Prax informačnej bezpečnosti - alebo čo vám o reálnom procese legislatíva nepovie

Európsky parlament v poslednom období prijal niekoľko nových, alebo revidovaných právnych noriem, ktoré v príslušnom rozsahu prichádzajú s požiadavkami na ochranu informačných aktív. Bolo by naivné očakávať, že ktorákoľvek právna úprava, ktorá má byť platná pre 28 krajín s rôznou vyspelosťou hospodárstva, môže prísť s konkrétnymi návodmi na riešenie informačnej bezpečnosti naprieč všetkými odvetviami. Preto aj požiadavky GDPR, NIS, alebo PSD2 sú definované vo všeobecnej rovine. Európske pravidlá vo svojej väčšine popisujú iba „čo“ je potrebné vykonať, nedočítate sa v nich však „ako“ to vykonať.
Vykladačov pribúda a žiaľ mnohokrát sú interpretácie zákonných požiadaviek založené na utkvelej predstave, že preštudovaním zákona je možné pochopiť princípy informačnej bezpečnosti. Zachádza to tak ďaleko, že si niektoré skupiny začínajú tvoriť vlastné názvoslovie a návrhy postupov, čo však v konečnom dôsledku znižuje efektivitu praktického výkonu ochrany informácií.

Odborné odvetvia: informačná bezpečnosť, ochrana dát, bezpečnostná architektúra a riadenie rizík tu boli historicky skôr, než vôbec prišli do úvahy formálne pravidlá na ochranu informačných aktív. Zmluvne je možné zaručiť ochranu niekoho práv, avšak reálna ochrana citlivých údajov je len pomocou papiera nevykonateľná. Bezpečnosť informácií je a zostane najmä vecou technickou a procesnou.
Prezentácia v stručnosti zhrnie základné rozpory medzi dobrou praxou informačnej bezpečnosti a užitým názvoslovím, prostredníctvom stručného pohľadu na praktický výkon procesov, ktorých úlohou je chrániť informácie a zaručiť ich bezpečné spracúvanie.