4.3. Az IBSZ szerkezete, tartalma
Az IBSZ tartalmára csak tematikai és módszertani
jellegû ajánlásokat tehetünk. Az adott
intézménynél egy megfelelô, jó Informatikai
Biztonsági Szabályzatot csak a tények és a
körülmények ismeretében lehet készíteni,
megfelelô szakmai közremûködéssel. Az
alábbiakban ilyen típusú metodikai szempontokat
fogalmazunk meg, figyelembe véve az elôzô fejezetekben
megismert informatikai biztonsági fogalmakat.
a) Az IBSZ minôsítése
Az IBSZ minôsítését, annak tartalma
alapján, a szervezet vezetôje határozza meg.
b) Az IBSZ hatálya
Az adatvédelmi rendelkezések hatályán
túl a szervezeten belüli konkrét helyekre és
konkrét eszközökre vonatkozik, amelyek gyakorlatilag
megegyeznek a rendszerelemekkel.
Ehhez meg kell vizsgálni, fel kell térképezni a szervezet
informatikai rendszereinek elemeit.
c) Az IBSZ biztonsági fokozata
Itt egyértelmûen rögzíteni
célszerû, hogy az adott szervezet informatikai rendszerén
kezelni kíván-e minôsített adatokat,
információkat. Ez határozza meg a három
biztonsági fokozatot egyikét. A biztonsági fokozatok
közül az alábbiak szerint célszerû
választani:
- alapbiztonság - általános informatikai
feldolgozás,
- fokozott biztonság - szolgálati titok informatikai
feldolgozása,
- kiemelt biztonság - államtitok informatikai
feldolgozása.
d) Rendelkezés a kapcsolódó
szabályozásokról
Itt kell feltüntetni tételesen a 4.1 alfejezetben felsorolt
szabályozások körét. Ha valamelyik
elôírás az adatvédelem szempontjából
módosításra, finomításra szorulna, e helyen
kell rendelkezni azok átvezetésérôl.
e) A mûszaki-technikai, szakmai védelmi
intézkedések
Ezen a helyen kell a rendszerelemek védelmére
kialakított konkrét mûszaki védelmi
megoldásokat felsorolni.
Infrastruktúrához kapcsolódó védelmi
intézkedések:
- számítógépet tartalmazó
helyiségekbe való belépés rendje,
- központi géptermek védelmi
elôírásai,
- áramellátás szolgáltatási rendje,
- telefon kapcsolódás feltételei,
- tároló-helyiségekre vonatkozó
elôírások stb.
Hardverekhez kapcsolódó védelmi
intézkedések:
- kezelési elôírások,
- szállítási rend,
- felhasználói terminálokra vonatkozó
elôírások,
- központi gépekre vonatkozó
elôírások,
- speciális biztonsági eszközök alkalmazása stb.
Adathordozókhoz kapcsolódó védelmi
intézkedések:
- floppyk, mágnesszalagok használatának rendje,
- biztonsági másolatok
készítésének és
tárolásának rendje,
- munkamásolatok készítési és
tárolási rendje,
- adathordozók raktározási, hozzájutási,
selejtezési rendje,
- adathordozók nyilvántartási rendje,
- titkosítási célra felhasználható
adathordozók használata,
- archiválási rend stb.
Dokumentumokhoz kapcsolódó védelmi
intézkedések:
- rendszerleírások kezelési, tárolási
rendje,
- rendszerprogram dokumentációk kezelési,
tárolási rendje,
- felhasználói dokumentációk kezelési,
tárolási rendje,
- számítógéppel készített iratok
nyilvántartási rendje,
- automatizált ügyirat kezelés rendje,
- szerzôdésben megjelenô adatvédelmi
intézkedések,
- fenti iratok selejtezési rendje stb.
Szoftverekhez kapcsolódó védelmi
intézkedések:
- rendszerprogramok bevezetésének,
használatának rendje,
- alkalmazói programok bevezetésének rendje,
- vírusellenôrzési mechanizmus
elôírása,
- vírusészleléssel kapcsolatos viselkedési
elôírások,
- programtervezési elôírások,
- biztonságot támogató programok
használatának rendje,
- egyéb célú programok használatának rendje
stb.
Adatokhoz kapcsolódó védelmi
intézkedések:
- saját dolgozókról vezetett
nyilvántartási elôírások,
- egyéb személyekrôl vezetett
nyilvántartási elôírások,
- adatbeviteli elôírások,
- adat-feldolgozási elôírások,
- adatszolgáltatási elôírások,
- adat kiadmányozási elôírások,
- állandó és ideiglenes adattárolási
elôírások,
- adattitkosítási, rejtjelezési
elôírások stb.
Kommunikációhoz kapcsolódó védelmi
intézkedések:
- adattovábbítási elôírások,
- adatfogadási elôírások,
- minôsített adatok továbbításának
rendje,
- kommunikáció ellenôrzési
elôírások,
- "adatzsilipelési" elôírások stb.
Személyekhez kapcsolódó védelmi
intézkedések:
- az üzemeltetô személyzet feladatai,
kötelességei,
- a rendszergazda feladatai, kötelességei,
- az adatvédelmi megbízott(ak) feladatai,
kötelességei,
- a karbantartó személyzet viselkedési szabályai,
- az ôrzô személyzet kötelességei,
- a segédszemélyzet feladatai stb.
f) Eljárási szabályok
E címszó alatt kell meghatározni mindazokat a
külön eljárásokat, amelyek az egyes
kérdésköröknél tematikusan nem merültek
fel. Ilyenek például:
- a riasztó berendezések
rendszerbeállításának engedélyezése,
- a rejtjelezéssel kapcsolatos engedélyezési
eljárások,
- a nemzetközi adatátvitel eljárási
szabályai,
- mágneses adathordozón lévô és
vizuálisan nem értelmezhetô adatok belföldre, illetve
külföldre vitelének ellenôrzési szempontjai,
- a hazai és nemzetközi kapcsolatok
létesítésével kapcsolatos külön
elôírások,
- jogi oltalom alá esô szellemi termékek
felhasználásával, forgalmazásával
kapcsolatos védelmi szempontok stb.
g) Értelmezések
Célszerû a legfontosabb fogalmakat megmagyarázni,
úgymint:
- adat,
- adatbiztonság,
- adatfeldolgozás,
- adatvédelem,
- bizalmasság,
- gyenge pontok,
- informatika,
- informatikai rendszer,
- információs rendszer,
- rendelkezésre állás,
- rendszerelemek,
- sértetlenség,
- számítástechnika,
- veszély,
- veszélyforrás,
- veszélyeztetettség.
h) Mellékletek
Célszerû és ajánlott, hogy az
intézmények az IBSZ-re vonatkozó, tehát az
adatvédelmi szabályozás rendszerébe tartozó
jogszabályokat az IBSZ mellékleteként tételesen
sorolják fel. Megfontolandó, hogy a kezelhetôség
és a közérthetôség kedvéért ez ne
egyszerûen egy forráshely-kijelölés legyen hanem
gyûjteményes dokumentum, ahol legalább a legfontosabb
rendelkezések szó szerinti vagy kivonatos szövege is
megtalálható. Ez nagy mértékben segíti az
ismeretek alaposabb elsajátítását.