Ako dopadne Národná stratégia pre informačnú bezpečnosť?

Pri štúdiu Stratégie sa totiž nemôžem zbaviť pocitu, že ide o pokus vypracovať niečo ako bezpečnostný projekt, resp. zaviesť systém riadenia informačnej bezpečnosti podľa štandardov BS7799/ISO17799/ISO27001, pre celú krajinu. Dá sa samozrejme diskutovať o tom, či sú metódy a postupy navrhnuté pre riadenie informačnej bezpečnosti v organizácii vôbec použiteľné na riadenie v rámci celej krajiny (pre ilustráciu – inak sa varí v domácnosti a inak v jedálni, metódy manažovania malej organizácie sa nedajú uplatniť na manažovanie veľkej organizácie, no a štát je rádovo väčšie zoskupenia ako tá najväčšia organizácia v ňom). Pripusťme však (aj keď sa to prieči skúsenostiam), že sa naozaj dá riadenie (informačnej bezpečnosti) v štáte postaviť na princípoch odvodených zo skúseností z úplne iného prostredia rádovo menších organizácií (teda na základe zmienených štandardov BS7799/ISO17799/ISO27001). Potom už len stačí zásady a princípy štandardov prerozprávať a prípadne mierne upraviť a máme viacmenej ucelený dokument, v ktorom sa dosť ťažko hľadajú viditeľné nedostatky (predsa len, tie štandardy majú svoju vnútornú logiku a to, čo odporúčajú, má svoje opodstatnenie).

Problém č. 1 – pri takomto postupe sa pozornosť sústreďuje skôr na operatívne problémy, dosiahnutie a udržanie nejakej akceptovateľnej úrovne bezpečnosti. Presne takýto dojem – sústredenie sa na problémy skôr operatívneho charakteru – som mal pri čítaní Stratégie. Inak povedané, Stratégia vychádza (a tým ho ďalej konzervuje) z klasického vnímania informatiky ako servisu, ktorý nemá ambície ovplyvňovať procesy či prijímané rozhodnutia, len zabezpečuje realizačnú podporu ... v prípade informačnej bezpečnosti by pritom nesporne bolo prínosom, keby sa už pri prijímaní rozhodnutí zohľadňovali aj ich možné dôsledky pre bezpečnosť. Z hľadiska spomenutých štandardov je to OK (veď práve na tento účel boli navrhnuté), ale od materiálu ašpirujúceho na názov Stratégia by som očakával predsa len čosi viac.

Teraz sa samozrejme dá namietnuť, že to nie je predsa podstatné, dôležité je, aby to fungovalo, teda aby sa v rámci štátu dosiahla potrebná úroveň informačnej bezpečnosti. A tu práve vidím kľúčovú otázku

Problém č. 2 – prečo by to malo fungovať? Ten, kto niekedy spolupôsobil pri zavádzaní systému riadenia informačnej bezpečnosti do organizácie vie, aká je pre úspech dôležitá podpora zo strany top managementu organizácia – podpora, ktorá nie je len jednorazovo deklarovaná, ale je stála, prejavuje sa konkrétnymi krokmi a vychádza z vnútorného presvedčenia, že zavedenie systému riadenia informačnej bezpečnosti je nevyhnutné pre úspešné napredovanie organizácie. Spomenuté štandardy zavádzania systému riadenia informačnej bezpečnosti takúto podporu predpokladajú, resp. si ju priamo vyžadujú. Túto pre úspech mimoriadne dôležitú podmienku Stratégia v podstate ignoruje, resp. predpokladá ju ako samozrejme splnenú... Pozornejší čitateľ si napríklad všimne, že Stratégia v časti 3.2.2 (Budovanie povedomia a kompetentnosti v informačnej bezpečnosti) svoju pozornosť zužuje len na kategórie ľudí, ktorí prichádzajú do styku s IT a úplne sa ignorujú tí, ktorí prijímajú rozhodnutia s dopadmi na informačnú bezpečnosť. V praktickej oblasti informačnej bezpečnosti sa pohybujem už pekných pár rokov a pochybujem o tom, že by top managementu tohto štátu (ministri, poslanci, štátni úradníci a pod.) stačilo prečítať si Stratégiu a okamžite prijmú za svoje presvedčenie o dôležitosti informačnej bezpečnosti pre úspešný rozvoj tejto krajiny. Keďže Stratégia nikde neráta s niečím ako „marketingom“ informačnej bezpečnosti smerom k rozhodovacím štruktúram tohto štátu, kto uverí že Stratégia získa potrebnú podporu (pripomínam, že nie jednorazovo deklarovanú, ale trvalú a aktívne sa prejavujúcu) a to, čo sa v nej píše, „bude fungovať“?

Ak bude čas (z mojej strany) a záujem (z druhej strany), nevylučujem pokračovanie s poznámkami ku konkrétnym pasážam textu Stratégie.