Akvizícia, vývoj a údržba informačných systémov – § 20 ods. 3 písm. j) ZoKB

Bezpečný systém nejestvuje

Zraniteľnosť systémov vychádza z ľudskej podstaty. Ako povedal rímsky filozof Seneca: „mýliť sa je ľudské“, a platí to aj v modernej dobe. Všetky zraniteľnosti vznikajú pri návrhu systému. Omylní sú architekti aj programátori systémov, omylní sú administrátori aj projektoví špecialisti. Žiaden systém, ktorý kedy človek navrhol a vytvoril, nebol nikdy bezchybný. A keďže sme si toho vedomí, vieme sa na to pripraviť a sme povinní urobiť všetko, aby sme odhalili maximum možných zraniteľností ešte skôr, než sa softvérová aplikácia začne používať. Softvér musí byť navrhnutý s cieľom myslieť na bezpečnosť. Ba čo viac – bez otestovania nikdy nezistíme, či je navrhnutý systém skutočne bezpečný.

Bezpečnosť má byť integrálnou súčasťou každej etapy životného cyklu vývoja  systémov a práve z toho dôvodu sa v posledných rokoch namiesto výrazu „životný cyklus vývoja systémov“ používa skôr pojem „životný cyklus bezpečného vývoja systémov“ (z angl.: „Secure System Development Life Cycle“ – SSDLC). Tento vo všeobecnosti zahŕňa integráciu testovania bezpečnosti a ďalších aktivít do existujúceho procesu vývoja, aby sa zabezpečilo, že systém bude odolný proti bezpečnostným hrozbám a zraniteľnostiam. Legislatívci tento technický termín nahradili výrazom „Security by design“, prekladaný ako „špecificky navrhnutá bezpečnosť“. V oblasti ochrany osobných údajov sa používa ekvivalentný výraz „Privacy by design“, t. j. „špecificky navrhnutá ochrana údajov“. Posledný spomenutý výraz bol v legislatíve ...