3. Az intézményi-szervezeti védelmi-biztonsági alapfunkciók

3. Az intézményi-szervezeti védelmi-biztonsági alapfunkciók

A kormányzati szervezeti rendszer alaptevékenysége az információfeldolgozás. Ennek megfelelôen a védelmi erôfeszítéseket, az igénybe vehetô erôforrásokat elsôsorban az információfeldolgozási folyamatok, az információfeldolgozást támogató rendszerek, valamint a kommunikációs kapcsolatok, csatornák védelmére kell összpontosítani. Az ezzel kapcsolatos feladatok megoldásához szükséges ráfordítások jelentôs mértékben mérsékelhetôk az intézményi-szervezeti biztonságvédelem két másik alapvetô területének, az objektumvédelemnek és a személyi-strukturális biztonság védelmének célszerû, összhangban történô erôsítésével.

A kormányzati szervezeti rendszer önálló egységeinek biztonsága az alábbi három alapvetô funkció komplex realizálása révén szavatolható:

informatikai védelmi funkció,
objektumvédelmi funkció,
személyi-strukturális védelmi funkció.

Az IBMK alapvetôen az informatikai védelmi funkcióra koncentrál. Természetesen a függôségi viszonyai miatt az objektumvédelmi, (az IBMK terminológiája szerint a környezeti infrastruktúra védelme) és a személyi-strukturális védelmi funkciók valamilyen része elemzésre került, de nem fedte le a szervezet teljes egészét.

Az informatikai védelmi funkció

Az informatikai védelmi funkció realizálása magában foglalja az adatvédelmi és a kommunikáció-védelmi mechanizmusok és eljárások alkalmazását, a megfelelô elemzô-értékelô kapacitások mûködtetését, elsôsorban az információ hitelességének biztosítása érdekében célirányos, hatékony tájékoztató rendszer üzemeltetését, valamint a hozzáférést ellenôrzô és biztosító (információszerzô, monitoring) rendszerek alkalmazását.

Az objektumvédelmi funkció

Az objektumvédelmi funkció realizálása magában foglalja az intézmény szervezeti egységeinek elhelyezését szolgáló épületekbe, helyiségekbe, a hozzájuk kapcsolódó szabad területekre való belépés ellenôrzését, az illetéktelen behatolás megakadályozását, a területen, az épületekben, helyiségekben való mozgás megfigyelését, ellenôrzését, a mûszaki létesítmények, berendezések, al- és felépítmények állapotában bekövetkezô változások megfigyelését, ellenôrzését, valamint a megfigyelések, ellenôrzések eredményeinek elemzése-értékelése alapján történô visszacsatolást (beavatkozást, korrekciót és a beavatkozás, korrekció érdekében igénybe veendô erôforrások folyamatos biztosítását.

A személyi-strukturális védelmi funkció

A személyi-strukturális védelmi funkció realizálása magában foglalja az intézmény szervezeti keretei közt dolgozó közalkalmazotti állomány kiválasztását, biztonsági felkészítését és ellenôrzését, az információs monopóliumokhoz kapcsolódó személyi körök határain átvezetô formális kapcsolatok ellenôrzését az intézményi-szervezeti keretek közt és azon túl, valamint a formális és informális szervezeti struktúrák biztonsági megfontolásokból történô célszerû kialakítását, fejlesztését, befolyásolását.

A személyi-strukturális védelem magában foglalja a szervezeti struktúra biztonsági szempontokat figyelembe vevô, célszerû kialakítását, illetve folyamatos továbbfejlesztését, ideiglenes szervezeti elemek létrehozatala szabályozott lehetôségét.

A védelmi-biztonsági funkciók egymás közti viszonyát, valamint az alapvetô biztonsági rendszerelemek mûködtetése révén megvalósuló védelmi folyamatokat a 2. számú ábra szemlélteti.

2.ábra

A szervezeti intézményi védelmi-biztonsági funkciók viszonya és a realizálásukat szolgáló biztonsági rendszerek

Amint azt az ábra is érzékelteti, a különbözô alaptermészetû funkciók realizálását szolgáló, különbözô természetû biztonsági rendszermodulok közös alapstruktúrára szervezôdnek. Az ezzel kapcsolatos felosztás megfeleltethetô az IBMK 2. fejezetében közölt 2. sz. ábra szerinti informatikai rendszerelem-csoportok függôségi viszonyainak. Mindegyik modul tartalmaz monitoring, elemzô-értékelô és intézkedési alrendszereket, ugyanakkor ezen alrendszerek mûködtetése, kölcsönhatása minden esetben lényegében ugyanazon séma szerint, azaz meghatározott erôforrások konkrét infrastruktúra bázisán történô, meghatározott szabályok szerinti igénybevételével megy végbe. Lényegét tekintve a legkülönbözôbb szervezeti biztonsági rendszerek ezen elemi konstrukciók megfelelôen parametrizált változataiból építhetôk fel. A konkrét biztonsági rendszerelem paraméter-értékeinek (végsô soron tulajdonságainak) meghatározásához a biztonsági helyzetfelmérés eredményeit feldolgozó kockázatelemzés szolgál alapot.

A központi kormányzati szférában azonban a kockázatelemzô sajátos nehézséggel találja magát szemben. A kockázatelemzés módszerei a károk mértékének és gyakoriságának, ennek alapján pedig a kockázat pénzértékben kifejezett értékeinek meghatározása nyomán állapítja meg a védelmi intézkedések szükséges körét, azok igazolható költségét és a maradványkockázat elfogadható mértékét. Politikai, nemzetgazdasági vonatkozású értékek esetén sem a számszerûsítés, sem az elfogadható maradványkockázat megállapítása nem problémamentes, sôt általában meg sem valósítható.

Mivel azok a megfontolások és eredmények, amelyek a kockázatelemzéshez kapcsolódnak, a védelmi-biztonsági rendszer kialakításának folyamatában nem nélkülözhetôk, a sajátos feltételekhez illeszkedô módszer alkalmazására van szükség.

A módszer egyik alapvetô eleme, hogy a kockázat meghatározása úgynevezett kockázati mátrix létrehozása útján történik. Ennek érdekében olyan értékskála kerül meghatározásra, amely az adott szervezet sajátos céljainak megfelelôen, szükség szerint akár folyamatcsoportonként eltérô módon, kategorizálja a fenyegetések érvényre jutásának valószínûségét és a fellépô károk mértékét. A mátrix alapú megközelítés ugyanakkor nem mossa egybe az egyes kárérték-gyakoriság párokat, pl. egy nagyértékû, kis valószínûséggel bekövetkezô és egy kisértékû, nagy valószínûséggel bekövetkezô kár esetét. Ez lehetôséget teremt az egyes kockázatok megkülönböztetett módon történô, az intézményi-szervezeti sajátosságokhoz illeszkedô kezelésére.

A módszer másik fontos összetevôje azon kockázatok kezelése, amelyek esetében maradványkockázat nem fogadható el. Mivel egy fenyegetés érvényre jutásának valószínûsége nullára nem csökkenthetô, a védelmi intézkedések fontos részét képezik az esetleges károkozás felfedezéséhez, a felelôsségrevonhatósághoz kapcsolódó követelmények kielégítését szolgáló eszközök. Ez a megközelítés a védelmi-biztonsági rendszer integráns részévé teszi az esetleges károkhoz kapcsolódó kártérítési, helyreállítási, jóvátételi kötelezettség végrehajtását, és ezzel a lehetséges mértékben megközelíti a teljes biztonság megvalósítását.