Informačná bezpečnosť

Čo to je informačná bezpečnosť

Informačná bezpečnosť je laicky povedané ochrana informačno-komunikačných technológií (IKT) a všetkého s nimi súvisiaceho.

Informačná bezpečnosť sa v zmysle informatizácie definuje ako "schopnosť siete alebo informačného systému ako celku odolať s určitou úrovňou spoľahlivosti náhodným udalostiam, alebo nezákonnému, alebo zákernému konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu a dôvernosť uchovávaných alebo prenášaných údajov a súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a systémov."

Narušenie bezpečnosti môže zahŕňať čokoľvek - počnúc poškodením vzhľadu webovej stránky, cez napadnutie počítača resp. systému škodlivým softvérom, zlyhanie zamestnanca, ktorý neúmyselne prezradí svoje heslo,  bývalého zamestnanca, ktorý sabotuje zákaznícku databázu až po priemyselných špiónov, ktorí zistia, koľko tovaru si zakúpil váš najlepší zákazník v minulom mesiaci. Vo všeobecnosti najväčšiu časť tvoria krádeže, zneužitia a neoprávnené manipulácie s informáciami (teda údajmi).

Informačná bezpečnosť je inak povedané aj vyváženie rizík výhodami v podobe vykonávania činnosti elektronicky. Keďže spoločnosť speje k stále významnejšiemu využívaniu IKT v každodennom živote, význam informačnej bezpečnosti a jej dodržiavania úmerne narastá.

V tejto súvislosti možno pre zaujímavosť spomenúť, že firma Gartner v roku 2007 vyčíslila, že len jedna časť porušovania informačnej bezpečnosti (konkrétne tzv. phishing, ktorý sa používa na podvodné získanie prístupu k internetovému bankovníctvu) spôsobila škodu vo výške 3,2 miliardy dolárov!

Informačná bezpečnosť má veľký záber a pokrýva široké spektrum problematík, pričom s rozvojom IKT sa vynárajú stále ďalšie oblasti, ktoré sem patria a naopak zanikajú niektoré staré, aj keď v porovnateľne menšom meradle. Tieto oblasti vytvárajú "fenomény", ktoré prenikajú aj do bežného života. Z tých najznámejších sú to:

• hoax
• kybernetický terorizmus
• phishing
• spam
• spyware
• vírusy a červy
• atď.

Informačná bezpečnosť je len jedna a je rozhodne odporúčané, aby sa pri jej zavádzaní a dodržiavaní myslelo na všetky jej aspekty, nezávisle od toho, či sa chránia špecifické typy informácií alebo systémov alebo tie úplné všeobecné.

Riadenie informačnej bezpečnosti

Na Slovensku majú informačnú bezpečnosť na starosti rôzne orgány: ochranu utajovaných skutočností zastrešuje Národný bezpečnostný úrad a ochranu všetkých ostatných údajov (tzv. neutajovaných) spravuje Ministerstvo financií SR.

Okrem uvedených ešte existujú špecifické oblasti (akou je napr. ochrana digitálnych autorských práv alebo ochrana osobných údajov), ktoré kompetenčne spadajú pod ďalšie orgány (v uvedených prípadoch sú to Ministerstvo kultúry SR a následne Úrad na ochranu osobných údajov) - tieto sa môžu prelínať s kompetenciami podľa základného rozdelenia.

Za účelom spoločnej komunikácie najmä v súvislosti s e-Governmentom bol pri MF SR zriadený poradný koordinačný výbor - Komisia pre informačnú bezpečnosť.

Prieskum stavu informačnej bezpečnosti

Ministerstvo financií SR vo svoje pôsobnosti gestora informačnej bezpečnosti vykonáva pravidelné prieskumy jej stavu.

Viac informácií nájdete v príslušnej časti informatizacia.sk.

Národná stratégia pre informačnú bezpečnosť SR

Hlavným dokumentom, ktorý pokrýva informačnú bezpečnosť, je Národná stratégia pre informačnú bezpečnosť SR (ďalej len "národná stratégia"), ktorú 27. augusta 2008 schválila vláda SR bez pripomienok.

Znenie materiálu nájdete na samostatnej stránke k národnej stratégii.

Znenie materiálu je možné nájsť aj na webovom sídle Úradu vlády SR.

Ďalšie dokumenty, vyplývajúce z národnej stratégie

• Systém vzdelávania v oblasti informačnej bezpečnosti v SR

Prvým schváleným dokumentom, ktorý vychádza z priorít národnej stratégie, bol dokument zaoberajúci sa zdvíhaním povedomia v oblasti informačnej bezpečnosti, čo je základným predpokladom vybudovania kultúry používania informačno-komunikačných technológií.

Vláda tento materiál schválila dňa 27. mája 2009.

•  Systém vzdelávania v oblasti IB v SR (materiál) (148 kB)
•  Predkladacia správa (22 kB)
•  Uznesenie č. 391/2009 (29 kB)

Znenie materiálu, vrátane všetkých sprievodných dokumentov, nájdete na webovom sídle Úradu vlády SR.

• CSIRT.SK

Štát je v zmysle Národnej stratégie pre informačnú bezpečnosť SR povinný vytvoriť organizačné, personálne, materiálno-technické a finančné podmienky na ochranu národnej informačno-komunikačnej infraštruktúry a informačných systémov verejnej správy, a to najmä so zameraním za účelom prevencie, efektívnej reakcie na bezpečnostné incidenty a trvalo udržateľnej úrovne informačnej bezpečnosti v SR.

Vláda SR preto dňa 1. júla 2009 schválila materiál „Návrh organizačného, personálneho, materiálno-technického a finančného zabezpečenia na vytvorenie špecializovanej jednotky pre riešenie počítačových incidentov (CSIRT.SK) v Slovenskej republike“, ktorého cieľom je zabezpečiť zvýšenie úrovne ochrany národnej informačnej a komunikačnej infraštruktúry v Slovenskej republike.

• Návrh zabezpečenia CSIRT.SK (135 kB)
•  Predkladacia správa (38 kB)
•  Uznesenie č. 479/2009 (32 kB)

Znenie materiálu, vrátane všetkých sprievodných dokumentov, nájdete na webovom sídle Úradu vlády SR.

Webové sídlo samotného CSIRT.SK nájdete na www.csirt.gov.sk.

• Zákon o informačnej bezpečnosti

Ministerstvo financií SR, ktoré je v zmysle kompetenčného zákona gestorom informačnej bezpečnosti pre oblasť neutajovaných skutočností, pripravuje zákon o informačnej bezpečnosti, ktorý by mal najmä zjednotiť požiadavky a kompetencie, ktoré sa týkajú bezpečnosti informačno-komunikačných technológií a doplniť tzv. absentujúce "biele miesta". V súčasnosti bol schválený iba zámer zákona (25. februára 2010), ktorý je uvedený nižšie, samotné znenie zákona je v príprave a bude predmetom schvaľovacieho konania. Názov zákona, jeho obsah a súvisiace termíny môžu byť ešte upravené.

•  Zámer zákona o informačnej bezpečnosti (153 kB)
•  Predkladacia správa (18 kB)
•  Uznesenie č. 136/2010 (28 kB)

Znenie materiálu, vrátane všetkých sprievodných dokumentov, nájdete na webovom sídle Úradu vlády SR.

• Ďalšia legislatíva pre oblasť informačnej bezpečnosti

Je nutné skonštatovať, že vyššie uvedený rámcový zákon rozhodne nie je v oblasti informačnej bezpečnosti jediný - patria sem aj relatívne čerstvý zákon z roku 2011 - zákon o kritickej infraštruktúre, takisto trestný zákon, ktorým sa prebrali požiadavky Dohovoru o kybernetickej zločinnosti, ako aj nový zákon o elektronických komunikáciách, ktorý je zatiaľ iba v procese schvaľovania. Všetky dostupné predpisy môžete nájsť v časti legislatíva v SR.

Ako sa má správať bežný používateľ

Stručný a ľahko pochopiteľný lexikón správania sa bežného používateľa internetu je možné nájsť aj na adrese www.kry-sa.sk - projekt, ktorý vznikol za podpory Ministerstva dopravy, pôst a telekomunikácií SR, keď mu ešte prislúchala kompetencia v oblasti ochrany neutajovaných skutočností.