahovat pouze měřitelné cíle a aktivity, tak by například komerční firmy nemohly mít ve svých strategiích – získání, zlepšení nebo udržení dobrého jména firmy (přitom se jedná o jedno z nejcennějších aktiv). Ale pokud jsem Vám dobře rozuměl Vámi uvedená aktivita by v NSIB ČR být neměla a MI ČR by nemělo šířit znalosti a nejlepší praxi, protože se to nedá změřit, což je názor legitimní i když dle mého názoru chybný.
    5) „Vzhledem ke všem výše uvedeným argumentům mohu však jen říci, že připravený návrh je kus popsaného papíru, který nespecifikuje žádné konkrétní kroky, nedá se kontrolovat a v podstatě ani aplikovat. Jenom škoda, že už stál daňové poplatníky 300.000 korun za úvodní studii.“
    RE:
    Tento Váš závěr se diametrálně liší od závěru z předchozího článku.
    Zde Vás musím ještě upozorni na další chybné informace a to, že tento popsaný kus papíru stál daňové poplatníky 300.000 korun za úvodní studii. Nebylo to ani 300.000 Kč, ani za úvodní studii.