DSM 2011/4 - Recenze knihy
Systémový prístup k riadeniu informačnej bezpečnosti
Ondrej Strnád
 |
Požadavek na budování a využívání systémů řízení informační bezpečnos-ti (SRIB) není ničím novým. Řada států EU již vydala vlastní národní právní předpisy, jimiž se budování a využívání systémů řízení informační bezpečnosti stalo pro centrální orgány státu a další organizace zákonnou povinností. S tím souvisí mimo jiné i tyto dva problémy:
1. Jak problematiku systémů řízení informační bezpečnosti vyučovat na univerzitách a dalších typech škol a jaký teoretický výklad bude studen-tům poskytován?
2. Jak zajistit odpovídající znalosti u manažerů organizací, kterých se budování týká?
Na tyto okruhy čtenářů se proto autor orientuje, čímž řeší problém absence vhodné literatury. Kniha se věnuje vybraným aspektům řízení informační bezpečnosti, neřeší její technologické aspekty a pouze okrajově se dotýká právních as-pektů informační bezpečnosti.
V předmluvě knihy si autor stanovil několik cílů, a to:
■ vysvětlit základní pojmy související s informační bezpečností;
■ vysvětlit základní vazby mezi prvky majícími vliv na dosahovanou úroveň informační bezpečnosti;
■ dát k dispozici přehled o mezinárodních normách a slovenské legislativě týkající se informační bezpečnosti;
■ vysvětlit podstatu analýzy a řízení rizik informační bezpečnosti;
■ dát k dispozici přehled o bezpečnostní dokumentaci IS;
■ vysvětlit systémový přístup k řešení bezpečnosti IS;
■ vysvětlit systém řízení informační bezpečnosti;
■ vysvětlit proces získávání záruk za informační bezpečnost prostřednictvím nezávislého posouzení vytvořeného systému řízení informační bezpečnosti a jeho certifikace.
Struktura kapitol knihy vyplývá z postupného plnění těchto cílů. Domnívám se, že autor v knize umně sloučil poznatky získané studiem zahraniční literatury, no-rem a know-how, kterým se vybavil bě-hem svého manažerského působení (dříve generální ředitel PVT Bratislava, nyní ředitel společnosti REI, s.r.o.), a konzultační činností. Prokazuje i své zkušenosti z mnohaletého pedagogického působení na bratislavských vysokých školách.
Kniha se ve 3. kapitole řídí klasickým postupem při řešení informační bezpečnosti: aktiva – dopady – hrozby – zranitelnosti – rizika – požadavky na ochranu – ochranná opatření. Je to velmi přehledná a účelná metoda. Tato kapitola knihy se částečně překrývá s 3. kapitolou knihy Ondreje Strnáda „Riadenie rizík informačnej bezpečnosti“ recenzované v minulém čísle DSM; zde je text upraven tak, aby zapadal do kontextu komplexněji koncipované knihy.
Často se setkáváme s chybami v dokumentaci bezpečnostní politiky, kterou řeší 6. kapitola knihy. Obsahuje řadu užitečných návodů, ať již jde o vzorový obsah politiky informační bezpečnosti, vzorový obsah bezpečnostního projektu IS, opatření bezpečnostních směrnic, havarijní plán či plán obnovy. Zde uvedená norma ISO/IEC TR 13335 je sice dnes již neplatná, ale není problém tuto pasáž při dalším vydání aktualizovat.
Dále je třeba ocenit propracované zařazení řízení bezpečnosti IS do životní-ho cyklu IS v nejobsáhlejší 7. kapitole. Kapitola obsahuje popis jednotlivých modelů (evoluční, vodopádový, spirálový) a vývojové diagramy činností v rámci jednotlivých fází budování IS.
Kniha také obsahuje řadu zajímavých argumentů. Např. pro doložení aktuálnosti budování ISMS na Slovensku autor poskytuje přehled stavu certifikací ISMS ve světě – Slovensko je na 40. místě s pěti certifikovanými ISMS, zatímco Česká republika na 15. místě s 28 systémy.
Za cenný považuji i přehled literatury, který kromě knih a článků obsahuje i přehled zákonů, vyhlášek a ISO norem souvisejících s tématem knihy. Nechybí seznam zkratek, seznam obrázků a tabulek, vysvětlení vybraných pojmů, rejstřík atd.
Závěrem hodnotím, že se v knize uvedený cíl formulovat určitou teorii řízení informační bezpečnosti, která dosud nebyla popsána v dostupné literatuře, autorovi povedl. Upřímně ji proto doporučuji široké čtenářské obci časopisu DSM. A nezapomeňte si přečíst vtipnou epizodu, jíž je kniha uvedena.
Jaroslav Dočkal
jaroslav.dockal(zavinac)dsm.tate.cz
| Titul: | Systémový prístup k riadeniu informačnej bezpečnosti |
| Autor: | Ing. Ondrej Strnád, CSc. |
| Vydavatel: | SP Synergie 2009 |
| Počet stran/ISBN: | 233 / ISBN: 978-80-89291-20-5 |
| Cena: | 25 € prodává např. ELITA, Knihkupectví A-Z |
Publikováno: 05. 12. 2011