BEVEZETÉS

BEVEZETÉS

Az államigazgatásban valamint a közigazgatásban az állampolgárok adatainak egyéni és társadalmi érdekeket szolgáló feldolgozásai, az állampolgárok adatainak jogszerû felhasználása, az állam- és közigazgatási feladatok közmegelégedésre számontartó elvégzése növekvô mértékben függ az informatikai és információs rendszerek zavartalan mûködésétôl. Ezért az informatikai és az információs rendszerek biztonságának megteremtése ezeken a területeken különösen fontos. Ez vonatkozik az általános ügykezelésre, az iratkezelés eljárásaira, ezen belül az informatikai rendszerekben megjelenô adatok és információk védelmére, valamint biztonságára egyaránt. Az információk és adatok elôállításának, illetve felhasználásának jogszerûségét adatvédelmi, illetve adatkezeléssel kapcsolatos törvények, rendeletek, utasítások szabályozzák.

A szabályozások keretében biztosítani kell az információk, illetve adatok

rendelkezésre állását, elérhetôségét az arra jogosultak számára,
sértetlenségét (sérthetetlenségét, valódiságát),
az információk, illetve adatok jellegétôl függô bizalmas kezelést,
az információk, illetve adatok hitelességét, valamint
a teljes informatikai, illetve információs rendszer mûködôképességét.

Ez az öt alapkövetelmény határozza meg az informatikai rendszerben az adatok és információk biztonságos kezelésének alapjait.

Az említett alapkövetelmények olyan intézkedésekre van szükség, amelyek az információk és adatok rendelkezésre állását, sértetlenségét, bizalmasságát, hitelességét és a rendszer mûködôképességét a lehetô legkisebb kockázattal és egyenszilárdsággal biztosítják. Ezek az intézkedések kiterjednek:

az informatikai rendszer tervezésére,
az informatikai rendszer bevezetésének felügyeletére,
az informatikai rendszer rendeltetésszerû használatára, a rendszer üzembiztonságára, továbbá
önmaguknak a biztonsági intézkedéseknek a bevezetésére és betartásuk ellenôrzésére.

Az Informatikai Tárcaközi Bizottság, felismerve az állam- és a közigazgatás szervezeteiben bevezetett informatikai rendszerek biztonságtechnikai hiányosságait, programot dolgozott ki a meglévô rendszerek biztonságának fokozatos javítására, a jövôben létesítendô rendszerekbe megfelelô biztonsági elemek beépítésére, és - az Európai Közösséghez való csatlakozási szándékunknak megfelelôen - az európai informatikai biztonsági ajánlások átvételére, honosítására, illetve adaptálására.

A program célja:

folyamatosan felhívni a figyelmet az informatikai rendszer felelôsei és felhasználói körében a rendszer tervezése, bevezetése, üzemeltetése és alkalmazása során felmerülô veszélyekre;
tudatosan kialakítani a veszélyekkel szembeni védekezés formáját és tartalmát;
az informatikai stratégiai tervezés lépéseivel összhangban fokozatosan elsajátítani és bevezetni az informatikai biztonsági koncepció készítésének módszertanát, ;
az átmeneti idôszakban is a lehetô legnagyobb mértékben biztosítani az informatikával kapcsolatos adatvédelmi törvények és rendeletek betartását.

A program lépései:

megismertetni az állam- és közigazgatásban dolgozókat az informatikai rendszerek használatával kapcsolatos veszélyforrásokkal veszélyekkel,

a jelenlegi intézményi keretek között javaslatot tenni a legfontosabb intézkedési lépésekre, ezek révén megteremteni az átmeneti idôszak alatti ideiglenes informatikai biztonságot,

lefektetni az informatikai biztonsági koncepció készítésének alapjait, fokozatosan bevezetni a tudatos kockázatelemzés módszereit, kidolgozni az államigazgatásban a mûködôképesség és a sértetlenség védelmének, mint a legfontosabb védelmi intézkedésnek a rendszertechnikai alapjait,

kialakítani azt az intézményes hátteret, amely segítséget nyújt és tanácsot ad az állam- és közigazgatás szervezetei számára az informatikai rendszerek biztonságos tervezésével, bevezetésével, üzemeltetésével összefüggô kérdésekben.

A különbözô formában megjelenô információknak egyre a nagyobb a jelentôségûk az egyes polgár számára csakúgy, mint a gazdaságban, a tudományban és az igazgatásban. A gazdaság csaknem kétharmadának teljesítménye és növekedése olyan termelési és szolgáltatási elemekre épül, amelyek erôteljesen függnek az információtechnológiától és ezáltal alapvetôen rá vannak utalva az információs rendszerek zavartalan mûködésére.

Az informatikai rendszerek egyre növekvô mértékû alkalmazása és a világméretû hálózatok elérhetôsége révén azonban emelkedik a helytelenül, a hibásan, illetve a jogsértô módon bevezetett és mûködtetett, mindezek következtében fokozottan veszélyeztetett informatika- alkalmazások száma. Vizsgálatok igazolják, hogy az érintett vállalkozások mintegy negyven százaléka legfeljebb két évvel, de például a biztosítók és a termelô vállalatok csak néhány nappal élték túl adatállományuk teljes megsemmisülését, elvesztését. A számítógépes bûnözésrôl, vírusprogramokról, trójai falovakról vagy logikai bombákról szóló híradások - mindezek a számítógépek és számítógépes rendszerek fenyegetett világában használt fogalmak - élesen rávilágítanak a növekvô kockázatokra.

A jelen Informatikai Biztonsági Módszertani Kézikönyv (IBMK) feltárja az informatikai rendszereket fenyegetô vagy azokban fellépô potenciális veszélyforrásokat. Emellett segítséget nyújt az államigazgatási, a közigazgatási és a gazdálkodó szervezetek számára információs és informatikai rendszerükhöz kapcsolódó rendszer- és felhasználásközpontú kockázatelemzésekhez és az ezeken alapuló biztonsági koncepciók kialakításához. A kézikönyv szervesen épül a kormányzatban elfogadott "nyílt rendszer" elv alkalmazására és ebben a tárgyban az Informatikai Tárcaközi Bizottság által már elfogadott és kibocsátott ajánlás-sorozat köteteire.

Az IBMK hasznos adalékokat, rendszerezett módszertani elemeket igyekszik szolgáltatni a számítógépes információs rendszerek fejlesztôi, üzemeltetôi részére. Nem szabad megfeledkezni azonban arról, hogy ezeknek a módszertani elemeknek az alkalmazása, a célszerû módszertani "kompozíciók" kialakítása minden esetben csak a helyi sajátosságok megértésén és figyelembevételén alapulhat. Minden konkrét esetben fel kell tárni a biztonsági problémák alaptermészetét, meg kell alkotni az adott rendszerelem, szervezet biztonsági rendszerét. E téren a korszerû rendszerszemlélet kell, hogy vezéreljen, mely szerint a rendszert nem kész elemekbôl álló halmazként kell tekinteni, hanem mint egész rendszerelemet, amely elvileg különbözô tagozódásokat tesz lehetôvé de általában véve nem azonos ezeknek a tagozódásoknak az egyszerû összegével.

A rendszer megalkotásához szükség van általános feltételezésekre, úgynevezett alapelvekre, amelyekbôl következtetéseket lehet levonni a rendszer alapfunkcióit és a funkciók realizálását szolgáló struktúra jellemzôit illetôen. A tevékenység, amely az Európai Unió és egy adott nemzet jogrendszerébe illeszkedô adatvédelemmel és adatbiztonsággal kapcsolatos irányelvekre támaszkodhat, két részre oszlik. Elôször meg kell határozni az alapelveket, másodszor pedig le kell vezetni a belôlük adódó következtetéseket. A jelen módszertani kézikönyv a második feladat elvégzéséhez szolgál megfelelô alapul. Ha tehát egy területen, illetve az összefüggések egy komplexumára sikerül az elsô feladatot megoldanunk, kellô szorgalom és értelem esetén a siker nem marad el. De az elsô feladat, vagyis azoknak az alapelveknek a megkeresése, amelyek a deduktív rendszerépítés alapjául szolgálhatnak, egészen más dolog. Itt nincs megtanulható, rendszeres módszer, amely a célhoz vezetne. Azt mondhatjuk, hogy itt csak a tapasztalatba való beleérzésen alapuló intuíció visz sikerre. Az intuíció - ebben az esetben is - csak a rendkívül komoly, megalapozott elméleti felkészültségbôl táplálkozhat.

Az IBMK célja annak elérése, hogy alkalmazója a kézikönyv segítségével képes legyen:

a vizsgálatok tárgyát ésszerûen megválasztani és a saját informatika-alkalmazásai esetére a biztonsági követelményeket meghatározni (a védelmi igény megállapítása),
valamennyi lehetséges fenyegetô tényezô közül kiválasztani azokat a - meglévô vagy tervezett - informatikai rendszerre vonatkozó speciális veszélyeztetettségi elemeket, amelyek meghatározók, relevánsak (fenyegetettség-elemzés),
a feltárt fenyegetô tényezôk kihatásait értékelni, ezáltal az adott kockázatokat felfedezni (kockázatelemzés) és
mindezekkel megteremteni egy biztonsági koncepció összeállításának elôfeltételeit.

Az informatika alkalmazójának felelôssége, hogy a mindenkori biztonsági elôírásoknak és követelményeknek - adott esetben okmánnyal bizonyítottan is - megfelelô információtechnológiai termékeket is csak saját megelôzô védelmi intézkedéseinek megtételét követôen vegye használatba. Ezen túlmenôen az elôírások és törvények alkotóinak a dolga, hogy a jövôben a különösen érzékeny alkalmazói területekre vonatkozó megelôzô intézkedéseket kötelezôen elôírjanak.