Vyšlo na serveru Digiweb.cz, 28.6.2005
Vytištěno z adresy: http://www.earchiv.cz/b05/b0628001.php3

NSIB jako završení druhé vlny koncepcí

Národní strategie informační bezpečnosti ČR (NSIB), kterou vláda minulý týden odeslala do meziresortního připomínkového řízení, je poslední částí, kterou ještě zbývá doplnit do trojice nových koncepcí státu v oblasti ICT.

Minulý týden byl plný zpráv o dění kolem Českého Telecomu, ve kterém konečně převzal otěže jeho nový vlastník, společnost Telefónica. Vedle toho mohla úplně zapadnout nenápadná zpráva o tom, že Ministerstvo informatiky ČR konečně odeslalo do meziresortního připomínkového řízení další koncepční dokument z oblasti ICT, a to Národní strategii informační bezpečnosti ČR. Pokud tato koncepce "projde" a vláda ji přijme, završí se tak určitá historická etapa - etapa hledání a formování nových koncepcí pro celou oblast ICT a tzv. informační společnosti.

Obdobnou etapou jsme prošli již jednou, a to kolem roku 1999, kdy se formovala první verze těchto koncepcí. Bohužel stále ještě odděleně pro oblast IT a pro telekomunikace: v roce 1999 vzniká samostatná Státní informační politika (SIP), na kterou pak navázal Akční plán její realizace, a samostatná Národní telekomunikační politika (NTP). Bylo to v době, kdy jsme ještě nebyli členy EU, a mohli jsme si takovéto koncepce vytvářet více podle svého. Dokonce jsme o něco málo předběhli samotnou Evropskou unii, která svou první koncepci eEurope vydala později než my.

Druhá a třetí vlna

Obě koncepce, naše i evropská, však byly výhledem jen na určitou omezenou dobu. Naše zhruba na pět let, a evropská dokonce jen na 3 roky. Proto zákonitě musela přijít druhá etapa, v rámci které se koncepce obnovovaly.

Evropská unie zahájila "druhou vlnu" v roce 2002, kdy přijala koncepci eEurope 2005, zaměřenou hlavně na rozvoj broadbandu. U nás jsme se k obnově naší koncepce dostali v roce 2003, kdy začala vznikat Státní informační a komunikační politika (přijatá vládou 24. března 2004). Již podle svého názvu je "konvergovaná", a spojuje jak oblast IT, tak i oblast telekomunikací (nověji: elektronických komunikací). Snad netřeba dodávat, že také notně vycházela z tehdejší evropské koncepce eEurope2005.

Evropa následně odstartovala již třetí vlnu, neboť její koncepce eEurope2005 byla již podle svého názvu cílena do roku 2005, a tedy přesně do poloviny tzv. Lisabonského procesu. Výsledkem je koncepce i2010, o které jsem zde na Digiwebu psal v tomto článku.

Naše trojice koncepcí

Vraťme se ale ještě k naší druhé koncepci, tedy ke Státní informační a komunikační politice z března 2004. Ta obsahuje řadu cílů a konkrétních úkolů, a mezi nimi nechybí ani vypracování dvou dalších koncepcí:

  • do poloviny roku 2004: připravit "Státní strategii pro vysokorychlostní přístup (broadband)"
  • do konce roku 2004: zpracovat Národní strategii informační bezpečnosti.

První koncepce, týkající se broadbandu, již existuje, byť pod trochu jiným názvem (jako "Národní politika pro vysokorychlostní přístup - broadband strategie"). Vládou byla schválena o něco později, než jak bylo původně požadováno. Místo v polovině roku 2004 až 26. ledna 2005.

No a nyní se tedy rodí druhá koncepce, požadovaná Státní informační a komunikační politikou, a to Národní strategie pro informační bezpečnost (NSIB). Už dnes je přitom jasné, že původně požadovaný termín (do konce roku 2004) se nestihne.

Geneze bezpečnostní koncepce?

Návrh bezpečnostní koncepce, který připravilo Ministerstvo informatiky ČR, byl poprvé představen veřejnosti na letošní konferenci ISSS (Internet ve státní správě a samosprávě) v Hradci Králové, počátkem dubna. Ministerstvo informatiky pak tento návrh zveřejnilo 13. dubna, a otevřelo k němu veřejnou diskusi. Použilo tedy stejný postup, jako u předchozích dvou koncepcí (Státní informační a komunikační politiky a Národní politiky pro vysokorychlostní přístup):

  • nejprve zveřejnění a veřejné připomínkování
  • teprve poté klasické meziresortní připomínkové řízení
  • následně projednání a přijetí vládou

Veřejnost mohla podávat své připomínky k návrhu Národní strategie pro informační bezpečnost do 5. května. Pak následovalo jejich vyhodnocení a eventuelní zapracování, a vznik nové verze návrhu. No a nyní, konkrétně 24.6.2005, se aktualizovaná verze návrhu vydala do meziresortního připomínkového řízení. Z toho lze odhadnout, že vláda by se celým návrhem mohla zabývat někdy na podzim tohoto roku.

O čem je NSIB?

Čtenářům Digiwebu snad není nutné podrobněji vysvětlovat, co je vlastně informační bezpečnost, koho a čeho se týká, a proč je tak důležitá. Tím pádem snad ani to, proč by i stát měl v tomto ohledu mít nějakou vlastní představu o tom, co a jak hodlá dělat a čeho chce dosáhnout. Ostatně, koho to zajímá podrobněji, udělá nejlépe, když se s celým návrhem seznámí sám. Novou verzi najdete zde, a změny oproti předchozí verzi poznáte podle jejich provedení v modré barvě.

Pojďme si však alespoň naznačit hlavní kroky a hlavní opatření, které nová koncepce přináší. Následně si ji dovolím celkově zhodnotit.

Výbor a Fórum

Za nejvýznamnější prvek celé strategie považuji následující tři kroky:

  • ustavení "Národního centra pro řízení, monitoring a analýzu bezpečnostního prostředí informačních a komunikačních systémů ČR
  • ustavení "Výboru pro informační bezpečnost ČR",
  • zřízení "Fóra pro informační bezpečnost ČR"

První krok (ustavení "Národního centra …") je především odbornou záležitostí, a takovýto orgán nám skutečně chybí. Takže už je na čase, aby vznikl a hlavně začal fungovat. Škoda jen, že celá strategie se už nezbývá tím, co všechno by tento orgán měl dělat, směrem ke státu i nejširší veřejnosti, jaké by měl kompetence a úkoly, jaké bude jeho složení atd. Jen v první příloze ke strategii se praví, že bude zřízen ve spolupráci s BIS a MV ČR. To mi zavání tím, že půjde o utajovaný orgán, jehož výstupy nebudou dostupné pro širší veřejnost ani pro privátní sektor (firmy atd.).

To ustavení "Výboru pro informační bezpečnost ČR" je v návrhu rozpracováno mnohem podrobněji, včetně představy o složení tohoto orgánu. Ten by skutečně byl výlučně "státní", bez jakékoli ingredience privátního sektoru, a byl by skutečně nadresortní, složený ze zástupců všech relevantních resortů. Na první pohled to vypadá smysluplně, protože otázka informační bezpečnosti (i v sektoru státní správy a samosprávy) se prolíná skutečně všemi resorty a neměla by se řešit odděleně, každým resortem samostatně. Na druhou stranu bude nesmírně důležité, jak takovýto nadresortní orgán bude v praxi fungovat, jaké bude mít kompetence, a hlavně jak se k jeho činnosti postaví jednotlivé resorty. Pokud si budou i zde t "hrát jen na svém písečku", pak půjde celý rozumný záměr zcela vniveč.

Třetí orgán, jehož ustavení nová koncepce předpokládá (Fórum pro informační bezpečnost ČR), by již měl být orientován také na privátní sektor. Připouští totiž i účast odborné veřejnosti, a očekává se od něj "spolupráce mezi mezinárodními veřejnými a soukromými sektory". Zřizovat jej ale bude Výbor pro informační bezpečnost, a tedy státní úředníci, kterým by se také Fórum zřejmě mělo zodpovídat ze své práce. Opět ale chybí nějaké podrobnější vymezení úkolů, kompetencí atd.

Hodnocení

Návrh Národní strategie informační bezpečností se podle očekávání hodně zaměřuje na vlastní potřeby státu a toho, aby si ochránil své vlastní systémy a agendy. To je asi na místě, ale vedle toho bych očekával propracovanější vazbu na privátní sektor a nejširší veřejnost (než jen ve formě návrhu na ustavení Fóra, bez detailnější představy o jeho práci).

Na druhou stranu je pravdou, že návrh Národní strategie informační bezpečnosti poměrně výrazně akcentuje potřebu osvěty v oblasti bezpečnosti, která je skutečně velmi aktuální. Je to ostatně i jeden z hlavních cílů strategie (cíl II: Rozvoj znalostí o informační bezpečnosti), který dále rozpracovává, například do požadavků:

  • uvést informační bezpečnost do náplní všech úrovní vzdělávání
  • zahrnout témata informační bezpečnosti do vzdělávacích programů informační gramotnosti
  • šířit osvětu a zlepšit spolupráci se sdělovacími prostředky při poskytování materiálů ke zveřejnění, týkajících s informační bezpečnosti

Uvidíme, jak se v praxi podaří tyto značně obecně formulované (a nijak neupřesněné) cíle konkrétně naplnit. Zvláště pak ve světle toho, že z jiných částí návrhu (například na zřízení Národního centra či Výboru) čiší spíše opačné snahy, na určité uzavření se do sebe, či dokonce na utajování. Ale to už je asi problém všech vládních koncepcí - papír snese všechno, od geniálních myšlenek až po úplné bláboly. Podstatná bude praxe a ochota a schopnost něčeho smysluplného dosáhnout. V oblasti bezpečnosti je to důležitější o to více, že je zde druhá strana barikády, které vůle ani schopnosti nejspíše nescházejí.