Nebývá sice zvykem, aby recenze začínala odkazem
na závěr knihy, ale nemohu si pomoci – závěrečná
myšlenka o „pojetí bezpečnosti jako procesu“
vystihuje nejlépe perspektivní směr žádoucí pozornosti
tématu bezpečnosti IS/ICT.
Slovo „bezpečnost“ je sice i v oblasti IS/ICT
často vidět a slyšet, bohužel ale zdaleka nelze říci,
že by se téma bezpečnosti IS/ICT stalo běžnou součástí
počítačové gramotnosti a počítačové praxe.
Problematika zabezpečení ICT systémů a ochrany dat si
zaslouží daleko více pozornosti. Hlavním
nedostatkem v bezpečnostní praxi ( v oblasti ICT ) je
stále ještě poměrně nízká úroveň komplexního a
systematického přístupu. Donedávna se to
projevovalo i v publikační činnosti. Na jedné straně (
v ČR ) spousta pojednání orientovaných na dílčí
oblasti bezpečnosti IS/ICT ( především na virovou
problematiku) a obecné volání po potřebě bezpečnostní
strategie podniků, na druhé straně nedostatek
komplexně pojatých zdrojů orientovaných na tvorbu a
praktické uplatnění bezpečnostní politiky firem a
institucí. Je přirozené, že organizace, které na
podceňování bezpečnosti ICT z vlastní viny doplatily,
nebudou své zkušenosti publikovat.
Delší dobu se ukazovala potřeba české
publikace, která by – s respektováním zvláštnosti
situace v naší zemi – komplexně, systematicky a
srozumitelně přiblížila problematiku bezpečnosti IS/ICT.
CPress na tuto potřebu v roce 2004
zareagoval vydáním knihy Tomáše Doseděla, autora,
který patří ke zkušeným odborníkům v dané oblasti.
Publikoval desítky článků na toto téma v odborných
časopisech Connect!, Underground.cz a Computer World.
Kniha „Počítačová bezpečnost a ochrana dat“
přispívá k získání vědomostí a praktických znalostí
ze všech oblastí počítačové bezpečnosti. Nezabíhá do
přílišných technických podrobností, není určena pro
profesionální kryptology nebo experty na zabezpečení
konkrétních produktů, přináší však souhrn toho
nejdůležitějšího, co potřebují konceptoři, manažéři i
realizátoři pro solidní orientaci v problematice
vědět. Spolu se seznamem literatury a internetových
odkazů na zdroje dalších informací je kniha především
pomocníkem při předcházení bezpečnostních
incidentů, ať již se jedná například o útok hackera,
virové hrozby nebo zneužití dat zaměstnancem vlastní
organizace. Obsahuje principy a koncepty aplikovatelné
na konkrétní podmínky.
Jednotlivé kapitoly se zabývají následujícími tématy:
- ochrana dat
- autentizace a řízení přístupu
- elektronický a digitální podpis
- bezpečná síť
- škodlivý software
- útoky a útočníci
- základní principy kryptologie
- bezpečná firma
Jádrem kladného hodnocení knihy se opírá o následující
přednosti autorova pojetí:
-
náznak incidentů – situací, kterým je třeba předcházet
a které je třeba nejčastěji řešit
- přiblížení systému péče o bezpečnost a praktická
doporučení k tvorbě strategie
- racionální přístup v prezentaci obecných principů
bezpečnostní politiky
- vyvážená pozornost prevenci a řešení situací
- místo personální politiky v bezpečnostní politice
organizace
V roce 2004 byla
kniha první komplexní publikací o principech
bezpečnosti IS/ICT na českém trhu napsanou českým
autorem. Většina principů a nástrojů bezpečnosti
má sice nadnárodní charakter, přesto je kladem
publikace, že respektuje některé české podmínky a
možnosti ( obsahuje také např. poznámky k českému
zákonu o digitálním podpisu).
Na webových stránkách vydavatelství CPress naleznete
detailní obsah knihy, společně s ukázkami 4 vybraných
stran knihy, přibližující pojetí a strukturu textu a
ilustrující jazyk, kterým autor k čtenářům promlouvá.
Po prostudování knihy mohu přispět k předběžné
orientaci v knize následujícím
výběrem dílčích témat, které
upoutaly moji pozornost nejvíce:
- prezentované schéma přístupu k ochraně dat
- kategorizace bezpečnostních incidentů podle povahy
- evropská kriteria hodnocení bezpečnosti
ICT
- 4 stupně ochrany dat v systému
- schéma činnosti autentizačního protokolu
- firemní hierarchie pro řízení bezpečnosti
- struktura dokumentu „Bezpečnostní politika firmy“
- pojetí a obsah havarijního plánu
- hodnocení bezpečnosti
IT, normy a certifikace
- obsah auditního záznamu
a jeho analýza
- identifikace, autentizace
a řízení přístupu
- pasivní útoky a aktivní
zasahování do komunikace
- moderní autentizační
protokoly a slabé autentizační metody
- základní bezpečnostní pravidla související s
firewally
- praktické tipy
v oblasti ochrany uložených dat
- zabezpečení bezdrátových sítí
- outsourcing bezpečnosti ICT
Přesto, že je kniha psána srozumitelným jazykem
a s hodnotnou strukturou, doporučuji čtenářům,
aby ještě před podrobným studiem knihy pročetli
poslední desátou kapitolu. Dozvíte se v ní,
co to je bezpečná firma,
kdo by za to měl ve firmě odpovídat, co jsou to rizika
a jak probíhá analýza rizik a nakonec co by měl
obsahovat dokument o bezpečnostní politice firmy.
Usnadní to pochopení logické struktury knihy.
Knihu považuji za hodnotný zdroj
poznatků zejména pro čtenáře, kteří potřebují
doplnit svoje znalosti pro to, aby mohli vytvářet (
nebo přispívat k vytváření ) a realizovat ( nebo
organizovat realizaci ) bezpečnostní politiky
v oblasti IS/ICT. Komplexnost a systémovost
přístupu autora je zárukou toho, že investice času do
studia knihy se vyplatí.
Doc. Ing. Arnošt Katolický,
CSc.
Doc.aka@akamonitor.cz
26. února 2005.
|