Vysoká škola ekonomická v Praze

Podobné dokumenty
Bezepečnost IS v organizaci

V Brně dne 10. a

V Brně dne a

MANAGEMENT Procesní přístup k řízení organizace. Ing. Jaromír Pitaš, Ph.D.

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Úvodní přednáška. Význam a historie PIS

Projektové řízení a rizika v projektech

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

Vysoká škola technická a ekonomická v Českých Budějovicích. Institute of Technology And Business In České Budějovice

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

ČESKÁ TECHNICKÁ NORMA

Informace a znalosti v organizaci

S T R A T E G I C K Ý M A N A G E M E N T

S databázemi se v běžném životě setkáváme velmi často. Uvádíme běžné použití databází velkého rozsahu:

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

MARKETINGOVÝ INFORMAČNÍ SYSTÉM

KET/ZPI - Zabezpečení podnikových informací

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Úvod do informačních a řídicích systémů. lení

Přístupy k řešení a zavádění spisové služby

MSFN Hodnocení firem aneb co to znamená úspěšná firma. 2018/2019 Marek Trabalka

Politika bezpečnosti informací

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Dnešní témata Informační systém, informační služba Podnikový informační systém

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Řízení projektů. Centrální podpora projektového řízení projektů realizovaných MVČR (CEPR) Praha,

Obecné schéma řízení rizik, stanovení rozsahu a cíle analýzy rizik, metody sběru a interpretace vstupních dat

Úvod - Podniková informační bezpečnost PS1-1

Strategický management a strategické řízení

METODICKÝ APARÁT LOGISTIKY

Management rizika Bc. Ing. Karina Mužáková, Ph.D. BIVŠ,

Vysoká škola finanční a správní, o.p.s. Katedra řízení podniku a podnikové ekonomiky. Metodické listy pro předmět ŘÍZENÍ PODNIKU 2

ENVIRONMENTÁLNÍ BEZPEČNOST

Určeno studentům středního vzdělávání s maturitní zkouškou, předmět: Marketing a management, téma: Marketingový výzkum

Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o.

Jak používat statistiky položkové v systému WinShop Std.

Vnitřní kontrolní systém a jeho audit

Efektivnost informačních systémů. strategické řízení taktické řízení. operativní řízení a provozu

Procesní přístup k projektům informačních systémů. RNDr. Vladimír Krajčík, Ph.D.

Bibliografické databáze umění vyhledávat v záplavě pramenů relevantní informace

TEMATICKÉ OKRUHY PRO OPAKOVÁNÍ K MATURITNÍ ZKOUŠCE

Implementace systému ISMS

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

3. Očekávání a efektivnost aplikací

Zásady řízení dokumentů

Vysoká škola finanční a správní, o.p.s. KMK ML Základy marketingu

Představení projektu Metodika

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

Bezpečnost na internetu. přednáška

Vysoká škola finanční a správní, o.p.s. KMK ML Základy marketingu

Obranné zpravodajství Vlivové zpravodajství

Jan Hřídel Regional Sales Manager - Public Administration

Posuzování na základě rizika

Obsah. Zpracoval:

Projektový management. Projektový management. Další charakteristiky projektu. Projekt

PRIMÁRNÍ SYSTÉM DOHLEDU Z POHLEDU MANAŽERA. Eva Janoušková

Analýzy konkurence - teorie:

Řízení podniku a prvky strategického plánování

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o.

Hodnocení rizik v resortu Ministerstva obrany

TEZE K DIPLOMOVÉ PRÁCI. Reklama na internetu

Audit? Audit! RNDr. Hana Žufanová

Státní pokladna. Centrum sdílených služeb

Proces marketingového výzkumu - jednotlivé fáze, význam, stručná charakteristika. Výběr a formulace výzkumného problému. Vztahy mezi proměnnými.

Informační média a služby

Management. Rozhodování. Ing. Vlastimil Vala, CSc. Ústav lesnické a dřevařské ekonomiky a politiky

MANAGEMENT Přístupy k řízení organizace

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

ČESKÁ TECHNICKÁ NORMA

Fyzická bezpečnost. Bezpečnost informací v ČR. Ing. Oldřich Luňáček, Ph.D. oldrich.lunacek@unob.cz

PŘÍLOHA C Požadavky na Dokumentaci

Řízení rizik ICT účelně a prakticky?

Ing. Jiří Fejfar, Ph.D. Geo-informační systémy

Zákon o kybernetické bezpečnosti

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Řízení rizik. Ing. Petra Plevová.

Management informační bezpečnosti

Nadpis presentace. Řízení IT v malých. útvarech aneb Light verze IT governance

Informační strategie. Doc.Ing.Miloš Koch,CSc.

OBSAH: ÚVOD iii. kapitola 1 TYPY A CÍLE PORAD Základní koncept řízení porad Operativní porada Výrobní porada...

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Ing. Pavel Rosenlacher

Informatika / bezpečnost

Ochrana osobních údajů v hotelech, lázních a nemocnicích

GIS Libereckého kraje

Přednáška č.13. Organizace firmy při zahraniční činnosti

EKONOMICKÝ A LOGISTICKÝ SOFTWARE. Luhačovice

SMĚRNICE DĚKANA Č. 4/2013

8.2 Používání a tvorba databází

Zákon o kybernetické bezpečnosti

Okruhy z odborných předmětů

O2 a jeho komplexní řešení pro nařízení GDPR

SŽDC M20/MP001 METODICKÝ POKYN PRO ŘÍZENÍ DOKUMENTACE ŘÍDÍCÍCH TECHNICKÝCH AKTŮ SŽDC M20

Učíme se maturitní otázku Organizování z výkladové prezentace. Zpracoval Ing. Jan Weiser

SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist)

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Jak vytvořit správné Zadání IS

Transkript:

Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Katedra informačních technologií Diplomant: Vedoucí diplomové práce: Recenzent: Ing. Libor Gála Ing. Radek Komanický TÉMA DIPLOMOVÉ PRÁCE Klasifikace informací jako hledisko přístupu k systému

Prohlášení Prohlašuji, že jsem diplomovou práci zpracoval samostatně a že jsem uvedl všechny použité prameny a literaturu, ze kterých jsem čerpal. V Praze dne...... podpis

Poděkování Touto cestou bych rád poděkoval vedoucímu diplomové práce Ing. Liboru Gálovi a recenzentovi Ing. Radkovi Komanickému za pomoc při vzniku této práce. Zároveň bych chtěl poděkovat své rodině a zejména sestře Veronice za veškerou podporu.

Obsah 1. Úvod... 6 2. Teorie informace... 7 2.1 Pojem informace... 7 2.2 Ukládání a vyhledávání informací... 8 2.3 Význam informace... 10 2.3.1 Obecný význam informace...10 2.3.2 Význam informace pro různé subjekty... 10 2.4 Informační zdroje a jejich vlastnosti... 12 2.5. Vlastnosti (atributy) informace (dokumentu)... 12 3. Klasifikace informací... 15 3.1 Klasifikace informací jako součást informační bezpečnosti firmy... 15 3.1.1 Informační bezpečnost základní pojmy... 15 3.1.2 Proces řešení informační bezpečnosti... 18 3.1.3 Stav bezpečnosti v českých firmách... 23 3.1.4 Stav bezpečnosti v zahraničních firmách... 28 3.1.5 Právní úprava ochrany informací v ČR... 34 3.1.5.1 Ochrana utajovaných skutečností... 34 3.1.5.2 Principy zajištění bezpečnosti dle zákona č. 148/1998 Sb... 36 3.1.5.3 Ostatní právní normy... 38 3.1.6 Normy a standardy zabývající se informační bezpečností v zahraničí... 40 3.1.6.1 TCSEC (Trusted Computer System Evaluation Criteria)... 40 3.1.6.2 ITSEC (Information Technology Security Evaluation Criteria)... 41 3.1.6.3 ITSEM (Information Technology Security Evaluation Manual)... 42 3.1.6.4 CTCPEC, FC a CC... 43 3.1.6.5 BS 7799 (The British Standard on Information Security Management)... 44 3.1.6.6 GMITS (Guidelines for the Management of IT Security)... 46 3.1.7 Vztah informační bezpečnosti a klasifikace informací... 47 3.2 Cena a hodnota informací... 48 3.2.1 Náklady na pořízení informace (Costing)... 48 3.2.2 Určení hodnoty informací (Valuing)... 49 3.2.3 Oceňování informačních aktiv v britských firmách... 51 4. Principy klasifikace informací... 52 4.1 Řízení procesu klasifikace informací... 52 4.2 Tvorba a náplň práce týmu... 53 4.3 Vytváření klasifikační politiky a specifikace tříd... 53 4.3.1 Typy informací... 53-4 -

4.3.2 Specifikace tříd... 55 4.4 Třídy v klasifikaci informací... 56 4.4.1 Třídy v ČR... 56 4.4.2 Třídy v zahraničí... 57 4.4.3 Klasifikační třídy dle britské vlády... 58 4.5 Principy řazení do tříd... 59 4.6 Reklasifikace a deklasifikace informací... 60 4.7 Nakládání s informacemi... 60 4.7.1 Manipulace s klasifikovanými informacemi... 60 4.7.2 Nakládání s informacemi podrobněji... 62 4.7.3 Nakládání s informacemi dle britské normy SEC... 63 4.8 Zajištění přístupu a ochrany... 64 4.9 Bezpečnostní modely... 67 4.9.1 Bell-LaPadula a Bibův model... 68 4.9.2 Clark-Wilson model... 69 5. Praktické užití klasifikace informací... 70 5.1 Proces klasifikace informací... 70 5.2 Řízení přístupu k systému... 71 5.3 Metodika MDIS a klasifikace informací... 72 5.3.1 Stručná charakteristika MDIS... 72 5.3.2 Začlenění procesu klasifikace informací do metodiky MDIS... 73 5.4 Konkrétní přístupy k řešení klasifikace informací... 75 5.4.1 Česká praxe... 75 5.4.2 Ukázka ze zahraniční praxe... 76 5.5 Klasifikace webového obsahu... 81 5.6 Náklady, přínosy, důvody a význam klasifikace... 83 6. Závěr... 86 7. Informační zdroje... 87 7.1 Literatura... 87 7.2 Internetové zdroje... 88 Seznam tabulek... 89 Seznam obrázků... 90 Přílohy... 91 A Terminologický slovník... 91 B Význam zkratek... 92 C - Klasifikace dokumentů knihovnický pohled... 94-5 -

1. Úvod Informace začíná být stejně významným výrobním faktorem jako je půda, lidé či kapitál. Jedenadvacáté století bývá někdy pro svůj globalizační trend a rozvoj informačních technologií (zejména internetu) nazýváno stoletím informatiky a přelom letopočtu charakterizován informační revolucí. Informace se staly obchodní komoditou, aktivem, s kterým se ve firmách počítá (nebo mělo počítat). Rozhodující konkurenční výhodou tak již není množství půdy, ale správné a rychlé využití informací a znalostí lidí. Zatímco internet jako komunikační a obchodní médium již firmy akceptovaly a snaží se jej maximálně využít pro levnou komunikaci a obrovskou informační kapacitu, informace samotné ještě nejsou náležitě oceňovány a chráněny. Tato práce by měla poukázat na význam chápání informací jako hodnotných aktiv a přesvědčit o nutnosti jejich zabezpečení. Jedním aspektem ochrany informací je určení hodnoty informace a rozhodnutí, zda má smysl ji za cenu vyšších nákladů chránit. Dalším je kontrola přístupu k nim, tj. ovlivňujeme, kdo co bude s informacemi dělat. Tato práce má prostřednictvím klasifikace informací, která je součástí řešení informační bezpečnosti, ukázat, jak a proč přístup k informacím řídit. Cílem práce je specifikovat proces klasifikace informací a zjistit jak ovlivňuje přístup k (informačnímu) systému, resp. k informacím v něm uložených. Aby mohlo být dosaženo vytyčeného cíle, bylo třeba zasadit proces klasifikace informací do širšího kontextu. Proto po krátkém úvodu z teorie informace (kapitola 2) je stručně popsána problematiku zajištění informační bezpečnosti ve firmách (část 3.1), jehož součástí klasifikace informací je. Důraz je kladen také na legislativní úpravu u nás i v zahraničí. Dále se práce zabývá důležitým atributem, který klasifikaci ovlivňuje, což je cena informace (část 3.2). Následně jsou popsány principy, na základě nichž se klasifikace informací provádí (kapitola 4). V další části (5.1) je již specifikován samotný proces klasifikace a zmíněn jeho vliv na řízení přístupu k systému (5.2). Na závěr jsem uvedl příklady užití klasifikace informací ve vztahu k metodice vývoje informačního systému MDIS a klasifikaci webového obsahu. Práce je určena zejména pro manažery informatiky a pracovníky zajímající se o informační bezpečnost. Ti zde najdou principy, které jim mohou pomoci v práci, ostatním zvýší povědomí o informační bezpečnosti. - 6 -

2. Teorie informace Reálný svět, který nás obklopuje, produkuje ohromné množství informací. Od těch bazických, které potřebujeme jako ostatní živočichové (míra světla, teplota okolí, zvuky..), přes typické (kolik je hodin, kolik váží cihla, jak daleko je to auto) až po různou měrou sofistikované (opravdu platí zákon zachování energie?). Informace a zejména znalosti ale přestaly být pouhým produktem lidského myšlení, staly se také důležitým zdrojem. Tak významným, že se informacemi jako takovými zabývá hned několik vědních oborů (informatika, kybernetika, statistika...). Tradiční výrobní faktory půda, práce a kapitál nezmizely, ale staly se druhořadými. Hlavním producentem bohatství jsou informace a znalosti, dokonce tvrdí F. P. Drucker ve své knize Postkapitalistická společnost [VOR]. Správné informace ve správnou dobu se staly nutnou podmínkou úspěšného chodu firem. 2.1 Pojem informace Definicí informace je mnoho, liší se podle oboru, který tento pojem používá. Jinak informaci zkoumá a vykládá informatik, filozof, prognostik, lékař či lingvista. Pro nás bude informací množina dat, která dává konkrétní smysl a je využitelná v komunikačních procesech mezi různými subjekty. Je třeba si ujasnit rozdíl mezi daty, informacemi a znalostmi. Dle [KOL] jsou data (údaje) odrazem jevů, procesů a vlastností, které existují a probíhají v části reálného světa, které se týkají. Jsou tedy určitou konkrétní interpretací údajů, u kterých jde zejména o formu jejich vyjádření, uložení a zpracování. Například údaje 42 a černá jsou data, o kterých víme, že jsou vyjádřeny alfanumerickými znaky. Samy o sobě, bez kontextu, nemají ale žádný smysl. Informace jsou interpretací dat v určitém kontextu. Zmíněné údaje třeba mohou znamenat velikost a barvu obuvi. Matematický pohled - informace jsou data, která snižují entropii 1 (neurčitost) příjemce informace. Znalost je schopnost na základě zkušeností nebo aplikací formálních pravidel interpretovat data, dávat je do souvislostí a získávat z nich informace. Jestliže víme, že nás minule bota o velikosti 42 celý měsíc tlačila, usoudíme, že bude dobré koupit si obuv větší. Data mohou být strukturovaná nebo nestrukturovaná. Strukturovaná data zachycují fakta, atributy, objekty apod., přičemž významným rysem je existence určitých elementů dat řekněme datových typů (základními jsou textové řetězce, číselné, datum a čas, logické a kategorie). Rozdělení na typy je dobré pro odlišení přípustných a nepřípustných manipulací s daty (operace nad datovými typy). Typické je ukládání strukturovaných dat do relačních databází. V těch se obvykle používá tato hierarchie elementů: pole záznam relace databáze. Takové strukturované uložení umožňuje efektivní výběr jen takových dat, která jsou zapotřebí. Nestrukturovaná data jsou vyjádřena jako nějaká blíže neurčená množina bajtů. Může jít o videozáznamy, zvukové nahrávky, grafiku nebo obrázky. Z výčtu je zřejmé, proč se tato data nazývají také jako multimediální. Lze sem ale zařadit i textové dokumenty (vzhledem k schopnostem značkovacích jazyků jako je SGML nebo XML, které umí zachytit kromě obsahu dokumentu i jeho formát a strukturu, to nemusí platit navždy). Nevýhodou nestrukturovaných dat je jejich obtížné vyhledávání podle kritérií, proto se k nim připojují strukturované záznamy vyhledávací klíče. Ještě se můžeme setkat s termínem složky informace. Rozlišujeme tři: sdělení, data, nosič. Sdělení je obsah informace pro příjemce. Data v tomto pojetí slouží k vyjádření informace v komunikačním jazyce (čísla, slova, grafy, ale třeba i tóny). Nosič je fyzický prostředek pro uložení a přenos informace (papír, CD-ROM, emg. vlnění ). 1 Výraz entropie použil poprvé Claude E. Shannon v roce 1949, když ji definoval jako míru neurčitosti v nějaké zprávě o daném systému. Při růstu míry vyjádření informace entropie klesá a naopak. Je také autorem jednotky pro měření množství informace. Její nejmenší množství volbu ze dvou možností nazval bitem. Více v [TOM]. - 7 -

2.2 Ukládání a vyhledávání informací Ukládání a vyhledávání informací jsou jen dvě části životního cyklu informace. Ten začíná vznikem a končí užitím informace, resp. jejím vyřazením (případné zničení informace je v případě klasifikovaných informací nedílnou součástí procesu zajištění informační bezpečnosti). Existují však dvě hlavní překážky rychlého vyhledání uložené informace prostor a čas, protože naprostou většinu informací použijeme jindy a jinde, než informace vznikly. 2 Součásti životního cyklu informace jsou: vznik informace, akvizice získání informace pro uchování; podstatou je sledování informační produkce a výběr vhodných dokumentů 3, vstupní zpracování získaný dokument se analyzuje a vytvoří se vhodný popis dokumentu 4, uložení fyzické uložení nosiče informace do fondu včetně uložení popisu dokumentu, vyhledání výběr dokumentů pomocí popisů na základě dotazu, výstupní zpracování může zahrnovat úpravu dokumentu pro zobrazení na obrazovku, vytištění dokumentu nebo i vyhotovení kopie dokumentu, vyhodnocení spočívá v analýze nalezených informací a v syntéze nových informací, užití informace, [vyřazení informace]. Pro další práci s pojmem informace budeme potřebovat něco vědět o pojmu relevantnost informace, což souvisí s ukládáním a vyhledáváním informací. Při ukládání dokumentu do inf. zdroje, je informace popsána - vznikne sekundární informace potřebná pro další uchovávání a manipulaci popis dokumentu. 4 Je lhostejno, uvažujeme-li o bibliografickém popisu užívaném v knihovnách nebo indexaci vyhledávacím strojem na internetu. Základní myšlenka je stejná. 2 [SKL]: Dalšími překážkami jsou např. věcná a informační odbornost. Věcná jsou k dispozici určité informace, ale uživatel je neumí zpracovat. Například výsledky finanční analýzy podniku, když nezná použité metody a neumí interpretovat výsledné hodnoty daných ukazatelů. Informační zahrnuje znalosti o zdrojích informací, o vyhledávání a zpracování informací. 3 [SKL]: Není tím myšlena jen textová informace na papíře, ale jakákoliv informace na libovolném nosiči. Někdy se místo termínu dokument také používá označení informační pramen. Nicméně v dalším textu této kapitoly budu pro informaci používat synonymický pojem dokument. 4 [SKL]: Popis informačního pramene se pak nazývá sekundární informační pramen, původní dokument je primární informační pramen. Jsou to např. knihy a k nim autorský katalog je sekundárním pramenem. Jeho smyslem je vhodným způsobem zastupovat primární pramen při manipulaci s nimi. - 8 -

Informační požadavek na vyhledání informace se vyjádří pomocí dotazovacího jazyka 5 výsledkem je dotaz. Pokud popis dokumentu odpovídá dotazu, je vybraný dokument zahrnut do výstupu. Jednotlivé položky výstupu se nazývají hity (Obrázek 1). Obrázek 1: Ukládání a vyhledávání dokumentů Zdroj: [SKL] Popis dokumentu obvykle obsahuje dvě části - první obsahuje formální údaje (jméno autora, nakladatele, rok vydání..) a nazývá se identifikační (jmenný) popis. Druhá část obsahuje obsahovou charakteristiku dokumentu. Vyhledávání dokumentu podle jmenného popisu není problém, protože při známé syntaxi záznamu je dokument jednoznačně určitelný. Potíže nastanou při vyhledávání podle obsahu. Dostupné prostředky pro popis dokumentu neumožňují jednoznačně a úplně vyjádřit obsah dokumentu. Při formulaci dotazu i popisu dokumentu dochází k zjednodušení a zkreslení obsahu. Tak se do výsledku dostanou i hity, které neodpovídají požadavkům (přebývají irelevantní hity) nebo se naopak nevyberou dokumenty, které požadavku vyhovují (chybí relevantní hity). Míru úspěšnosti vyhledávání textových dokumentů měříme různými koeficienty. Koeficient přesnosti P (precision) určuje pravděpodobnost, že vybraný dokument je relevantní 6. P = počet vybraných relevantních / počet všech vybraných Koeficient úplnosti R (recall) říká, jaká je pravděpodobnost, že bude relevantní dokument vybrán. R = počet vybraných relevantních / počet všech relevantních V ideálním případě je P=1 i R=1. Normálně je ale mezi přesností a úplností vztah nepřímé úměry, větší úplnosti lze dosáhnout za cenu menší přesnosti a naopak. 5 V rámci dotazovacího jazyka se zejména pracuje s klíčovými slovy, tj. slovy které vystihují obsah dokumentu. 6 [KOL2]: Dokument je relevantní tehdy, je-li jím uspokojena informační potřeba uživatele. Protože pro dva uživatele se stejnou informašní potřebou nemusí být tytéž výsledky dotazu stejně relevantní, užívá se také pojmu pertinence, což je subjektivně chápaná relevance. Přiřináší-li tedy dokument uživateli něco nového, snižuje-li se jeho nejistota, pak je relevantní. - 9 -

Pro doplnění uveďme ještě charakteristiku zvanou pokrytí (coverage), která se uvažuje při práci s vyhledávacími stroji na internetu. Tyto stroje indexují WWW stránky a výsledky ukládají ve své databázi. Pokrytí udává, kolik ze všech potenciálních relevantních dokumentů je zachyceno v databázi vyhledávacího stroje. Problém pokrytí se týká všech vyhledávacích služeb, uvádí se, že tyto pokrývají maximálně třetinu až polovinu všech veřejně dostupných dokumentů. 2.3 Význam informace Význam informace je subjektivní veličina, která se velmi liší dle času, místa, způsobu a dalších okolností použití. Informace o nejbližším zdroji vody je pro žíznivého mnohem zajímavější než pro nežíznivého. Také pro různé subjekty mají informace různý význam.. Jinak je to s hodnotou informace. Objektivně určit hodnotu informace není lehké a přitom nezbytné pro klasifikaci informací a řízení informační bezpečnosti obecně. Pojednává o tom podkapitola 3.2. 2.3.1 Obecný význam informace Podmínka existence společnosti - lidská společnost nemůže bez komunikace (tj. výměny informací) existovat, právě tak jako živé organismy nemohou existovat bez látkové výměny. Poznání - pouze nepatrnou část světa poznáváme přímou zkušeností (empiricky), zbytek racionálním přístupem učením se. Prostřednictvím informací vytváříme úsudky, modely a závěry. Podklad pro rozhodování - stále se o něčem rozhoduje, ať již na úrovni státu, firmy nebo jedince. Zásadní vliv na správnost rozhodnutí má kvalita a kvantita relevantních informací. Vývoj (pokrok) - nové poznání se přiřazuje k tomu minulému prostřednictvím ukládání do pracovních nástrojů a technologie výroby; ukládání výsledků poznávacích procesů do lidské paměti a do umělé paměti (informačních pramenů). 2.3.2 Význam informace pro různé subjekty V této subkapitole se na význam informace podíváme očima různých subjektů. Pro občana je důležité vědět, kam se má obrátit v případě povolení stavby svého domu, zatímco pro stát je klíčové vědět, zda občan zaplatil všechny daně. Firmy potřebují informace o trhu, své konkurenci a právním prostředí. 1. Občan Každý z nás je členem informační společnosti, tj. společnosti, kde hrají stále větší roli informační technologie a zejména internet. Rozvoj moderních technologií přináší výhody, ale i nové výzvy. Pokud se vrátím k uvedenému příkladu, nevidím důvod, proč by se v blízké budoucnosti nemohla žádost o stavební povolení podávat elektronicky. Propojení úředních dat do veřejného informačního systému zajistí, že stavební úřad ihned uvidí, zda je stavitel bezúhonný, pozemek nezatížen věcným břemenem, stavba odpovídá územnímu plánu apod. Výzvou naopak může být požadavek na informační gramotnost zaměstnanců. Díky internetu je již nyní téměř každá informace veřejně přístupná. Existuje u nás řada organizací, které si dávají za cíl rozvíjet informační společnost v ČR. Nejvýznamnější je zřejmě Sdružení pro informační společnost (SPIS). Mezi jeho nejznámější aktivity patří zpracování návrhu zákona o elektronickém podpisu, ale i akce jako BMI (Březen, měsíc internetu). - 10 -

2. Stát Státní správa musí pracovat s celou řadou informací různé důležitosti. Finanční úřady zajímají např. informace o příjmech obyvatel, policii trestní rejstřík, živnostenský úřad pracovní způsobilost podnikatele pro vydání živnostenského listu. Zjednodušit a zrychlit práci úředníků by měl státní informační systém, který je vyvíjen Úřadem pro veřejné informační systémy. ÚVIS je ústřední orgán veřejné správy s integrující rolí v informačních systémech veřejné správy (ISVS). Poskytuje obecné informace o státní informační politice, akčním plánu státní informační politiky a aktivitě eeurope+, ke které jsme jako ČR přistoupili v lednu tohoto roku. Zabývá se zejména tvorbou standardů ISVS, které vydává ve Věstnících Úřadu. 3. Firma Pro firmu může být nedostatek správných informací otázkou jejího bytí či nebytí. Většina firem vystačí se základními informačními zdroji ať již interními (z vlastních útvarů) nebo externími (sbírka zákonů, seznam firem apod.). Vždy jde o podpůrné, ale nezbytné informace legislativního a obchodního charakteru. Další skupinou jsou strategické informace. Myslím tím nejen informace uvnitř podniku (jejich existence je zřejmá), ale i informace z okolí firmy - zejména o stávající i potenciální konkurenci, situaci na trhu, marketingové analýzy, prognózy o akciovém trhu, trhu IS/IT, politické situaci atd. Veškeré rozhodování ve firmě se provádí na základě takových informací. Kvalita rozhodnutí je přímo závislá na kvalitě informací, které má subjekt k dispozici. Pro jiné firmy může být práce s informacemi dokonce jejich hlavní činností. Shromažďování, analýza, uchovávání a prodej informací může být jejich core business. Nejčastěji jde o informace obchodního a marketingového charakteru. Nejznámější firmou tohoto typu je americká Dun & Bradstreet (http://www.dnb.com) a její produkt International Business Information Reports, který se zabývá charakteristikou a hodnocením firem. Stále významnější jsou databázová centra, která poskytují své služby přes internet, jako je například Dialog Information Service.( http://www.dialog.com). V České republice působí např. Albertina Icome (http://www.aip.cz). Nabízí profesionální informační zdroje dostupné online a na CD-ROM. Jedná se o stovky databází, které obsahují různé druhy informací pro všechny oblasti lidské činnosti - od obchodních kontaktů a informací o firmách a trzích přes plné texty odborné a vědecké literatury, patentů, po soupisy knih, článků, přednášek z konferencí a dalších materiálů. Ze státních institucí tuto práci dělá např. Český statistický úřad nebo knihovny. Při pohledu na informaci z firemního hlediska můžeme diagnostikovat tři typy informací [VOR]. Signální informace vzniká a užívá se při výměně informací mezi prvky IS. Bývá impulsem ke spuštění nějakého podnikového procesu. Signální informací je např. příchod objednávky, který startuje proces vyřízení objednávky, ale i stav zásob k určitému datu. Strukturální informace popisuje strukturu systému a pravidla chování jeho jednotlivých prvků. V podniku popisuje organizační strukturu podniku, pravomoci a odpovědnosti jednotlivých funkčních míst, pracovní postupy apod. Genetická informace je informace uložená ve vlastní paměti systému a určuje chování systému. Souvisí s podnikovou kulturou a tzv. pamětí organizace, jde o informace zakódované v samotné firmě, v jejím chování, tj. v jejích zaměstnancích. Většinou jde o informace nepsané a její udržení je závislé na konkrétním pracovním kolektivu. Genetická informace má vliv na adaptabilitu podniku (jak se dokáže přizpůsobovat změnám okolí, např. požadavků zákazníků), na schopnost učit se ze svých chyb, na chování zaměstnanců k zákazníkům, na mezilidské vztahy uvnitř podniku. V současném prostředí tvrdého konkurenčního boje význam práce s informacemi stále vzrůstá. Pokud se firmě podaří s informacemi pracovat efektivněji než ostatním, získá významnou konkurenční výhodu. Nejde jen o to, že získá nějakou strategickou informaci, kterou konkurence nemá (např. v Německu se bude rušit továrna na výrobu gumových těsnění do vodovodních baterií, je tu šance svým výrobkem substituovat vzniklý nedostatek a rychle kontaktovat případné odběratele), ale svou roli hraje také vnitropodniková práce s informacemi (optimalizace životního cyklu informace, jeho podpora IS/IT, zabezpečení důležitých informací). Z toho, co bylo právě řečeno by mělo být zřejmé, že i informace jsou významnými aktivy podniku. - 11 -

2.4 Informační zdroje a jejich vlastnosti Jestliže se bavíme o datech a informacích, je třeba říci, kde vznikají. Jsou samozřejmě zejména produktem lidského jednání a myšlení. Jak bylo řečeno výše, od vzniku k užití informace je několik kroků a my se zastavíme u kroku uložení. Obecněji lze říci, že informační zdroj je systém, který je reálným nebo potenciálním nositelem, zprostředkovatelem nebo šiřitelem informací [SKL]. Jsou to tedy knihovny, informační střediska, databázová centra, televize, rozhlas, ale i internet. Zdroje lze členit podle toho, jaký druh informací přinášejí. Masmédia jsou zdroji zejména obecných informací, existují ale i zdroje oborových informací ekonomických, právnických, lékařských a mnoha dalších oborů. Takové informace jsou zveřejňovány v odborných periodikách (např. The Nature, Science, NewScientist, v USA běžně různé oborové The Journal of [American] Chemical Society, Logic Programming, Medicine ; popularizační National Geographic nebo Scientific American; u nás např. Účetnictví a daně, Chip, Vesmír, Tunel apod.). Dalším hlediskem je formát informací, které zdroj poskytuje textové, obrazové, zvukové, multimediální. Zdroje lze členit také dle dostupnosti na veřejné (většinou zdarma) a komerční, případně utajované. Komerční jsou takové zdroje, které informace prodávají. K této charakteristice také patří, zda rešerši provádí provozovatel (a jak dlouho trvá dodání informace) nebo zda rešerši provádí zájemce o informaci sám. Velice podobnou charakteristikou je pak přístupnost - snadnost a rychlost, s níž lze informaci obdržet. Další charakteristiky informačního zdroje jsou: Typ informací zda jde o informaci primární (bibliografickou) nebo sekundární, rozsah kolik záznamů (nebo jiných jednotek, např. bajtů) zdroj obsahuje, úplnost kolik ze všech dostupných informací, jimiž se zdroj zabývá, je ve zdroji uloženo, retrospektivita jak hluboko do minulosti sahají uložené informace, periodicita aktualizace jaká je frekvence ukládání nových informací, producent majitel zdroje určuje jeho důvěryhodnost, cena (nebo také nákladovost informace) stanovuje se různými způsoby paušální platbou, za každý poskytnutý záznam (objem dat) za čas strávený v databázi (pro on-line zdroje); je závislá na kvalitě ostatních charakteristik (renomovanější producent často aktualizující svou mnohaletou databázi bude oprávněně požadovat vyšší cenu). 2.5. Vlastnosti (atributy) informace (dokumentu) Zastavíme se u určení vlastností a třídících znaků informace. Je ale složité oddělit informace od jejich zdrojů, protože vlastnosti informací se odvozují od atributů jejich zdrojů. Pojmenování atributů je navíc relativní, liší se podle místa, času a způsobu užití, např. formát informace je pro knihovníka údaj, zda jde o text či zvuk, informatik spíše bude hledat, jakou aplikací otevře dokument daného formátu (přípony). Kromě zdroje informace je důležité i kým byla informace získána (následně je důležité určit vlastníka, správce a uživatele informace viz kap. 3.2) a místo jejího uložení. Základní varianty jsou: mimo podnik (např. externí databáze poradenských firem), uvnitř firmy v paměti pracovníků, v archivovaných papírových dokumentech nebo v informačním systému. Pro využití, správu a ochranu informace je nevhodnější její uložení v informačním systému podniku. - 12 -

Jinou vlastností je časové vymezení informace, tj. ze kdy informace pochází a o jakém čase vypovídá. Z hlediska času je můžeme dělit na historické, aktuální a prognostické (plánové). Aktuální informace popisuje současný stav reality (např. okamžitý stav zásoby nějakého zboží na skladě). Prognostická odhaduje budoucí stav reality (např. roční plán obratu). Historická informace je bývalá informace aktuální nebo prognostická, u které uplynula doba platnosti (např. zásoba určitého materiálu před týdnem) [VOR]. Dále nás zajímá úroveň obecnosti informace konkrétní a abstraktní informace (např. konkrétní informací je dopis zákazníkovi ze dne 12.2.2002, kdežto abstraktní informací je šablona textového procesoru pro firemní korespondenci), předmět ke kterému se informace vztahuje (např. výroba počítačů), vlastní obsah informace, úroveň agregace (např. výroba za den, týden, měsíc; výroba za dílnu, závod, podnik; prodej za Prahu, ČR, Evropu apod.). Objem informace měříme počtem obsazených bajtů v paměti počítače nebo pomocí Shannonových vzorců (množství informace, které nese např. jeden konkrétní znak abecedy se odvíjí od pravděpodobnosti jeho výskytu [TOM]). Atribut je významný při ukládání do datového skladu, pro porovnání integrity z hlediska bezpečnosti (ochrana před změnou), méně pro zařazení do klasifikační třídy. Zamysleme se ale nad hodnotou informace. Jak jsem se již zmínil v části o významu informací, záleží na řadě faktorech a tak by se mohlo zdát, že hodnota informace je relativní veličinou. Výkresy nového typu spalovacího motoru budou většině lidí k ničemu, protože jim neporozumí (viz. poznámka pod čarou č. 2). Soupis kancelářských pomůcek pro kancelář zase nebude případné zloděje zajímat, zatímco finanční výsledky jednotlivých divizí společnosti zřejmě ano. Hodnota informace ale není relativní, protože od vzniku peněz se dá koupit a prodat vše, včetně informací. Vlastník informace určuje její hodnotu, protože má nejlepší představu o tom, co by se stalo v případě jejího zničení, ztráty, zneužití nebo nedostupnosti a umí tuto představu kvantifikovat. Částka, kterou ztrátu vyjádříme, může mít různou podobu. Například může mít hodnotu částky, kterou budeme muset vynaložit na znovuzískání informace a její zpracování. Nebo jakou ztrátu utrpí firma, které byl odcizen výše zmíněný návrh motoru, a předběhne ji konkurence. Jak je vidět, hodnota informace se lépe určí, když myslíme na její ztrátu (proto při jejím určování spolupracují rizikoví manažeři). Dokud informaci máme, není často její hodnota zřejmá. Podrobněji viz část 3.2 Cena a hodnota informací. Další možné atributy informace Formát informace závisí na způsobu vyjádření sdělení pomocí dat (text, obraz, zvuk ). Je třeba odlišovat od formátu souboru, což je typický rozlišovací znak pro elektronické dokumenty. Spolehlivost (pravdivost) dáno množstvím chyb. Ty mohou vniknout při ukládání (např. při přepisu) dat, při výpočtech a operacích s daty anebo dokonce být záměrně dezinformacemi. Podrobnost a úplnost závisí na rozlišovací úrovni, míře abstrakce; někdy vyžadujeme informace o podrobnostech, jindy spíše všeobecné. Úplnost informace de facto vyjadřuje míru pravdivého zobrazení reality, protože libovolný výběr podmnožiny informací zkresluje realitu (volbou výběru a jejich interpretace příjemcem). Včasnost (pohotovost) jak rychle lze sehnat potřebnou informaci. Flexibilita použitelnost pro více než jednoho uživatele. Relevance vychází z přesnosti a úplnosti, tj. zda neobsahuje to co nepotřebujeme a obsahuje vše, co potřebujeme. Jednoznačnost (jasnost) - stupeň nejasnosti a dvojznačnosti (nelze přesně kvantifikovat). - 13 -

Podmíněnost získávaná informace závisí na jiných informacích. Ověřitelnost - stupeň konsensu, k němuž se dospěje mezi různými uživateli, kteří zkoumají tutéž informaci. S relevancí souvisí i pojmy frekvence a unikátnost. Při určování relevance dokumentu vzhledem k dotazu se v popisu dokumentu pracuje s klíčovými slovy (podrobněji v příloze C) a sleduje se jejich frekvence, protože čím častěji se slovo v dokumentu vyskytuje, tím je relevantnější k dotazu na takové slovo. Při určování relevance dokumentu proti víceslovnému dotazu hraje roli zase unikátnost. Pokud jedno ze slov se vyskytuje ve velmi malém počtu dokumentů, je ohodnoceno více. Například dotaz klasifikace informací ; dokumenty obsahující jen klasifikace jsou brány jako relevantnější než ty, které obsahují jen informací, což je slovo mnohem častější. Hledat atributy informace (nebo spíš dokumentu) je nevděčná záležitost, záleží na mnoha okolnostech, zejména vědním oboru, subjektu, který s informacemi pracuje apod. Každý obor si definuje informaci po svém, určuje jejich atributy a klasifikuje je. Lékaři mají různé typy genetické informace, knihovníci se zajímají o bibliografické údaje (pak mluví o dokumentu a jeho názvu, popisu, klíčových slovech ), jazykovědci budou informace dělit dle jazyka či syntaxe atd. Další podrobnosti najde čtenář např. v [TOM], [KOL1] či [KOL2]. - 14 -

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář