Hlavní navigace

Názory k článku Další nekoncepční strategie?

  • Článek je starý, nové názory již nelze přidávat.
  • 5. 8. 2005 9:38

    Jan Goll (neregistrovaný)
    Mé jméno je Jan Goll a jsem autorem NSIB ČR (to abych ušetřil práci „Pernikovi“) a reaguji jako soukromá osoba.
    Původně jsem nechtěl reagoval na Váš první článek, jelikož se mi zdálo malicherné se dohadovat o tom, zda se internet píše s malým nebo velkým I. I já jsem byl zvyklý psát Internet, ale pravopis jsme ověřovali v Ústavu pro jazyk český (někteří dokonce tvrdí, že psaní velkého I bylo od počátku chybou). Rovněž se nechci pouštět do objasňování rozdílů internet – intranet – extranet (pod pojmem internet všichni chápou stejnou síť, alespoň to předpokládám). Ale pokud tvrdíte, že nepracujeme pořádně musím se obhajovat.
    K Vašemu článku „Národní strategie informační bezpečnosti ČR“:
    1) „… není jasný ani rozsah ani časové plánování.“
    RE:
    Strategické dokumenty se vytváří na období cca 5 let. Vlastníkem NSIB ČR bude vláda ČR a z toho vyplývá, že životní cyklus tohoto dokumentu končí s koncem funkčního období současné vlády. Nová vláda, která vzejde z nových voleb, má několik možností, jak se strategickými dokumenty naložit (akceptovat, upravit, zcela přehodnotit nebo zrušit).
    2) „… vše je v roli teoretických zadání – zapojených subjektů je tak velké množství, že není reálné je koordinovat a řídit.“
    RE:
    Množství ovlivňuje složitost řídící struktury a nemůže znamenat rezignaci nad řízením něčeho, čeho je moc. Co by musely dělat Spojené státy americké, když počtem obyvatel je Česká republika srovnatelná s New Yorkem?
    3) „Některé body jsou navíc tak obecné, že si je lze vyložit i jako vysloveně nežádoucí - "Soustavné monitorování hrozeb" je příliš snadno zaměnitelné s vytvořením orwelovského systému Velkého bratra přítomného všude.“
    RE:
    Není to zaměnitelné, jedná se o monitorování hrozeb, ne obsahu. Jde o celosvětově všeobecně uznávanou aktivitu a informace jsou v rámci mezinárodní spolupráce vyměňovány. Nebo jste doposud neslyšel například o hrozbě terorismu?
    4) „… , a po shlédnutí Přílohy č.2 (PDF) je vcelku jasné, že NSIB se dotýká tak závratného objemu stávající legislativy, že by ani "legislativní smršt" nepřinesla kýžený efekt“
    RE:
    Výčet legislativy navíc není vyčerpávající a není chybou NSIB ČR toto velké množství. I legislativa byla součástí analýzy o které tvrdíte, že nebyla provedena.
    5) „…jak si vlastně MIČR představuje "zesílení úsilí bezpečnostních složek státu spojených s informační kriminalitou a kyberterorizmem". Zejména v situaci, kdy počítačové vybavení Policie ČR spočívá v řadě případů v počítačích přinesených do práce samotnými policisty. Či v situaci, kdy nejlepší technické vybavení služebny je psací stroj s vyschlou páskou.“
    RE:
    Boj s počítačovou kriminalitou a kyberterorismem je věcí speciálních složek. Jen těžko se může někdo domnívat, že bude řešen na policejní služebně.
    6) „…chce zvyšovat povědomí o informační bezpečnosti. Otázkou zůstává, kolik peněz to opět bude stát, jaká netransparentní výběrová řízení se toho budou týkat a k čemu to nakonec bude. Chápu-li to jako nastínění dalšího zaměření NPPG …“
    RE:
    Tak jako každá aktivita může být i toto řešeno různým způsobem. Pro začátek by stačilo např. rozšířit NPPG o informace na co si uživatelé „mají dát pozor“ (např. formou desatera), aby bylo vedle informací jak s čím zacházet zvýšeno všeobecné povědomí o hrozbách a rizicích při používání ICT.
    7) „… MIČR vidí v PVS lék na úplně všechno. Stejně jako to začíná vypadat, že je MIČR přesvědčeno, že zvládne všechno.“
    RE:
    MI ČR v PVS jistě nevidí lék na všechno, ale jako centrální informační prostředek nemá veřejná správa v současné době k dispozici nic lepšího (v potaz je brána i ekonomická náročnost). MI ČR všechno nezvládne a proto je kladen v NSIB ČR důraz na spolupráci.
    8) „A kde se, mimochodem, náhle v NSIB objevil pojem "standardů", které MIČR v navrhované legislativě mezitím zrušilo?“
    RE:
    MI ČR nemá takovou moc aby zrušilo celosvětově uznávané standardy. Vy máte na mysli asi standardy veřejné správy, ale o těch se v NSIB ČR nikde nepíše.

    K Vašemu článku „Další nekoncepční strategie?“:
    1) „Podle mého názoru musí každá strategie vycházet z analýzy současného stavu a na tomto základě stanovit priority tam, kde byly v průběhu analýzy zjištěny nedostatky.“ „Národní strategie informační bezpečnosti (NSIB) však z žádné analýzy stavu informační bezpečnosti v České republice nevychází, respektive žádná taková analýza nebyla provedena a není ani součástí materiálu.“
    RE:
    Primárním cílem strategií není odstraňování nedostatků. Strategie je jedním z dokumentů zpracovávaných v rámci strategického řízení. Zadaným úkolem bylo vytvořit Národní strategii informační bezpečnosti a tím zahájit celý proces. Samozřejmě formulaci strategie musí předcházet analýza.
    NSIB ČR nepopisuje všechny fáze strategického řízení, ale je výstupem z fáze formulování strategie.
    V této fázi bylo provedeno:
    1) formulace poslání (záměr, filosofie, priority a obecné cíle),
    2) hodnocení relativního interního prostředí (jak formálního, tak neformálního) a rozpoznání silných a slabých stránek,
    3) hodnocení externího prostředí (analýza PEST) za účelem zjištění silných a slabých stránek,
    4) komparativní analýza, jež používá matici SWOT,
    5) identifikace cílů,
    6) volba opatření vedoucích k dosažení cílů.
    Pro Vaši informaci byly realizovány tyto fáze (k postupu tvorby NSIB ČR):
    1) Sestavení organizace projektu – přiřazení zdrojů
    2) Analýza rizik projektu
    a) Rizika externích závislostí
    b) Rizika věcného rámce
    c) Organizační rizika
    d) Rizika odhadování a plánování
    e) Technická rizika
    f) Celkové zhodnocení rizik
    3) Logický rámec projektu
    4) Věcný rámec projektu
    5) Plán a rozpočet projektu
    6) Úvodní projektová studie
    7) Analýza přínosů
    a) Měřitelné přínosy
    b) Neměřitelné přínosy
    c) Strategické přínosy
    8) SWOT analýza
    9) Zahájení projektu
    10) Úvodní studie
    a) Porovnání obdobných dokumentů zemí EU
    b) Porovnání obdobných dokumentů USA
    c) Nalezení společných rysů dokumentů
    d) Nalezení odlišností řešení USA a EU
    e) Posouzení relevantních leg. omezení EU
    f) Posouzení relevantních leg. omezení ČR
    g) Provedení analýzy současného stavu
    h) Posouzení všech vstupních informací
    i) Identifikace oblastí a cílů NSIB ČR
    j) Stanovení priorit NSIB ČR
    k) Základní struktura NSIB ČR
    l) Akceptace Úvodní studie
    11) Vypracování dokumentu NSIB ČR
    a) Vypracování obecných částí
    b) Vypracování části týkající se státní správy
    c) Vypracování příloh
    d) Vypracování komentářů a zdůvodnění
    e) Zpracování podpůrné dokumentace
    f) Akceptace NSIB ČR
    Jednotlivé fáze prošly připomínkováním „Pracovní podskupiny OPS pro bezpečnostní politiku ISVS“, která je složená ze zástupců veřejné správy.
    Po fázi 11f) následovalo interní připomínkové řízení MI ČR a po akceptaci vypořádání připomínek byl dokument zveřejněn k veřejné diskuzi.
    Opět podotýkám, že tento dokument nepostihuje všechny etapy strategického řízení, ale je jeho součástí.
    Dále byly v potaz brány výsledky a trendy z (uvedeny jsou pouze některé):
    1) Průzkum stavu informační bezpečnosti v ČR 1999, 2001 a 2003 provedené organizacemi: Ernst and Young, časopisem DSM a NBÚ.
    2) Průzkum stavu bezpečnosti IS/IT v informačních systémech veřejné správy provedené v roce 1999 (ÚSIS).
    3) Doporučení k rozvoji systémů řízení informační bezpečnosti v ČR – 2003 vznik v rámci projektu PHARE.
    Opravdu nevím, kde jste získal informaci, že nebyla analýza provedena. Pokud máte pochybnosti o cílech, opatřeních nebo aktivitách, které vznikly chybnou interpretací současného stavu (což nastat mohlo – to připouštím) je nutné toto konkretizovat a říci na základě čeho tak usuzujete.
    Vzhledem k jedné z vašich reakcí („Podle mailů, které jsem dostal s nabídkou na spolupráci při dalším připomínkování strategie si myslím, že práce bude ještě dost.“), se domnívám, že se jedná o stejnou firmu, která chtěla NSIB naplánovat a analyzovat (s využitím naší dosavadní práce) za 1,8 mil. Kč bez DPH (výtky a argumenty byly velmi podobné).
    Pokud Vám šlo o kvalitu dokumentu měl jste možnost se zúčastnit veřejného připomínkování, jak učinila celá řada jiných. Množství zapracovaných připomínek je patrný ze zveřejněného dokumentu (jsou označeny modře).
    2) „NSIB stanovuje priority bez jakéhokoliv ukotvení v realitě. V podstatě si je paní ministryně sype z rukávu. Není tedy jisté, zda priority a opatření navržená NSIB reagují na skutečné potřeby a slabá místa v informační bezpečnosti ČR, nebo zda řešíme problémy, které vlastně ani problémy nejsou, a ty opravdové necháváme bez povšimnutí.“
    RE:
    Toto považuji za nekorektní vůči paní ministryni, což nejspíš vychází z představy, že dokumenty tohoto typu zpracovávají ministři. Navíc jistě víte, že dokument byl zpracován již za pana ministra Mlynáře (viz. Váš předchozí článek). Dále tu nejspíš zaměňujete strategickou analýzu s analýzou rizik, jelikož strategie nepopisují pouze reakce na slabá místa.
    3) „NSIB je v podstatě kompilát finské a americké (USA) strategie národní bezpečnosti.“ „…model Finska a USA nejde bezhlavě aplikovat na české prostředí.“
    RE:
    Pokud narážíte na shodu některých cílů například „zvyšování osvěty – rozvoj znalostí“ je toto všeobecně považováno za prioritu a jen kvůli faktu, že to uvedl jiný stát ve své strategii my to přeci nevynecháme. Ve Vašem předchozím článku jste MI ČR dokonce nabádal k „okopírování“ aktivit. Nikdy jsme se netajili skutečností, že americká „THE NATIONAL STARTEGY TO SECURE CYBERRSPACE“ a finská „GOVERNMENT RESOLUTION ON NATIONAL INFORMATION SECURITY STRATEGY“ byly součástí podkladových materiálů (s velkým množstvím dalších). Mimochodem i studium zahraničních materiálů bylo součástí analýzy o které tvrdíte, že nebyla provedena.
    4) „Pokud se však podíváme na jednotlivé akce, kde by už měly být stanoveny konkrétní kroky k dosažení stanovených cílů, setkáme se jenom s množstvím obecných frází. Tyto fráze půjdou jen ztěžka změřit na nejnižší úrovni, natož na úrovni priorit. Jeden příklad za všechny: Příloha č. 1 aktivity Ministerstva informatiky: „Šířit znalosti je nejlepší praxe v oblasti informační bezpečnosti.“ Přestože se považuji za člověka s velkou představivostí, tak tady opravdu nevím. Jak mám změřit to, zda ministerstvo šíří správné informace, ve správném rozsahu a obsahu, v definovaných periodách a specifikovanými informačními kanály?“
    RE:
    Metriky mohou být i měkké. Vámi uvedený příklad může být vyhodnocen Ano šíří / NE nešíří (doprovozeno verbálním textem a dalším doporučením). Pokud by strategie mohly obsahovat pouze měřitelné cíle a aktivity, tak by například komerční firmy nemohly mít ve svých strategiích – získání, zlepšení nebo udržení dobrého jména firmy (přitom se jedná o jedno z nejcennějších aktiv). Ale pokud jsem Vám dobře rozuměl Vámi uvedená aktivita by v NSIB ČR být neměla a MI ČR by nemělo šířit znalosti a nejlepší praxi, protože se to nedá změřit, což je názor legitimní i když dle mého názoru chybný.
    5) „Vzhledem ke všem výše uvedeným argumentům mohu však jen říci, že připravený návrh je kus popsaného papíru, který nespecifikuje žádné konkrétní kroky, nedá se kontrolovat a v podstatě ani aplikovat. Jenom škoda, že už stál daňové poplatníky 300.000 korun za úvodní studii.“
    RE:
    Tento Váš závěr se diametrálně liší od závěru z předchozího článku.
    Zde Vás musím ještě upozorni na další chybné informace a to, že tento popsaný kus papíru stál daňové poplatníky 300.000 korun za úvodní studii. Nebylo to ani 300.000 Kč, ani za úvodní studii.
  • 15. 7. 2005 22:42

    Zbyněk Novotný (neregistrovaný)
    Respektuji Váš názor a souhlasím s Vámi, strategie je potřebná. Jen trochu nerozumím tomu co píšete. V prvním odstavci uvádíte, že strategie nepotřebuje analýzu, to mne popravdě trochu zaráží. Od roku 1990 jsem podnikatelem a věřte, že každá moje strategie vyžadovala analýzu prostředí, jinak bych asi brzo zkrachoval neustálými kroky do neznáma.

    Také píšete, že je důležité se kriticky soustředit na její zavádění, ale copak můžeme něco kontrolovat, když nevíme, jak to budeme měřit?

    ZN

  • 15. 7. 2005 22:36

    Zbyněk Novotný (neregistrovaný)
    Naopak, pan poslanec si opravdu srandu nedělá. :-)

    Článek jste bohužel nedočetl do konce. Můj názor je, že strategie je potřebá, jen je nutné věci dělat pořádně. A také jsem psal, že doufám, že v meziresortním připomínkovém řízení dojde k úpravám (takže o něm také vím). Podle mailů, které jsem dostal s nabídkou na spolupráci při dalším připomínkování strategie si myslím, že práce bude ještě dost.

    BTW: Věřte, že bych si nedovolil dělat z Vás "blba", jen prosím o čtení článků až do konce. :-)

    Zbyněk Novotný
  • 15. 7. 2005 21:48

    boka (neregistrovaný)
    Ve své reakci jsem pouze vyjadřoval svůj osobní názor, uvedl osobní e-mailovou adresu a nevystupoval jako zaměstnanec MI a stejně jako autor ani neuváděl, že se jedná o zaujatý či nezaujatý názor.
    Byla to pouze reakce na názor autora k NSIB a jeho nepodloženým tvrzením.
    Veřejnost, a samozřejmě i autor, mohla uplatnit své podněty a připomínke ve veřejné diskuzi k materiálu a bylo toho hojně využito a pokud mám informace, tak byly i podnětné připomínky zpracovány. Nyní je další možnost v mezirezortním připomínkovém řízení.
    Měl jsem možnost srovnat i další obdobné materiály, neboť to vyplývá i z mé pracovní náplně (komunikační infrastruktura veřejné správy). Rovněž mohu učinit srovnání s posledním workshopem ITU ke spamu a cybersecurity v rámci Světového summitu o informační společnosti (WSIS, http://www.wsis.org). Uvádím jen, že závěry (a nejen tohoto jednání) potvrzují priority uvedené v dokumentu NSIB.
    Další informace je možné získat na http://www.itu.int/osg/spu/cybersecurity/.
  • 15. 7. 2005 21:13

    Pernik (neregistrovaný)
    To, že se na něčem podílím v připomínkovém řízení ještě neznamená, že s tím souhlasím či ne. Pouze dávám připomínky, které mohou být, ale nemusejí být, zapracovány do finální verze dokumentu.

    Pokud něco připomínkuji, tak to ještě nic neříká o tom, že mám či nemám s tvůrcem materiálu něco společného.

    Podle mého názoru je vždy lepší připomínka od nezávislého subjektu. A protože se mi slova od Martina zdála příliš jednostranná, poslal jsem ten odkaz jako námět k zamyšlení.

    PS - Martine, neber to jako útok
  • 15. 7. 2005 20:58

    Viktor (neregistrovaný)
    Ale no tak, Perniku. Martin jasně napsal, že se na tomto materiálu podílel v připomínkovém řízení. Takže v žádném případě nedeklaroval, že se jedná o nezaujatý názor.

    Takže je vhodné si nejdříve něco přečíst a pochopit to, než začnu reagovat. A je myslím vhodnější reagovat na argumenty, než na autora.
  • 15. 7. 2005 20:41

    Pernik (neregistrovaný)
    Nezaujaty nazor?
    http://www.micr.cz/scripts/detail.php?id=2255
    ...uvedl Martin Boka z Ministerstva informatiky ČR...

    Nahoda?
  • 15. 7. 2005 20:20

    boka (neregistrovaný)
    Po přečtení obou článků je jen velmi těžké určit jaký názor vlastně autor článku zastává.
    Rozhodně se snaží vystupovat jako znalec a člověk, který dokonale zná pozadí přípravy materiálu.
    Jen těžko říci z čeho soudí, že nebyla provedena žádný odpovídající analýza, či že je dokument pouze kompilátem nějakých jiných.
    Jen bych zdůraznil, že se jedná o koncepci a ne žádná bezpečnostní projekt, který by stanovoval konkrétní realizaci jednotlivých opatření.
    Měl jsem na rozdíl od autora možnost se připomínkováním na vytvoření materiálu podílet a vím o čem mluvím.
    Konkrétní realizace nemůže být pouze prací ministerstva informatiky, ale spoluprací všech zainteresovaných stran. Materiál zcela navazuje na obdobné aktivity ve státech EU a v dalších státech světa, které si uvědomují důležitost informační bezpečnosti a reálné hrozby kyberkriminality.
    Jen k druhému (v diskuzi odkazovaném článku autora): zřejmě je to pro autora novinka, že se internet píše s malým písmenem (viz. "Překvapivě například i tím, že začal uvádět "Internet" s malým "i" - na řadě míst dokumentu tak vůbec není jasné, jestli myslí celosvětovou a veřejně používanou síť Internet, nebo nějaký internet v rámci státní správy.", ale je to běžné již delší dobu. Pokud měl autor článku na mysli neveřejnou síť veřejné správy, pak lze hovořit o intranetu, ale ne o internetu. To jen pro vysvětlení a pro další články.
  • 15. 7. 2005 14:42

    Radim Smyčka (neregistrovaný)
    http://www.zbyneknovotny.cz/a.asp?a=2004172&db=100

    Nejenom MIČR pracuje nekoncepčně. Všichni jsou jen lidé.
  • 15. 7. 2005 11:21

    Ondřej Suchý (neregistrovaný)
    Autorovi této glosy bych rád oponoval minimálně v jedné věci. Strategie je jen obecné vyjádření záměru. Nemusí vycházet z analýzy současného stavu, jak tvrdíte Vy. Z analýzy současného stavu a rizik vycházejí až konkrétní opatření.

    Netvrdím, že je strategie dokonalá, ale podle mého názoru je to krok správným směrem. Spíš by bylo důležité se kriticky zaměřit na její další zavádění. Aby to nedopadlo jako s atestací informačních systémů veřejné správy, kdy na laické úředníky a správce IT bylo naloženo tolik povinností, že to nemohli zvládnout. Výsledkem je dokumentace (obvykle založená na vzorech, draze prodaných externími konzultanty), která v praxi není uplatňována a mnohdy slouží jen jako potěmkinova vesnice.
  • 15. 7. 2005 10:29

    _xdrm_ (neregistrovaný)
    U uvadeneho porovnani se zapomelo jeste na dva predchozi kroky:
    1) clovek musi poznat je nemocny
    2) musi dojit k doktorivi
    a pak uz viz clanek.
  • 15. 7. 2005 9:52

    Melkor (neregistrovaný)
    Dela si z nas pan poslanec legraci nebo se projevuje vliv rodne strany Tlustych techniku?

    Nekolik nerazenych pripominek:

    Patrne je tento clanek vztazen k http://www.micr.cz/scripts/detail.php?id=2470.

    Autor se ponekud zapomnel zminit o tom, ze se jedna o pracovni verzi, ktera teprve byla odeslana k mezirezortnimu pripominkovemu rizeni.

    Neni mi jasne, k cemu by se mela pozadovana analyza vztahovat a co by mela obsahovat. Patrne zpravu o tom, ze jsou systemy kvalitne zabezpecene (priklady) a systemy prakticky bez zabezpeceni (priklady)... A pak by nasledoval dalsi poslanecky clanek o tom, ze ministerstvo objevilo Emeriku a vyhodilo $$$ za zbytecnosti.

    Velevazeny autor ma patrne problem s chapanim psaneho textu. Jinak by si musel povsimnout ucelu dokumentu. Je to na strane 5, v kapitolce zaludne nazvane "Priority, účel a strategické cíle". Mj. se tam pise, ze "Tato strategie bude brána v úvahu jako základní dokument při tvorbě politik, směrnic, ..." Je mozne, ze by neco takoveho nekdo tak zkuseny, jako je cteny autor tohoto clanku, pouze prehledl? Nejedna se spise o zamer dany "nulovou toleranci"?

    BTW: S MICR, kritizovanym dokumentem a CSSD nemam nic spolecneho. Jen nemam rad, kdyz se nekdo snazi ze mne delat blba.

    Uff, dalo by se pokracovat, ale uz mne to nebavi
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).