4. ÚTMUTATÓ AZ INFORMATIKAI BIZTONSÁGI SZABÁLYZAT (IBSZ) ELKÉSZÍTÉSÉHEZ

4. ÚTMUTATÓ AZ INFORMATIKAI BIZTONSÁGI SZABÁLYZAT (IBSZ) ELKÉSZÍTÉSÉHEZ

Az Informatikai Biztonsági Szabályzat egy olyan belsô szervezeti intézkedés, amely a szervezeten belül mûködtetett informatikai rendszerekre vonatkozóan szabályozza az informatikai rendszerrel kapcsolatos biztonsági intézkedéseket, szervesen illeszkedve a szervezet egyéb mûködési és ügyrendi elôírásaihoz. A korábbi szervezeti rendben ez a Számítástechnika Védelmi Szabályzat címû elôírásként szerepelt, amely a mai jogi viszonyok között megnevezésében és tartalmában egyaránt elévült. A számítástechnika megjelölés azért nem megfelelô, mert nem választja el az informatikai rendszereket a számítástechnikai eszközökkel támogatott automata rendszerektôl, és egyéb vezérlô, irányító rendszerektôl.

Az adatvédelem oldaláról megközelítve viszont jelen esetben csak az adatokkal, mint informatikai elemekkel foglalkozó rendszerek biztonságát kell megteremteni, amelyek természetüknél fogva számítástechnikai eszközök felhasználását is igénylik. A számítástechnika védelménél többrôl van szó, mert a számítástechnikai eszközök az informatikai rendszer részei és azokhoz hozzátartozik az elôzô fejezetekben megismert környezeti infrastruktúra, a hardver, az adathordozók, a dokumentumok, a szoftverek, az adatok, a kommunikáció és a személyek elemcsoport valamennyi eleme.

Az Informatikai Biztonsági Szabályzatban olyan intézkedéseket kell tenni, amelyek ezen rendszerelemekre korlátozódnak és az elôírások lehetôvé teszik az informatikai rendszerre irányuló veszélyek, fenyegetô tényezôk hatásainak elviselhetô mértékûre való csökkentését.

4.1. Az IBSZ helye és szerepe a szervezet szabályzati rendszerében

Az informatika-védelem jelenlegi szabályozása négy szinten valósul meg:

1. szint: adatvédelmi törvények,

2. szint: mûszaki normatívák, szabványok, irányelvek, rendeletek,

3. szint: ágazati, tárcaszintû végrehajtási utasítások,

4. szint: helyi szabályzatok.

Az elsô szinten lévô adatvédelmi törvények az adatvédelmi rendszer kereteit határozzák meg, ugyanis egy általános védelmi rendszer teljes köre egy adott pillanatban nem határozható meg, az dinamikusan változik és az információrendszer jellegétôl függôen más és más szabályhalmazt jelent. Természetes, hogy nem azonos a biztonsági igénye egy ügyviteli adatfeldolgozó rendszernek és egy technológiai folyamatot értékelô programnak. Így az informatikai rendszer bármilyen szintû kialakítása során egyedileg kell megvizsgálni és megszervezni a védelmi környezetet, a terület sajátosságaihoz alkalmazkodva.

A második szinthez tartozó mûszaki normatívák, szabványok, irányelvek, rendeletek védelmi körbe soroljuk:

az építésügyi szabványok, rendeletek, normatívák gyûjteményét,
a tûzvédelemre vonatkozó jogszabályokat, mûszaki irányelveket,
a beruházásokra vonatkozó jogszabályokat,
nemzeti és nemzetközi szabványokat, ajánlásokat,
általános és speciális iratkezelésre vonatkozó irányelveket (levéltár),
specifikus titokvédelmi szabályozásokat, rendeleteket,
stb.

A harmadik szinten, az ágazati, tárcaszintû végrehajtási utasításokban kerül meghatározásra:

az államtitok köre,
a szolgálati (hivatali) titok köre,
az információ-feldolgozási feladatok kiosztása,
stb.

A negyedik szinten jelennek meg a védelmi rendszer konkrét intézkedési elemei. A szervezet belsô rendjét elôíró szabályozásoknak az alábbi területeken kell teljesen összhangban lenniük a kialakítandó Informatikai Biztonsági Szabályzattal:

Az irányítás területérôl:

a szervezeti rend (Szervezeti és Mûködési Szabályzat),
a szervezeti ügymenet rendje (Ügyrend),
a munkavállalás rendje
a titkos ügykezelés rendje (TÜK),
a külföldi kapcsolati rendszer szabályai,
a tömegkommunikációs kapcsolatokra vonatkozó elôírások stb.

A technikai területrôl:

az ügyiratkezelés rendszere (Iratkezelési Szabályzat),
a hírközlési eszközök használata,
selejtezési, megsemmisítési eljárások,
a sokszorosítás, kiadványozás elôírásai,
biztonságtechnikai házirend, rendészeti elôírások,
tárolási, szállítási elôírások stb.

Speciális területekrôl:

tûzvédelmi szabályzat,
munkavédelmi szabályzat,
rendkívüli események intézkedési programjai
stb.

A Szervezeti és Mûködési Szabályzatban megfogalmazásra kerül a szervezet felépítése és a szervezeten belüli egységek általános feladatkörei, mûködésük feltételei, keretei. A Ügyrendben szerepel a beosztások és alkalmazottak feladat- és hatásköreinek meghatározása.

Éppen ezért javasoljuk, hogy mindazon intézkedések, amelyek az Informatikai Biztonsági Szabályzatban beosztásokat érintenek, például rendszergazda, informatikai részrendszer-felelôs (munkacsoport felügyelô), adatvédelmi megbízott, adatbázis adminisztrátor stb., épüljenek be a szervezeti ügyrendbe és ott kerüljön meghatározásra az érintett személyekre vonatkozó konkrét feladat és hatáskör.

A köztisztviselôk jogállásáról szóló törvény rendelkezik az állam- és közigazgatásban dolgozók jogairól és kötelességeirôl. Ennek értelmében a köztisztviselô tudásához és képességéhez mérten köteles védeni a szervezet érdekeit, értékeit és javait. Mindezekhez értelemszerûen hozzátartozik, a szervezet informatikai rendszere is. Az IBSZ adjon egy általános keretet a szervezetben dolgozó valamennyi köztisztviselô részére, amely rögzíti az informatikai rendszer elemeire vonatkozó védelmi intézkedéseket és a betartandó etikai, magatartás normákat.

Az Informatikai Biztonsági Szabályzatnak természetesen teljes mértékben összhangban kell lenni az adatvédelmi törvényekkel. Ezen törvények, nevezetesen a személyi adatok védelmérôl és a közérdekû adatok nyilvánosságáról szóló 1992.évi LXIII. törvény, a polgárok személyi adatainak és lakcímének nyilvántartásáról szóló 1992. évi LXVI. törvény és az állami- és szolgálati titokról szóló 1987. évi 5. sz. törvényerejû rendelet érvényesüléséhez önmagában is erre alkalmas megbízottat tanácsos kijelölni a szervezeten belül. Célszerûnek látszik, hogy az Informatikai Biztonsági Szabályzat szervezeten belüli érvényre juttatására felhatalmazott személy kapja meg a törvényekkel kapcsolatos feladatokat is.