Autorem úvodního článku k tématu je odborný redaktor NETGURU Dag Jeger

Motto: „Často bývá bezpečnost pojímána substantivně, jako určitá oblast činnosti či života, která má vlastní obsah. Zcela oprávněné je však i vnímání bezpečnosti jako vlastnosti, jako určitého znaku, jako kritéria předem vymezeného specifického obsahu. Vždyť v kategorii bezpečnosti a nebezpečnosti lze uvažovat téměř o čemkoli.“ Libor Stejskal: Rozšiřováni konceptu bezpečnosti, Veřejná politika a prognostika PPF – 021, 2006

Napsat duchaplnou esej na takové téma, jakým je bezpečnost datových přenosů, mi až do okamžiku, kdy jsem usedl ke klávesnici, přišlo naprosto jednoduché až triviální. Naivně jsem se domníval, že snad bude stačit vzpomenout několika veselých historek z dob, kdy jsem o sítích jen zasvěceně nehovořil, nýbrž jsem je projektoval a vlastníma rukama stavěl, navázat trochou mentorování o důležitosti bezpečnosti obecně a bezpečnosti datových přenosů zvlášť a uzavřít důrazným globálním doporučením, že bezpečnost se nesmí brát na lehkou váhu. Ale chyba lávky. Hned na začátku jsem narazil na zásadní problém, které z historek vybrat. Třeba tu, kdy se jistá politická skupina rozhodla angažovat síťového specialistu a požádat ho se za úplatu „napíchnout“ na počítačovou síť a zjistit, zda lídr opoziční nátlakové skupiny skutečně prodělal pohlavní chorobu získanou údajně v místním tehdy ještě neveřejném veřejném domě? Oslovený morálně pevný specialista nabídnutou práci samozřejmě odmítl, poukazuje mimo jiné také na značné tech
nologické, technické i personální náklady spojené s velmi nízkou pravděpodobností věrohodného výsledku, nicméně vodítko politickým šibalům poskytl. Zda se sestřičku v ambulanci praktického lékaře inkriminovaného politika podařilo na jeho radu zkorumpovat, historie nepraví. Nebo nějakou jinou historku? Potíž totiž nespočívá v jejich relevanci k tématu, nýbrž ve skutečnosti, zda by dostatečně dobře, jasně, srozumitelně a obecně vystihovaly podstatu pojmu „bezpečnost“.

Co se vlastně rozumí pod pojmem bezpečnost obecně a bezpečnost datových přenosů zvlášť? Dopracovat se k nějakému rozumnému výsledku se přes velmi hustý mlhavý závoj obestírající bezpečnost jako dnes velmi módní slovo, o němž řada manažerů mluví, významu neznajíc, ukázalo značně komplikovaným. Většina veřejně dostupných zdrojů definuje bezpečnost dat nezávisle na tom, zda jsou přenášena, uchovávána, skladována či zpracovávána, jako soustavu opatření s cílem zabránit neautorizovanému přístupu nebo manipulaci s nimi. Data sama o sobě jsou však jen nositeli informace a bylo by proto zřejmě vhodnější hovořit nikoli o bezpečnosti dat, nýbrž o bezpečnosti informací. CIA například pro popis informační bezpečnosti již více než padesát let používá tři základní atributy. Jsou to důvěrnost (confidentiality), celistvost (integrity) a dostupnost (availability). V roce 2002 rozšířil Donn Parker, významný bezpečnostní výzkumný pracovník a konsultant, zmíněnou triádu na šest základních prvků informační bezpečnosti: důvěrnost, vlastnictví (possession), celistvost, hodnověrnost (authenticity), dostupnost a prospěšnost (utility). Zajistit bezpečnost informací znamená tedy ochránit zmíněné prvky nejenom samostatně, ale i v jejich souhrnu, což rozhodně není jednoduchá úloha. Ochrana informací navíc až donedávna, ne-li doposud, pouze pokulhávala za útoky, které se objevovaly, a o komplexnosti či prevenci se prakticky nedalo hovořit.

Hitem posledních několika sezón jsou systémy řízení a v souvislosti s bezpečností informačních systémů se poměrně nedávno objevil i pojem ISMS. Information Security Management System (ISMS), systém řízení informační bezpečnosti, je dokumentovaný systém řízení a správy informačních aktiv s cílem eliminovat či minimalizovat jejich možnou ztrátu nebo poškození. Informačním aktivem se rozumí libovolné vybavení, proces nebo data související s informacemi, v jejichž případě má podnik za to, že je nezbytné je chránit.  Každá podniková informace nese určitou hodnotu, popřípadě existuje hodnota nebo cena spojená s vnitřní hodnotou informace (obvykle pro organizaci), vytvořením informace, uložením informace, jejím uchováváním a správou. V ISMS jsou specifikována aktiva, která se mají chránit, jsou zvolena a řízena možná rizika bezpečnosti informací, jsou zavedena opatření s požadovanou úrovní záruk, která jsou kontrolována. ISMS může být zaveden pro organizační složku společnosti, informační systém nebo jeho část, příp
adně může zahrnovat celou organizaci. Vodítkem pro implementaci ISMS jsou v naší zemi standardy ISO 27001, založené na normě BS 7799, a ISO 17799. Obě normy jsou úzce propojeny, každá však plní jinou úlohu. Druhá z nich, ISO 17799, poskytuje podrobný rámec, přehled bezpečnostních opatření, která mohou být použita při budování ISMS, zatímco první, ISO 27001, specifikuje požadavky na správné nastavení, zavedení, implementaci, monitoring, údržbu a zlepšování systému řízení bezpečnosti informací organizace. Certifikace ISMS se provádí podle normy ISO 27001.

Řízení bezpečnosti přenosu dat tak není samostatnou disciplínou, byť v mnoha případech je svěřeno externímu poskytovateli přenosových služeb, ale musí být pojímáno jako integrální součást řízení celého podniku či organizace. Při vší komplexnosti, která by v oblasti zajišťování a řízení bezpečnosti informací a informačních systémů v organizaci měla být samozřejmostí, je ale třeba mít neustále na zřeteli, že bezpečnost je živou soustavou, která slouží k zajišťování podmínek nezbytných k realizaci jejích životně důležitých aktivit, jež přímo souvisejí s  předmětem podnikání nebo posláním organizace. Má-li kdokoli pocit, že implementací té či oné tu „sekjůrity“ jednou a provždy bezpečnost vyřešil, mýlí se. Časy se mění a prostředí, v němž se pohybujeme, rovněž.