Az államigazgatási szervek biztonságpolitikájának elemzéséhez és meghatározásához azok alapfeladataiból, illetve az azokat gátló, veszélyeztető hatásokból kell kiindulni.

Alapfunkcióik a kormány képviseletében a nemzetgazdaság normális működésének biztosítása és továbbfejlesztése, az instabil helyzetek kialakulásának megelőzése, illetve azok kezelésének megoldása megfelelő döntések, intézkedések meghozatalával, a legfontosabb alapfeltételek megteremtésével. E tevékenységek együttesét az Alkotmány, számos törvény (pl. költségvetési törvény, államháztartási törvény stb.) és jogszabály szabályozza.

Az alapfunkciók realizálása érdekében a államigazgatási szervek az alábbi alapfeladatokat hajtják végre:

• irányítás,
• engedélyezés,
• ellenőrzés,
• felügyelet,
• érdekvédelem,
• érdekképviselet,
• koordináció,
• szabályozó, kodifikáció-előkészítő tevékenység,
• befolyásolás.

A fenti feladatok végrehajtását az államigazgatási szervek információk gyűjtésével, elemzésével, értékelésével, az ezekre alapozott döntések meghozatalával és azok visszacsatolásával valósítják meg. Ha alaptevékenységük politikai, nemzetgazdasági súlyát tekintjük, illetve azt, hogy az ezekhez kapcsolódó célkitűzések érvényesítése közben bizonyos csoportok érdekeit sértik, akkor belátható, hogy ezen információ-átalakítási és mozgatási folyamatokat számos potenciális veszély fenyegeti, azaz ellenérdek-érvényesítési szándékokkal kell számolni, amelyek általában az alábbi formákban szoktak jelentkezni:

• állami, szolgálati és üzleti titkok, illetve személyes adatok bizalmasságának megsértésével szabályozási akciók, beavatkozások megakadályozása, késleltetése,
• a nyilvánosságnak a saját érdekeknek megfelelő befolyásolása a megfelelő információkhoz történő illetéktelen hozzájutás és felhasználás útján,
• közérdekű információk eltitkolása,
• megtévesztés, pl. a döntés-előkészítő információk manipulálásával.

A fenti rosszhiszemű fenyegetések mellett megjelenhetnek véletlenül, nem a tudatos károkozás szándékával jelentkező fenyegető tényezők, amelyek a rendszer megbízható üzemét, a feldolgozások, az információszolgáltatás rendelkezésre állását veszélyeztetik. Ezek származhatnak az információs rendszer környezetéből, kezelési és üzemeltetési hibákból, valamint a rendszer elemeinek meghibásodásából.

A fentiekben vázolt veszélyes hatások elleni védekezés első lépéseként az alábbiakban egy informatikai biztonsági koncepciót és informatikai biztonságpolitikát fogalmazunk meg, amely a szervezet célkitűzéseivel és stratégiájával összhangban van és a biztonságot az információs rendszer informatikai eszközökkel támogatott részére értelmezzük.

A biztonsági koncepció az adott intézményre vonatkozó informatikai biztonsági alapelveket fogalmazza meg és az informatikai biztonságpolitika alapját képzi. A biztonságpolitika a szervezet és tagjainak az informatikai biztonsághoz kívánatos viszonyulás, az érvényesítés alapelveit fogalmazza meg egységes szemlélettel és az intézmény egészére. Ezek a dokumentumok képezik minden gyakorlati intézkedés és szabályozás alapját.

A közigazgatási intézmények területére az általános biztonságpolitika megfogalmazását a következőkben foglaljuk össze:

Az intézmény területén és kezelésében működő kommunikációs és informatikai rendszerek tervezésére, bevezetésére, üzemeltetésére és ellenőrzésére vonatkozó feladatokat úgy kell elvégezni, hogy a rendszerek védelme a jogszabályi előírásoknak eleget tegyen, valamint a védelem hiányából eredő kockázatokkal legyen arányos.

Az államigazgatásban és az országos hatáskörű szervezetek kezelésében, valamint felügyeletükben működő és ezen szerveket kiszolgáló kommunikációs és informatikai rendszereket az adatok titkosságára, bizalmas jellegére és biztonságára vonatkozó, ún. adatvédelmi törvényeknek megfelelően kell üzemeltetni. [Adatvédelmi jogszabálygyűjtemény — MeH ITB 8. sz. ajánlás 5. számú melléklete] Ezek alapján a törvényesen védett adatokra vonatkozóan olyan védelmi eljárásokat kell alkalmazni, amelyek ellenőrizhetővé teszik a cselekményeket, lehetővé teszik az illetéktelen cselekedetek felderítését és a felelősök megállapítását.

Az informatikai rendszerekben az előbbieken kívüli adatot, információt és egyéb szellemi tulajdont a szervezet számára jelentkező értékével arányosan kell védeni az illetéktelen betekintéstől, a módosítástól, a megsemmisítéstől és a nyilvánosságra kerüléstől. A védelemnek biztosítania kell az informatikai rendszer megbízható üzemét fenyegető káresemények elhárítását, illetve hatásuk minimalizálását a megadott biztonsági követelmények szintjén.

Olyan védelmi eljárásokat kell alkalmazni, amelyek garantálják, hogy az államigazgatás még akkor is hatékonyan működjön, ha akár egy szervezetét (tárca, intézmény, az országos hatáskörű szerv) is katasztrófa ér.

Az informatikai biztonság rendszere olyan legyen, hogy minimális adminisztratív terhet jelentsen, az alkalmazottaktól ne igényeljen aránytalanul nagy erőfeszítést, csak amelyet a helyes munkavégzés gyakorlata során elvárhatunk. Elsősorban abban nyújtson támogatást, hogy állapítsa meg a kivételes eseteket és biztosítsa a normál állapotra való visszatérést a kivételes esemény leküzdése után.