Příspěvek k návrhu Národní strategie informační bezpečnosti ČR
Můj příspěvek do veřejné diskuse k návrhu materiálu "Národní strategie informační bezpečnosti ČR".
Když jsem si na konci června přečetl na stránkách Ministerstva informatiky, že je připravena strategie informační bezpečnosti, byl jsem příjemně potěšen. Při podrobnějším čtení jsem se však z letargie brzy probral. Stává se asi klasickým zvykem našich resortů, že nepoužívají správných pojmů pro jednotlivé dokumenty. Podle mého názoru musí každá strategie vycházet z analýzy současného stavu a na tomto základě stanovit priority tam, kde byly v průběhu analýzy zjištěny nedostatky.
Typickým příkladem může být zdravotnictví. Pokud lékař předepisuje léčbu je logické, že tomu předchází prohlídka pacienta a stanovení diagnózy. NSIB však z žádné analýzy stavu informační bezpečnosti v České republice nevychází, respektive žádná taková analýza nebyla provedena a není ani součástí materiálu. V takovém případě NSIB stanovuje priority bez jakéhokoliv ukotvení v realitě. V podstatě si je paní ministryně sype z rukávu. Není tedy jisté, zda priority a opatření navržená NSIB reagují na skutečné potřeby a slabá místa v informační bezpečnosti ČR nebo zda řešíme problémy, které vlastně ani problémy nejsou a ty opravdové necháváme bez povšimnutí. Použijeme-li pokračování našeho příkladu ze zdravotnické praxe, nastává proces stanovení léčebné metody a aplikace léků. Ale bez receptu a alespoň zběžné prohlídka pacienta. Pravda, existuje jakási pravděpodobnost, že se pacient částečně uzdraví. V oblastech, o kterých ani nevíme, nezjištěná a neléčená choroba bují dál.
NSIB je v podstatě kompilát Finské a Americké (USA) strategie národní bezpečnosti. Pro kvalitu strategie může být samozřejmě prospěšné, pokud se v některých aspektech inspiruje ze zahraničních zkušeností, ale model Finska a USA nejde bezhlavě aplikovat na české prostředí. A to zejména pokud nebyla provedena již výše zmiňovaná analýza.
Cíle v NSIB jsou přehledně strukturovány do priorit, jednotlivé priority se rozpadají na cíle, ty potom na opatření a opatření dále na jednotlivé akce. Formálně je tato struktura určitě správná, protože začíná velmi obecnými oblastmi priorit a ve čtvrté úrovni končí konkrétními akcemi. Pokud se však podíváme jednotlivé akce, kde by už měly být stanoveny konkrétní kroky k dosažení stanovených cílů setkáme se jenom s hromadou obecných frází. Tyto fráze půjdou jen ztěžka změřit na nejnižší úrovni natož na úrovní priorit. Jeden příklad za všechny: Příloha č. 1 aktivity Ministerstva informatiky: "Šířit znalosti nejlepší praxe v oblasti informační bezpečnosti"
Přestože se považuji za člověka s velkou představivostí, tak tady opravdu nevím. Jak mám změřit to, zda ministerstvo šíří správné informace, ve správném rozsahu a obsahu, v definovaných periodách a specifikovanými informačními kanály. Bude ministerstvu stačit, že se účastní různých seminářů, kde bude přítomné informovat? Proč strategie nestanoví jakékoliv konkrétné kroky, které je potřeba provést? Proč se zde ukládají resortům úkoly, které nejsou specifikovány? Dalším nedostatkem strategie je neexistence časových horizontů plnění u jednotlivých úkolů a průběžné kontroly plnění.
Národní strategii informační bezpečnosti rozhodně podporuji. Vzhledem ke všem výše uvedeným argumentům mohu však jen říci, že připravený návrh je kus popsaného papíru, který nespecifikuje žádné konkrétní kroky, nedá se kontrolovat a v podstatě ani aplikovat. Jenom škoda, že už stál daňové poplatníky 300.000,- Kč za úvodní studii. Věřím, že z meziresortního připomínkování bude strategie doplněna o stejné argumenty a bude vrácena k přepracování.
Další informace na stránkách autora.
Odpovědět na příspěvek