Az informatika hazai jogi környezetének információbiztonsági vizsgálata

Átírás

1 Az informatika hazai jogi környezetének információbiztonsági vizsgálata Kerner Menyhért mk. õrnagy A szerzõ cikkében betekintést nyújt a magyar informatikai törvénykezés hátterébe, foglakozik az információvédelem témakörével, áttekinti az információs társadalommal, az elektronikus kormányzattal és az elektronikus aláírással kapcsolatos törvényeket, rendeleteket. Információbiztonsági szempontból elemzi a Magyar Köztársaság nemzeti biztonsági koncepcióját, és értékeli a magyar információbiztonság helyzetét. This article offers a certain insight into the background of the Hungarian information low, deal with the information security subject. The article provides overview of laws and statutes related to the information society, electronic government and electronic subscription. This analyses the National Security Strategy of the Republic of Hungary, point of view information security, and evaluate the situation of the Hungarian information security. Az ezredforduló kihívásaira válaszul egyre hangsúlyosabbá vált a magyar kormányzat azon törekvése, hogy csökkentse hazánk informatikai lemaradását (optimista becslés szerint is a lakosság 15 20% használja csak a világhálót [1]). Cél a nyugati fejlett gazdaságokhoz való felzárkózás, amit nem lehet elérni informatikai fejlesztés nélkül. A kormányzat felismerte, hogy ennek elérése aktív kormányzati támogatás nélkül nem lehetséges, ezért célul tûzte ki az információs társadalom elérését. Az információs társadalom elérése érdekében kialakították a szükséges intézményi hátteret és a szükséges jogi környezetet. Ezt a folyamatot felgyorsította a NATO- és az EU-követelményeknek való megfelelés kényszere, valamint az E-Europa programmal kapcsolatos hazai elvárások. A kormányzati munka eredményeként megszülettek az elektronikus aláírással, elektronikus közigazgatással kapcsolatos törvények és rendelkezések. Az új magyar nemzeti biztonsági stratégia kiemelten foglakozik az informatikai kockázatokkal, mely e terület növekvõ súlyát is jelzi. Elektronikus aláírás Egy két évvel a vonatkozó USA és EU jogszabályok megszületése után tették közzé a magyar elektronikus aláírásról szóló törvényt. A évi XXXV. törvény az elektronikus aláírásról annak érdekében született, hogy a meglévõ hiányt pótolva, megte- 119

2 remtse a hiteles elektronikus nyilatkozattétel, valamint adattovábbítás jogszabályi feltételeit az üzleti életben, a közigazgatásban és az információs társadalom által érintett más területeken. A törvény részletezi az elektronikus aláírással kapcsolatos szolgáltatások körét, mely elektronikus aláírás hitelesítés-szolgáltatás, idõbélyegzés, aláírás-létrehozó eszközön az aláírás-létrehozó adat elhelyezése és az elektronikus archiválás szolgáltatás lehet. E jogszabály esetén újdonság, hogy a törvény technológiakövetést ír elõ, mely során a hatóság figyelemmel kíséri az elektronikus aláírással kapcsolatos technológiák és kriptográfiai algoritmusok fejlõdését, határozatba foglalja a szolgáltatók által szolgáltatásaik nyújtása során használható biztonságos kriptográfiai algoritmusokat és az azok meghatározott paraméterekkel történõ alkalmazására vonatkozó követelményeket. Tanúsító szervezetek kapcsolatában a következõket rendeli el: Az aláíró eszközök és egyéb elektronikus aláírási termékek tanúsítására jogosult tanúsító szervezetként a miniszter azokat a természetes személyeket és szervezeteket jelöli ki, amelyek erre vonatkozó kérelmet nyújtanak be, és rendelkeznek az aláíró eszközök és egyéb elektronikus aláírási termékek tanúsításához szükséges szakértelemmel. Vagyis az elektronikus aláírással kapcsolatos termékek tanúsítását nem valamely szerv, vagy hivatal végzi, hanem az erre kérelmet benyújtott szakértelemmel rendelkezõ szervezet vagy személy. Ez a megoldás különbözik a rejtjeltevékenységgel kapcsolatos eljárástól, amikor a rejtjelzéssel kapcsolatos hasonló feladatokat az Országos Rejtjelfelügyelet végzi. Ez azért is érdekes, mert az elektronikus aláírás, mint eljárás ugyanúgy kriptográfiai módszereket használ. Végül a törvény utal elõzményeire, melyek az Európai Parlament és a Tanács 1999/93/EK irányelvével az elektronikus aláírások közösségi programjáról, továbbá az Európai Parlament és a Tanács 2000/31/EK irányelvének az információs társadalom szolgáltatásai bizonyos jogi szempontjairól a belsõ piacon, különös tekintettel az elektronikus kereskedelemre ( Elektronikus kereskedelmi irányelv ) 9. cikke 2. bekezdésével. Új elem az informatikával kapcsolatos szabályozások esetén, hogy az IHM közleményt adott ki, melyben a 20/2004. (IV. 21.) PM rendelet 5. (3) bekezdése alapján az elektronikus aláírással ellátott számlák kiállításához és azokra vonatkozó megõrzési kötelezettség teljesítéséhez alkalmazott elektronikus aláírás és idõbélyegzõ használatához biztonságos kriptográfiai algoritmusokat (valamint paramétereire vonatkozó követelményeket) határozott meg, amit táblázat formájában közzétett. Ez az elektronikus aláírással foglalkozó törvény technológia-követéssel kapcsolatos rendelkezésének következménye. Persze felmerül a kérdés, hogy kriptográfiai kérdésekben az IHM a legmegfelelõbb (pedig illetékes) szerv, miután rejtjelzéssel kapcsolatos szakértõi munka nem tartozik alapvetõen a tevékenységi körébe. A 40/2004. (XII. 21.) IM rendelet az elektronikus cégbejegyzési és cégnyilvántartásról rendelkezik. Az 151/2001. (IX. 1.) és a 47/2002. (III. 26.) kormányrendeletek helyébe a némileg finomított 45/2005. (III. 11.) kormányrendelet lépett, mely a Nemzeti Hírközlési Hatóságnak az elektronikus aláírással kapcsolatos feladat- és hatáskörérõl, valamint eljá- 120

3 KERNER MENYHÉRT: Az informatika hazai jogi környezetének információbiztonsági vizsgálata rásának részletes szabályairól, továbbá az elektronikus aláírásról szóló évi XXXV. törvénnyel kapcsolatos feladatait és hatáskörét határozza meg. A rendelkezés az Európai Parlament és a Tanács, az elektronikus aláírásra vonatkozó közösségi keretfeltételekrõl szóló 1999/93/EK irányelvének való megfelelést szolgálja. Hazai elektronikus közigazgatás Az Európa Tanács 2002-es lisszaboni célkitûzése az Unió tudásalapú gazdasági területté való alakítását tartalmazta. Az Unióban ennek következtében elkezdõdött az E-Europa program. Az információs társadalom létrehozása érdekében hazánkban is megszülettek a hiányzó törvények és kormányrendeletek. A 1039/1993. (V. 21.) kormányhatározat alapján alakult meg a Miniszterelnöki Hivatalon belül az Informatikai Tárcaközi Bizottság, melynek feladata az információs társadalommal kapcsolatos célok elérésének támogatása volt. A bizottság felügyelete alatt a hazai informatikai szakma számára fontos ajánlásokat tettek közzé. A stratégiai célok megvalósítása érdekében kormány a 1188/2002. (XI. 7.) kormányhatározatban fogadta el az elektronikus kormányzati gerinchálózat (továbbiakban EKG) és az informatikai közháló (továbbiakban KözHáló) létrehozásáról szóló javaslatot. A programot az Európa tervben meghatározott legfontosabb célkitûzések elérése érdekében indították el és az Informatikai és Hírközlési Minisztérium felügyelete alá rendelték. E kormányhatározatot követte a 1214/2002. (XII. 28.) kormányhatározat, mely a magyar információs társadalom stratégia (a továbbiakban MITS) készítésérõl, a további feladatok ütemezésérõl és tárcaközi bizottság létrehozásáról rendelkezik. A bizottság feladata koordinálni a magyar információs társadalom stratégiába beépülõ ágazati stratégiákat és operatív intézkedési terveket, továbbá biztosítani azok összhangját a nemzeti fejlesztési tervvel és az Európai Uniós irányelvekkel. Az ágazati részstratégiák kidolgozásával, a teljes program koordinációjával, valamint a távközlési szolgáltatások biztosításával az Informatikai és Hírközlési Minisztériumot (továbbiakban IHM) bízta meg a kormányhatározat. A kormányzati, közigazgatási adatbázisok és informatikai rendszerek összekapcsolására ki kell alakítani egy nagysebességû országos elektronikus kormányzat alap-infrastruktúrát. Az így kialakított EKG, és az ahhoz csatlakozó központi közigazgatási szervek nagysebességû külsõ Internet-csatlakozással kell, hogy rendelkezzenek. Kimondja, az EKG-ba be nem vont, a kormányzati informatikába nem tartozó helyi közigazgatási szervek, közintézmények, közfeladatot ellátó egyéb szervek, civil szervezetek informatikai ellátásának biztosítására ki kell alakítani az EKG-val együttmûködésre alkalmas informatikai közhálót. Az EKG kialakításának elsõ fázisában a budapesti gerinchálózatot kell mûködtetni, amelyet az illetéktelen hozzáféréssel szembeni védelem biztosítása mellett elsõdlegesen bérelt vonali szolgáltatás igénybevételével kell létrehozni. A második fázisában a megyei végpontokat a központtal összekötõ területi gerinchálózatot kell kialakítani, szintén bérelt vonali szolgáltatás igénybevételével. Meg kell határozni az EKG-val összefüggõ biztonsági és védelmi követelményeket, feltételeket. A törvényhozó szándéka szerint az EKG nagy sebességû, nagy üzembiztonságú és magas biztonsági követelményeknek megfelelõ, egységes archi- 121

4 tektúrájú hálózati infrastruktúra. A gerinchálózat kialakításával párhuzamosan létre kell hozni a gerinchálózat és a kapcsolódó hálózatok átfogó biztonsági rendszereit, valamint ki kell dolgozni a biztonsági szabályzatokat. A KözHáló az állampolgárok és a közcélú (az EGK-ba) intézmények összekapcsolása, az Interneten keresztül. A rendszer a felhasználók számára információk és szolgáltatások elérését teszi lehetõvé. Az életre hívó szándéka szerint a KözHáló program elõsegíti a szélessávú Internet elérés elterjedését. A KözHáló nem állami magánhálózat, hanem igénybe veszi a piaci szereplõk hálózatait és szolgáltatásait. Cél a közeljövõben az összes hazai közcélú intézmény szélessávú Internet kapcsolattal való ellátása ben közel 40 milliárd forintból gazdálkodhat az IHM, ebbõl a KözHáló program folyatására, a nemzeti audiovizuális archívum (NAVA) és a nemzeti digitális adattár létrehozására, és újabb négyezer közösségi internetpont, e-magyarország-pont kiépítésére is jut pénz. A 2005 végétõl 2008-ig tartó második szakaszban újabb 3200 ponton épül ki a szélessávú kapcsolat.[2] A közösségi Internethozzáférést szolgáló e-magyarország-programra esetén a meglevõ kétezer mellé újabb négyezer e-pontot építenek ki az országban. Fontos még megemlíteni az etár-at, mely egy adatbázis, amelynek segítségével bármilyen katasztrófa vagy krízis után újra lehet indítani a nagy közigazgatási és államigazgatási rendszereket, ennek a rendszernek az alapjait 2005 folyamán szeretnénk lerakni. A 44/2005. (III. 11.) kormányrendelet a kormány irányítása és felügyelete alatt álló központi közigazgatási szervek kormányzati informatika koordinációjáról rendelkezik, a nemzetbiztonsági szolgálatok kivételével. (A nemzetbiztonsági szolgálatok a nemzetbiztonsági törvény hatálya alá esnek.) Elrendeli az informatikai fejlesztések MITS-el valló összhangját. Többek között elõírja az informatikai biztonság elérhetõ legmagasabb szintjét, valamint a kormányzati informatikai rendszerek együttmûködését. A MITS részét az ekormányzat 2005 Elektronikus Kormányzat Stratégia és Programterv és az eeurope 2005 akciótervben a szolgáltató állam létrehozásához kapcsolódó reformfolyamatok képezik. A fenti rendeletekhez kapcsolódik még a 1126/2003. (XII. 12.) kormányhatározat a magyar iinformációs társadalom stratégiáról és programtervrõl. A 1053/2004. (VI. 3.) kormányhatározat az elektronikus közigazgatási ügyintézés és a hozzá kapcsolódó szolgáltatások megvalósításával kapcsolatos feladatokról szól. A kormány célja olyan elektronikus közigazgatási ügyintézési környezet kialakítása, mely a szolgáltató államot jeleníti meg az elektronikus kormányzat költség-hatékony megvalósítása által. Az elektronikus közigazgatási ügyintézés központi rendszerének mûködtetéséhez kapcsolódó informatikai szolgáltatásokra, a kormányzati portálra és az elektronikus kormányzati gerinchálózat üzemeltetésére tér ki. A 1066/2004. (VII. 6.) kormányhatározat az IDA programban (Interchange of Data between Administrations, kormányzati szervezetek közötti adatcsere) történõ részvételrõl és a kormányzati szervezeteknek az EKG-n keresztüli TESTA (Trans European Services for Telematics between Administrations, kormányzati szervezetek közötti páneurópai telematikai szolgáltatások) hálózathoz való csatlakozásáról rendelkezik. Továbbá felhatalmazza a kormányzati informatikáért felelõs kormánymegbízottat, hogy készítse elõ a Magyar Köztársaságnak az IDABC (Interoperable 122

5 KERNER MENYHÉRT: Az informatika hazai jogi környezetének információbiztonsági vizsgálata Delivery of pan-european egovernment Services to Public Administrations, Businesses and Citizens, páneurópai e-kormányzati szolgáltatások nyújtása közigazgatási szervezetek, üzleti vállalkozások és állampolgárok számára) programban való részvételét. Ezzel lehetõvé válik európai kormányzati rendszerekbe való integrálódás. A 1113/2003. (XI. 11.) kormányhatározat a közigazgatási szolgáltatások korszerûsítési programjáról rendelkezik. A 1126/2003. (XII. 12.) kormányhatározat a magyar információs társadalom stratégiáról és annak végrehajtásáról rendelkezik. A MITS részét is képezõ ekormányzat 2005 Elektronikus Kormányzat Stratégia és Programterv csatlakozik eeurope 2005 akcióprogramhoz, valamint az EU tagállamainak az elektronikus kormányzat keretében nyújtott alapvetõ közszolgáltatásokat felsoroló ajánlásában megjelölt e-kormányzati szolgáltatások megvalósítására. A MITS-ben foglalt feladatok megvalósítása során a koordinációt az információs társadalom koordinációs tárcaközi bizottság látja el. A szolgáltató állam létrehozásához kapcsolódó reformfolyamatok felgyorsítása érdekében a közigazgatási szolgáltatások korszerûsítésével kapcsolatos feladatokat összehangoló koordinációs bizottság (2124/2003. (VI. 6.) kormányhatározat) irányítása alatt Operatív Bizottságot hoz létre. Információbiztonság és a Magyar Köztársaság nemzeti biztonsági stratégiája A Magyar Köztársaság nemzeti biztonsági stratégiája (2073/2004. (III. 31.) kormányhatározat) [3] az országgyûlés 94/1998. (XII. 29.) OGY a Magyar Köztársaság biztonság- és védelempolitikájának alapelveirõl szóló határozat alapján született meg, mely kimondja, hogy a Magyar Köztársaság kormánya a felelõs a nemzeti biztonsági stratégia, valamint a nemzeti katonai stratégia kidolgozásáért. A magyar nemzeti biztonsági stratégia összhangban van a NATO évi stratégiai koncepciójával és az EU által 2003-ban elfogadott európai biztonsági stratégiával. A koncepció II.1. cikkelye, mely a globális kihívásokkal foglakozik, megállapítja, hogy a globalizáció eredményeként új típusú biztonsági kockázatok jelentek meg, különösen az információs technológia, a közlekedés, a kereskedelem és a pénzügyek területén. Az USA elleni szeptember 11-ei terrortámadás jelezte a terrorizmus növekvõ stratégiai fenyegetéssé válását az euro-atlanti térség biztonságára. (A év júliusi londoni terroresemények ezt a megállapítást tovább erõsítik.) Új elemként jelent meg a dokumentumban az információs társadalom kihívásai (II.1.6.), az ezt részletezõ fejezetben kitér hazánk a fejlett világ információs és telekommunikációs színvonalához való felzárkózásának, az oktatás színvonala emelésének szükségességére. Az informatikai infrastruktúra technikai és szellemi feltételeinek biztosítása mellett ügyelni kell e rendszerek védelmére és a megfelelõ tartalékok képzésére is. Az informatika számtalan lehetõséget teremtett a társadalom számára, de fokozta annak veszélyeztetettségét. A számítógépes hálózatok és rendszerek sebezhetõsége, túlterhelése, az információlopás, a vírusterjesztés és a dezinformáció kockázati tényezõt jelent az ország számára. A fenti idézet alátámasztása annak a folyamatnak, mely az információvédelem általános felértékelõdését jelzi. A kormányzatok (itthon és külföldön egyaránt) egyre 123

6 inkább kezdik felismerni azt, hogy az információvédelem nemzeti érdek, a nemzetbiztonságot érintõ terület. Az információs rendszerek védelme (III.3.7.) jelenti a korszerû és biztonságos informatikai infrastruktúra kialakítását és a kormányzati információs rendszerek védelmét. A kormányzati információs rendszert fel kell készíteni a kibernetikai támadások megelõzésére és kivédésére. A védelem sikere érdekében szoros koordináció szükséges mind a szövetségesekkel, mind az informatikai és távközlési szolgáltatók, valamint kutatóközpontok között. Vagyis közös erõkifejtésre van szükség a szövetséges államokkal, valamint a kormányzanak a civil szférával együtt. A nemzeti biztonsági stratégia végrehajtásának hátterét a tartósan növekedési pályán mozgó nemzetgazdaság adja. Végezetül a stratégia a rendvédelmi szervek fokozott együttmûködésében és szervezeti korszerûsítésében nevezi meg biztonsági kihívások eredményes kezelésének módját. Ez természetesen az informatika területére is érvényes megállapítás. Minõsített adatok védelme A minõsített dokumentumokkal kapcsolatos jogalkotás alapját az államtitokról és a szolgálati titokról szóló évi LIII. törvény adja, mely az információbiztonság tárgyában kötött nemzetközi szerzõdések alapján használt külföldi minõsítésû dokumentumokkal foglalkozik. Tartalmazza a NATO, a Nyugat-Európai Unió, az Európai Tanács, az Európai Bizottság és az Európai Atomenergia Közösség által használt minõsítéseket, valamint magyar megfelelõit. E törvényt egészíti ki a nemzetközi szerzõdés alapján átvett, vagy nemzeti kötelezettségvállalás alapján készült minõsített adat védelmének eljárási rendjérõl szóló 179/2003. (XI. 5.) kormányrendelet. A nemzetbiztonsági szolgálatokról szóló évi CXXV. törvény kitér a rejtjeltevékenység szakirányítására (hatósági engedélyezés, felügyelet és rejtjelkulcs elõállítás), amivel az Információs Hivatalon belül mûködõ Országos Rejtjelfelügyelet bízza meg. 2112/2004 (V. 7.) kormányhatározat a terrorizmus elleni nemzeti akciótervrõl, mely a titkosszolgálatok együttmûködésének bõvítését, minõsített adatok továbbítására alkalmas adatátviteli kapcsolat kiépítését célozza meg. Továbbá a kormányzattal kapcsolatban új védelmi szükségletek merültek fel, melyek kiterjednek a hálózat, a minõsített adatok, adatbázisok, a külföld és a belföld közötti kapcsolattartás biztonságára. Egyéb informatikával kapcsolatos törvények A évi CXXXIV. törvény a kutatás-fejlesztésrõl és a technológiai innovációról rendelkezik. A törvényt Országgyûlés annak érdekében hozta, hogy elõsegítse a magyar gazdaság versenyképességének és jövedelemtermelõ képességének a tudásra, valamint a technológiai innovációra épülõ és a fenntartható fejlõdést szolgáló növekedését. A évi CVIII. törvény az elektronikus kereskedelmi szolgáltatásokról rendelkezik. Az EU jogszabályokkal összhangban rendelkezik az elektronikus kereskedelem fejlõdése érdekében. A törvény célja az elektronikus kereskedelem, valamint 124

7 KERNER MENYHÉRT: Az informatika hazai jogi környezetének információbiztonsági vizsgálata az információs társadalommal összefüggõ szolgáltatások támogatásával a magyar gazdaság nemzetközi versenyképességének javítása. Az információs technológia fejlõdési üteme kikényszeríttette a vonatkozó jogszabályok megalkotását. Ez a jogalkotó munka csak késve tudja követni az e területen jelentkezõ kihívásokat. Míg az elektronikus aláírás szabályozása teljes, használata napi gyakorlat, addig az információvédelem más területeit csak általánosságban érintik egyes kormányhatározatok. Az elektronikus aláírással kapcsolatban új elem jelent meg a jogalkotásban a technológiakövetés, mely valószínûleg más információvédelmet érintõ területen is megjelenhet a jövõben. Az információs társadalom kiépítésének felgyorsítása érdekében létrehozott EKG és a KözHálóval, valamint a kormányzati portállal kapcsolatos fejlesztések nagy ütemben folynak, a jelentõs beruházásoknak köszönhetõen. A beruházások súlyának megfelelõen ezek a projektek jól szabályozottak, de itt is az információvédelem csak, mint egy elérendõ cél bukkan fel. Az információvédelem súlyának felértékelõdését jelzi viszont, hogy az új nemzeti biztonsági stratégia külön felsorolja az informatikai rendszerekkel kapcsolatos kockázatokat, mint a nemzeti biztonságot veszélyeztetõ fontos tényezõket. FELHASZNÁLT IRODALOM [1] [2] [3] Nemzeti_biztonsagi_strategia.htm, [5] 1214/2002. (XII. 28.) kormányhatározat rendelkezik a magyar információs társadalom stratégia (a továbbiakban: MITS) készítésérõl, valamint a KözHáló részletes koncepciójáról [7] 45/2005. (III. 11.) kormányrendelet a Nemzeti Hírközlési Hatóságnak az elektronikus aláírással kapcsolatos feladat- és hatáskörérõl, valamint eljárásának részletes szabályairól [8] 44/2005. (III. 11.) kormányrendelet a kormányzati informatika koordinációjáról [9] 1113/2003. (XI. 11.) kormányhatározat a közigazgatási szolgáltatások korszerûsítési programjáról [10] 1126/2003. (XII. 12.) kormányhatározata a magyar információs társadalom stratégiáról [11] 1214/2002. (XII. 28.) kormányhatározat a magyar információs társadalom stratégia készítésérõl [12] 1053/2004. (VI. 3.) kormányhatározat az elektronikus közigazgatási ügyintézés és kapcsolódó szolgáltatások megvalósításával összefüggõ feladatokról [14] évi CXXXIV. törvény a kutatás-fejlesztésrõl és a technológiai innovációról [15] 40/2004. (XII. 21.) IM rendelet az elektronikus cégbejegyzési eljárás és cégnyilvántartás egyes kérdéseirõl [16] évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggõ szolgáltatások egyes kérdéseirõl [17] 2073/2004. (III. 31.) kormányhatározat a Magyar Köztársaság nemzeti biztonsági stratégiájáról [18] A nemzetbiztonsági szolgálatokról szóló évi CXXV. törvény [19] Az évi LXV., valamint az ezt módosító évi LIII. törvény az államtitokról és a szolgálati titokról, Magyar Közlöny 2003/83. szám, oldal [20] A nemzetközi szerzõdés alapján átvett, vagy nemzeti kötelezettségvállalás alapján készült minõsített adat védelmének eljárási rendjérõl szóló 179/2003. (XI. 5.) kormányrendelet, Magyar közlöny 2003/126. szám, oldal 125