česky english
Dnes je Sobota, 4. únor 2012 a svátek má Jarmila

Průzkum stavu informační bezpečnosti v ČR 2003

PSIB

Informační bezpečnost dnes již není neprobádaným územím. Máme širokou základnu teoretických prací, které rozebírají tuto oblast za použití formalizovaných vědeckých metod. Informační bezpečnost se vyučuje na vysokých školách, k dispozici je obrovské množství standardů, certifikací, příkladů „best practice“. Ve světě i u nás se pořádají pravidelné konference věnované jednotlivým aspektům informační  bezpečnosti, jsou ustanoveny mezinárodní asociace bezpečnostních profesionálů s propracovanými systémy vzdělávání.

 

Od historicky pouze technologického pohledu na informační bezpečnost jsme se propracovali ke komplexnímu chápání, kde důležitou úlohu hrají také lidé, kteří s informacemi a technologiemi pracují, a procesy, které mají na starosti bezpečné a efektivní řízení a fungování informačních systémů. Teoreticky i prakticky jsme se již přesvědčili o tom, že informační bezpečnost není a neměla by být věcí (pouze) pracovníkù útvarů IT, ale především by jí měl věnovat pozornost management společností, bez jehož pochopení a podpory bude každé řešení této oblasti neúplné a nepříliš funkční.

 

Nejen na teoretické úrovni již začínáme v souvislosti s informační bezpečností diskutovat témata jako „IT“, nebo dokonce „Corporate Governance“.

 

Taková je tedy teorie. Jak dalece se však teoretické přístupy mohou uplatnit v každodenní praxi? Kde jsou slabá místa? Která odvětví podnikání jsou „průkopníky“ aplikace teoretických poznatků do reálných podmínek fungování informačních systémů? Pokud se ohlédneme zpět - jsme na tom lépe nebo hůře, než před dvěma či čtyřmi roky? Smyslem Průzkumu stavu informační bezpečnosti v České republice 2003 je pomoci na tyto otázky odpovědět. Třetí ročník průzkumu přináší unikátní možnost oprostit se od analýz absolutních údajù a zamyslet se nad naznačenými trendy, které jsou v některých oblastech více než překvapivé. Poskytnout možnost srovnání s ostatními, uvědomit si minulý vývoj a zamyslet se nad možnou budoucností, to jsou cíle, jež si dali partneři, kteří stáli v roce 2003 u zrodu průzkumu: společnost Ernst & Young, časopis DSM - data security management a Národní bezpečnostní úřad.

 

 

 

HLAVNÍ ZJIŠTĚNÍ

  • Z pohledu informační bezpečnosti jsou největšími hrozbami Internet a elektronická pošta. Od roku 1999 se procento zaměstnanců s přístupem k Internetu zvýšilo ze 17 % na 47 %. Na druhou stranu narostl o více jak 70 % podíl organizací, které se setkaly s incidentem v podobě viru získaného ze souborů stažených z Internetu.
  • V oblasti řešení bezpečnosti Internetu a elektronické pošty došlo za poslední čtyři roky k významnému posunu: o 34 procentních bodů se zvýšil počet organizací chráněných firewallem, o 50 procentních bodů s antivirovým zabezpečením, o 22 procentních bodů s interní směrnicí upravující používání Internetu.
  • S výjimkou oblasti Internetu lze ve srovnání s předchozími roky pozorovat určitou stagnaci ve vývoji řešení bezpečnosti.
  • Obecně nízké bezpečnostní povědomí je stále zřetelně největší překážkou rychlejšího prosazování informační bezpečnosti v ČR. Ve srovnání se situací před dvěma roky se zvýšil problém finanční náročnosti řešení, naopak výrazně poklesl problém nedostatečné podpory ze strany nejvyššího vedení.
  • Celkem 49 % organizací bylo v uplynulých dvou letech postiženo bezpečnostním incidentem s přímými finančními dopady. Průměrná výše těchto dopadů přesáhla 800 tis. Kč.
  • Mezi incidenty, se kterými se organizace setkávaly nejčastěji, patří výpadky proudu, počítačové viry, poruchy hardwaru, chyby uživatele a chyby programového vybavení. Pro 14 % organizací představovala přírodní katastrofa, reprezentovaná zřejmě především katastrofální povodní ze srpna 2002, nejzávažnější incident za poslední dva roky s průměrnými přímými dopady přesahujícími 3 mil. Kč.
  • Od roku 1999 se o více než 11 % zvýšil počet organizací, které mají definovanou a nejvyšším vedením přijatou bezpečnostní politiku.
  • Elektronický podpis v současné době využívá nebo v horizontu jednoho roku plánuje využívat 51 % organizací, a to většinou pro komunikaci se známými a definovanými obchodními partnery a zákazníky.
  • Od roku 2001 se nezměnil počet organizací se samostatným rozpočtem na informační bezpečnost. Došlo však k relativnímu snížení velikosti rozpočtu na bezpečnost vůči celkovému rozpočtu na IS/IT, a to z 10 % na 8 %.
  • V roce 2001 byl poměr společností, které řešily informační bezpečnost výhradně vlastními silami, a těch, které ji řešily ve spolupráci s externími firmami, vyrovnaný. V současné době je již poměr 3:2 ve prospěch společností spolupracujících s externími firmami.
  • 13 % organizací zaměstnává pracovníka, který se jako své hlavní pracovní náplni věnuje informační bezpečnosti. Průměrné hrubé měsíční finanční ohodnocení je u 80 % těchto pracovníkù nižší než 40 tis. Kč.
  • Jasné vedoucí postavení v dosažené úrovni řešení informační bezpečnosti má v ČR sektor bank a finančních organizací.

 

„Zdroj PSIB'03, Ernst & Young, DSM - data security management, NBÚ“

© Ernst & Young, DSM - data security management, NBÚ, 2003


 
TATE International s.r.o.
Hořejší nábřeží 21
150 00 Praha 5

Tel: 257 920 319-20
Fax: 257 313 695
e-mail dsm@dsm.tate.cz
DSM je odborný čtvrtletník zaměřený na problematiku informační bezpečnosti a ochrany dat. Jeho posláním je přinášet čtenářům aktuální přehled informací a vývojových trendů v širších souvislostech legislativních, sociálních, metodologických a technologických. Časopis vychází od roku 1997 a od roku 1998 je recenzovaným časopisem.
tvorba www stránek emocio