Jako platí norma ISO 9000 pro podporu systému řízení kvality, vznikly podobně pojaté normy, avšak specializované na IT. Minimalizují rizika špatných rozhodnutí při budování a provozování informačních systémů.
Každý starosta, tajemník úřadu či vedoucí odboru informatiky ví, jak obtížně se vybírá správný program i počítač, ale také vhodná firma pro instalaci sítě. Dobře si uvědomuje, jaké komplikace může způsobit odchod správce sítě či změna dodavatele. Mnohý si na vlastní kůži vyzkoušel, jak příliš velká závislost na dodavateli vedla k nerovnoprávnému postavení odběratele. Jednoduché však zpravidla ani není přimět zaměstnance ke správnému používaní informačních systémů.
ŠEST PARAMETRŮ KVALITY
Proto odborníci na celém světě hledají ty nejlepší postupy řízení IT, aby je zavedli do systému mezinárodní standardizační organizace (ISO). Řízení kvality informačního systému není jednoduché. Kvalita není posuzována jako jediný nedělitelný celek, nýbrž se skládá ze šesti charakteristik, které se dále dělí na podcharakteristiky:
Funkčnost: přiměřenost, přesnost, schopnost spolupráce, bezpečnost;
Bezporuchovost: zralost, odolnost vůči vadám, schopnost zotavení;
Účinnost: časové chování, využití zdrojů;
Použitelnost: srozumitelnost, naučitelnost, provozovatelnost, atraktivnost použití;
Udržovatelnost: analyzovatelnost, měnitelnost, stabilnost, testovatelnost;
Přenositelnost: přizpůsobitelnost, instalovatelnost, slučitelnost, nahraditelnost.
Hlavně kvůli nedostatku odborníků vyškolených pro systém řízení kvality informačních systémů se komplexní řízení kvality IT v české veřejné správě uplatňuje jen minimálně. Jedinou výjimkou je vzrůstající zájem o zajištění podcharakteristiky kvality IT - bezpečnost, který vyvolalo pozvolné zavádění normy ISO ČSN 27001.
ZKUŠENOSTI ZE VSETÍNA
Systém řízení bezpečnosti (ochrany) informací podle ISO ČSN 27001 (ČSN BS 7799-2) je zaveden například na Městském úřadě ve Vsetíně, kde jeho zavádění trvalo zhruba rok. Jaké zkušenosti tam z tohoto procesu vyplynuly?
Vybraní pracovníci absolvovali školení v rozsahu 4 až 40 hodin. Vzniklo fórum bezpečnosti informací. Zpracovala se interní směrnice ochrany informací a byly upraveny navazující interní směrnice, pracovní řád a pracovní smlouva. Na zpracování směrnic spolupracoval jeden interní pracovník přibližně 16 hodin týdně. Norma neklade technologické, nýbrž systémové požadavky. Pokud není bezpečnost zcela zanedbaná, zavedení normy nevyžaduje náklady na technologie. Náklady na externí poradenství závisejí na schopnostech odborných pracovníků úřadu a rozsahu externích prací a pohybují se v částkách okolo 50 tisíc korun za měsíc. Při perfektním, aktivním a dostatečně odborném (ideálním) zapojení pracovníků úřadu, lze systém podle mého odhadu zavést za 150 tisíc korun (tuto zkušenost jsem však ve své praxi zatím nezaznamenal). Při zavádění je realističtější počítat s otevřeným či skrytým odporem pracovníků - pak jsou ovšem náklady několikanásobně vyšší.
NEŽ VYTVOŘÍTE SMĚRNICI
Rozhodnete-li se zavést systém ochrany informací v souladu s požadavky normy ISO ČSN 27001, začněte přípravu příslušné interní směrnice definováním dílčích oblastí ochrany informací a stanovením cílů ochrany. Oblastí ochrany je celkem 11. Zde uvádím prvních pět oblastí a jejich cíle:
1/ Bezpečnostní politika
Cíl: Určit směr a vyjádřit podporu bezpečnosti informací ze strany vedení příslušnými směrnicemi v souladu s požadavky organizace.
2/ Organizace bezpečnosti informací
Cíl 1: Řídit bezpečnost informací v organizaci.
Cíl 2: Zachovat bezpečnost informací organizace a prostředků pro zpracování informací, které jsou přístupné, zpracovávané, sdělované či spravované externími subjekty.
3/ Řízení aktiv
Cíl 1: Nastavit a udržovat přiměřenou ochranu aktiv organizace.
Cíl 2: Zajistit, aby informace získaly odpovídající úroveň ochrany.
4/ Bezpečnost lidských zdrojů
Cíl 1: Zajistit, aby zaměstnanci, smluvní a třetí strany byli srozuměni se svými povinnostmi, aby pro jednotlivé role byli vybráni vhodní kandidáti a snížilo se riziko lidské chyby, krádeže, podvodu nebo zneužití prostředků organizace.
Cíl 2: Zajistit, aby si zaměstnanci, smluvní a třetí strany byli vědomi bezpečnostních hrozeb a problémů s nimi spojených, svých odpovědností a povinností a aby byli připraveni podílet se na dodržování politiky bezpečnosti informací během své běžné práce a na snižování rizika lidské chyby.
Cíl 3: Zajistit, aby ukončení či změna pracovního vztahu zaměstnanců, smluvních a třetích stran proběhly řádným způsobem.
5/ Fyzická bezpečnost a bezpečnost prostředí
Cíl 1: Předcházet neautorizovanému fyzickému přístupu do vymezených prostor, dále pak poškození a zásahům do provozních budov a informací organizace.
Cíl 2: Předcházet ztrátě, poškození, krádeži nebo kompromitaci aktiv a přerušení činností organizace.
Poté se musí vybrat a zavést opatření pro dosažení cílů ochrany informací. Doporučuje se zvážit použití více než 150 opatření.
DANIEL KARDOŠ
externí odborník Českého institutu pro akreditaci (ČIA) pro systém řízení bezpečnosti informací
