Kyber-niečo

Kyber-niečo

„Panta rhei“  je Platónova skrátená interpretácia tvrdenia antického filozofa Herakleita o tom, že všetko sa neustále mení. Slovami „Everything counts“ niečo podobné konštatuje i synthpopová skupina Depeche Mode, na ktorej hudbe sme mnohí vyrastali.  Každý odbor postupne prechádza zmenami, čím sa upresňuje aj používané názvoslovie.  A v každom odvetví sa nájdu odborné i menej odborné vyjadrenia.  Bolo by však treba nahlas povedať, že výraz „kybernetická bezpečnosť“ je pričasto používaný v nevhodnom kontexte.  Skúsme sa na tento a súvisiace výrazy pozrieť podrobnejšie.

Priznávam, že to pseudomoderné skresľovanie názvoslovia prefixom „cyber“ mi príde rovnako sprofanované, ako buzzwordy typu „euro-niečo“, „e-niečo“ a „eko-niečo“. Kybernetika je veda o riadení dynamických systémov. Prienik kybernetickej bezpečnosti s bezpečnosťou informácii síce jestvuje, ale nie je zásadný.

Dovolím si v tomto duchu upriamiť pozornosť na medzinárodnú normu ISO/IEC 27032:2012 Information technology — Security techniques — Guidelines for cybersecurity.  Je to ISO norma radu 27000, ktorá sa zaoberá jednotlivými procesmi informačnej bezpečnosti.  Konkrétne v technickej norme 27032 sú opísané procesy, týkajúce sa požadovaného stavu kybernetickej bezpečnosti v porovnaní s bezpečnosťou informácií, bezpečnosťou sietí, internetovou bezpečnosťou a ochranou kritickej infraštruktúry. Ale najmä vysvetľuje vzťahy medzi kybernetickou bezpečnosťou a ostatnými typmi bezpečnosti.

ISO vs. STN

Na úvod pár slov o ISO. Pod skratkou ISO sa ukrýva označenie svetovej normalizačnej organizácie (International Organization for Standardization), ktorá vznikla 23. februára 1947 a ihneď uviedla do platnosti celosvetovo platné pravidlá duševného vlastníctva a obchodných normatívov. Sídlom organizácie je Ženeva vo Švajčiarsku. Hoci je ISO mimovládna organizácia, normy a dokumenty vydané v pôsobnosti ISO majú vďaka medzinárodným zmluvám a spolupráci s národnými štandardizačnými úradmi často právnu silu zákonov.

Spôsobov, ako uplatniť ISO normu na Slovensku je niekoľko.  Ak je príslušná technická norma dostatočne zaujímavá a jestvuje oprávnený predpoklad, že norma nájde širšie uplatnenie v slovenskej praxi, je prevzatá do sústavy Slovenských technických noriem vo forme úplného prekladu do slovenčiny. To je najzložitejší z možných spôsobov,  pretože preklad normy je náročná činnosť, podliehajúca istým pravidlám. V skupine odborníkov, členov technickej komisie, ktorí ju dostanú na preklad, sa musí predovšetkým nájsť úplná zhoda v preklade názvoslovia. A po preklade jednotlivých kapitol ešte celý návrh prekladu podlieha povinnej oponentúre na jazykovednom ústave, čo mnohokrát vráti celý preklad na samý začiatok.

Jednoduchším spôsobom, ako uplatniť technickú normu na Slovensku je jej prevzatie do sústavy STN bez prekladu, len s tzv. národným predhovorom. V takomto prípade zostane text samotnej normy v origináli, teda v angličtine a k norme je pridaná špeciálna „košieľka“. Slovenský ústav technickej normalizácie (SÚTN) však už na takúto prevzatú normu nazerá, ako keby ju vydal on sám.

Tretí spôsob je začať jednoducho bezodkladne uplatňovať požiadavky príslušnej originálnej technickej normy – nezávisle od toho, či je prevzatá do sústavy STN. Veď Slovensko je predsa jedným z hlasujúcich členov  svetovej normalizačnej organizácie. Obava, že by SÚTN vydal normu, ktorá by bola v rozpore s niektorou platnou ISO normou je zbytočná, pretože na to, aby  sa niečo také prihodilo aj neúmyselne,  jestvujú fungujúce mechanizmy.

 

Systém riadenia informačnej bezpečnosti

Keďže v tomto článku diskutovaná norma je súčasťou rady noriem ISO 27 00x, na tomto mieste by bolo vhodné k nim povedať niekoľko slov.  A naozaj len niekoľko, pretože ISO 27000 je (a bude) téma na samostatný článok.  ISO/IEC 27000 je rad noriem,  ktorým sú definované požiadavky na systém riadenia bezpečnosti informácií.  ISO 27001 je samostatná špecifikácia systému bezpečnosti informácií  (tzv. Information Security Management System – ISMS).  ISO 27002 sú odporúčania pre implementáciu ISMS.

Popis uceleného radu noriem 27k nájdete napríklad na adrese:  www.iso27001security.com

 

ISO 27032 – kybernetická bezpečnosť

ISO/IEC 27032:2012 Information technology — Security techniques — Guidelines for cybersecurity  znamená v preklade  „Informačné technológie — Bezpečnostné techniky —  Návody pre kybernetickú bezpečnosť „

Ako už z názvu vyplýva,  dokument je určený vedúcim a riadiacim zamestnancom, špecialistom a odborníkom pracujúcim v oblasti bezpečnosti informačných systémov, ako odborná publikácia,  obsahujúca interpretáciu prístupu k zachovaniu dôvernosti, integrity a dostupnosti informácií v kybernetickom priestore.  Pričom kybernetický priestor  (cyberspace) je definovaný ako  komplexné virtuálne prostredie, vyplývajúce z interakcie ľudí, softvéru a služieb na internete vykonávanej pomocou technológií, zariadení a sietí k nemu pripojených, nezávisle od ich fyzickej formy.

Zdá sa Vám to mätúce? Nie je to až také nepochopiteľné, ak si jednotlivé formulácie nakreslíte vo forme vzájomného prieniku jednotlivých domén informačnej bezpečnosti. Nasledujúci obrázok vzťahu medzi kybernetickou bezpečnosťou a ostatnými doménami bezpečnosti je uvedený aj v citovanej norme.

 

kyber_nieco

 

Záver

Kybernetická bezpečnosť je jednou zo špecifických subdomén informačnej bezpečnosti.

Odborná disciplína informačná bezpečnosť sa zaoberá otázkou zaručenia dôvernosti, integrity, dostupnosti a sledovateľnosti informačných aktív všeobecne, zatiaľ čo kybernetická bezpečnosť  sa venuje bezpečnosti iba určitej časti informačných aktív, konkrétne tých, ktoré sú  spracúvané vo virtuálnom priestore, zvanom kybernetický priestor.

 

Ivan Makatúra

 

Vyjadrite váš názor v komentároch