TANULMÁNY. Az informatikai biztonság helyzete Magyarországon. Készült az Év Alapítvány és az Alternatív Energia Alapítvány együttműködésével

Átírás

1 TANULMÁNY Az informatikai biztonság helyzete Magyarországon Készült az Év Alapítvány és az Alternatív Energia Alapítvány együttműködésével TAKSONY Gyarmati Ervin 2000.Év Alapítvány Kreisz Gábor Alternatív Energia Alapítvány

2 TARTALOMJEGYZÉK BEVEZETÉS...4 AZ INFORMATIKAI BIZTONSÁG HELYZETE MAGYARORSZÁGON ÉS AZ EU- TAGÁLLAMOKBAN...5 Néhány publikált nemzetközi és magyar támadási esemény és a támadásokból levonható következtetések...7 EU és magyar statisztikai kimutatás az informatikai biztonság helyzetérõl...8 INFORMATIKAI STRATÉGIA...16 A központi államigazgatás informatikai stratégiájának fõbb összefüggései...16 A Belügyminisztérium ágazati szintû informatikai stratégiájának fontosabb fejezetei...18 A Nemzeti Információs Társadalom Stratégia ( május 17.) fõbb elvei...25 A Felsõoktatási Informatikai Stratégia FIS rövid ismertetése és elemzése...25 A CCTA legújabb ajánlásainak tömör összefoglalása...26 Egyes Rendszer Specifikus Biztonsági Követelmények...27 AZ INFORMATIKAI BIZTONSÁG TERVEZÉSE...30 Biztonság szervezési lépések azssadm szerint Az ISO szabvány a védelmi irányítási rendszerekrõl...31 Az ITB-ajánlások összefüggései (A biztonság irányítása)...33 Az ITB 8., 12. és 16. számú ajánlás elemzése...41 A védelmi igény feltárása...49 A fenyegetettség, veszélyeztetettség vizsgálata...55 Strukturálatlan módszerek...57 Strukturált módszerek...58 Kockázatelemzés (FTA, STA, ETA, kozkázati mátrix)...68 AZ INFORMATIKAI BIZTONSÁG MEGVALÓSÍTÁSA...85 A kockázat menedzselése...85 Biztonsági akkreditációs ajánlások figyelembevétele:...95 Rendszer mûködési ajánlások figyelembevétele Az informatikai Biztonsági Szabályzat kialakítása) AZ ELEKTRONIKUS AZONOSÍTÁS ÉS ADATVÉDELEM LEHETŐSÉGEI Az adatok védelme elméletben és gyakorlatban Adatvédelem Azonosítási módszerek

3 Adattárolás AZ ADATVÉDELEM AZ INTERNETEN ÉS MÁS NYÍLT HÁLÓZATOKON Alapfogalmak Az Internet általános veszélyforrásai Pretty Good Privacy (PGP) Az adatátvitel védelme biztonsági csatlakozó réteg alkalmazásával (SSL) A PGP és SSL technológiák jelentősége előfizetői oldalról Tűzfalak (Firewalls) Kifejezések AZ INFORMATIKAI BIZTONSÁG FENNTARTÁSA AZ INFORMATIKAI RENDSZER TELJES ÉLETCIKLUSA ALATT Állapotfelmérés Esetvizsgálatok Összefoglaló értékelés További elemzési javaslatok FELHASZNÁLT IRODALOM FÜGGELÉK

4 BEVEZETÉS A biztonság megteremtése minden országban az állam alapvetőfunkciói közé tartozik. Az általános értelemben vett biztonsággal a biztonság politikusok foglalkoznak, létesültek biztonságpolitikai kutatóhelyek, a biztonság tudományos téziseinek felállításához. Egyetemi tanszékek foglalkoznak biztonsági szakértők képzésével. A biztonságnak több fogalma létezik, kutatói csoportok más és más megközelítésben látják. Kutatócsoportunk az általános biztonság alatt a következőt érti: a biztonság olyan működési és védelmi állapotok fenntartása, amelyek akadályozzák a veszélyhelyzetek kialakulását, veszélyhelyzetben a megfelelőtervekkel, erőkkel, eszközökkel és módszerekkel garantálja a várható káros hatások kifejlődésének gátlását, semlegesítését. A Magyar Köztársaság biztonságával legfelsőbb szinten a kormányzati szervek foglalkoznak. A 2144/2002. (V.6.) Kormány határozat a Magyar Köztársaság nemzeti biztonsági stratégiájáról jogszabály rögzíti az alapvető feladatokat. A Kormány utasítja az érintett minisztereket a stratégiában foglaltak végrehajtására és az ágazati stratégiák elkészítésére. A biztonságnak több összetevője van, egyik ilyen eleme az informatikai biztonság. Az informatikai biztonságra közvetlenül a fenti kormányhatározat mellékletének Biztonság az új évezred küszöbén a Magyar Köztársaság Nemzeti Biztonsági Stratégiája pontja Az információs társadalom kihívásai fejezetben leírtak hatnak. Ezen stratégia egyéb bekezdéseiben foglaltak közvetett hatásként funkcionálnak, ilyenek például a nemzetközi terrorizmus, a katasztrófák, a szervezett bűnözés stb. Az informatikai biztonság megteremtésével nemzetközi szervezetek, nemzetközi szabványok foglalkoznak, amelyeknek egy része kötelezőérvényűa NATO tagságunk, leendő EU tagságunk kapcsán, mások ajánlások. Nemzeti szinten az Alkotmány, az adatvédelmi törvény, az egyes országos szervek működéséről szóló törvények adatkezelési előírásai, az ITB ajánlásai a mérvadók az informatikai biztonság megteremtésénél. A tanulmány célja az informatikai biztonság hazai és külföldi állapotának tanulmányozása, következtetések levonása, a nemzetközi szabványok hazai alkalmazhatóságának kutatása, az informatikai biztonság megteremtésének hátterét biztosító tudományos elvek, módszerek bemutatása. 4

5 AZ INFORMATIKAI BIZTONSÁG HELYZETE MAGYARORSZÁGON ÉS AZ EU- TAGÁLLAMOKBAN Az információ rendszer a szervezet idegrendszere. A szervezet vezetése illetve működése biztosításához szükség van az adatok, információk védelmére, az informatikai biztonságra. A támadás, és így a védelem alapvetőtárgya az adat, de a támadó mindig közvetve éri el az adatokat, át kell hatolnia a rendszer elemein. Mint védőknek alapvetőcélunk, hogy megőrizzük adataink integritását, bizalmasságát és rendelkezésre állását, hiszen ki vagyunk téve annak, hogy adataink e három fenti minőségi jellemzője lecsökken vagy megszűnik, ha illetéktelenek behatolhatnak rendszerünkbe. Mindez számunkra azért jelent veszélyt, mert előre látható a fenyegetettség, amely jelentős kár előidézéséhez vezethet. A reálfolyamatoktól kissé eltérően itt a puszta veszély (hiba, nem szándékos emberi hiba) helyett a szándékos támadás, fenyegetettség a jellemző. A sebezhetőség vizsgálatakor fontos a veszélyforrás, az emberi motiváció és a célpont elemzése. Az informatikai biztonság kérdéseivel átfogóan az ITB ajánlások foglalkoznak, amelyek az informatikai biztonságot az alábbiak szerint definiálják: - információvédelem: az adatok által hordozott információk sértetlenségének, hitelességének, és bizalmasságának elvesztését gátolja; - IT-(Információ Technológiai) rendszer megbízható működése: az alkalmazói rendszerek funkcionalitását, ehhez az adatok rendelkezésre állását biztosítja. IT-rendszer alapfenyegetettsége: azon veszélyek hatásösszege, amelyek az IT-rendszer megbízható működését és információvédelmét érhetik. Információbiztonság: az információvédelem szélesebb értelmezése, az informatikai eszközökkel kezelt adatokon túl kiterjesztve a hagyományos információkezelésre is. (Ezzel a témával a tanulmányban nem foglalkoznánk, de az ISO éppen hogy ezt definiálja információvédelemként.) - informatikai biztonság: egy informatikai rendszernek az az állapota, amikor az informatikai rendszer védelme a rendszer által kezelt adatok bizalmassága, hitelessége, sértetlensége és rendelkezésre állása, illetve a rendszerelemek rendelkezésre állása és funkcionalitása szempontjából zárt, teljes körű, folyamatos, és a kockázatokkal arányos. 1. A védelem zárt, ha az összes releváns fenyegetést figyelembe vevővédelem 5

6 megvalósul. 2. A védelem teljes körű, ha a védelmi intézkedések a rendszer összes elemére kiterjednek. 3. A folyamatos védelem az időben változó körülmények és viszonyok ellenére is megszakítás nélkül megvalósul. 4. A kockázatokkal arányos a védelem, ha egy kellően nagy időintervallumban a védelem költségei arányosak a potenciális kár értékével. Ezt az arányt a biztonságmenedzsment határozza meg, és mint a védelem színvonalát is értékelhetjük. A védelem akkor kielégítő erősségű, ha a védelemre akkora összeget és olyan módon fordítanak, hogy ezzel egyidejűleg a releváns fenyegetésekből eredőkockázat (kárérték * bekövetkezési gyakoriság) a szervezet számára még elviselhetőszintűvagy annál kisebb. A védelemre fordított költségeknek nemcsak az összege, hanem a ráfordítás módja is lényeges, azaz a védelmet zártan és teljes körűen kell kialakítani. A ráfordítás mértékét az elviselhetőkockázat mértéke szabja meg, amelyet a kárérték és a bekövetkezési gyakoriság alapján meghatározott elviselhetőségi határ determinál. Ezt a határt minden szervezetnek egyedileg kell meghatároznia. A megállapított kockázatok értékelése, döntése után a kockázatok kezelésére intézkedéseket kell kiadni. A kockázatelemzést azonban veszélyelemzés előzi meg. A veszélyelemzés alapján lehetséges a rendszert érő támadások, fenyegetettség, sebezhetőség felmérése, behatárolása, csoportosítása és besorolása, és majd csak ezután jön a kockázatok becslése, értékelése és végül a szükséges intézkedések megfogalmazása, megvalósítása. A hatásos védelem megvalósításához a gyenge, sebezhető pontok idejekorán való megtalálása, és az időben tett ellenintézkedések meghozatala szükséges. A védelmi intézkedések közvetlenül a rendszerelemekhez kapcsolódnak. Ha az összes fenyegetésnek kitett rendszerelemet a kockázattal arányo san kiépített védelemmel látjuk el úgy, hogy közben figyelembe vesszük a különbözővédelmi intézkedések sokszor egymást erősítő hatását is, akkor az informatikai biztonságot magasabb szintre emeltük, mert adott valószínűségű támadások mellett a káresemények bekövetkezésének valószínűsége alacsonyabb, azaz a kockázat elviselhetőmértékűlesz. Arányskálán való mérés helyett kategorizálásokkal, (azaz sorrendi skálán való méréssel) közelíthetjük a valószínűségi értékeknek, a káresemények nagyságának, súlyosságának megítélését. 6

7 Néhány publikált nemzetközi és magyar támadási esemény és a támadásokból levonható következtetések A téma elemzése során megállapítottuk, hogy nyíltan hozzáférhetőpublikációk ugyan elég nagy számban találhatók, azok azonban csak a legritkább esetben és akkor sem pontosan jelölik meg a tényleges eseményeket és valódi hatásaikat, ami teljesen érthető, hisz annak az eltitkolása az adott intézmény imázsának védelmét szolgálja. A publikációk jellegéből azonban megállapíthatók: - jelentős számban történnek az információ-technológia felhasználásával bűncselekmények mind Amerikában mind az EU országokban; - hazánkban a btk korábban is tartalmazott számítógépes csalással, bankkártya hamisítással kapcsolatos megfogalmazásokat, ezzel kapcsolatban a bűnügyi statisztikában találhatunk adatokat; - a btk. legutóbbi módosítása jelentősen kibővítette és pontosan meghatározta az informatikával, adatkezeléssel összefüggőbűncselekményeket, amelyek joghézag hiányában korábban nem voltak eredményesen kezelhetők; áprilistól hatályosak a számítógépes bűnözéssel kapcsolatos új esetek, amelynek megfelelően bűncselekménynek minősül például a számítástechnikai rendszerekbe való jogosulatlan belépés és a számítógépes rendszerek működésének akadályozása, abban az esetben is, ha nem történt konkrét károkozás; tól az EU szabályozással összhangban további lépések is várhatók. - az új jogi szabályzások hatása azonban az informatikai bűncselekmények statisztikai feldolgozása és mélyebb elemzése tekintetében még jelentős időt fog igényelni. Az alábbiakban megemlítünk néhány, informatikai biztonságot veszélyeztetőpublikációt a megfelelőtanulságok levonásához. Amikor az Ivar Aasen múzeum professzora meghalt, a múzeum dolgozói nem jutottak hozzá a számítógépén tárolt, fontos adatokhoz, mivel csak őismerte a jelszót. A múzeum vetetői végső megoldásként hackerekhez fordultak, akik 5 óra alatt feltörték a jelszót. Az MTI-ECO honlapját hackerek támadták meg, az MTI I. kerületi RK-on feljelentést tett. Az egyik Internet szolgáltató honlapját feltörték. A nigériai csalás néven említett esetekben névtelen ban kapnak egyes cégek felkérést, hogy 25% jutalom fejében segítsenek felszabadítani egy nagyobb összeget, ehhez adják meg a bankszámlaszámukat, vagy küldjenek pénzt egy meghatározott helyre. 7

8 2001. január 2-án Budapesten a számítógéprendszer meghibásodása miatt a gyógyszertárak többségében szünetelt a betegek kiszolgálása. Sebezhetővé váltak a szerverek A Netcraft The Register által idézett jelentés szerint a Microsoft IIS és Apache alapú weboldalak ellen járványszerűtámadás indulhat. Észlelték a Free BSD-n futó Appache-rendszer ellen írt elsőféregvírus felbukkanását is. Az elsőeset tanulsága kettős. Egyrészt a jelszavakat úgy kell tárolni, hogy a rendszergazda szükség esetén azokhoz hozzáférhessen. Másrészt a jó jelszavas védelem is feltörhetőmegfelelő szakértelemmel. Az Internet megfelelőcsatorna a számítógéprendszerekbe való betöréshez. Ezért célszerűa helyi hálózatokat fizikailag elkülöníteni az Internetre kötött számítógépektől, létre kell hozni a külsőbetörést észlelővédelmi berendezéseket. Az elektronikus levelezés számtalan támadási felületet biztosít a vírusok bejutásának a rendszerbe, továbbá az ilyen levél feladójának azonosítása, a levél tisztaságának szándéka nehezen határolható be, ezért nagyon fontos a körültekintő, óvatos eljárás. A bankszámlaszám kiadása, pénzösszeg feladása kellően nem tisztázott kérőnek tragikus lehet. A számítógéprendszer meghibásodása leállíthat fontos szolgáltatásokat. A szervezeteknek nem szabad sajnálniuk a kiadásokat az erős tűzfalrendszer kialakítására, folyamatosan a legkorszerűbb szoftveres védelemmel kell rendelkezniük, általánossá kell tenniük az alkalmazások során a memoriarezidens vírusfigyelő programok felügyeletét a felhasználók számítógépein. EU és magyar statisztikai kimutatás az informatikai biztonság helyzetérõl A szervezetek vezetőinek, IT-menedzsereknek a leginkább foglakoztató kérdések között elsőhelyen szerepel, hogy a szervezeti stratégiához illeszkedőinformatikai stratégiát hogyan tudnak készíteni. Az informatikai stratégia megvalósításával kapcsolatban a legfontosabb kérdések egyike a megfelelőszintűinformatikai biztonság megteremtése. A Számítógépes Bűnözés Elleni Egyezmény Nemzetközi Konferencia és Aláíró Ünnepség november Budapest rendezvényen is szó esett a statisztikai kimutatások szükségességéről. A Cutter Consortium korábbi vizsgálatainak elemzése az e-kereskedelemmel kapcsolatban megállapítja, hogy kevés vállalat egyezteti az üzleti és információtechnológiai stratégiáját. Az 8

9 informatikai vezetők a megkérdezett vállalkozásoknak csak mintegy felénél szólhattak bele a tervekbe annak ellenére, hogy a megkérdezettek több mint 30 %-a vett részt az e- kereskedelemben, és többségük hirdet is az Interneten. Különösen a múlt évi szeptember 11.-i események után a biztonsággal kapcsolatos kérdések figyelembevételei is felerősödtek. Ezzel egy időben a nemzetközi elemzések alapján a biztonsági védelmi rendszerek, szoftverek ára is elkezdett gyors ütemben emelkedni, mert a szükségesség előtérbe került. Ez összefüggött azzal, hogy a veszélytényezők száma is növekedett, ezáltal a rizikó is nagyobbá vált. A széles körben használt rendszerek biztonsági hibái, rései a szakértői vizsgálatok nyomán erőteljesen felszínre kerültek, azonban az újabb fejlesztések a korábbi szabad felhasználással ellentétben már csak fizetés ellenében voltak felhasználhatók. Az információbiztonsági problémák miatt keletkezett károk felméréséről számol be kétéves idő intervallumban a BellResearch IT-biztonság iránti attitűd és biztonságtechnikai megoldások" címűtanulmánya. Annak ellenére, hogy a felmérés szerint a cégek több mint 20 %- a szenvedett közvetlen anyagi kárt, a tanulmány megállapítása szerint az informatikai adatbiztonságot a vállalatvezetők továbbra is csak közepes fontosságú kérdésként kezelik. A tanulmány megállapítja továbbá, hogy az IT-biztonság iránti elkötelezettség a cégmérettel egyenes arányban növekszik: az 500 főnél többet foglalkoztató vállalatok kimutathatóan fontosabbnak ítélték meg a kérdést mind a vállalatvezetés, mind az üzleti partnerek szempontjából; a probléma a kisebb cégeknél jelentkezik erőteljesebben.. Ez azonban a cégek adatainak összekapcsolása következtében sokkal nagyobb veszélyforrássá válhat. A Bell Research tanulmánya kimutatja azt a tendenciát, hogy a vállalatoknál új, egyre kiforrottabb biztonsági megoldások jelennek meg és a cégeknél általában felértékelődik az információbiztonság. Ezzel szemben vitatottnak mondható annak megítélése, hogy magas szintűvédelmet csak információbiztonságra szakosodott külsőcég nyújthat, illetve a márkás eszközök magasabb szintű védelmet biztosítanak mint a no-name termékek A megkérdezett cégek közül a nagyobb cégek házon belül nagyobb arányban - 36% - foglalkoztatnak információbiztonságra szakosodott munkatársakat, a kisebb cégeknél ez az arány alacsonyabb 22-27%. A korábbitól eltérőúj megítélés kezd előtérbe kerülni az utóbbi időben. Tekintettel arra, hogy napjainkra az élet szinte minden területe (bankvilág, a tőzsdék, a különféle médiumok, az egészségügy, a légi irányítás stb.) informatikai eszközök felügyelete alatt áll, és ezen 9

10 alkalmazások eszközök használata nélkül tevékenységük megbénulna. Napjainkra az informatika túllépett a feladat támogató szerepén, a tevékenységek alapjává vált. Ezt. tovább fokozza a gépek és hálózatok világméretűösszekapcsolása, amelyből következhetőveszélyeket csak mostanában kezdenek súlyuknak megfelelően kezelni, hiszen bizonyos hálózatok támadása, blokkolása akár hadászati jelentőséggel bírhat. Az informatika tehát katonai, stratégiai jelentőségűterületté is vált! Ebbéli jelentőségének egyik fontos aspektusára elsőként a különféle nagyhatalmak hírszerzései kezdtek ráeszmélni, amikor folyamatos adatgyűjtésbe fogtak a világhálón. Hadászati terepként történőfelhasználására és a megfelelővédelem megszervezésére az egyes országok, a különféle sikeres hacker-, féreg- és vírustámadások példáján okulva mostanában kezdenek el gondolni. Mint ismeretes jelen pillanatban viszonylag kis befektetéssel igen hatékony támadóeszközöket lehet készíteni, amelyekkel óriási károkat lehet okozni. A hatásos "fegyverek" viszonylag egyszerűelőállítására több példa is ismert, amikor fiatalok okoztak óriási, több millió dolláros károkat pl. a NASA szervereinek blokkolásával, vagy más esetekben szerte a világban. Az informatika biztonsági, sőt katonai jelentőségére mutat rá az FBI, Nemzeti Infrastruktúravédelmi Központ közelmúltbeli figyelmeztetése, mely szerint Nyugat-Európából nagyszabású DOS-támadások várhatók a weboldalak és ISP-k ellen. Katonai elemzők szerint a jelenlegi támadások, adatlopások, betörések az egyszerű kalandvágyó tizenévesek cselekedetein túl egyféle hadgyakorlatnak is tekinthetők, ahol most a fegyverek tökéletesítése és a védelem megszervezése a cél. Figyelemre méltó, hogy például Kína annak érdekében, hogy rendszereit teljes egészében ellenőrzése alatt tarthassa, a Linux egy általa ellenőrzött, és módosított változatára tér át. Különbözőelemzők szerint a teljes nyugati világot romba lehetne dönteni a bankjai ellen végrehajtott átfogó, összehangolt számítástechnikai eszközökkel történőtámadással. A NATO Biztonsági Hivatal adatai (és más nemzetközi adatok) szerint a veszélyforrásoknak több mint 80%-át a belső veszélyek teszik ki, de jelentős fenyegetettséget okoznak a külső veszélyek (kémtevékenységek, szabotázs, zavarások, vírusok, stb.) is. A ZMNE Elektronikai Hadviselés Tanszékének a MEH IKB számára 2001-ben készített tanulmánya a katonai veszélyek egy széles körét leírja.a civil szféra számára pl. a CISA (1999) pontja felsorolja, hogy leggyakrabban kik (mely kategóriák) és mely módszerekkel veszélyeztetik a védelmet. Terjedelmi korlátok miatt támadási esetpéldák vagy táblázatok beillesztése helyett azokra most csak hivatkozunk és a kiváltó okok elemzését tartjuk a 10

11 legfontosabbnak. Terjedelmi okokból csak jelezzük, hogy statisztikai adatok találhatók továbbá az IM Bünügyi Statisztika adataiban ezen belül a Statisztikai Főosztály.Számítógépes bűnözés adataiban vagy például a ( Hunaudit, ) ISACA adatai között. A számítógépes bűnözéssel kapcsolatos anyagok még találhatók az EU bizottság felkérésére a Würzburgi egyetemen elkészített tanulmányban is (IM Europe web oldalon IT OMIKK 98 okt-nov. -i száma). Az EU országokra vonatkozó statisztikai kimutatásokat az European Comission legutóbb 2002 júniusában jelentetett meg. A statisztikák minden informatikai biztonsággal összefüggő területet bemutatnak, terjedelmi okokból itt három statisztikát elemzünk: - biztonsági problémákat; - spamming problémákat; - vírus problémákat. Mindhárom statisztika valamennyi tagország vonatkozásában összesíti az adatokat, továbbá meghatározza a teljes EU átlagokat is. 11

12 1.sz.táblázat 12

13 A hazai általános informatikai biztonsági helyzetre nézve a fenti nyugati tapasztalatokból levont következtetésünk ezért az, hogy a továbbiakban két dologra kívánunk koncentrálni: 1.) az üzemeltetőés a fejlesztőbiztonsági vonatkozású tudásának integrálást elősegítő megoldási lehetőségekre (ilyen pl. a CC=Common Criteria alkalmazása, lásd a 3.5. pontban), valamint 2.) a védelmi célok kitűzésének előkészítésére (ezzel a 3. fejezet foglalkozik). Mindkettőtudniillik a megelőzést szolgálja. Éppen a megelőzés érdekében van szükség arra, hogy a káresemények kiváltó okait, és magukat az eseményeket hazánkban is statisztikailag elemezzék. Ezen a téren eddig történt intézkedések elvárások röviden: - A reguláció szakmai-módszertani irányítását nemrég emelték a legmagasabb (kormányzati) szintre. - A szervezetek és berendezések kockázatára vonatkozó adatok közérdekűnek nem minősülnek, nem-hozzáférhetőek, gyűjtésük megszervezve nincs. - Műszaki ajánlások előírása van, a szervezetek önfelméréseit és intézkedési terveik végrehajtását rendszeresen számon kérőhatósági ellenőrzés nincs. Amit eddig a főhatóságok tettek, az elsősorban az ITB 8, 12, 16. ajánlások kibocsátása, azaz állami ajánlások, módszertani kézikönyvek megjelentetése volt. Viszont azoknak, akiknek ez szólt, akisebb gondjuk is nagyobb volt annál, hogy az informatikai biztonságra költsenek. A vállalatoktól törvény ezt nem követelte meg, a költségvetési szervezeteknek erre egyrészt nem volt megfelelőköltségvetési előirányzata, másrészt ami volt, azt rendesen elköltötték, - de az eredménye csekély, a gazdasági hatékonysága gyenge. Ahhoz képest nagyon kevés helyen lett magasabb, (a NATO-nak, vagy az EU-nak kielégítő) a biztonsági szint. 13

14 Kutatócsoportunk az ISO ajánlása alapján végzett egy reprezentatív felmérést, amely az informatikai rendszereket érinthetőveszélyek gyakoriságára keresett választ. Az összesített értékeket az alábbi táblázat mutatja. 1-3 havonta 4-6 havonta 7-12 havonta 1-5 évente 5 évnél ritkábban Kiszámíthatatlan Felhasználói mulasztás 1 Hardver meghibásodás 2 Áramszünet 1 Rendszer védelmi (jelszó, 2 tűzfal) probléma Adatintegritás (SIS csak név, 3 születési dátum, anyja neve adatokra ellenőriz) Rendszer leállás, hálózati 1 hiba Adatátviteli jeltorzulás 2 Belsőtámadás 4 Vírus fertőzés 2 Hardver ellopása 4 Külsőtámadás (hacker 3 krecker) Tűz 5 Terrortámadás 5 Szoftver hiba 1 Elektronikai hadviselés 4 (lehallgatás, rombolás) Épület összeomlás 3 Természeti katasztrófa 5 A kitöltött táblázatban a sorok az előfordulható veszélyeket, az oszlopok az előfordulási gyakoriságot tartalmazzák. A kár mértéke az 1-5 skálán állítható be. A táblázat elemzésekor megállapítható, hogy a felhasználói mulasztás 1-3 havonta fordulhat elő, de a kár kicsi, mert legföljebb egy napi adat veszik el. Hardver meghibásodás 4-6 havonta fordulhat elő, a kár mértéke nem túl nagy, mivel a wincseszter adatai 75%-ban helyreállíthatók. A természeti katasztrófa (földrengés), terrortámadás kiszámíthatatlan, de minden elpusztulhat, a kárérték 5-ös fokozatú. 14

15 A megkérdezettek eddigi tapasztalatik, feltételezéseik szerint úgy látják, hogy a legmagasabb kárértéket a legritkábban bekövetkezőesemények okozzák, amely egy olyan veszélyt hordozhat magában, hogy ezeknek a ritkán előfordulható eseményeknek a védelemért felelős személyek nem szentelnek kellőfigyelmet a bekövetkezési valószínűség alacsony küszöbe miatt. A külsőtámadást elég gyakorinak ítélik meg, és elég magas kárértékkel, ennek ellenére a gyakorlat azt mutatja, hogy az üzemeltetők ezen a téren nem minden esetben tesznek meg minden védelmi intézkedést. 15

16 INFORMATIKAI STRATÉGIA A fejezetben rövid elemzést adunk biztonsági nézőpontból a korábban készült illetve jelenleg is érvényben lévőinformatikai és általánosabb stratégiákról, bemutatva, hogy melyek a korábbi és jelenleg érvényben lévőfőbb irányok, elvek. Egyidejűleg röviden elemezzük milyen módon és összefüggések révén folytathatóak illetve újra gondolásra javasoltak a már megfogalmazott informatikai biztonsággal kapcsolatos összetevők, elemek, kiemelve azt, hogy az aktuális stratégiák az adott terület legátfogóbb elemzése után a főbb feladatokra és azok változásaira koncentráltan hogyan készüljenek. A 141/2002 (VI. 28.) Kormány határozattal létrehozott Informatikai és Hírközlési Minisztérium IHM felállítása jelentős lépés volt az információs társadalom témakörének megfelelőszintűkezelésére. Az IHM egyik legfontosabb deklarált feladatköre egy átfogó információs társadalom stratégia kidolgozása, amelynek révén meg kell teremteni az információs társadalom fejlődési feltételeit. Ezek között a szükséges infrastruktúra mellett az informatika alkalmazási készségek fejlesztése a jelentős, beleértve a lakosság erre alkalmas rétegét is, amely az oktatás, különösen a felsőoktatás feladat és felelősségi körébe tartozó feladat. Az EU integráció feladatainak megfelelően fontos az EU információs társadalom programjaiban a részt vétel biztosítása, az EU jogharmonizáció, amelyet jelen feladatkörre is ki kell terjeszteni. Lényeges annak elemzése, hogy a meglévőalkalmazások milyen helyzetben vannak és milyen módon valósult már meg az EU jogharmonizáció, azt figyelembe véve, hogy az utóbbi években az EU ezzel kapcsolatos szabályozásai, ajánlásai is jelentős változáson mentek keresztül. A központi államigazgatás informatikai stratégiájának fõbb összefüggései A központi államigazgatás informatikai stratégiája (továbbiakban stratégia) a kormányzati informatikai koordináció továbbfejlesztéséhez készült elsőalkalommal az évekre. A stratégia már az EU konform informatikai stratégiai tervezési kultúra gyakorlatának kialakítását valósította meg. A 4. Fejezet az informatikai alkalmazások jövőképe már negyedik helyen említette a teljes körűinformációvédelem és ezen belül az adatbiztonság megvalósítását. A stratégia alapelvei tizenkét pontban kerültek megfogalmazásra, 11. pontként a biztonságosság került meghatározásra, amely a kormányzás fontos szempontjaként lett deklarálva. A célkitűzések közé bekerült a kormányzati információrendszer biztonságának, 16

17 minőségének javítása cím, megállapítva, hogy a közigazgatási információ rendszerek és azok adatvagyonának léte az ország és a közigazgatás működésének alapvetőfeltétele. A kormányzati informatikai feladatkörök meghatározásának jövőbeni irányai között szereplő intézményi (minisztériumi) informatikai szervezeteken feltétlen belül ellátandó belső (nem kiadható) feladatok között szerepelt a biztonsági és minőségi szempontok érvényesítése, az adatvédelem irányítása, az adatvagyon felügyelete. Már megjelent az informatikai feladatok külsőszolgáltatókkal történőellátása, amelynél a biztonsági szempontok érvényesítésére került a hangsúly. A központilag szervezett és menedzselt beszállító értékelés (minősítés) megfogalmazást nyert, de a végrehajtáshoz ez a megfogalmazás még nem volt elegendő. A nemzetközi kapcsolatok különösen az EU csatlakozással összefüggően jelentőssé váltak és több szervezet CCTA, CIIBA AIPA vonatkozásában a folyamatosság követelményként került megfogalmazásra. A stratégia végezetül összefoglalta az országos jelentőségűszámítógépes adatbázisokat. Az 1050/2000. (VI. 23.) Korm. Határozattal módosított 1066/1999. (VI. 11.) Korm. Határozat az államigazgatás informatikai koordinációjának továbbfejlesztéséről rövid elemzésében megállapítható, volt az elsőés legfontosabb intézkedés, hogy az információs társadalom kialakulásával kapcsolatosan a MeH. koordinációjában készülő kormányzati stratégiához hozzá kell igazítani, és mind ágazati, mind összkormányzati szinten jelentősen meg kell erősíteni az államigazgatás informatikai koordinációját. Ennek a munkának ki kell terjednie az államigazgatás adathátterére, a nagy értékűadatvagyonnal való gazdálkodásra és a szükséges informatikai szolgáltatási architektúrára is. Fel kell mérni a jelenlegi adatvagyont és szolgáltatásokat, s dönteni kell azok fenntartásához, továbbfejlesztéséhez, illetve kiváltásához, továbbá az adatokkal való megfelelőgazdálkodáshoz szükséges intézkedésekről. Természetesen figyelembe kell venni a kormányzati, közigazgatási folyamatoknak a kormányprogramban célul kitűzött jelentős modernizálását is, melynek tervezése és megvalósítása során az eddiginél sokkal nagyobb mértékben kell építeni az informatika lehetőségeire. A mellékletben a Miniszterelnöki Hivatalt vezetőminiszternek a kormányzati informatika koordinációjával kapcsolatos részletes feladatai kerülnek meghatározásra amelyből röviden kiemelnénk: 17

18 A kormányzati informatikával kapcsolatos stratégiai tervek elkészítésének koordinálását, továbbá; A minisztériumok és a közvetlenül a Kormány által felügyelt országos hatáskörű államigazgatási szervek ágazati szintűinformatikai terveinek összehangolását; A kormányzati informatikai fejlesztések műszaki, szabványosítási, tartalmi összehangolását, a rendszerek működtetési tapasztalatainak figyelemmel kísérését, hasznosítását és továbbadását; Az adatbiztonsági követelmények érvényesítését a kormányzati informatikában. Az informatikai rendszerekhez kapcsolódó egyéb biztonsági kérdések megoldásában való közreműködést; Az összkormányzati érdekek hangsúlyozott érvényesítését az adatvagyongazdálkodásban, beleértve az államigazgatás adatvagyonának és adatkezelőrendszereinek a számontartását, a szükséges harmonizációt, az adat- és rendszergazdai felelősség rendszerének működését A fenti rövid elemzésből látható, hogy a feladatok kezelése, értelmezése- az informatikai biztonság kivételével, amelynek lényegesen erőteljesebben kellett volna szerepelnie megoldott, azonban a feladatok megfelelőszakmai tartalommal történőkitöltése még további elemzéseket és szakmai előkészítőmunkát igényel. A Belügyminisztérium ágazati szintû informatikai stratégiájának fontosabb fejezetei ( rövid elemzés) A Belügyminisztérium az informatikai alkalmazások nagyságrendje és fontossága következtében kiemelten fontos szerepet tölt be az ország közigazgatási és rendészeti alkalmazásaiban A Belügyminisztérium nyilvánosan megjelent ágazati szintűinformatikai stratégiája az Informatikai Tárcaközi Bizottság korábban megjelent központi államigazgatás informatikai stratégiájának évekre ( továbbiakban központi stratégia) figyelembevételével rövid távon évekig határozta meg a főbb feladatokat, azonban ennek ellenére fontosnak ítéljük néhány kiemelt fejezet rövid elemzését, illetve a speciális központi funkciók között szerepeltetett biztonsági és adat felügyeleti megfogalmazásokat az általánosítható elvek és meghatározások miatt alábbiak szerint: Rövid tartalmi elemzés A külső szolgáltatókkal történő informatikai feladatok ellátására a jogi lehetőségek 18

19 megteremtése után megfogalmazza a stratégia, hogy hosszabb távon a szervezetek számára köztisztviselőkkel csak a legszükségesebb informatikai feladatok belsőellátását kell fenntartani, s a többi feladatot egy megfelelően kialakított, sok vonatkozásban központilag szervezett külső szolgáltatókkal kell megoldani. Itt szerepet kap a kormányzati, illetve ágazati szinten szervezett központosított szolgáltatás, illetve a megfelelőkategóriájú (központilag szervezetten ellenőrzött) beszállítók a privát szféra bevonásával. El kell érni, hogy a szolgáltatás stabilan biztosított legyen, ugyanakkor a belsőszervezetet semmilyen formában ne terhelje a szolgáltató választás hosszadalmas, erőforrás-igényes terhe. A beszállítói rendszer igénybevételével kapcsolatos döntéseknél (mind a feladat kiadhatóságának eldöntésénél, mind a külső partner megválasztásánál) a biztonsági szempontokat megfelelően érvényesíteni kell. Ehhez központilag szervezett és menedzselt beszállító értékelés szükséges. Megjegyezzük, hogy a szolgáltatók felelőssége nemzetközi szinten is több tanulmányban került elemzésre, arra tekintettel, hogy milyen hatékonyak a biztonsági intézkedéseik. A szerződések elemzései során megállapítható volt, hogy a biztonság kérdését, vagy nem vetik fel eléggé, vagy a felelősség elhárítására alkalmasak. A felhasználóknak fel kell készülni arra, hogy a szolgáltató nem tudja megvédeni minden veszélytől a felhasználót, különösen akkor, ha önmaga is hibát követ el. Az ajánlás szerint a megfelelő szerződések mind a két fél vonatkozásában meghatározzák az elvárásokat és ennek megfelelően a hangsúly nem csak a felelősség kérdése, hanem a közösen megállapított biztonsággal összefüggőtevékenység. Speciális központi funkciók elemzése Külön kell vizsgálni két központi funkciót, amelyek megléte lényeges a koordináció eredményessége, az informatika kormányzati használatának megalapozása érdekében, ezek: - a biztonsági felügyeleti szervezet; - az adat-felügyeleti szervezet. A biztonsági kérdéskörben megállapítja a stratégia, hogy a készítés idején joghézag miatt egyetlen szervezetnek sem valós feladata az informatikai alkalmazások elvárt biztonsági követelményrendszerének meghatározása, a megoldások hivatalos minősítése és a szabályok betartásának folyamatos ellenőrzése. Bár egyes részterületeket természetesen lefednek a jelenlegi szakszolgálatok, a feladat egésze megoldatlan. Mindez akadályozza az informatika érdemi elterjedését, s ezzel a kormányzati munka hatékonyságának javítását (megjegyezve, hogy az elektronikus irat hitelességének kérdése már jogilag megoldott, az érzékeny adat kezelése is törvényi szinten szabályozott). Tekintettel a feladat összetett jellegére, legcélszerűbb 19

20 megoldásnak a szakszolgálatok együttműködésével, közösen létrehozott szervezet kialakítása lenne. A működési területen használt informatikai rendszerek jelentős részénél a biztonsági kérdéskör kiemelt fontosságú, emiatt e területen további előrelépés szükséges. Az adat-felügyelet témakörben belátható időn belül összkormányzati szinten javaslatként is felmerült egy szervezet kialakítása, amely nyilvántartja a kormányzatban (majd a közigazgatásban) kialakult adatcsere formátumok definícióját, véleményezi az új fejlesztéseknél a tervezett adatcsere formátumokat. E szervezetnek ágazati szinten meg kell, hogy jelenjenek a partnerei, az adatgazdák. A kormányzati lépések elhúzódása esetén javasolja az ágazati szintű koordinációhoz saját rendszer bevezetését. Ez a feladatkör a Központi stratégia pontjához kapcsolódik, amelynek megvalósítása a meghatározott években csak elkezdődött Közhitelességhez kapcsolódó alkalmazások kialakítása Más kormányzati szervek mellett a belügyminisztériumnak is kiemelt feladata a közhitelesség biztosításában előre lépni, javítva a fenyegetettség elleni védelmet. E feladatkör részeiként többek között szerepelt az okmányirodák informatikai hátterének kialakítása, amely időközben alapvetően megtörtént. A létesítendőokmányirodák belsőügyviteli rendszereinél célként jelenik meg, hogy magukba foglalják az intelligens iroda alapját képezőszámítástechnikai eszközöket, levelező és ügykezelőprogramokat. Lényeges szempont volt az irodai rendszerek kiválasztásában, hogy a lehetőlegnagyobb mértékben alkalmazkodjanak a szakmai alkalmazásokhoz. Az elektronikus átvitel hitelességének (biztonságának) megvalósítása Az adatkezelőszervezetek közötti nagysebességűkapcsolatok létesítéséhez, a meglévő adatátviteli hálózatok egységesítéséhez és a felhasználó szervezetek, új közigazgatási egységek munkáját támogató informatikai alkalmazások kiterjesztéséhez szükséges fejlesztések. Rendvédelmi alkalmazások, Közigazgatási szolgáltatások kialakítása / fejlesztése, amelybe beletartozik az Egységes címnyilvántartás kialakítása. Elsősorban egy önálló, közhiteles alapnyilvántartás létrehozása, minden olyan érzékeny adat nélkül, amely korlátozná a teljes nyilvánosságot. A nyilvántartás a minisztériumok együttműködésében valósuljon meg. Közigazgatási területi informatikai központok kialakítása, a jelenlegi szervezetekre alapozva, de szervezeti struktúrájukat, technikai hátterüket egyaránt szükség szerint átdolgozva ki kell alakítani a közigazgatáson belüli szolgáltatásra képes területi informatikai szolgáltató központokat. 20

21 Nyilvános lakossági információs rendszer, a polgárok által használható közhasznú információkat biztosító, nyilvános (Interneten is megjelenő) rendszer létesítése. Az első ütemében az autópiacok és legforgalmasabb csomópontokon működő (pénzbedobós) információs kioszkok telepítése. Ez az elképzelés már több EU országban működik, ennek tapasztalatait figyelembe véve célszerűismét a napirendre tűzni a feladatot, illetve továb fejleszteni az elképzeléseket. A szervezetek együttműködése kell az eredményességhez Az informatikai fejlesztéseknél korábban az elzárkózás érvényesült mind kormányzati szinten, mind az egyes felügyelt szervezetek között. Tudomásul kell venni, hogy a társadalom egy egységes szolgáltatást igényel a közigazgatástól, ehhez az egyes területeknek összedolgozva, a szolgáltatások nyújtásához legcélszerűbb struktúrákat választva kell dolgozniuk. A központi közigazgatás egyarcúan kell, hogy megjelenjen az állampolgár és a magánszféra előtt. Fel kell számolni a presztízs szempontokon alapuló rivalizálást, s meg kell teremteni az érintettek együttműködésének formáit, pontos szabályait. A közös megoldások, szolgáltatások, szolgáltatás igénybevételek alapozzák meg a megfelelőköltséghatékonyságot. A belügyminisztérium a maga részéről mindent megtesz az együttműködés javítására, alapelvként kimondva, hogy a Belügyminisztérium a kormányzat, a közigazgatás részeként kíván az informatikai fejlesztéseknél is eljárni, ugyanakkor a kormányzat, közigazgatás többi résztvevője részéről is szemléletváltásra lenne szükség a kor követelményeinek megfelelőinformatikai háttér kialakíthatóságához. A közigazgatás az ágazathoz tartozó szervezetek esetében az együttműködés erősítésére konkrét intézkedéseket tesz. A Központi stratégia pontjához kapcsolódó feladatkör, amelynek további elemeit is célszerűa célok között szerepeltetni. A közigazgatás felhasználója az informatikai szolgáltatásoknak A stratégia megállapítja, hogy az üzleti területen dolgozó jó kvalitású szakemberek bérezése 2-3-szorosa az állami szférában dolgozókénak. Ezért a közigazgatásban csak közepes képzettségűinformatikai szakembereket lehet alapvetően alkalmazni. Tudomásul kell venni, ezért, hogy nagy rendszerek fejlesztéséhez szükséges professzionális és gazdaságosan működtethetőinformatikai fejlesztőés szolgáltató/üzemeltetőgárdával nem rendelkezhet. A közigazgatás alkalmazó, ezért fontos, hogy a megrendelő- szolgáltató szerep szétválasztása megtörténjen. A továbbiakban a közigazgatáson belül köztisztviselőként, közalkalmazottként is csak a megrendelői szándékot képviselők maradnak, az informatikai szolgáltatások a szolgáltatás jellegéhez jobban illőalkalmazási struktúrában történjenek (szolgáltatásvásárlás külsőcégtől, 21

22 vagy saját szolgáltatási szervezet gazdasági társaság létrehozásával. A piaci viszonyok között előnyösebben megszerezhetőszolgáltatásoknál határozottabban kell a kormányzaton kívüli szférára támaszkodni. Ez a megközelítés megfelel a fejlett EU országok fejlődési trendjének. Megjegyezzük, hogy a nemzetközi tapasztalatokkal is összhangban ez a megközelítés nem vonatkozhat az informatikai biztonsággal kapcsolatos kulcspozíciókra és a szükséges belsőszakemberekre. Az informatika kiszolgáló jellege Az informatika a szervezet működését kell, hogy szolgálja. Az esetek többségében azonban az informatikai szervezethez nem jut el arra vonatkozó információ, hogy mivel szolgálhatja még jobban a szervezet működését. Emiatt gyakran az informatikai szervezet felhagy a kiszolgáló szereppel, és maga válaszol (a feladatát maga határozza meg a szervezet működési követelményéből származtatva). Az így elhagyott kiszolgáló szerep nélkül könnyen dominánssá válik, de közben továbbra is hangsúlyozza kiszolgáló szerepét. Határozottan vissza kell állítani az informatika eredeti kiszolgáló szerepét, ami a nem informatikai területekre is lényeges feladatokat ró. Javasolja, hogy minden szervezetben a gazdasági, humánpolitikai területekkel egyenrangú szerepet kell biztosítani az informatikai vezetés számára. Az alkalmazásokkal kapcsolatos szakmai (tartalmi) követelményeket a szakmai vezetőknek kell megfogalmazniuk. Ez a javaslat jelenleg már több területen is kezd érvényesülni. Megfelelővédelem biztosítása Mivel az euro-atlanti szervezetek "éles" informatikai rendszereinél igen komoly biztonsági előírásokat alkalmaznak, így az adatcsere lehetősége az EU országokkal illetve szervezetekkel is megkérdőjeleződhet, ha a hazai rendszerek kellőszintűvédelmet nem nyújtanak. Fokozott fenyegetést jelent a romló közbiztonság is. Mindezek miatt a következőidőszakban a stratégia fontos eleme a biztonsági szint lényeges javítása (a rendszerek auditálása, rejtjelezés, stb.). A nemzetközi adatcserével kapcsolatban az elmúlt évben lépett hatályba pl.: a évi LXXXIX. Törvény A Magyar Köztársaság és az Európai Rendőrségi Hivatal együttműködéséről, amelynek 12. és 13. Cikke határozza meg a biztonsági előírásokat. Az adatkezelésre a 4/2002. (I. 30.) BM-PM együttes rendelet Adatkezelési fejezete vonatkozik. Az alkalmazási architektúra kialakítás szempontjai Javasolja a stratégia az informatikai alkalmazási (ezen belül adatháttér-szervezési) 22

23 architektúra kialakításában ne a technikai megközelítés legyen az elsődleges, hanem a jogi háttér által megengedett, biztonságos és gazdaságos szolgáltatási jelleg létrehozása. A meghatározó szempontok között szerepel: Közérdekűadatokhoz való hozzáférés biztosítása Megállapítja a stratégia, hogy a közigazgatás működése során hatalmas mennyiségű információ keletkezik. A folyamatok ellenőrizhetősége, a demokrácia követelményeinek érvényesítése megköveteli, hogy a keletkezőinformációtömeg ne csak elvben, de gyakorlatban is hozzáférhetővé váljon az állampolgárok részére. Az alkalmazási rendszerek kialakításában régebben követett, alapvetően csak a közigazgatás belsőigényeit szem előtt tartó megközelítés helyett a jövőben e szempontnak hangsúlyosan érvényesülnie kell. Ez a feladat a minisztériumok, köztük a belügyminisztérium honlapjának alkalmazása révén alapvetően megvalósult. Biztonság szavatolása A szervezet folyamatos működő képessége érdekében feltétlen gondoskodni kell a megfelelőbiztonságról. A biztonságnak a teljes rendszerre ki kell terjednie, valamennyi szinten (ügyintézési ponttól a központig). A biztonságnak alapvető része a fizikai biztonság megteremtése. Szükséges a szokásos technikai felszereltség (elektronikus riasztó rendszer, folyamatos videó rögzítés stb.), de emellett megfelelőbiztonsági személyzetre is szükség van. Arra kell törekedni, hogy az ügyintézési helyek - különösen az ügyfélszolgálatok, irodák, stb. - ne tartsanak maguknál adatokat, hanem csak a tranzakciókhoz vegyék igénybe a tárolási helytol, úgy nincs szükség kiemelt védelemre, csak a telepített eszközök értéke a védendőérték. Amennyiben a programok is tranzakciós jellegűek, s nincsenek nagy értékűszámítástechnikai szolgáltató gépek az ügyintézési helyeken, úgy a veszélyeztetettség tovább csökken. A szolgáltató központok védelmének kialakítása ugyanakkor nem maradhat el. Mindezeket a szempontokat fokozottan érvényesíteni kell az érzékeny adat környezetben (beleértve az érzékeny adatról szóló törvényben meghatározott egyéb adatfajtákat), illetve a feltételezhetően komolyabb technikai felkészültségre épülőfenyegetéseknél (szervezett bűnözés), megteremtve a teljes körűvédelmet. A hiteles információ-tároló alapnyilvántartások adatbázisát határozottan szét kell választani az információ-szolgáltatási célú adatbázisoktól (különösen a nem vagy csak korlátozottan kontrollált körben hozzáférhetőek esetében), támaszkodva az adatraktár technológiára. A biztonság kérdésköre nem szűkíthetőle a fizikai illetve az átviteli biztonsági kérdésekre. 23

24 A fogalom valamennyi összetevőjének érvényesüléséről gondoskodni kell, beleértve az adatbiztonságot, hitelességet, integritást stb. A biztonsági kérdéseket és feladatokat külön dokumentumok is tárgyalják. Szolgáltatás biztosítása Jelenleg a közigazgatási szolgáltatások nyújtása jelentős mértékben az alkalmazott köztisztviselői kar erőfeszítésein alapul, a szorosan vett munkaköri feladatok, a normál elvárható munkaintenzitás és munkaidőjelentős meghaladásával. Hosszabb távon ez nem tartható, az informatikai háttérnek pont e terheket kell mérsékelnie. Az informatikai háttérnek valóban kiszolgálnia kell a felhasználót, amihez professzionális menedzselési rendszerre van szükség, amely kiterjed az állandóan elérhetőtanácsadáson, rendszer felügyeleten túl a problémakezelésre, a változás-kezelésre stb. Ennek azonban szervezeti, személyi feltételei is vannak. Be kell vezetni a professzionális infrastruktúra-menedzselést (azonnali telefonos tanácsadás, probléma elhárító rendszer, változáskövetés stb.). A szolgáltatások meghatározását, nyilvántartási rendszerét olyan szintre kell fejleszteni, ami lehetővé teszi a szolgáltatási szint megállapodások kialakítását a belső szolgáltatókkal, illetve szolgáltatási szint szerződés megkötését külsőszolgáltatóval. A szakmai színvonal javítása érdekében az elaprózottság, megosztottság csökkentésére, a számítógépes szolgáltatások központosítottabb szervezésére célszerűtörekedni. Az elv alkalmazása során át kell tekinteni az adatgazdai szerepkörök kiosztását, érvényesülését, s a szakmai és informatikai feladathatárok illeszkedését. Továbbá pontosan meg kell határozni a specifikus adathátterek határait. Az időközben történt változásoknak megfelelően a több éves előkészítő munka eredményeképp több kormányzati szervezet mellett társadalmi szervezetek kezdeményezésére is megalakult a Nemzeti Informatikai Stratégia ( NIS) ElőkészítőBizottsága. Az informatikai szakemberek már korábban is kezdeményezték az 5-10 évre szóló stratégia elkészítését, amellyel kapcsolatban az IIF készített dokumentumokat. A NIS lényeges eleme, hogy a legfontosabb nemzeti szintűfeladatokra projektekre koncentrál, ennek megfelelően kidolgozása nagy körültekintést és mélyreható elemzéseket igényelt. A Projekt javaslatok közül jelen téma szempontjából kiemelésre érdemesek az alábbiak: - az IIF program bővítése; - a nagy kormányzati rendszerek hatékony gépesítése; 24

25 - oktatási, továbbképzési hálózatok; - céghálózat. A Nemzeti Információs Társadalom Stratégia ( május 17.) fõbb elvei A Nemzeti Információs Társadalom Stratégiája 3-5 éves időtartamra készült, míg a hozzá rendelt akcióterv, illetve a konkrét programok időhorizontja a és a év. Az info kommunikációs technológia változásainak sebessége nem teszi lehetővé az egy országra vonatkoztatott klasszikus stratégia megalkotását. A stratégia megállapítja, hogy mire meghatározzuk a kiindulási állapotot, meghatározzuk a céljainkat, megtervezzük az ezek elérését biztosító megoldásokat és ténylegesen hozzákezdünk a megvalósításhoz, addigra a kiindulási állapot már nem ugyanaz. E nehézség feloldását a megújuló stratégia hivatott megoldani. A rendszeres monitoringba épített mérőszámok értelmezése és a visszacsatolás biztosítja a folyamatos korszerűsítést. Évenkénti rendszerességgel újabb verzió lesz irányadó, ezt jelzi a dokumentum címében szereplő1.0 verzió. A Nemzeti Információs Társadalom Stratégiájának 1.0 ás verziója Elektronikus kormányzati célkitűzések rövid elemzése. Az elektronikus kormányzati célkitűzések megvalósítása érdekében kiemelten kezelendő területek: 1. A kormányzati ügyvitel elektronizálása, a szolgáltató kormányzat létrehozása. Önkormányzati célkitűzések A modern informatikai megoldásokon alapuló, költség-hatékony belső és külső munkavégzés érdekében az önkormányzati ügyvitel elektronizálásának támogatása, illetve a szolgáltató önkormányzatok kialakításának elősegítése. A regionális/önkormányzati célkitűzések megvalósítása érdekében kiemelten kezelendő területek: az önkormányzati ügyvitel elektronizálása, a szolgáltató önkormányzat létrehozása. Az infrastrukturális célkitűzések megvalósítása érdekében kiemelten kezelendőterületek: a szabályozás és a szabványosítás. A Felsõoktatási Informatikai Stratégia FIS rövid ismertetése és elemzése A felsőoktatás fejlesztéséről 1995-ben hozott országgyűlési határozat és a felsőoktatási törvény 1996-ban elfogadott módosítása határozta meg a felsőoktatás korszerűsítését, amelynek két fontos szempontja között kerül meghatározva az információs társadalomban való kiemelkedő szerepe. 25

26 A Felsőoktatási Informatikai Stratégia elkészítését tehát kormányrendelet írta elő. A FIS főcélja az információs technológiák alkalmazásának támogatása és széleskörű elterjesztése a hazai felsőoktatásban. A legfontosabb informatikai fejlesztési irányok és módszerek: - oktatás továbbképzés; - kutatás és fejlesztés; - az intézmények irányítása és működtetése; - könyvtárak és informatikai adatbázisok kezelése; - intézményi és országos információs infrastruktúra. A stratégia főbb kérdéskörei: - a felsőoktatás jövőképe az információs társadalomban; - információs technológiák alkalmazásának helyzete; - az informatika szerepe az oktatás, képzés területén, az oktatás tartalmi technikai kérdései; - informatikai eszközök szerepe és súlya a felsőoktatási kutatás-fejlesztés területén. Ezeket a kérdésköröket, konkrét célkitűzéseket nagyfokú önállósággal rendelkező intézmények valósítják meg, olyan módon, hogy saját stratégiájukat elkészítik és azt megvalósítják. Ehhez a stratégia pályázati rendszereket, projekteket és akcióprogramokat fogalmaz meg és megteremti a szükséges anyagi forrásokat. A felsőoktatás informatikai fejlesztése ebben az évben is kiemelt feladatként jelentkezik a minisztérium feladatai között. Az információs társadalom feltételeinek megteremtésében illetve a digitális szakadék csökkentése érdekében az oktatás-irányításnak rendkívül nagy felelőssége van, mivel a jelenleg tanuló generáció nélkül ez elképzelhetetlen. Ennek megfelelően stratégiai területté lépett előa korábban 1996-ban indított Sulinet program, amely az elmúlt négy évben kisebb arányban fejlődött a szükségesnél. Az EU csatlakozáskor az elvárt szint elérése a felsőoktatás valamennyi szakterületének feladatot jelent, amely egyidejűleg további informatikai beruházások igényel. Az elektronikus oktatás és tanulás tartalmi és szolgáltatási koncepciója a megoldást jelentheti az esélyegyenlőség megteremtéséhez. A CCTA legújabb ajánlásainak tömör összefoglalása Az 1988-ban alakult CCTA (Central Computer and Telecom Agencies) tevékenysége és 26