Jelen ajánlás alapvetõ célja az, hogy az informatikai rendszerek biztonságával kapcsolatban teljes képet adjon azokról a biztonságpolitikát, a biztonsági stratégiát, a biztonsági követelményrendszert, a vizsgálati módszertant és a biztonsági intézkedéseket érintõ dokumentumokról, amelyek alapján minden szervezet értelmezheti és részleteiben elkészítheti a saját informatikai rendszerére vonatkozó részletes dokumentumait, illetve elvégezheti vagy elvégeztetheti a szükséges biztonsági vizsgálatot és végül elkészítheti a szervezetére vonatkozó Informatikai Biztonsági Szabályzatot (IBSz). A biztonsági politika kialakításától a vizsgálatig és az IBSz elkészítéséig tartó folyamatot és az egyes fõ lépések közötti összefüggéseket az alábbi ábra mutatja.

Az ajánlásban az egyes fejezetek és pontok az ábra szerinti logikai sorrendet követik. A 2. pontban a biztonságpolitika, a 3. pontban a biztonsági stratégia lényegét foglaljuk össze. Ezek alapul szolgálhatnak az adott szervezetre elkészítendõ biztonságpolitika, illetve stratégia dokumentumainak elkészítéséhez.

A politikát és a stratégiát figyelembe véve kidolgozható az a részletes biztonsági követelményrendszer, amely az alapja egyrészt a védelmi rendszer tervezésének, másrészt az IBSz kialakításának. A II. fejezetben összefoglaltuk informatikai biztonsági osztályok szerint az információvédelem és a megbízható mûködés területén azokat az általános követelményeket, amelyek alapján minden szervezet értelmezheti a saját rendszerére vonatkozó követelményrendszert.

Nemzetközi téren már az 1980-as évek elején megindult (elsõsorban az Egyesült Államokban) az informatikai biztonsági értékelés követelményrendszere kidolgozására vonatkozó tevékenység. Elsõ kézzelfogható eredménye a TCSEC [Trusted Computer System Evaluation Criteria (Biztonságos Számítógépes Rendszerek Értékelési Kritériumai)] dokumentum vagy más néven a "Narancs Könyv" megjelenése volt. Ezt követõen több országban, pl. Angliában, Németországban, Franciaországban indult el hasonló dokumentum kidolgozása. A '80-as évek vége felé a személyi számítógépek, a helyi és a nagy területeket átfogó hálózatok elterjedésével mind jobban erõsödött az a felismerés, hogy az informatikai biztonságra vonatkozó elõírások nemzeti szintjérõl tovább kell lépni egy nemzetközi téren egyeztetett dokumentum irányába. Az elsõ ilyen erõfeszítés eredménye volt az ITSEC [Information Technology Security Evaluation Criteria (Információtechnológia Biztonsági Értékelési Kritériumok)] dokumentum 1. változata, amelyet Anglia, Franciaország, Hollandia és Németország közösen dolgozott ki. Az ITSEC 1.2 változatát az Európai Közösség számára kísérleti célból 1991-ben adták ki. Ezzel közel egy idõben a Nemzetközi Szabványosítási Szervezetben (ISO) is elkezdõdött ebben a tárgyban a munka, azonban a nemzeti szinteken addig kidolgozott követelmények egyeztetése miatt ez viszonylag lassan haladt elõre.

E probléma feloldására az Egyesült Államokban és Kanadában elkészültek az FC [Federal Criteria for Information Technology Security (Az Információtechnológia Biztonságára vonatkozó Szövetségi Kritériumok)], illetve a CTCPEC [Canadian Trusted Computer Product Evaluation Criteria (A Biztonságos Számítástechnikai Termékek Értékelési Kritériumai Kanadában)] dokumentumok. Az FC dokumentumnak az 1993-ban az Európai Közösség illetékes bizottságának történt bemutatása után az a határozat született, hogy az ITSEC, a CTCPEC és az FC szerzõi dolgozzanak ki egy olyan követelményrendszert, amely nemzetközileg elfogadható lesz és az ISO számára ajánlani lehet a szabványosítási munka alapjául.

Az Európai Közösség, valamint az amerikai és a kanadai kormányok támogatásával kidolgozásra került a CC [Common Criteria (Közös Követelmények)] dokumentumtervezet, amely megpróbálja a korábbi ajánlások tartalmi és technikai eltéréseit összhangba hozni. Ez képezi az alapját az Európai Közösségben ebben a tárgyban végzendõ további munkának, valamint az ISO-nál elvégzendõ szabványosítási tevékenységnek.

A II. fejezetben megfogalmazott követelmények a Miniszterelnöki Hivatal (MeH) 8. sz. ajánlásának felfogását követve lefedik az informatikai biztonság egészét, azaz a fizikai, a logikai és az adminisztratív védelem területeit. Az ajánlás komplex szemléletébõl adódóan a vizsgálati módszerek és szempontok kiterjednek mind az informatikai rendszer környezetére, mind magára az informatikai rendszerre. A hazai jogszabályok és szabványok, valamint a nemzetközi ajánlások és szabványok - elsõsorban az ITSEC - közös vonásait leginkább a logikai és az adminisztratív védelmi területek követelményei kialakításánál lehetett figyelembe venni, így elsõsorban ezen a területen kerestük közöttük az összhangot a követelmények kialakításánál. Az ITSEC-ben a minõsítési követelmények és a biztonsági funkciók kerültek osztályozásra (E1-E6 követelmény szintek, illetve F-C1, F-C2, F-B1, F-B2 és F-B3 biztonsági osztályok). Az ITSEC jelenleg az Európai Közösségben a legszélesebb körben elfogadott javaslat, ezért ezt vettük figyelembe - elsõsorban a biztonsági osztályok követelményeinek kialakításánál - annak ellenére, hogy a Common Criteria kidolgozásával ennek továbbfejlesztése folyik. A logikai védelem mellett alkalmazandó más védelmi funkciók követelményeinek megfogalmazásánál a hazai szabályozásból indultunk ki.

Tekintve, hogy a közigazgatás területén egységesen érvényesítendõ informatikai biztonsági követelményrendszer eddig még nem került kiadásra a jelen dokumentum szerepe és célja úgy fogalmazható meg, hogy a ma érvényes hazai jogszabályok, szabványok, valamint a hazai és nemzetközi ajánlások - elsõsorban az ITSEC - figyelembevételével reális és megbízható alapot nyújtson a közigazgatás területén egyrészt a mûködõ, másrészt a megvalósítás elõtt álló informatikai rendszerek és környezetük fizikai, logikai és adminisztratív védelmi követelményei konkrét megfogalmazásához, a védelmi rendszerek továbbfejlesztéséhez, illetve megvalósításához.

Az elõzõekben említett fejlõdési folyamat keretében a nemzetközi ajánlások - így a Common Criteria dokumentum is - fejlõdése, fejlesztése folyamatosan figyelembevételre kerül és középtávú célkitûzésként megfogalmazható az azokkal való teljes mértékû összhang. Jelen dokumentum szerkezete és szemlélete, valamint a nemzetközi ajánlások (ITSEC, X/Open) figyelembevétele nyitva hagyja azt a lehetõséget, hogy ez a követelmény- és intézkedés rendszer a közeljövõben véglegessé váló EK ajánlásokkal összhangban továbbfejleszthetõ legyen.

A védelmi intézkedések kialakításának egyik elõfeltétele a biztonsági követelményrendszer kialakítása, a másik az intézmény informatikai rendszere biztonsági vizsgálatának elvégzése, amelynek keretében elvégzett kockázatelemzés eredményeképpen elõálló javaslat alapján a védelmi rendszer tervezése és az IBSz felveszi az adott informatikai rendszerre specifikus vonásokat.

A követelményrendszer meghatározása és a biztonsági vizsgálat elvégzése után alakítható ki minden szervezetben az IBSz, amelynek elkészítéséhez a III. fejezetben adunk segítséget minta intézkedési tervekkel, amelyek néhány tipikus informatikai rendszer (pl. adatbázis-kezelés orientált, irodaautomatizálási) szerint rendszerezettek és fõleg a logikai védelem területére terjednek ki.

A vizsgálati módszertant a jelen ajánlás nem tartalmazza, mert az az Informatikai Tárcaközi Bizottság (továbbiakban: ITB) 8. sz. ajánlásában részletesen megtalálható. Az 1995 I. félévében az összes minisztériumban végrehajtott informatikai biztonsági vizsgálat során is ezen módszertan szerint jártak el.

A kormányzat felismerte és fontosnak tartja az információ- és informatikai biztonság megfelelõ szintû kezelését általában és a közigazgatási intézmények területén is. Többek között ennek köszönhetõ, hogy 1994. decemberében pályázatot írt ki a minisztériumok informatikai biztonsági vizsgálatára. Ez az ajánlás részben az elvégzett vizsgálatok tapasztalatai alapján készült, amellyel a kormányzat, illetve az Informatikai Tárcaközi Bizottság egyrészt támogatást kíván nyújtani a közigazgatási intézményeknek abban a folyamatban, amely a informatikai biztonságpolitika kialakításától az IBSz megvalósításáig terjed, másrészt egy olyan követelményrendszernek tekinthetõ, amely egy egységes, az európai ajánlásoknak megfelelõ informatikai biztonsági szemlélet felé orientál.

Jelen dokumentumot a Miniszterelnöki Hivatal Informatikai Koordinációs Irodája (továbbiakban: MeH IKI) az informatikai rendszerek biztonsági követelményei és az azokat kielégítõ intézkedések kialakításának folyamatában kezdõ lépésnek tekinti. Az informatikai eszközök, a termékekkel és a rendszerekkel kapcsolatos fenyegetések változások, új fenyegetések megjelenése, valamint a nemzetközi - elsõ sorban az Európai Közösség - ajánlásainak folyamatos fejlesztése miatt a követelmény- és intézkedési rendszer is rendszeres korszerûsítésre fog kerülni. Ezt a folyamatot jelen és a további dokumentumokon a változatszám megjelölésével jelezni fogjuk.

A jelen dokumentumot felhasználó közigazgatási és a többi érintett intézmény munkatársai részérõl a MeH IKI várja a írásbeli észrevételeket és módosító javaslatokat, amelyeket a MeH IKI vezetõje címére kérünk megküldeni.