Bezpečnostní certifikáty

Bezpečnost pojem, který je v informačních technologiích skloňován snad na každém kroku. Platí, že nejcennějším m...


Bezpečnost pojem, který je v informačních technologiích skloňován snad na
každém kroku. Platí, že nejcennějším majetkem podniku jsou data a v nich
uložené informace. Data se v drtivé většině případů ukládají do databázových
systémů. Zabezpečení databází by tedy mělo být integrální součástí informační
bezpečnosti každé firmy. Jsou z tohoto pohledu důležité bezpečnostní
certifikáty?
Bezpečnostní certifikáty nejsou obecně povinné. Existuje sice mnoho výjimek
představovaných v některých státech například armádou či bankovním sektorem,
ale certifikace je spíše na dobré vůli každého dodavatele.
Bezpečnostních certifikátů je řada například vedle klasických amerických
kritérií TCSEC je dnes odborníky nejčastěji zmiňovaný nový ISO standard 15408
International Common Criteria a vyznat se v nich není vůbec jednoduché. O které
z nich bych se měl jako zákazník zajímat? Každého jistě napadne no přece o ty,
které se týkají těch částí bezpečnosti, které nás zajímají. Jenže které to
jsou? Navíc se mnohé certifikáty vzájemně překrývají a dělí do různých úrovní,
takže výsledek je velmi nepřehledný.
Proč tomu tak vůbec je a proč neexistuje jeden standard přijímaný povinně
všemi? Domnívám se, že požadavky jednotlivých informačních systémů jsou natolik
různorodé, že obecně platnou bezpečnostní povinnost do praxe nikdy zavést
nepůjde. No a samozřejmě svoji roli hrají také národní či oborové zájmy vy máte
svůj certifikát, tak my si uděláme taky jeden. A náš bude lepší a častěji
uplatňovaný. Ne, bude to ten náš. A když se dva perou, tak třetí, čtvrtý,
pátý... se směje?
Vzhledem k důležitosti dat a jejich bezpečného uložení by se dalo předpokládat,
že databázové firmy se budou co nejvíce snažit o získání co nejvíce
certifikátů. Opak je pravdou, mnohé významné databázové platformy neprošly
žádnou certifikací či jen jednou, dvěma... Výjimku představují databázové
produkty společnosti Oracle, které dnes disponují takřka dvacítkou úspěšných
certifikací. Proč tomu tak je? Považuje Oracle certifikace za hodně důležité a
třeba IBM nikoli? Mají tedy pro zákazníky tyto certifikace smysl? Je
neabsolvování procesu certifikace natolik závažným problémem, že bych se jako
zákazník měl poohlédnout jinde?
Odpověď na položené otázky není a nemůže být jednoduchá. Bezpečnostní
certifikáty by vedle důkazu o vyhovění bezpečnostním standardům měly být
chápány také jako jistá forma slušnosti. Tou nám dodavatel dává najevo, že
svému systému důvěřuje. Důvěřuje natolik, že je na to ochoten obětovat část
svých finančních i nefinančních zdrojů.
Mohou vůbec samy o sobě certifikáty zajistit dokonalejší zabezpečení? Jak často
se lze setkat s touto zažitou představou. Nemohou. Na vysokých stupních
zabezpečení je například nutné chránit vedle databázového systému také
hardware, komunikační infrastrukturu, definovat bezpečnostní politiky apod. A
ruku na srdce kdo z nás na to vždy pamatuje? A falešný pocit uspokojení může
být mnohdy velmi nebezpečný.
Z dlouhodobého pohledu se bezpečnostní certifikáty stávají pro mnohé oblasti
nespornou konkurenční výhodou a jsem si jist, že časem se společnost Oracle
budou snažit "dohnat" také ostatní firmy z databázového světa. Povede se to?
Kdo ví o tom přece musí rozhodnout trh a především certifikační autority.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.