Ing. Jaroslav Oster
Kuzmányho 10, 984 01 Lučenec
InfoConsult, s.r.o., konateľ a konzultant pre otázky Informačnej bezpečnosti,
člen Slovenskej asociácie informačnej bezopečnosti
tel.: +421 905 272066
mail : info@pcb.sk

STANOVISKO

k doktorandskej dizertačnej práci

Dňa 2 až 10.mája 2000 som preštudoval a vypracoval stanovisko k doktoradnsej dizertačnej práci pána Ing. Juraja Vaculíka s názvom Návrh optimálneho riešenia ochran informačného systému. Problematika informačnej bezpečnosti je v súčasnej dobe dynamicky rozvíjajúcim odborom. Stále narastá počet narušení informačných systémov a reálny stav riešenia otázky zabezpečenia informačných systémov poukazujú na skutočnosť, že problémom informačnej bezpoečnosti je nutné venovať stále väčšiu pozornosť. Z toho dôvodu je prosspešné, že autor zvolil za cieľ svojej práce práve túto oblasť.

Stanovisko

Na základe štúdia predloženej doktoradskej práce konštatujem, že predložená práca má vyrovnanú odbornú úroveň a autor v nej vyváženou formou analyzuje súčasné reálne možnosti technickej i organizačnej ochrany informačných systémov.

V práci som našiel niekoľko formálnych nedostatkov majmä pravopisného charakteru. Za závažnejší nedostatok považujem nepresnosti v odvolávkach na literatúru použitú pri citáciach. Tu rovnako podotýkam, že zoznam použitej literatúry neplňuje náležitosti Autorského zákona - konkrétne §15 - ods. b, c. Nájdené formálne nedostatky však podľa môjho názoru neznižujú odbornú úroveň práce a mám za to, sú skôr dôsledkom neskúsenosti autora, resp. nedostatočným metodickým vedením.

Je nutné si uvedomiť, že problematika informačnej bezpečnosti je zložitou problematikou pokrývajúcou red vedných odborov a disciplín. Voľba širokého poňatia všeobecnej časti limitovaná akceptovateľným rozsahom práce v zásade musela viesť ku skutočnosti, kedy sú niektoré parciálne témy spracované len informatívne a značne zovšeobecnene. Tu osobne vidím priestor na detailnejšie rozpracovanie jednotlivých tém. Ako príklad uvádzam kap. 2.2 Bezpečnosť z pohľadu legislatívy a práva, kde je problemataika vzťaahu bezpečnosti IS a legislatívy poňatá len z pohľadu Internetu a ochrany osobných údajov v IS. Je však zrejmé, že cieľom práce nebolo rozpracovanie teoretického prehľadu použiteľných prostriedkov a postupov. Napriek uvedenému autor preukázal všeobecný prehľad v problematike na vysokej odbornej úrovni.

Z praktického pohľadu vidím prínos práce najmä v jej jadre - vlastnom riešení. Vychádzajúc z reálnych poiznatkov, že narušitelmi informačných systémoiv v prevažnej väčšine prípadov sú práve interní používateliat.j. zamestnanci organizácie, autor prekladá vlastné riešenie realizácie ochrany proti interným používateľom IS. Tu si dovoľujem autorovi do budúcnosti doporučiť, aby používanie štatistické informácií (príklad viď kap 4 osd. 4) dokladoval kvalifikovanými štatistickými zdrojmi. Aj keď používané informácie sú reálne a pravdivé, u neznalého čitateľa by mohli vyvolať nesprávny dojem, že autor zakladá na dohadoch.

Predložený návrh modulov ochrany informačného systému z pohľadu ochrany pred internými rizikami organizácie je spracovaný prehľadnou a pochopiteľnou formou. V danej časti autor preukázal rozhľad v reálnom stave aplikovateľných technických a technologických opatrení a zabezpečenie IS. Tu postrádam konkrétnu informáciu o aplikovaní navrhnutých algoritmov v praxi - túto skutočnosť síce autor v kapitole 6. deklaruje, ale nekonkretizuje.

Otázky :

  1. Aký priestor ponecháva autor vo svojom riešení pre prípadné aplikovanie bezpečnostných foriem autentizácie (napríklad dvojfaktorová autentizácia) ?
  2. Na základe čoho usudzje autor, že práve autentizácia na báze otlačku prsta (CFIT) bude nasadzovaná do Windows95, Windows98 a pracovných staníc Windows NT?

Záver

Predloženú dizertačnú prácu hodnotím ako odborne kvalifkovanú, spracovanú na základe analýz reálnych potrieb praxe a vidím v nej reálny základ pre ďalšiu vedeckú prácu autora v odbore informačnej bezpečnosti.

V Lučenci, 10.mája 2000


návrat