8.1. Általános rész

8.1.1. Az IBSz tartalma

Az IBSz-nek az alábbi fejezeteket kell tartalmaznia:

• Az IBSz minősítése, amelyet az informatikai rendszer globális biztonsági osztályba sorolásnak figyelembevételével a szervezet első számú vezetője határoz meg és ír alá.
• Az IBSz hatálya.
• Biztonsági osztályba sorolás.
• Figyelembe vett jogszabályok, ágazati és helyi szabályozások.
• Illetékességek és hatáskörök (feladat-, felelősségi és kompetencia körök) az informatikai biztonság területén.
• Intézkedések.
• Minimálisan érvényesítendő általános intézkedések.
• Intézkedések az informatikai rendszer környezetével kapcsolatban:
• infrastruktúra,
• személyzet,
• szervezet, szervezeti egységek.
• Intézkedések az informatikai rendszerrel kapcsolatban:
• általános intézkedések,
• rendszerelemekhez kapcsolódó intézkedések:
• adathordozók,
• hardver,
• szoftver,
• dokumentáció, dokumentumok,
• kommunikáció, osztott rendszerek.
• Az adatfeldolgozás folyamatához kapcsolódó intézkedések:
• bevitel,
• tárolás,
• feldolgozás,
• adatátvitel,
• kiadás.
• Intézkedések vészhelyzet-megelőzéssel kapcsolatban:
• adatbiztosítás,
• újraindítás biztosítása.
• Intézkedések informatikai típus rendszerekkel kapcsolatban
  A szervezetnek ki kell választania a következő típus rendszerek közül a szervezet informatikai rendszerére jellemző típust és az erre vonatkozó specifikus biztonsági intézkedéseket kell aktuálisam értelmezni.
  Ha a szervezet informatikai rendszere több típus jegyeit viseli magán, akkor a megfelelő típus rendszerek specifikus biztonsági intézkedéseinek együttesét kell a szervezetre értelmezni.
• Irodaautomatizálási rendszerek
• létesítéssel kapcsolatos intézkedések,
• üzemeltetésre vonatkozó intézkedések,
• megelőzéssel (helyreállítással) kapcsolatos intézkedések:
• adatbiztosítás,
• újraindítás.
• Adatbázis alapú tranzakciós rendszerek
• létesítéssel kapcsolatos intézkedések,
• üzemeltetésre vonatkozó intézkedések,
• megelőzéssel (helyreállítással) kapcsolatos intézkedések:
• adatbiztosítás,
• újraindítás.
• Osztott rendszerek
• létesítéssel kapcsolatos intézkedések,
• üzemeltetésre vonatkozó intézkedések,
• megelőzéssel (helyreállítással) kapcsolatos intézkedések:
• adatbiztosítás,
• újraindítás.
• Nagy megbízhatóságú rendszerek
• létesítéssel kapcsolatos intézkedések,
• üzemeltetésre vonatkozó intézkedések,
• megelőzéssel (helyreállítással) kapcsolatos intézkedések:
• adatbiztosítás,
• újraindítás

8.1.2. Az IBSz hatálya

Az IBSz hatályának megfogalmazásakor meghatározandók mindazon szervezeti és működési területek, informatikai alkalmazási területek, adatállományok és rendszerelemek, amelyekre nézve az IBSz hatályos. Ezzel egyértelműsítjük, hogy milyen területen, kikre és milyen elemekre érvényes. Így az IBSz hatályának behatárolásával elhelyezzük azt a szervezetre érvényes többi, a biztonságot általában érintő szabályzat ható területei között. Az IBSz hatályának kijelölése akkor pontos és sikeres, ha a többi szabályzattal nem kerül átfedésbe és ellentmondásba, illetve nem maradnak nagyobb "fehér foltok", azaz szabályozatlan területek.

8.1.3. Biztonsági osztályba sorolás

Minden szervezetben az informatikai biztonsági intézkedések összeállítása előtt lényeges lépés, hogy feltérképezzük azokat az adatállomány, adatbázis csoportokat, a hozzájuk kapcsolódó alkalmazásokat és rendszerelemeket, amelyek az információvédelem, illetve a megbízható működés szempontjából a 4.1 pontban definiált biztonsági osztályokba sorolhatók.

Az egyes területek osztályba sorolása azért lényeges, mert ez alapján határozhatók meg, az 5. és 6. fejezetek figyelembevételével, az adott biztonsági osztály követelményei és a 8.2 pont alapján kiválaszthatók az osztályra vonatkozó intézkedések. Javasoljuk az alap, a fokozott és a kiemelt biztonsági osztályokba eső adatkategóriák további finomítását, mert így a szervezetre jellemző adatcsoportokra nézve differenciáltabb intézkedéseket lehet kialakítani. Más adatcsoportok jellemzők egy közigazgatási intézmény, egy bank és egy termelő vállalat esetén.

A finomítás kialakítása azért is előnyös, mert az adott biztonsági osztályon belül jobban behatárolhatók azok az adatcsoportok, amelyek védelmére valamilyen jogszabály is vonatkozik. A fenti adatcsoportokhoz már hozzárendelhetők a szervezet konkrét adatállományai, adatbázisai. Ennek alapján pontosan differenciálhatók a biztonsági intézkedések (pl. adatállomány, adatbázis szintű hozzáférés-védelem szabályozás).

Az egyes területek osztályba sorolása után elemezni kell, hogy a szervezet egésze besorolható-e globálisan egy adott biztonsági osztályba. Általában ez akkor tehető meg, ha a területek túlnyomó, illetve a szervezetre jellemző része egy biztonsági osztályba tartozik. Ez olyan esetekben lehet érdekes, amikor a szervezet egészére érvényes, nem terület-specifikus védelmi intézkedést (pl. az épületbe történő bejutás szabályozását) kell kialakítani. Ha például a védendő feldolgozási területek túlnyomó része a fokozott osztályba esik, elképzelhető, hogy a rendszer egészét védő fizikai védelem megvalósítása olcsóbb, mint a területenkénti kialakítás.

A biztonsági osztályba sorolás azért is fontos, mert az első informatikai biztonsági vizsgálatnál a besorolás fogja a tanúsítás alapját képezni, a későbbi rendszeres auditálásoknál pedig a tanúsítvány adja meg az auditálás viszonyítási alapját.

8.1.4. Figyelembe veendő jogszabályok, ágazati és helyi szabályozások

Az informatikai rendszerre vonatkozóan kötelező jelleggel különböző jogszabályokat, ágazati és helyi szabályozásokat kell figyelembe venni, hazai és nemzetközi műszaki normatíváknak, szabványoknak, irányelveknek és ajánlásoknak a jogszabályokban és az egyéb kötelező szabályozásokban megfogalmazott szintben és mértékig eleget kell tenni. Előfordulhat, hogy a lehetőségek szerint ezeket a kötelező mértéken túl is alkalmazni szükséges, továbbá mindezeknek a szabályozásoknak az Informatikai Biztonsági Szabályzatban meg is kell jelenniük.

A fentieknek megfelelően a szabályozást négy szintre bonthatjuk:

1. jogszabályi szintű (törvények, rendeletek) szabályozás,
2. műszaki normatívák, szabványok, irányelvek és ajánlások,
3. tárca- vagy ágazati szintű rendelkezések, végrehajtási utasítások,
4. helyi szabályozások.

Az informatikai rendszerek biztonságával azok a jogszabályok kapcsolatosak, amelyek az informatikai rendszer kereteit határozzák meg. A jogszabályi szintű szabályozás csak keret rendszerű, mivel azok megalkotása során a sokrétű, eltérő jellegű és dinamikusan változó információs rendszereket nem is lehet a teljesség igényével figyelembe venni.

Az alábbiakban felsorolt jogszabályok példajellegűek, a teljesség igénye nélkül és elsősorban az államigazgatásban működtetett informatikai rendszerekre vonatkoznak. Ezek közül is mindig a feladat és a funkció, illetve a jogszabály hatásköri és illetékességi területének vizsgálata után lehet csak a vonatkozókat kiválasztani. [Az informatikai biztonsággal kapcsolatos jogszabályok jelentős része megtalálható a MeH ITB 8. sz. ajánlásának 5. sz. mellékleteként is kiadott "ADATVÉDELMI JOGSZABÁLYGYŰJTEMÉNY"-ben.]

A jogszabályokat az informatikai biztonság szemszögéből két csoportra bonthatjuk:

Az informatikai rendszert és annak környezetét funkcionálisan szabályozó jogszabályok közé tartozik:

• 1957. évi IV. törvény az államigazgatási eljárás általános szabályairól;
• 1992. évi XXIII. törvény a köztisztviselők jogállásáról;
• 68/1993. (V. 5.) Korm. rendelet a közszolgálati nyilvántartásról, a 16/1993. (XII. 14.) BM rendelet a közszolgálati nyilvántartás egyes kérdéseiről;
• 1993. évi XLVI. törvény a statisztikáról;
• 1995. évi LXVI. törvény a közokiratokról, a közlevéltárakról és a magánlevéltári anyag védelméről;
• 1992. évi LXVI. törvény a polgárok személyi adatainak és lakcímének nyilvántartásáról;
• 1106/1995. (XI. 9.) Korm. határozat a központi államigazgatás informatikai koordinációjának továbbfejlesztéséről;
• a szakterületet szabályozó jogszabályok (pl.: ügyészségi, rendőrségi, nemzetbiztonsági, honvédelmi, adó, egészségügyi törvények és más jogszabályok).

Az informatikai rendszer, illetve az abban kezelt adatok biztonságával kapcsolatos jogszabályok (az előző pontban felsoroltak is tartalmaznak erre vonatkozó részeket, különösen a szakterületet szabályozó jogszabályok):

• 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról;
• 1995. évi LXV. törvény az államtitokról és a szolgálati titokról
  a végrehajtásáról szóló kormányrendeletekkel (különösen: 79/1995. (VI. 30.) Korm. rendelet, 43/1994. (III. 29.) Korm. rendelet) és
  az ágazati titokköri szabályozással;
• 1990. évi LXXXVI. törvény a tisztességtelen piaci magatartás tilalmáról (üzleti titok).

A jogszabályok alkalmazásánál a külföldre vagy külföldről történő adattovábbítások esetén - a hazai jogszabályokon túl - az adott ország adat- és titokvédelmi jogszabályait, az Európa Tanács az egyénnek a személyes adatok automatikus kezelésével kapcsolatos védelméről szóló egyezményét (és az adott állam ehhez történt csatlakozását) is szükséges megismerni és a kellő mértékben alkalmazni.

A műszaki normatívák, szabványok, irányelvek és ajánlások különböző területeken keresztül szabályozzák magát az informatikai rendszert, annak környezetét, illetve ezeken keresztül az informatikai biztonságot, így megjelennek:

• az informatikai,
• az építésügyi és a beruházási,
• a tűzvédelemi,
• a biztonságtechnikai és
• az iratkezelési

szabványok, normatívák, rendeletek, rendelkezések, ajánlások és irányelvek. Ezek teljes körű meghatározása - mint arra már korábban utaltunk - csak a feladat és a funkció, illetve a hatásköri és illetékességi területek vizsgálata után lehetséges. Egyeseket közülük jogszabály erejénél fogva kötelező alkalmazni, míg más részüket az Informatikai Stratégiában, illetve a Biztonsági Koncepcióban meghatározott célok elérése érdekében jogszabályi kötelezettség hiányában is alkalmazni szükséges, az erre vonatkozó kötelezettséget, annak megfeleltetési szintjeit azonban az említett dokumentumok (mint helyi szabályozás) célszerűen meghatározzák.

A műszaki normatívák, szabványok, irányelvek és ajánlások:

• MSZ ISO 7498 - Információfeldolgozó rendszerek. Nyílt rendszerek összekapcsolása,
• ISO/IEC 10164 - Information Technology. Open Systems Interconnection,
• 2/1986 (II. 27.) ÉVM rendelet az Országos Építési Szabályzat Kiadásáról,
• MSZ 595 Építmények tűzvédelme,
• MSZ EN 3 Hordozható tűzoltókészülékek,
• MSZ 9785 Tűzjelző berendezések,
• MSZ 9771 Tűzcsapok és tartozékaik,
• MSZ 15631 Tűzvédelmi jelzőtáblák,
• MSZ 17066-85 Biztonsági szín és alakjelek,
• MI-02-102-79 Számítóközpontok tűzvédelme (műszaki irányelvek),
• MSZ 274 Villámvédelem.
• EIA/TIA-568 Kereskedelmi és Épületkábelezési Szabvány,
• Information Technology Security Evaluation Criteria (ITSEC) v.1.2 - EC DG XIII. 1991. május,
• Information Security INFOSEC'92 Security Investigations - EC DG XIII., 1992.,
• Trusted Computer System Evaluation Criteria (TCSEC, Orange Book of the Security of IS) - US Department of Defense, 1983.,
• Trusted Network Interpretation Environments Guideline - National Computer Security Center, USA, 1990 augusztus.,
• X/Open Open System Directive, X/Open Specifications, X/Open Guides - X/Open Company Ltd., 1993 március.,
• Guide. Defining and Buying Secure Open Systems. X/Open Company Ltd., 1992 szeptember.,
• az Informatikai Tárcaközi Bizottság ajánlásai - Miniszterelnöki Hivatal Informatikai Koordinációs Iroda.

Az informatikai ajánlások közül az ITB ajánlásainak a közigazgatásban a minél magasabb szintű megfeleltetéssel kell eleget tenni. Az egyéb informatikai szabványokat és ajánlásokat a rendszer biztonsági osztályának megfelelően érdemes alkalmazni azzal, hogy minél magasabb biztonsági osztályba sorolt a rendszer, vagy annak egyes részei, annál inkább célszerű az ajánlások betartása.

Az építésügyi, tűzvédelmi és biztonságtechnikai szabványoknak, normatíváknak való megfelelést akkor is célszerű szem előtt tartani, ha ma már ezeknek az alkalmazása nem minden esetben kötelező.

A tárca- vagy ágazati szintű rendelkezések, végrehajtási utasítások

Ezen a szabályozási szinten - az informatikai biztonság szempontjából - elsősorban az informatikai, információ-feldolgozási feladatok kiosztása, az adattovábbítások rendjének megállapítása történik meg. A tárca szintű szabályozás az esetek jelentős részében már részletező jellegű, akár egyes konkrét intézkedésekre is kiterjedhet a rendszer biztonságával kapcsolatban.

A helyi szabályozások

A helyi szabályozás szintjén jelennek meg az informatikai biztonsággal (is) összefüggő konkrét intézkedések előírások, szabályzatok, intézkedési tervek formájában:

• A Szervezeti és Működési Szabályzat (SzMSz)
• Az Ügykezelési (Iratkezelési) és/vagy a Titkos Ügykezelési Szabályzat,
• A vagyonvédelmi, rendészeti, biztonságtechnikai előírások,
• A Tűzvédelmi Szabályzat,
• A Munkavédelmi Szabályzat,
• A Munkaköri Leírások.

Az Informatikai Biztonsági Szabályzatban érintett azon intézkedéseket, amelyek egyes beosztásokat, munkaköröket érintenek, a Szervezeti és Működési Szabályzatba kell beépíteni és az egyes konkrét személyekre vonatkozó feladat- és hatáskör is ott kell, hogy meghatározásra kerüljön. Az Informatikai Biztonsági Szabályzat, illetve az SzMSz szerinti feladatok, felelősségek és jogok a munkaköri leírásokban kerüljenek részletesen kifejtésre.

Az egyes szabályzatok, előírások ne tartalmazzák egymás kölcsönös intézkedéseit, hanem elegendő az egyik helyen részletesen, intézkedések formájában megjelenő kérdéskört a másik helyen rövidebben, utalások szintjén kifejteni (de ez azért ne csapjon át "... és a munkavédelmi szabályzat előírásait is be kell tartani ..." jellegű előírásba!).

8.1.5. Feladat-, felelősségi és kompetencia körök az informatikai biztonság területén

A Szervezeti és Működési Szabályzatok elkészítésekor az egyik követelmény, hogy a szervezeten belül a feladatkörök, a felelősség és kompetencia - összhangjukat megtartva - az egyes szervezeti egységek, illetve személyek között jól elkülönüljön, biztosítva ezzel a szervezet céljainak hatékony elérését, a felesleges "keresztbeszervezések" csökkentését és nem utolsó sorban a felelősségre vonhatóságot. Ezt az informatikai biztonság területén is érvényesíteni kell. Ennek igénye már az 5. és 6. pontban is megjelent az egyes biztonsági osztályok követelményei között. Ebben a pontban azonban a követelményeket másként csoportosítjuk és az SzMSz, illetve az IBSz elkészítéséhez szükséges intézkedésekre teszünk ajánlást.

Az informatikai rendszer biztonsága kapcsán jelentkező feladatok alapján a következő ábrán látható fontosabb szerepkörök különíthetők el a szervezeten belül.

Természetesen az egyes szerepkörök között lehetnek személy azonosságok, de vannak esetek, amikor ez nem megengedhető. A következő átfedések lehetnek:

• az első számú vezető kisebb szervezeteknél vagy ahol a biztonság különösen kiemelt, betöltheti a szervezet biztonságáért felelős vezető szerepkörét,
• ha a szervezet állam- vagy szolgálati titkot tartalmazó adatokat kezel és a szervezet vezetője nem nevez ki titokvédelmi felelőst, akkor ezt a szerepkört is ő tölti be - ha a szervezet nem kezel állam- vagy szolgálati titkot, akkor a titokvédelmi felelős szerepkörére nincs szükség,
• ha a szervezetnél a személyes adatok kezelése kapcsán jogszabály előírja az adatvédelmi felelős kinevezését, ezt a szerepkört a titokvédelmi felelős vagy az informatikai biztonsági felügyelő is betöltheti,
• a titokvédelmi felelős egyszemélyben lehet informatikai biztonsági felügyelő is,
• az informatika alkalmazásáért, az informatikai rendszerért felelős vezető lehet a rendszeradminisztrátor is,
• a rendszeradminisztrátor egyben a rendszer üzemeltetője is lehet,
• a rendszergazda feladatát a rendszeradminisztrátor, vagy kijelölt felhasználó is elláthatja,

Ezeknél az átfedéseknél sokkal fontosabb, hogy az összeférhetetlen a szerepköröket elkülönítsük és ennek az elválasztásnak a rögzítéséről a Szervezeti és Működési Szabályzatban gondoskodjunk, illetve a kinevezéseknél és megbízásoknál szem előtt tartsuk. Összeférhetetlen a titokvédelmi felelős, az adatvédelmi felelős és az informatikai biztonsági felügyelő szerepköre az informatika alkalmazásáért, az informatikai rendszerért felelős vezető funkciójával, sőt az informatika alkalmazásáért, az informatikai rendszerért felelős vezető alárendeltségében, tőle függő viszonyban sem lehetnek.

Az informatikai rendszert kezelő, fejlesztő, üzemeltető szerepeket a felhasználói funkcióktól a szervezeten belül el kell határolni. A fontosabb alkalmazásokhoz rendszergazdákat kell kinevezni, akiknek feladatkörébe az adatok naprakész és hiteles voltának (adatminőség) biztosításán túl a hozzáférések jogosultágának érvényesítése is beletartozik. Az intézmény informatikai szervezeti egysége vezetőjének, valamint a nagyobb és fontos alkalmazási területek vezetőinek egymással egyeztetve ki kell jelölniük a fontos alkalmazások rendszergazdáit, feladataikat és felelősségüket meg kell határozniuk. Így az érintett rendszergazda írásos hozzájárulása nélkül hozzáférési jogosultság nem adható ki és nem változtatható meg (kivéve a kötelező letiltást). A fejlesztői környezetet el kell választani az alkalmazói környezettől, szét kell választani a fejlesztői, működtetői és adminisztrációs hozzáférési jogköröket.