Bezpečnost je dnes samostatnou kategorií v oblasti vývoje informačních systémů. Při její realizaci je nezbytná především kvalifikace a zkušenost.
Problematika zásadně vyžaduje profesionální řešení. Nutnou podmínkou je komplexní přístup, požadavky na bezpečnost je nutno definovat v těsné spolupráci zadavatele a řešitele. Řešení zasáhne prakticky do všech organizačních struktur instituce, promítne se do většiny psaných norem a zejména vyžaduje masívní osvětu pracovníků na všech úrovních zodpovědnosti. Nakonec se pochopitelně promítne i do technického a programového vybavení informačního systému.
Zjištění tvůrce, případně uživatele informačního systému (oba označme jako zadavatele bezpečnosti), že je nutno mít systém bezpečný, je velmi důležitým kvalitativním krokem. Od tohoto okamžiku nelze ztrácet čas. Prvotní úvahy o bezpečnosti by v optimálním případě měly vznikat současně se vznikem samotného systému. I zde sice platí, že nikdy není pozdě, nicméně čím později se s bezpečností začne, tím horších výsledků lze dosáhnout. Navíc se zbytečně zvyšují náklady.
Celá práce na bezpečnosti informačního systému je rozčleněna do určitých etap, každá má svůj význam a žádná by neměla být vynechána:
Metodika takového řešení vychází ze shora citovaných harmonizovaných kritérií bezpečnosti informačních systémů.
Velice se doporučuje vypracování tzv. předběžné studie o bezpečnosti. Jde o poměrně levnou záležitost značného významu. Účelem tohoto materiálu je získat základní údaje o bezpečnostní situace v organizaci, jeho prostřednictvím je možno si učinit představu o budoucím rozsahu prací, konkrétní náplni jednotlivých etap, finanční náročnosti, nutných administrativních a ogranizačních opatřeních apod.
Předběžná studie slouží zejména k vypracování zadání pro řešitele resp. k uzavření smlouvy o realizaci bezpečnosti v IS mezi zadavatelem a řešitelem.
Základním zadáním bezpečnosti je odpověď na zdánlivě jednoduché otázky: CO, PROTI ČEMU a JAKOU SILOU má být zabezpečeno. (Otázka JAK je v tomto okamžiku podružná). Nastává fáze úzké spolupráce zadavatele a řešitele na zadání úlohy. Zadavatel formuluje svoje požadavky na bezpečnost, řešitel je koriguje s přihlédnutím k tomu, co je nutné, co je možné, co je rozumné, co je obvyklé, na co by se nemělo zapomenout, co vyžaduje zákon, jak je co nákladné apod.
Úvodní projekt vychází pochopitelně z předběžné studie a ze zadání. V praxi většinou žádná organizace nestojí na počátku budování svého informačního systému ani na počátku své existence (i když takovou situaci bychom považovali za ideální). Každá organizace se řídí určitými zvyklostmi, je nějakým způsobem zaběhnutá, po jistou dobu už například používá informační systém, chce jej zabezpečit, případně je ve stádiu zavádění nového informačního systému, může také ze starého systému přebírat jen některé agendy apod.
Úvodní projekt shrnuje získané poznatky a stanoví návrh strategie zabezpečení informačního systému v širším slova smyslu, tedy včetně konstatování pravděpodobných organizačních, administrativních a strukturálních změn, změn vnitřních směrnic, organizačního řádu, spisového řádu, pracovních smluv atd., pokud by kterákoli z těchto záležitostí mohla být v rozporu s bezpečnostními cíly organizace, resp. bránila jejich dosažení.
Předchozí etapy realizace bezpečnosti je možno považovat za etapy přípravné. Stanovení celkové bezpečnostní politiky je prvním krokem k realizaci bezpečnosti. V této etapě vznikne poměrně stručný (nejvýše do 200 stran), nicméně velice hutný a nesmírně důležitý dokument, z něhož budou vycházet veškeré další práce. Obsahuje mimo jiné:
Další realizační fází projektu bezpečnosti je část nazvaná systémová bezpečnostní politika. Jejím účelem je definovat, jakým způsobem se bude přijatá celková bezpečnostní politika organizace (připomeňme, že byla stanovena nezávisle na používaných nástrojích IS) promítat do konkrétních podmínek zadavatele a jeho informačního systému.
Typický uživatel informačních technologií bude nejspíše provozovat nějaký informační, technologický, bankovní, telekomunikační či obchodní systém, znalostní databázi apod. a řadu pomocných nástrojů na své vlastní síti a současně bude pravděpodobně napojen nějakým způsobem na internet. Konkrétní podmínky se mohou značně lišit, přesto je snahou obstaravatele bezpečnosti jednotlivé prvky systémové bezpečnostní politiky nějakým způsobem zobecnit.
Do systémové bezpečnostní politiky organizace typicky spadají následující bezpečnostní prvky:
Systémová bezpečnostní politika je tedy ta etapa celkového zabezpečení systému, kdy se konkretizují předchozí práce na bezpečnosti na určité komponenty systému určitého uživatele, přičemž zdaleka nejde jen o technické zabezpečení, nýbrž o celý komplex opatření mající vliv prakticky na každého pracovníka organizace, všechny organizační složky a veškerou techniku organizace.
Konečnou fází zavádění bezpečnosti v organizaci se nazývá realizace. Už z názvu samotného vyplývá, že jde o provádění zcela konkrétních opatření jako například instalace vybraných antivirových programů, firewallů, šifrovacích mechanismů, hardwarových ochran, vypracovávání konkrétních a závazných dokumentů, provozních řádů, úpravy pracovních smluv jednotlivých pracovníků, konkrétní vymezování kompetencí vedoucích pracovníků, zabezpečování ostrahy objektů apod., to vše na základě předchozích etap řešení bezpečnosti.
Teprve v této etapě se účinně realizují tzv. funkce pro prosazení bezpečnosti, kterými se laický provozovatel systému nekoordinovaně snaží začít při prvních pokusech o zajištění bezpečnosti. Znovu opakujeme, že takovýto laický přístup vede většinou jen k plýtvání prostředky, aniž by se dosáhlo valných výsledků.
Naopak, profesionální přístup přináší na jedné straně úspory plynoucí z účelného zavádění bezpečnosti, na druhé straně maximální zužitkování těch prostředků, které jsou do bezpečnosti vkládány.
Nedílnou součástí bezpečnosti je osvěta. Každý pracovník organizace musí být seznámen s tou částí bezpečnostních opatření, která spadají do jeho kompetence, tedy která na něho budou mít bezprostřední vliv či na které se bude aktivně podílet.
Obecně lze říci, že bezpečnost není něco, co lze dodat organizaci na klíč, nýbrž je to proces, na němž se organizace musí společně s dodavatelem aktivně podílet. Zejména zpočátku probíhá mezi dodavatelem a odběratelem celá řada jednání, interview, předávání materiálů, vyplňování písemných dokumentů a seznamování se skutečným stavem v organizaci. Je zcela samozřejmé, že veškeré poznatky o odběratelské organizaci, které dodavatel získá v průběhu své práce, jsou pod smluvně zakotvenými sankcemi naprosto důvěrné. Plně se respektuje například i přání odběratele nebýt uváděn jako reference dodavatele.