česky english
Dnes je Sobota, 4. únor 2012 a svátek má Jarmila

Průzkum stavu informační bezpečnosti v ČR 2005

PSIB
Je již tradicí, že se každý druhý podzim scházíme nad konečnými výsledky Průzkumu stavu informační bezpečnosti v České republice. Tentokrát je tomu již počtvrté. Informační bezpečnost spolu s IS/IT ušla od roku 1999, kdy se konal první průzkum, dlouhou cestu. Náš průzkum se musel také adaptovat. Stáli jsme před stejným dilematem, jaké zažívají úspěšné softwarové společnosti. Jak zlepšit a modifikovat průzkum bez ztráty zpětné kompatibility s předchozími verzemi? PSIB ČR ‘05 musela zahrnout nové směry a trendy a zároveň zachovat důležité časové řady a srovnávací údaje. Věříme, že výsledkem je znovu průzkum, který ukazuje zajímavá fakta v kontextu aktuálního vývoje bezpečnosti a prostředí IS/IT.

 

Průzkum by neměl být považován za jednoznačné měřítko pro srovnávání se s druhými. Koneckonců se jedná o subjektivní pohled respondentů na způsoby, jakými se vypořádávají s nikdy nekončícími výzvami informační bezpečnosti. Skutečnost, že většina respondentů řeší danou oblast stejným způsobem, ne vždy znamená, že se jedná o nejlepší řešení. V mnoha případech zjevně stále ignorujeme doporučení nejrůznějších standardů. Na druhou stranu bylo v minulosti mnoho komplexních teorií, standardů a „nejlepších řešení“ vytlačeno řešeními vycházejícími z praxe a „selského rozumu“.

 

Vstup České republiky do EU, zákon Sarbanes-Oxley, přepracování mezinárodních standardů pro řízení informační bezpečnosti a boom akreditovaných poskytovatelů certifikačních služeb je jen několik skutečností z uplynulých dvou let, které mají potenciál otřást našimi zažitými přístupy k informační bezpečnosti. Pojďme se podívat, jak vypadala informační bezpečnost v České republice v posledních dvou letech spolu s partnery průzkumu, kterými jsou:
Ernst & Young, časopis DSM – data security management a Národní bezpečnostní úřad.

 

 

 

HLAVNÍ ZJIŠTĚNÍ

  • Téměř 80 % organizací hodnotí vlastní úroveň řešení informační bezpečnosti jako minimálně dobrou. Každá desátá organizace hodnotí vlastní úroveň jako výbornou. Finanční organizace a státní správapřikládají informační bezpečnosti největší význam z hlediska plnění svých primárních cílů.
  • Hrozbu útoku, propojování informačních systémů směrem ven a rychlý vývoj v IT označili respondenti za nejvýznamnější vlivy prosazování informační bezpečnosti ve svých organizacích.
  • O pouhý jeden procentní bod na celkem 14 % se oproti roku 2003 zvýšil počet organizací, v nichž se informační bezpečnosti někdo věnuje jako hlavní pracovní náplni.
  • Ve srovnání s rokem 2003 došlo k výraznému posunu ve finančním ohodnocení pracovníků, jež zodpovídají za informační bezpečnost. Hrubou měsíční mzdu 55.000 Kč a více má 24 % pracovníků, zatímco v roce 2003 to bylo pouze 6 %.
  • Znalost finančního řízení a prezentační dovednosti jsou nejvíce postrádané schopnosti a dovednosti pracovníků v informační bezpečnosti. Ve srovnání s rokem 2003 jsou méně postrádané odborné znalosti jako je věcná znalost informační bezpečnosti a informačních technologií.
  • Útvary IS/IT zodpovídají za informační bezpečnost u 78 %, útvary bezpečnosti u pouhých 4 % organizací. Situace je zde prakticky stejná jako v roce 1999.
  • Pouze 17 % organizací uvedlo, že u nich existuje a je funkční program systematického zvyšování bezpečnostního povědomí zaměstnanců. Celkem 64 % organizací takový program vůbec nemá.
  • Celkem 48 % organizací uvedlo, že má ve formě dokumentu formálně definovanou a nejvyšším vedením přijatou bezpečnostní politiku. To představuje nárůst 13 procentních bodů oproti roku 1999 a 2 procentní body oproti roku 2003.
  • ISO/IEC 17799/BS 7799 („Britský standard“) je nejpoužívanějším standardem v oblasti informační bezpečnosti. Používá jej 17 % organizací.
  • Nevyžádaná elektronická pošta (spam) a výpadky proudu byly bezpečnostní incidenty, se kterými se organizace v uplynulých dvou letech nejčastěji setkávaly.
  • Průměrná výše přímých finančních dopadů bezpečnostních incidentů v uplynulých dvou letech byla 220.000 Kč. Přírodní katastrofy a chyby administrátorů a obsluhy byly nejvážnější s průměrnými přímými finančními dopady přesahujícími 500.000 Kč.
  • Úroveň zabezpečení Internetu se neustále zvyšuje a ve srovnání s výsledky průzkumů v letech 1999, 2001 a 2003 se jedná o nejprogresivnější oblast řešení informační bezpečnosti.
  • Za posledních 6 let nedošlo v oblasti havarijního plánování fakticky k žádnému pokroku měřeno počtem organizací, které mají zpracované své havarijní plány pro případ výpadku IS/IT. Plány má pouze každá druhá organizace.
  • Analýzu rizik IS provádělo v uplynulých dvou letech 53 % organizací. To představuje pokles o 8 procentních bodů oproti stavu v roce 2003.
  • U 19 % organizací existuje vyhrazený rozpočet na informační bezpečnost. Průměrná velikost celkových ročních finančních výdajů na informační bezpečnost je u organizací 7,3 % v porovnání s celkovým rozpočtem na IT/IS.
  • Ve srovnání s rokem 2003 došlo k výraznému nárůstu organizací využívajících v rámci svých činností elektronický podpis. V současné době je to 52 % organizací, což představuje nárůst o 21 procentních bodů.
  • Obecně nízké bezpečnostní vědomí je stále zřetelně největší překážkou rychlejšího prosazování informační bezpečnosti v ČR. Ve srovnání se situací před dvěma roky se zvýšil problém finanční náročnosti řešení, naopak výrazně poklesl problém nedostatečné podpory ze strany nejvyššího vedení.

 

„Zdroj PSIB ČR ‘05, Ernst & Young, DSM – data security management, NBÚ“

2005 © Ernst & Young, DSM – data security management, NBÚ


 
TATE International s.r.o.
Hořejší nábřeží 21
150 00 Praha 5

Tel: 257 920 319-20
Fax: 257 313 695
e-mail dsm@dsm.tate.cz
DSM je odborný čtvrtletník zaměřený na problematiku informační bezpečnosti a ochrany dat. Jeho posláním je přinášet čtenářům aktuální přehled informací a vývojových trendů v širších souvislostech legislativních, sociálních, metodologických a technologických. Časopis vychází od roku 1997 a od roku 1998 je recenzovaným časopisem.
tvorba www stránek emocio