MINTA BIZTONSÁGI KATEGORIZÁLÁS SEGÉDLET

Hasonló dokumentumok
Elektronikus közigazgatási keretrendszer Mentési rend ajánlás ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER MENTÉSI REND AJÁNLÁS

SZOLGÁLTATÁSOK MEGFELELİSÉG VIZSGÁLATÁBAN TECHNIKAI LEÍRÁS KÖZREMŐKÖDİ SZERVEZETEKRE VONATKOZÓ ELVÁRÁSOK

FOLYAMATLEÍRÁST SEGÍTİ GYAKORLATI ÚTMUTATÓ

ÚTMUTATÓ AKKREDITOROK SZÁMÁRA

ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER INCIDENSMENEDZSMENT AJÁNLÁS

A MAGYAR SOA ALAPÚ ARCHITEKTÚRA RENDSZERTERVE

Magyar Közgazdasági Társaság Baranya Megyei Szervezete: Pénzügy-politikai elıadássorozat Pécs, április 20. A KÖZPÉNZÜGYEK SZABÁLYOZÁSA

Az ellenőrzés módszertana

GIRO ELSZÁMOLÁSFORGALMI ZÁRTKÖRŰEN MŰKÖDŐ RÉSZVÉNYTÁRSASÁG

Sz-2/14 Belső ellenőrzési Kézikönyv

I. Kiemelt vizsgálati célok 1. Az adózói életút vizsgálatán alapuló ellenőrzések

ADATFELDOLGOZÁSI MEGBÍZÁSI SZERZŐDÉS. egyrészről a [Irányító Hatóság] ([irányítószám] Budapest,.), mint megbízó (a továbbiakban: Adatkezelő)

Intézmények Gazdasági Szolgálata SZERVEZETI ÉS MŰKÖDÉSI SZABÁLYZAT

FELHÍVÁS. A felhívás címe: Integrált térségi gyermekprogramok. A felhívás kódszáma: EFOP

Budapest Főváros Települési Esélyegyenlőségi Programja ( ) Munkaanyag Munkaanyag zárása első társadalmi egyeztetés előtt:

SEGÉDLET A MINŐSÉGIRÁNYÍTÁSI KÉZIKÖNY ELKÉSZÍTÉSÉHEZ

VI. MELLÉKLETEK. Tartalomjegyzék. PDF created with pdffactory trial version

Eötvös Loránd Tudományegyetem EGYETEMI KÖNYVTÁRI SZOLGÁLAT MINŐSÉGIRÁNYÍTÁSI KÉZIKÖNYV

CompLex Hatályos Jogszabályok Gyűjteménye

ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK az IZINTA Kft. vásárlói részére

Nemzeti Adó- és Vámhivatal által kiadott. 4.../2013. tájékoztatás

RÉSZLETES ADATVÉDELMI TÁJÉKOZTATÓ JOGSZABÁLY KIVONAT évi CXII. törvény. az információs önrendelkezési jogról és az információszabadságról

Magyar Távirati Iroda Zrt.

ESZTERHÁZY KÁROLY FŐISKOLA BELSŐ KONTROLLRENDSZER SZABÁLYZAT MS6202

AZ MFB MAGYAR FEJLESZTÉSI BANK ZÁRTKÖRŰEN MŰKÖDŐ RÉSZVÉNYTÁRSASÁG SZERVEZETI ÉS MŰKÖDÉSI SZABÁLYZATA KIVONAT

A szakképző iskolát végzettek iránti kereslet és kínálat várható alakulása 2011

2. Jogi és Szervezési Iroda 3. Pénzügyi Gazdasági Iroda 4. Szociális és Gyámügyi Iroda 5. Városfejlesztési és Mőszaki Iroda

2004. évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól

Belsőellenőrzési kézikönyv

II. PÁLYÁZATI ÚTMUTATÓ a Társadalmi Infrastruktúra Operatív Program

KISKUNFÉLEGYHÁZA VÁROS GAZDASÁGI ÉS MUNKA PROGRAMJA

KIEMELT PROJEKT PÁLYÁZATI FELHÍVÁS a Társadalmi Megújulás Operatív Program

Adatkezelési tájékoztató

A MISKOLCI EGYETEM BELSŐ ELLENŐRZÉSI KÉZIKÖNYVE

Felhívás észrevételek benyújtására az állami támogatások kérdéskörében a Bizottság általános csoportmentességi rendelettervezetére vonatkozóan

A nemzeti fejlesztési miniszter

2011. évi CXCIX. törvény. a közszolgálati tisztviselőkről

A Károli Gáspár Református Egyetem által használt kockázatelemzési modell

E L İ T E R J E S Z T É S

Személyes kompetenciák és szakmák (munkakörök) kritériumainak összehangolását biztosító rendszer

JÁSZAPÁTI VÁROS ÖNKORMÁNYZATÁNAK SZERVEZETFEJLESZTÉSE

VARRÓ ISTVÁN SZAKISKOLA, SZAKKÖZÉPISKOLA ÉS KOLLÉGIUM. Szervezeti és Működési Szabályzata

Javaslat AZ EURÓPAI PARLAMENT ÉS A TANÁCS RENDELETE. az Unió éves költségvetésére alkalmazandó pénzügyi szabályokról

A KÖRNYEZETVÉDELMI AUDITÁLÁS GYAKORLATA

DÉVAVÁNYAI KÖZÖS ÖNKORMÁNYZATI HIVATAL SZERVEZETI ÉS MŰKÖDÉSI SZABÁLYZATA

PÁLYÁZATI FELHÍVÁS és ÚTMUTATÓ

MemoLuX Kft. MINİSÉGÜGYI KÉZIKÖNYV. Jelen példány sorszáma: 0. Verzió: Lapszám: Fájlnév: 4/0 1/30 MMKv4.doc

10.1. A biztosítási összeg a biztosított vagyontárgynak / vagyontárgyaknak a szerződő fél által a biztosítási szerződésben megjelölt értéke.

ORFK TÁJÉKOZTATÓ AZ ORSZÁGOS RENDŐR-FŐKAPITÁNYSÁG HIVATALOS LAPJA. Tartalomjegyzék. Utasítások

Ez a dokumentum kizárólag tájékoztató jellegű, az intézmények semmiféle felelősséget nem vállalnak a tartalmáért

tekintettel az Európai Unió működéséről szóló szerződésre, különösen annak 291. cikkére,

Tartalomjegyzék. Felügyelőség elsőfokú hatóságként való feladatellátása... 2

POLGÁR VÁROS KÖZBIZTONSÁGI BŰNMEGELŐZÉSI KONCEPCIÓJA

2015/25. SZÁM TARTALOM. 29/2015. (VI. 29. MÁV-START Ért. 25.) sz. vezérigazgatói utasítás a MÁV-START Zrt. Biztonságirányítási Kézikönyvéről...

MINŐSÉGÜGYI KÉZIKÖNYV

FELHÍVÁS. Helyi foglalkoztatási megállapodások, paktumok megvalósítására. A felhívás címe: Helyi foglalkoztatási együttműködések

A Magyar Távhőszolgáltatók Szakmai Szövetségének javaslatai a távhőár-megállapítás témakörében

ESZTERHÁZY KÁROLY FŐISKOLA ÖNKÖLTSÉGSZÁMÍTÁSI SZABÁLYZAT

Songo online zenebolt adatvédelmi és adatkezelési szabályzata

Szervezeti Működési Szabályzata

Plenárisülés-dokumentum

PÁLYÁZATI FELHÍVÁS a Környezet és Energia Operatív Program KEOP-1.1.1/ Települési szilárdhulladék-gazdálkodási rendszerek fejlesztése

BIHARKERESZTES VÁROS POLGÁRMESTERI HIVATALA

1. Háttérinformációk. 1.1 Bevezetés

A környezetvédelmi és vízügyi miniszter feladat és hatáskörét a 165/2006 (VII.28.) Korm. rendelet határozza meg.

1.sz. Melléklet. Munkaköri leírás-minták

HBF Hungaricum Kft. és INNOV Hungaricum Kft. konzorciuma

Engedélyszám: /2011-EAHUF Verziószám: Gyógyászati segédeszköz ismeretek követelménymodul szóbeli vizsgafeladatai

Adatkezelési tájékoztató

KIEMELT PROJEKT ÚTMUTATÓ a Társadalmi Megújulás Operatív Program

TÁJÉKOZTATÓ A PEDAGÓGIAI ASSZISZTENS BA KÉPZÉS SZAKIRÁNYAIRÓL

ADATVÉDELMI TÁJÉKOZTATÓ I. BEVEZETÉS... 2 II. ADATKEZELÉS Adatkezelő adatai és elérhetőségei Az adatkezelés célja...

Törökbálinti Városgondnokság ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZATA TERVEZET

194/2005. (IX. 22.) Korm. rendelet

Az alapvető jogok biztosának Jelentése Az AJB-574/2016. számú ügyben (Előzményi ügy: AJB-4424/2015. )

113/1998. (VI. 10.) Korm. rendelet

2010. E-KÖZIGAZGATÁSI ALAPISMERETEK Oktatási segédanyag

SZÜKSÉGLETFELMÉRÉS SZOLGÁLTATÁSTERVEZÉS MÓDSZERTANI AJÁNLÁS

AZ EURÓPAI PARLAMENT ÉS A TANÁCS 138/2004/EK RENDELETE (2003. december 5.) a közösségi mezőgazdasági számlarendszerről. (HL L 33., , 1. o.

Baranya megye fejlődésének lehetőségei a foglalkoztatási paktumok kialakításának szemszögéből

Javaslat A TANÁCS RENDELETE. a jövedéki adók területén való közigazgatási együttműködésről

BIZOTTSÁGI SZOLGÁLATI MUNKADOKUMENTUM évi országjelentés Magyarország

A KÖZPONTI KÖLTSÉGVETÉSI SZERVEK ELEMI BESZÁMOLÓJÁNAK PÉNZÜGYI (SZABÁLYSZERŰSÉGI) ELLENŐRZÉSÉNEK MÓDSZERTANA május 001-1

A TANÁCS 10/2010/EU ÁLLÁSPONTJA ELSŐ OLVASATBAN

A Magyar Tolkien Társaság és a Tolkien.hu portál Adatvédelmi Nyilatkozata

A BIZOTTSÁG JELENTÉSE AZ EURÓPAI PARLAMENTNEK ÉS A TANÁCSNAK

KÖZPONTI RENDSZER PILOT PROJEKTTERV

13. évfolyam 4. KÜLÖNSZÁM augusztus 29. ORSZÁGOS EPIDEMIOLÓGIAI KÖZPONT. Epinfo TÁJÉKOZTATÓ

BELSŐ ELLENŐRZÉSI KÉZIKÖNYV

VÉSZTŐ VÁROS INTEGRÁLT TELEPÜLÉSFEJLESZTÉSI STRATÉGIÁJÁNAK MEGALAPOZÓ VIZSGÁLATA

Mérés és értékelés a tanodában egy lehetséges megközelítés

Sulokné Anwar Zsuzsanna HOL TART MAGYARORSZÁG AZ INFORMÁCIÓS TÁRSADALOMHOZ VEZETŐ ÚTON?

Táltos Iskola PEDAGÓGIAI PROGRAMJA Tartalomjegyzék

Tartalomjegyzék. 5. A közbeszerzési eljárás főbb eljárási cselekményei. 6. Eljárási időkedvezmények a közbeszerzési törvényben

Magatartási kódexünk. Helyes üzletvitel

Békéscsaba és Térsége Többcélú Önkormányzati Kistérségi Társulás ESZKÖZÖK ÉS FORRÁSOK ÉRTÉKELÉSI SZABÁLYZATA

Munkaerő-piaci diszkrimináció

A Büntetés-végrehajtási Szervezet. Közalkalmazotti. Kollektív Szerz dése

Az Európai Parlament 2010-es költségvetése Főbb iránymutatások. Összefoglalás

A Magyarországi Evangélikus Egyház iratkezelési szabályzata TERVEZET

Átírás:

MINTA BIZTONSÁGI KATEGORIZÁLÁS SEGÉDLET

A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási keretrendszer tárgyú kiemelt projekt megvalósításának részeként készült. A dokumentum elkészítésében részt vett: 2

Metaadat-táblázat Megnevezés Leírás Cím (dc:title) Minta biztonsági kategorizálás Kulcsszó (dc:subject) IT biztonság; IT biztonsági szint; útmutató; IT biztonsági követelmény; példák Leírás (dc:description) Az e-közigazgatási projektek tervezése és megvalósítása során elengedhetetlen, hogy az adott projekt megfelelı IT biztonsági mőszaki követelmények alapján végezze a munkát. Annak elkerülésére, hogy a projektek önkényesen határozzák meg, vagy akár teljesen figyelmen kívül hagyják ezeket a tényezıket, elkészült egy háromszintő besorolás, és mindhárom kategóriához meghatározásra került egy olyan minimális vagy tipikus IT biztonsági mőszaki követelményeket tartalmazó követelményrendszer, amely az adott projektre nézve kötelezıen elıírandó, betartandó és ellenırizendı. A konkrét projektek IT biztonsági osztályba sorolásának módszerét külön útmutató dokumentum határozza meg. Jelen Segédlet a közigazgatásban használt információ típusok osztályozásával és példák bemutatásával nyújt segítséget a konkrét projektek IT biztonsági osztályba sorolásához. Típus (dc:type) Szöveg Forrás (dc:source) Kapcsolat (dc:relation) Terület (dc:coverage) Létrehozó (dc:creator) e-közigazgatási Keretrendszer Kialakítása projekt Kiadó (dc:publisher) MEH Résztvevı (dc:contributor) HunGuard Kft. Jogok (dc:rights) Dátum (dc:date) 2008.08.22. Formátum (dc:format) MS Word doc Azonosító (dc:identifier) Nyelv (dc:language) magyar Verzió (dc:version) 1.01 Státusz (State) átadott verzió Fájlnév (FileName) EKK_ekozig_MintaBiztonsagiKategorizalas_080822_V101.doc Méret (Size) 352 KB Ár (Price) Felhasználási jogok (UserRights) 3

Verziókövetési táblázat (a szabvány második oldala) A dokumentum neve A dokumentum készítıjének neve A dokumentum jóváhagyójának neve A dokumentum készítésének dátuma 2008.08.22. Verziószám 1.01 Összes oldalszám 36 A projekt azonosítója EKK_ekozig Minta biztonsági kategorizálás HunGuard Kft. Változáskezelés Verzió Dátum A változás leírása V0.9 2008.07.21. Elıminısítésre átadott verzió V0.92 2008.07.23. Ellenırzött, javított verzió V1.0 2008.07.25. Átadott verzió V1.01 2008.08.22 Hivatkozások táblázatos megadása 4

Tartalomjegyzék Metaadat-táblázat... 3 Verziókövetési táblázat (a szabvány második oldala)... 4 Változáskezelés... 4 Tartalomjegyzék... 5 1. Elıszó... 6 2. Bevezetés... 6 3. Alkalmazási terület... 7 4. Rendelkezı hivatkozások... 7 5. Fogalom-meghatározások... 9 6. Minta biztonsági kategorizálások... 9 6.1. Információ típusok... 9 6.1.1. A feladatközpontú információ típusok... 11 6.1.1.1. A feladatközpontú információ típusok meghatározása... 11 6.1.1.2. A feladatközpontú információk kihatás felmérése... 11 6.1.1.3. Példák feladatközpontú információkra... 12 6.1.1.3.1. Munkaügyi információk... 12 6.1.1.3.1.1. Képzési és foglalkoztatási információ típus... 12 6.1.1.3.1.2. Munkajoggal kapcsolatos információk... 13 6.1.1.3.1.3. Munkavállalók biztonsága információ típus... 14 6.1.1.3.2. Katasztrófavédelem... 15 6.1.1.3.2.1. Katasztrófa figyelés és elırejelzés információ típus... 15 6.1.1.3.3. Jövedelem biztosítása állampolgároknak... 16 6.1.1.3.3.1. Munkanélküli járadékok információ típus... 16 6.1.1.3.4. Közegészségügyi információk... 17 6.1.1.3.4.2. Betegség megelızés információ típus... 18 6.1.2. Menedzsment és háttér információ típusok... 19 6.1.2.1. Útmutató a menedzsment és háttér információk kihatási szintjének kiválasztásához... 19 6.1.2.2. Példák menedzsment és háttér információ típusokra... 19 6.1.2.2.1. Személyazonosító és hitelesítı információk... 19 6.1.2.2.2. Információ és mőszaki menedzsment... 21 6.1.2.2.2.3. Rendszerfejlesztéssel kapcsolatos információ típusok... 22 6.1.2.2.2.4. Életciklus/változáskezelés információ típus... 22 6.1.2.2.2.5. Rendszer karbantartás információ típus... 23 6.1.2.2.2.6. IT infrastruktúra karbantartás információ típus... 24 6.1.2.2.2.7. IT biztonság információ típus... 25 6.1.2.2.2.8. Adatok, iratok megırzésével kapcsolatos információk... 26 6.1.2.2.2.9. Információ menedzsment információ típus... 27 6.2. Összetett szolgáltató rendszer példa... 29 7. Mellékletek... 33 8. Bibliográfia... 34 9. Rövidítésgyőjtemény... 35 10. Fogalomtár... 36 5

1. Elıszó A közigazgatásban alkalmazott rendszerekkel szemben támasztott egyik követelmény, hogy informatikai biztonsági szempontból megfelelıek legyenek. Az IT biztonsági mőszaki követelmények olyan óvintézkedések (ellenintézkedések), melyeket az informatikai rendszer valósít meg, illetve hajt végre, a rendszer hardver, szoftver vagy förmver összetevıiben megvalósuló mechanizmusok segítségével. Jelen projekt keretében készített Követelmény elıírás az egyes biztonsági szintekhez határozza meg a biztonsági mőszaki követelményeket, míg a konkrét alkalmazások IT biztonsági osztályba sorolásának módszerét Útmutató dokumentum írja le. Jelen Segédlet a közigazgatásban használt információ típusok osztályozásával és példák bemutatásával nyújt segítséget a konkrét projektek IT biztonsági osztályba sorolásához Jelen dokumentum szorosan kapcsolódik az alábbi dokumentumokhoz: Útmutató az IT biztonsági szintek meghatározásához c. útmutató dokumentum [05], IT biztonsági mőszaki követelmények a különbözı biztonsági szintekre c. követelmény elıírás [06]. 2. Bevezetés Az e-közigazgatási projektek tervezése és megvalósítása során elengedhetetlen, hogy az adott projekt megfelelı IT biztonsági mőszaki követelmények alapján végezze a munkát. Annak elkerülésére, hogy a projektek önkényesen határozzák meg, vagy akár teljesen figyelmen kívül hagyják ezeket a tényezıket, jelen projekt keretében elkészült egy minimális vagy tipikus IT biztonsági mőszaki követelményeket tartalmazó követelményrendszer [06]. A követelmény elıírás háromszintő besoroláson alapul, melynek fontossága abban rejlik, hogy egy szolgáltatás, vagy IT rendszer esetében könnyen meghatározható a megkívánt IT biztonsági szint, és mindhárom szinthez konkrét IT biztonsági technikai követelmények tartoznak. Jelen projekt keretében kidolgozott Útmutató az IT biztonsági szintek meghatározásához c. útmutató dokumentum [05] meghatározza az egyes konkrét rendszerek és szolgáltatások IT biztonsági besorolásának módját. Jelen Minta biztonsági kategorizálás c. Segédlet példák, magyarázatok és minta besorolások alapján segíti az egyes rendszerek, projektek IT biztonsági osztályba sorolását. A dokumentum 6. fejezete tartalmazza az érdemi segédleteket, a 6.1. fejezetben információ típusonként határozza meg a minta kategorizálásokat, míg a 6.2. fejezetben összetett szolgáltatói rendszer esetére ad példát. 6

3. Alkalmazási terület Ez a dokumentum az informatikai rendszerek és informatikai biztonság szakértıinek készült beleértve: informatikai rendszerek és informatikai biztonság irányításával és felügyeletével foglalkozó vezetık (pl. informatikai igazgatók, magas beosztású informatikai tisztviselık és IT biztonságért felelıs vezetık); az informatikai rendszer fejlesztéséért felelıs személyek (program és projekt menedzserek, feladat/alkalmazás tulajdonosok, rendszertervezık, rendszer és alkalmazás programozók); az informatikai rendszer megvalósításáért és üzemeltetéséért felelıs személyek (pl. az informatikai rendszer tulajdonosai, az információ tulajdonosai, az informatikai rendszer rendszergazdái, az informatikai rendszer biztonsági tisztviselıi); az informatikai rendszer és informatikai biztonság felmérésével és megfigyelésével foglalkozó személyek (pl. auditorok, általános ellenırök, értékelık és tanúsítók). Az informatikai termékeket és rendszereket vagy informatikai biztonsággal kapcsolatos rendszereket készítı, vagy informatikai biztonsággal kapcsolatos szolgáltatásokat nyújtó kereskedelmi vállalatok szintén hasznosíthatják az itt leírt információkat. 4. Rendelkezı hivatkozások [01] 1992. évi LXIII. törvény a személyes adatok védelmérıl és a közérdekő adatok nyilvánosságáról [02] 1044/2005. (V. 11.) Korm. határozat a közigazgatás korszerősítését szolgáló aktuális e-kormányzati feladatokról [03] BESZÁMOLÓ az Elektronikus Kormányzat Operatív Bizottság részére a 20 leginkább keresett szolgáltatás elektronikus (online) elérhetıségének jelenlegi helyzetérıl 2005. december. [04] Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatás informatikai célrendszereinek kockázatfelmérésére, biztonsági osztályokba sorolására (Tervezet) 2006. április 24. [05] Útmutató az IT biztonsági szintek meghatározásához BME IK 2008. [06] IT biztonsági mőszaki követelmények a különbözı biztonsági szintekre BME IK 2008. [07] 24/2006. (IV. 29.) BM-IHM-NKÖM együttes rendelet a közfeladatot ellátó szerveknél alkalmazható iratkezelési szoftverekkel szemben támasztott követelményekrıl. [08] eeurope 2005 Action Plan [09] Rendszerekre vonatkozó értékelési módszertan BME IK 2008. 7

Az alábbiakban megadjuk a rendelkezı hivatkozások elérhetıségeit. Cím Külföldi elérhetıség Magyar elérhetıség 1992. évi LXIII. törvény a 1992. évi LXIII. trv. személyes adatok védelmérıl és a közérdekő adatok nyilvánosságáról 1044/2005. (V. 11.) Korm. határozat a közigazgatás korszerősítését szolgáló aktuális e- kormányzati feladatokról 1044/2005. (V. 11.) Korm. határozat BESZÁMOLÓ az Elektronikus Kormányzat Operatív Bizottság részére a 20 leginkább keresett szolgáltatás elektronikus (online) elérhetıségének jelenlegi helyzetérıl 2005. december. Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatás informatikai célrendszereinek kockázatfelmérésére, biztonsági osztályokba sorolására (Tervezet) 2006. április 24. Útmutató az IT biztonsági szintek meghatározásához BME IK 2008. IT biztonsági mőszaki követelmények a különbözı biztonsági szintekre BME IK 2008. 24/2006. (IV. 29.) BM-IHM- NKÖM együttes rendelet a közfeladatot ellátó szerveknél alkalmazható iratkezelési szoftverekkel szemben támasztott követelményekrıl. eeurope 2005 Action Plan Rendszerekre vonatkozó értékelési módszertan BME IK 2008. eeurope 2005 Action Plan 20 leginkább keresett szolgáltatás elektronikus (online) elérhetıségének jelenlegi helyzete Informatikai célrendszerek kockázatfelmérése --- --- 24/2006. (IV. 29.) BM-IHM- NKÖM --- 8

5. Fogalom-meghatározások Jelen dokumentum nem tartalmaz fogalom-meghatározásokat. 6. Minta biztonsági kategorizálások A biztonsági osztályba soroláshoz, mint azt az [05] dokumentumban bemutattuk, alapvetıen a rendszer vagy szolgáltatás által kezelt adatokból kell kiindulni. Ezért mielıtt a 6.2 fejezetben bemutatnánk néhány példát a kategorizálás elvégzésére, a 6.1 fejezetben közelebbrıl megvizsgálunk néhány lehetséges információ-típust. A biztonsági kategorizálásnál az adott szolgáltatás által kezelt információk típusán kívül figyelembe kell még venni az elektronikus közigazgatási szolgáltatásszintjét is, ami a 1044/2005. (V. 11.) Korm. Határozat [02] alapján az alábbi négy szintet jelenti: 1. elektronikus szolgáltatási szint: információs, tájékoztató szolgáltatás, amely csak általános információkat közöl az adott üggyel kapcsolatos teendıkrıl és a szükséges dokumentumokról, 2. elektronikus szolgáltatási szint: egyirányú interakciót biztosító szolgáltatás, amely az 1. szinten túl az adott ügy intézéséhez szükséges dokumentumok, nyomtatványok letöltése, és azok ellenırzéssel vagy ellenırzés nélküli elektronikus kitöltése, amely esetben a dokumentum benyújtása hagyományos úton történik, 3. elektronikus szolgáltatási szint: kétirányú interakciót biztosító szolgáltatás, amely közvetlen vagy ellenırzött kitöltéső dokumentum segítségével történı elektronikus adatbevitel és a bevitt adatok ellenırzése. Az ügy indításához, intézéséhez személyes megjelenés nem szükséges, de az ügyhöz kapcsolódó közigazgatási döntés (határozat, egyéb aktus) közlése, valamint a kapcsolódó illeték- vagy díjfizetés hagyományos úton történik, 4. elektronikus szolgáltatási szint: teljes on-line tranzakciót (ügyintézési folyamatot) biztosító szolgáltatás, amikor az ügyhöz kapcsolódó közigazgatási döntés is elektronikus úton kerül közlésre, illetve a kapcsolódó illeték- vagy díjfizetés elektronikus úton is intézhetı. Általánosságban megállapítható, hogy a biztonsági kategóriák meghatározásánál az 1. és 2. szolgáltatási szint esetén a bizalmasság biztonsági cél nem értelmezhetı, a sértetlenség és rendelkezésre állás a szolgáltatás jellegétıl függ, míg a 3. és 4. szolgáltatási szint esetén a bizalmasság is kritikus fontosságú lehet. Ez utóbbi esetekben a szolgáltatás jellegétıl függıen a hitelesség és letagadhatatlanság szempontjait is figyelembe kell venni. 6.1. Információ típusok Az információ típusok általában a következı két nagy csoportba oszthatók be minden közigazgatási szervezetnél: vannak úgynevezett, ágazat-specifikus információk, illetve olyan információk, amelyek adminisztratív, menedzsment és (háttér)támogatással kapcsolatosak. Az ágazat-specifikus információk a szervezet küldetésével, alapfeladataival kapcsolatosak ezeket feladatközpontú információknak nevezzük jelen dokumentumban, és a 6.1.1 alfejezet segít 9

példák révén azonosítani az ilyen információkat. Az utóbbiakat jelen segédletben menedzsment és háttér információknak nevezzük, és a 6.1.2 alfejezetben találunk rá példákat. A feladatközpontú információk szervezetenként eltérnek, különbözı biztonsági tulajdonságok jellemzik ıket, így a velük kapcsolatos biztonsági következmények kihatási szintjének meghatározása során adott esetben nagyobb figyelmet kívánnak vagy legalábbis eltérı szempontok figyelembe vételét igénylik, mint a másik nagy csoportba esı információk biztonsági besorolása során. A feladatközpontú információk biztonsági kompromittálódásának következményei a különbözı mőködési környezetektıl igen nagymértékben függnek, speciális szabályzókat, több helyi, speciális kockázati tényezıt kell figyelembe venni esetükben, míg a menedzsment és háttér információk esetén bár a környezeti feltételek itt sem elhanyagolhatóak, jobban követhetık a bevált gyakorlatok, szabványok; adott esetben egységes, központi törvények és utasítások vonatkoznak az ezen információ típusokba sorolható információk kezelésére. Ugyanakkor a számos szervezetnél közös jellemzıkkel rendelkezı menedzsment és háttér információkhoz rendelt kihatási szintet erısen befolyásolják a kapcsolódó feladatközpontú információk. Ezt azt jelenti, hogy a nagyon érzékeny vagy kritikus fontosságú feladatközpontú információ típusokkal együtt használt menedzsment és háttér információkhoz magasabb kihatási szint rendelhetı, mint a kevésbé érzékeny vagy kritikus feladatközpontú információkkal használt menedzsment és háttér információkhoz. A közigazgatási szervezeteknek, miután megállapították a kihatási szintet adott információ típusra, meg kell vizsgálniuk, hogy az adott információra megállapított kihatási szint fenntartható-e a tervezett (vagy már meglévı) mőködési környezetben, majd e vizsgálattól függıen elfogadhatják az elsı körben meghatározott szintet, illetve módosíthatják azt. Az információ kihatási szintje csak a közigazgatási szervezet mőködési környezetének ismeretében határozható meg. Ugyanaz az információ típus alacsony kihatású lehet az egyik szervezet vagy akár ugyanazon szervezet egyik alrendszerében, míg egy másik szervezetnél vagy a szervezet másik alrendszerében vagy másik munkafolyamatában betöltött szerepe révén magas kihatási szint rendelendı hozzá. Az informatikai rendszerek többféle információ típust dolgoznak fel, melyek nem ugyanazon kihatási szintre sorolhatók be. Egyes információ típusok kompromittálódása nagyobb mértékben veszélyezteti a rendszer funkcionalitásának biztonságos mőködését és a szervezet küldetésének teljesítését, mint más információ típusoké. A rendszer biztonsági kihatási szintet a rendszer küldetésének és feladatának összefüggéseiben, és a rendszer adatait alkotó információ típusok összessége alapján kell felmérni. Jelen segédlet információ típusokra vonatkozó példái egy provizórikus biztonsági szintet javasolnak a szerepeltetett információ típusokra. Ez a javasolt szint azonban, csak az általában feltételezhetı normál mőködési környezet mellett értelmezhetı, és konkrét helyzetben, konkrét rendszerben módosítható / módosítandó. Egyes esetekben magyarázatot is főztünk a biztonsági cél javasolt kihatási szintjéhez, valamint a figyelembe veendı speciális tényezıkre is kitértünk szemléltetı jelleggel, megmutatván, hogy egy javasolt kihatási szint esetén milyen szempontok merülhetnek fel ahhoz, hogy az általában ajánlott szint helyett magasabb vagy alacsonyabb szintet állapítsunk meg. 10

6.1.1. A feladatközpontú információ típusok A feladatközpontú információk közé tartoznak a közigazgatási ágazati információk, és a közigazgatás, kormányzat által a szervezeti küldetés, a feladatok eléréséhez használt mechanizmusokhoz kapcsolódó információk. A feladatközpontú információ típusok azok az információk, amelyek a különbözı részlegekre, szervezetekre, vagy ezek csoportjaira kifejezetten jellemzıek, speciálisak, jól elhatárolhatók más információ típusoktól, egy bizonyos részfeladathoz vagy speciális területhez kapcsolódnak, míg a 6.1.2 pont alatt tárgyalt adminisztratív jellegő, menedzsment és háttér információ típusok megegyeznek, hasonlóak számos szervezetre, részlegre. 6.1.1.1. A feladatközpontú információ típusok meghatározása A közigazgatási szervezetek az információ típusok széles körét kezelik: győjtik, állítják elı, dolgozzák fel, tárolják, továbbítják. Az információ típusok meghatározása megfelelı osztályozási séma (taxonómia) körültekintı kialakítását igényli. Ennek kidolgozása azért nehéz, mert jól kell megállapítani a részletesség szintjét. Ha túl tág kategóriák jönnek létre, akkor az adott kategóriába túl sokféle információ sorolható be, így a biztonsági kihatás meghatározása során az információ típus nem lesz használható. A túl részletes lebontás pedig az osztályozási séma gyakori módosítását igényli, és gyakorlatilag információ elem szintő részletességő lesz, ezáltal az információ típusba sorolás veszti el értelmét. A közigazgatási informatikai rendszerek és információk nagy részének a feladata, hogy közvetlenül szolgáltatásokat biztosítson. A feladatközpontú információ típusok kidolgozásának szervezet szinten is alkalmazható módszere, hogy dokumentálják a közigazgatási szervezet profilját és küldetését. Ezután a fıbb alfunkciókat kell meghatározni, amelyek az egyes ágazati és küldetési területek végrehatásához szükségesek. Például, egy szervezet egyik küldetése lehet a törvény érvényre juttatása, a rendvédelem. Ennek a küldetésnek egyik alfunkciója felölelheti a nyomozást és megfigyelést, letartóztatást, bőnözık bebörtönzését, az állampolgárok védelmét, bőnmegelızést, a magántulajdon védelmét. Ezen alfunkciók mindegyike szintén egy információ típust képvisel. Egyes ágazati és küldetési területeket és az ıket alkotó alfunkciókat az ágazat- illetve küldetés-specifikus informatikai rendszerek támogatják. A rendszer tulajdonosa, vagy az általa kijelölt személy felelıs a rendszerben tárolt, feldolgozott vagy generált információ típusok azonosításáért. A feladatközpontú (küldetés vagy ágazat-specifikus) információknál a felelıs személyeknek a menedzselésért, mőködtetésért és biztonságért felelıs érintettekkel együtt össze kell állítani egy átfogó ágazati és küldetési terület lefedést, továbbá az ezen feladatokat, küldetést végrehajtó funkciókat és alfunkciókat. Minden ágazati terület alfunkciója megfelel egy információ típusnak. 6.1.1.2. A feladatközpontú információk kihatás felmérése A közvetlen szolgáltatások biztosítják a feladatközpontú (ágazat/küldetés specifikus) információk és informatikai rendszerek kihatási szintjének és biztonsági céljainak meghatározásához az elsıdleges keretet. Az információk jogosulatlan felfedése, 11

sértetlenségüknek a megsértése, illetve a szolgáltatásokhoz való hozzáférés megtagadása események következményeit a biztosítandó vagy támogatott szolgáltatás jellege és az általa nyújtott elınyök határozzák meg. Minden közigazgatási szervezet betölt legalább egyféle küldetést, de vannak olyanok, amelyek többet is megosztanak a különbözı részlegeik között. A közvetlen szolgáltató rendszerek feldolgoznak mind menedzsment és háttér információkat, mind pedig feladatközpontú információkat is. A biztonsági célokra azonosított kihatási szint megválasztás követelményei és a lehetséges veszteségek típusai (lásd [05] dokumentum vonatkozó fejezeteit) alkalmazása révén a kihatási szint meghatározásáért felelıs egyénnek meg kell jelölnie a kihatási szintet és az ebbıl következı biztonsági kategóriát minden egyes feladatközpontú információ típusra, amit a különbözı rendszerekre azonosítottak. A végsı rendszer biztonsági kategória a rendszerben tárolt, általa feldolgozott vagy létrehozott egyes információ típusok kihatási szintjén alapul, hozzávéve ehhez az [05] dokumentum vonatkozó fejezeteiben ismertetett egyéb tényezıket. Megemlítendı, hogy a bizalmasság biztonsági cél esetén eleve figyelembe kell venni a törvényi rendelkezés által elıírt módon, speciális kezelendı információkat, nevezetesen amelyek a 1992. évi LXIII. törvény [01] hatálya alá esnek. Ilyen információ típusok esetén bizonyos minimális biztonsági kihatási szinttel eleve számolni kell minden olyan rendszernél, amely ilyen információkat tárol, dolgoz fel vagy állít elı. (Ilyen információk például: üzleti titkok, a Központi Statisztikai Hivatal adatai, kimutatásai.) 6.1.1.3. Példák feladatközpontú információkra 6.1.1.3.1. Munkaügyi információk A foglakoztatás, munkaügy azon tevékenységeket foglalja magába, ami lehetıvé teszi az ország munkaerejét képviselı állampolgárok jólétét és hatékonyságát segítik elı, azáltal, hogy fejlesztik a munkafeltételeket, a munkaerı hozzáértését, jövedelmezı alkalmazásának lehetıségeit növeli. 6.1.1.3.1.1. Képzési és foglalkoztatási információ típus Az e típusba tartozó információk a következı területekhez kapcsolódnak: foglalkoztatási, képzési programok, foglalkoztatási szolgáltatások és programok a hátrányos helyzetőek, munkanélküliek, alacsony jövedelmőek foglalkoztatásának elısegítése. A képzési információkhoz tartoznak a különleges képzések is (például a paksi atomerımővel kapcsolatos katasztrófa elhárítási kiképzés; kommandós kiképzések bizonyos adatai, például, hogy kik vettek részt ilyen programokon). Javasolt biztonsági kategória erre az információ típusra: Biztonsági kategória = {(bizalmasság, alacsony), (sértetlenség, alacsony), (rendelkezésre állás, alacsony)} Bizalmasság: A legtöbb képzési és foglalkoztatási információ illetéktelen megismerésének következményei korlátozott káros hatást jelentenek a szervezetek feladataira, értékeire vagy a személyekre. 12

Speciális szempontok: A foglakoztatási és képzési rendszerekben feldolgozott személyes információk és az ezekkel kapcsolatos törtvények betartása miatt nem szükséges-e adott esetben fokozott, esetleg kiemelt kihatási szint megállapítása ezen információkra. Sértetlenség A képzési és foglalkoztatási információ módosításának vagy megsemmisítésének következményei korlátozott káros hatást jelentenek a szervezetek feladataira, értékeire vagy a személyekre. A külsı kommunikációt (pl. web oldalak, elektronikus levelezés) érintı jogosulatlan információ módosítás vagy megsemmisítés károsan befolyásolja a szervezet mőködését és/vagy a belé vetett nyilvános bizalmat, de az alapfeladatok teljesítésében okozott kár általában korlátozott. Speciális szempontok: A speciális foglalkozások (pl. kommandós kiképzés) képzési színvonalának emelését célzó képzési programok esetén a sértetlenség elvesztésének következményei a küldetést, sıt, adott esetben emberek biztonságát is veszélyeztetheti. Ekkor a sértetlenségi kihatás szintje fokozottól kiemelt szintig terjedhet. Rendelkezésre állás A hozzáférés elvesztésének kihatásai a legtöbb képzési és foglalkoztatási információ vagy informatikai rendszer esetén korlátozott hátrányos hatást jelentenek a szervezet mőködésére, értékeire vagy a vele kapcsolatban álló egyénekre. 6.1.1.3.1.2. Munkajoggal kapcsolatos információk A munkajogi információk azon tevékenységekben keletkeznek, amelyeket annak érdekében kell elvégezni, hogy biztosított legyen, hogy a munkavállalók és a munkáltatók tudatában vannak és megfelelnek mindazon törvényeknek és szabályozóknak, ami a munkavállalással kapcsolatos jogokat érinti, ideértve a bérekhez, fizetésekhez, biztonsághoz, egészséghez, és a társadalmi kirekesztéssel szembeni politikához kapcsolódó jogszabályokat. A munkajogok kezelése információ típus javasolt kategorizálása: Biztonsági kategória = {(bizalmasság, alacsony), (sértetlenség, alacsony), (rendelkezésre állás, alacsony)} Bizalmasság: A bizalmassági kihatási szint annak a hatása, hogy a munkavállalói jogokkal kapcsolatos információk illetéktelenek általi megismerése, felfedése hogyan befolyásolja a felelıs igazgatási szerveket annak biztosításában, hogy a munkavállalók és munkaáltatók tudatában legyenek és megfeleljenek a fentebb részletezett szempontoknak. Egyes esetekben elıfordulhat, hogy a tervezett munkajogokkal kapcsolatos intézkedések idı elıtti kiszivárgása, felfedése károsan befolyásolhatja az érintett szervek mőködését, de megállapítható, hogy a munkajogi információk illetéktelen felfedése korlátozott negatív hatást jelent a szervezet értékeire, mőveleteire és az egyénekre. 13

Sértetlenség A külsı kommunikációt (pl. web oldalak, elektronikus levelezés) érintı jogosulatlan információ módosítás vagy megsemmisítés károsan befolyásolhatja a szervezet mőködését és/vagy a felé megnyilvánuló közbizalmat, de az alapfeladatok teljesítésében okozott kár általában korlátozott. A munkajogok kezelésével kapcsolatos információk jogosulatlan módosításának vagy megsemmisítésének következményei a legrosszabb esetben is korlátozott káros hatást jelentenek a szervezet feladataira, értékeire vagy az egyénekre. Rendelkezésre állás A hozzáférés elvesztésének kihatásai a legtöbb munkajogi információ vagy informatikai rendszer esetén korlátozott hátrányos hatást jelentenek a szervezet mőködésére, értékeire vagy a vele kapcsolatban álló egyénekre. 6.1.1.3.1.3. Munkavállalók biztonsága információ típus A munkavállalók biztonsága azokra a tevékenységekre vonatkozik, amelyeket az élet védelme, sérülések megelızése, és a munkavállalók egészségének megırzése érdekében hoznak és foganatosítanak. A munkavállalók biztonsága információ típus javasolt kategorizálása: Biztonsági kategória = {(bizalmasság, alacsony), (sértetlenség, alacsony), (rendelkezésre állás, alacsony)} Bizalmasság: A bizalmassági kihatási szint annak a kihatása, hogy a munkavállalók biztonságával kapcsolatos információk illetéktelenek általi megismerése, felfedése hogyan befolyásolja a felelıs igazgatási szerveket a munkavállalók egészségének és biztonságának védelmét biztosító tevékenységében. Egyes esetekben elıfordulhat, hogy a tervezett, munkabiztonsággal kapcsolatos intézkedések idı elıtti felfedése károsan befolyásolhatja az érintett szervek mőködését, de általában a munkabiztonsági információk illetéktelen felfedése korlátozott negatív hatást jelent a szervezet értékeire, mőveleteire és az egyénekre. Sértetlenség A külsı kommunikációt (pl. web oldalak, elektronikus levelezés) érintı jogosulatlan információ módosítás vagy megsemmisítés károsan befolyásolhatja a szervezet mőködését és/vagy a felé megnyilvánuló bizalmat, de az alapfeladatok teljesítésében okozott kár általában korlátozott. A munkabiztonság kezelésével kapcsolatos információk jogosulatlan módosításának vagy megsemmisítésének következményei a legrosszabb esetben is korlátozott káros hatást jelentenek a szervezet feladataira, értékeire vagy az egyénekre. Rendelkezésre állás A hozzáférés elvesztésének kihatásai a legtöbb munkabiztonsági információ vagy informatikai rendszer esetén korlátozott hátrányos hatást jelentenek a szervezet mőködésére, értékeire vagy a vele kapcsolatban álló egyénekre. 14

6.1.1.3.2. Katasztrófavédelem A katasztrófavédelem azokat a tevékenységeket foglalja magába, amelyek természet vagy emberi közremőködés által okozott fizikai vagy civilizációs katasztrófák kihatásinak kezelésére való felkészüléssel, az ilyen katasztrófákra való válaszokkal, a károk enyhítésével kapcsolatosak. Az ide tartozó információ típusok közül többre is igaz, hogy kompromittálódásuknak súlyos következményei lehetnek a kritikus infrastruktúra és kulcsfontosságú nemzeti vagyon, illetve a személyek védelme terén. 6.1.1.3.2.1. Katasztrófa figyelés és elırejelzés információ típus A katasztrófa figyelés és elırejelzés magába foglalja azokat a tevékenységeket, amelyek annak elırejelzéséhez szükségesek, hogy mikor és hol történhet katasztrófa, és ezen információk érintett felekhez való továbbítását. Bizonyos katasztrófa kezelési információk más ágazati területeken is felbukkanhatnak, például menekültüggyel, segélyszervezetekkel kapcsolatos tevékenységet végzı ágazatokban. A javasolt biztonsági kategorizálás a katasztrófa figyelés és védelem információ típus esetén: Biztonsági kategória = {(bizalmasság, alacsony), (sértetlenség, kiemelt), (rendelkezésre állás, kiemelt)} Bizalmasság A bizalmassági kihatási szint annak a kihatása, hogy a katasztrófa figyelési és elırejelzési információk illetéktelenek általi megismerése, felfedése hogyan befolyásolja a felelıs közszervek képességeit a ezen információk alapján történı cselekvési programjuk kivitelezésében, a katasztrófák elırejelzésében és kommunikálásában. A katasztrófa figyelés és elırejelzés tevékenység egyik célja általában az információ közzététele. A nyers információk különbözı elemzı csoportok közötti megosztása gyakran növeli az elırejelzés pontosságát, megbízhatóságát. Speciális szempontok: Egyes katasztrófa figyelési és elırejelzı információk jogosulatlan felfedésének következménye lehet társadalmi pánik vagy egyéb olyan reakció, ami a közbiztonságot, a katasztrófavédelmet, vészreagálást, katasztrófa helyzetbıl való helyreállítást veszélyezteti. Például nagyobb népességő városok kitelepítése egy veszélyeztetett területrıl a menekülési útvonalak kialakításához szükséges elıkészületek megtétele elıtt az útvonalak zavarásához vezethet, és meghiúsíthatja a lakosság idıben történı kitelepítését. A katasztrófavédelmi és elırejelzési információk közül számos kritikus fontosságú az emberi élet veszélyeztetése és jelentıs vagyoni kár okozásának kihatása miatt. Az ilyen információk jogosulatlan kibocsátása gátolhatja a katasztrófavédelmi és vészhelyzet kezelési feladatokat. Az ilyen esetekben a katasztrófa figyelési és elırejelzési információk bizalmasságának elvesztésével járó kihatási szint fokozott vagy kiemelt is lehet. A katasztrófa figyelési és elırejelzési információk terroristák felé történı jogosulatlan felfedése feltárhatja a gyenge vagy érzékeny célpontokat, egy célpont támadásához leghatékonyabb módszereket, eszközöket. Amennyiben reális veszély az ilyen típusú információk illetéktelen felfedésének terroristák általi közvetlen haszna, akkor a javasolt bizalmasság elvesztés kihatási szint: kiemelt. 15

Sértetlenség A katasztrófa figyelés és elırejelzési információk jogosulatlan módosításának vagy megsemmisítésének következményei általában attól függnek, hogy az információ idıkritikus-e. Ezen információ típus jogosulatlan módosítása vagy megsemmisítése veszélyeztetheti a közbiztonságot, a katasztrófa megelızést, és/vagy vészhelyzetek kezelését olyan módon, hogy elfogadhatatlan károkhoz vezet kritikus infrastruktúrákban, kulcsfontosságú nemzeti vagyonban vagy emberélet elvesztéséhez vezet. Például, olyan sértetlenség kompromittálódás, ami megakadályozza az árvizek, viharok, földrengések idıben történı, gyors és pontos közlését, emberéletet veszélyeztetı következményekkel járhat. Javasolt kihatási szint: kiemelt. Rendelkezésre állás A katasztrófa figyelı és elırejelzı információk által támogatott információkhoz való hozzáférés nem viseli el a késleltetést, hiszen ez életekbe kerülhet és nem pótolható vagyon elvesztésével járhat; például a küldetés alacsonyabb fokon történı teljesítésébe kerülhet, és a kritikus infrastruktúrában, kulcsfontosságú nemzeti értékekben és/vagy emberéletben katasztrofális következményekkel járhat. Például, olyan információ rendelkezésre állásának elvesztés, ami megakadályozza a földrengések, árvizek, viharok idıben történı, gyors és pontos közlését, emberéletet veszélyeztetı következményekkel járhat. Javasolt kihatási szint: kiemelt. 6.1.1.3.3. Jövedelem biztosítása állampolgároknak A jövedelem biztosítás kormányzati tevékenység azt biztosítja, hogy a társadalom tagjai hozzájussanak a szükségleteik kielégítéséhez szükséges anyagi vagy egyéb természető javakhoz, elfogadható életszínvonal fenntartását biztosító mértékben. Ide tartoznak a járulékokkal kapcsolatos programok, a munkából származó jövedelmek és az egyéb jövedelmek, amelyek az állampolgárok említett igényeinek kielégítését szolgálják. 6.1.1.3.3.1. Munkanélküli járadékok információ típus A munkanélküli járadék bevételt biztosít azoknak, akik nincsenek alkalmazásban, de új munkahelyet keresnek. A munkanélküli járadék információ típus javasolt biztonsági kategorizálása: Biztonsági kategória = {(bizalmasság, alacsony), (sértetlenség, alacsony), (rendelkezésre állás, alacsony)} Bizalmasság A bizalmassági kihatási szint annak a hatása, hogy a munkanélküli járadékkal kapcsolatos információk illetéktelenek általi megismerése, felfedése hogyan befolyásolja a felelıs közszervek képességeit a járadék folyósításával kapcsolatos tevékenységének végzésében. Az ilyen típusú információk illetéktelen felfedésének a legtöbb következménye nem valószínő, hogy komoly káros kihatással jár a szervezet feladataira, értékeire, illetve a vele kapcsolatba kerülı személyekre. Speciális szempontok: Kivételt képezhetnek a személyes adatok körébe tartozó információk, melyek adott esetben komolyabb következményekkel járnak, ekkor az ilyen információk esetében a fokozott kihatási szint meghatározása is indokolt lehet. 16

Sértetlenség A munkanélküli járadék információk jogosulatlan módosítása vagy megsemmisítése csak korlátozott negatív következményekkel jár a szervezet feladataira. A külsı kommunikációt (pl. web oldalak, elektronikus levelezés) érintı jogosulatlan információ módosítás vagy megsemmisítés károsan befolyásolhatja a szervezet mőködését és/vagy a felé megnyilvánuló bizalmat, de az alapfeladatok teljesítésében okozott kár általában korlátozott. Rendelkezésre állás A hozzáférés elvesztésének kihatásai a legtöbb munkanélküli járadék információ vagy információs rendszer esetén korlátozott hátrányos hatást jelentenek a szervezet mőködésére, értékeire vagy a vele kapcsolatban álló egyénekre. Kapcsolódás a 20 legkeresettebb elektronikus szolgáltatás listához [03] Ezen információ típus esetén az IHM [04] ajánlás tervezetében a Munkanélküli járadék igénylése szolgáltatás javasolt biztonsági kategorizálása: Biztonsági osztály = alacsony, az alábbi: {(bizalmasság, nem értelmezhetı), (sértetlenség, alacsony), (rendelkezésre állás, alacsony)} kategorizálás alapján. A bizalmasságnál ebben az esetben azért a nem értelmezhetı szerepel, mert ezen szolgáltatás csak nyilvános információkat kezel (a munkanélküli járadékok igénylésével kapcsolatos tájékoztatások, bizonyos formanyomtatványok biztosítása a honlapom). Amennyiben azonban ezt a szolgáltatás a nyilvános információk közzétételét biztosító szolgáltatási szinttıl (2. elektronikus szolgáltatási szint: egyirányú interakció, az adott ügy intézéséhez szükséges nyomtatványok letöltése) magasabb szintő szolgáltatássá válna, azaz kétirányú kölcsönhatás keretében elektronikus adatmegadás történne, akkor ebben az esetben a bizalmasság biztonsági célt is figyelembe kellene venni. 6.1.1.3.4. Közegészségügyi információk A közegészségügyi információk olyan országos szintő programokkal és tevékenységekkel kapcsolatos információkat jelentenek, amelyek a társadalom tagjainak jólétével és egészségével kapcsolatosak. Magába foglalja az egészségügyi szolgáltatások közvetlen biztosításával és a járványok, betegségek azonosításával, felismerésével kapcsolatos trendek, indikátorok feldolgozása során keletkezı információkat is. Felöleli a munkából származó jövedelmek után járó és az egyéb jogon járó egészségügyi járadékokkal kapcsolatos információkat. Egyes közegészségügyi információk és információs rendszerek a közegészségügyi infrastruktúra kritikus elemeinek biztonságát is érinthetik. 17

6.1.1.3.4.2. Betegség megelızés információ típus A betegségmegelızés olyan tevékenységeket támogat, amelyek a betegségek és kórok megelızésével és enyhítésével kapcsolatosak. A betegség megelızéshez (pl. ÁNTSZ) kapcsolódó egyes információk és információs rendszerek kihatásai befolyásolhatják a közegészségügyi infrastruktúra biztonságát. Ilyen esetekben a kihatási szint a sértetlenség és rendelkezésre állás biztonsági célok esetében kiemelt is lehet. Általában azonban az alábbi biztonsági kategorizálás ajánlható a betegség megelızési információ típus esetén: Biztonsági kategória = {(bizalmasság, alacsony), (sértetlenség, fokozott), (rendelkezésre állás, alacsony)} Bizalmasság A bizalmassági kihatási szint annak a hatása, hogy a betegség megelızési információk illetéktelenek általi megismerése, felfedése hogyan befolyásolja a felelıs közszervek képességeit a betegségek megelızésében és enyhítésében. Az ilyen típusú információk illetéktelen felfedésének a legtöbb következménye nem valószínő, hogy komoly káros kihatással jár a szervezet feladataira. Sértetlenség A sértetlenség kihatási szint az adott céltól és a cél megvalósítását támogató adatoktól függ, és nem az információ módosítása vagy megsemmisítése észleléséhez szükséges idı függvénye. A betegség megelızési információk jogosulatlan módosítása vagy megsemmisítése komoly káros következményeket jelenthet, ha az állampolgárokat helytelen orvosi tanáccsal látják el, rosszul informálják, rosszul címkézett, fertızött vagy egyéb módon káros gyógyszerek fogyasztásának kockázata merülhet fel. A betegség megelızési információkra vonatkozó külsı kommunikációt érintı jogosulatlan információ módosítás vagy rongálás károsan befolyásolhatja a szervezet feladatainak teljesítését, küldetését és a szervezet felé a társadalom irányából megnyilvánuló bizalmat. Speciális szempontok: Egyes esetekben, a betegség megelızési információk jogosulatlan és észrevétlen módosítása vagy megsemmisítése, rongálása az emberi élet elvesztését is okozhatja, ekkor az ilyen információkhoz a kiemelt kihatási szint hozzárendelése is indokolt lehet. Javasolt kihatási szint: fokozott. Rendelkezésre állás A rendelkezésre állás kihatási szint az adott céltól és a cél megvalósítását támogató adatoktól függ, és nem a betegség megelızési információkhoz való hozzáférés ismételt kialakításától. Kivételt képeznek azok a sürgısségi helyzetek, amikor közzé kell tenni olyan információkat, amelyek azonnali intézkedést igényelnek a közegészségügyi és betegség megelızési folyamatokban, de ezeket leszámítva a betegség megelızési folyamatok általában elbírnak elfogadható mértékő késlekedést. Speciális szempontok: Életveszélyes szituációkban szükséges sürgısségi kommunikáció túl hosszú idıre való kiesése merülhet fel, akkor a rendelkezésre állás kihatási szintje kiemelt is lehet. 18

6.1.2. Menedzsment és háttér információ típusok A közigazgatási, államigazgatási szervek és számos általuk használt rendszer nem közvetlenül nyújt szolgáltatásokat az állampolgároknak, hanem elsıdlegesen az erıforrások kezelését vagy a szolgáltatások nyújtásának támogatását végzi. Ebben a szakaszban közigazgatási információ típusokra mutatunk példákat, és a menedzsment és háttér információ típusokhoz javaslunk biztonsági kategóriákat, egyes esetekben magyarázatokkal kiegészítve az alap javasolt besorolást. 6.1.2.1. Útmutató a menedzsment és háttér információk kihatási szintjének kiválasztásához A feladatközpontú információkhoz hasonlóan, a menedzsment és háttér információs és információs rendszerek típusait is elsı lépésben le kell képezni biztonsági célokra és kihatási szintekre, melyhez azonosítani kell a rendszerben tárolt, ott feldolgozott és/vagy létrehozott információ típusokat. A [05]-ben ismertetett útmutató és a [06]-ban azonosított biztonsági követelmények által támasztott igények ismeretében a következı lépés, hogy minden vonatkozó információ típusra meg kell állapítani a kihatási szintet és az ebbıl következı biztonsági kategóriát. A rendszer biztonsági kategória a rendszerben tárolt, általa feldolgozott vagy létrehozott egyes információ típusokra vonatkozó biztonsági célokhoz megállapított kihatási szintjen alapul, hozzávéve ehhez a [ Útmutató az IT biztonsági szintek meghatározásához ] dokumentumban [05] ismertetett egyéb tényezıket, melyek a rendszer kihatási szintjét befolyásolják. Például a konfiguráció és biztonsági szabályzat érvényre juttatását segítı információ magába foglaka a jelszavakat, hálózati hozzáférési szabályokat, további hardver és szoftver beállításokat, és a dokumentációkat, melyek az információs rendszer adataihoz, programjaihoz és/vagy folyamataihoz való hozzáférést befolyásolhatják. Ezen információkészlethez és folyamatokhoz minimálisan hozzárendelhetı az alacsony biztonsági kihatási szint. 6.1.2.2. Példák menedzsment és háttér információ típusokra 6.1.2.2.1. Személyazonosító és hitelesítı információk A személyazonosító és hitelesítı információk azokat az információkat jelenti, amelyek annak biztosításához szükségesek, hogy minden személy, aki a közigazgatási szolgáltatás használatára jogosult, azonosítva legyen, garantálva, hogy a közigazgatási rendszer a megfelelı személlyel kommunikál. Ezen információk közé tartoznak a társadalombiztosítási azonosító jel, nevek, születési dátumok, születési hely, szülık neve stb. A személyazonosító és hitelesítı információ típus javasolt biztonsági kategorizálása: Biztonsági kategória= {(bizalmasság, fokozott), (sértetlenség, fokozott), (rendelkezésre állás, fokozott)} Bizalmasság A bizalmasság kihatási szint azon a következményen alapul, amit a személyazonosító és hitelesítı adatok jogosulatlan felfedése okoz az illetékes szervezetek azon képességére nézve, hogy megállapítsák, hogy a megfelelı egyénnel kommunikálnak-e az elektronikus 19

szolgáltatás biztosítása során, és képesek-e az egyének azonosságát biztosító adatok ellopását és az ezzel kapcsolatos csalásokat megakadályozni. Az ilyen adatok és egyéb forrásinformációk jogosulatlan felfedése és illetéktelen általi megismerése megsérti 1992. évi LXIII. Törvényt [01], és egyéb, vonatkozó, a személyes és közigazgatási, kormányzati adatok közzétételével kapcsolatos szabályozót. Sok esetben a személyazonosító és hitelesítı információk illetéktelen általi megismerése csak korlátozott hátrányos kihatással jár a szervezet mőködésére, azonban az ilyen információk például bőnözık általi használata személyazonosság ellopása és a kapcsolódó csalás révén súlyos károkat okozhat az érintett egyéneknek. A központilag kezelt személyazonosító és hitelesítı információk, mint például az útlevél és vízumellenırzéssel kapcsolatos adatbázisok jogosulatlan megismerése komoly káros következményt jelent a szervezet feladatainak végzésére. Speciális szempontok: A személyazonosító és hitelesítı információk nagy tömegő felfedésének igen jelentıs összegzett kártérítés fizetési kötelezettség lehet a következménye. A társadalom tagjaira vonatkozóan nagy mennyiségő bevétellel kapcsolatos információkat kezelı szervezetek /például hazánkban az Országos Egészségbiztosítási Pénztár (OEP), Magyar Államkincstár (MÁK), Országos Nyugdíjbiztosítási Fıigazgatóság (ONYF)/ ilyen információi esetén a bizalmassági kihatási szint legalább fokozott besorolású. Amennyiben a személyazonosító és hitelesítı információkat szolgáltatásokhoz való hozzáféréshez, létesítményekbe történı belépéshez vagy határellenırzési célokra használják, akkor az engedélyekkel való visszaélést lehetıvé tevı jogosulatlan információ megismerés következményei a kiemelt szintre való besorolást is indokolhatják. Javasolt kihatási szint: fokozott. Sértetlenség A sértetlenség kihatási szint a személyazonosító és hitelesítı adatok felhasználási céljától függ. Az olyan nagymérető adatbázisok esetén, amelyek személyazonosító és hitelesítı információkat tartalmaznak a társadalom széles körére vonatkozóan, jelentıs a valószínősége, hogy hibás tevékenységek következnek be sok embert érintı járadékokra való jogosultságokat érintıen, vagy szolgáltatásokhoz való hozzáféréshez kapcsolódóan. Járadékok esetén ez minimum rövid távú pénzügyi nehézséget okoz az érintett állampolgároknak. Számítani lehet arra is, hogy a szervezet feladatait érintıen komoly fennakadások következhetnek be, mivel a javító, helyre állító intézkedések jelentıs idı és erıforrás lekötést igényelhetnek. Speciális szempontok: Kisebb szervezetek esetén, és olyanoknál, ahol az érintett információ az alkalmazottakra korlátozódik, szintén lehet káros kihatás, de a következmények ekkor csak az alacsony sértetlenség kihatási szintet indokolják. Amennyiben az adatmódosítás például létesítményekhez való hozzáférést, vagy nem kívánatos személyek országba való beutazását érinti, a kiemelt sértetlenség kihatási szintre való besorolás is indokolt. Javasolt kihatási szint: fokozott. Rendelkezésre állás A rendelkezésre állás kihatási szint a személyazonosító és hitelesítı adatok felhasználási céljától függ. A járadékokkal kapcsolatos folyamatok általában tolerálnak kisebb késlekedését. A legtöbb esetben a személyazonosító és hitelesítı információkhoz való 20

hozzáférés idıleges elvesztése csak korlátozott negatív következményekkel jár a szervezetre nézve. Speciális szempontok: A társadalom tagjainak széles körére vonatkozóan személyazonosító és hitelesítı adatokat tartalmazó nagymérető adatbázisok esetén számolni kell jelentıs valószínőséggel a tekintetben, hogy sok embert fog érinteni a járadékok biztosításának vagy szolgáltatásokhoz való hozzáférésnek a késlekedése. Minél nagyobb az érintett rekordok száma, várhatóan annál nagyobb lesz a késlekedés. Ez az állampolgárok számára pénzügyi nehézséget okozhat, és a felgyülemlett feldolgozandó adatok miatt a szervezet mőködésében is zavarokat okozhat. Ilyen esetekben a rendelkezésre állás kihatási szint legalább fokozott legyen. Amennyiben a rekordok teljes elvesztése vagy például sürgısségi feladatokat végzı személyzet létesítményekhez való hozzáférésének elvesztése is bekövetkezhet, akkor pedig a kiemelt ihatási szint is indokolt. Javasolt kihatási szint: fokozott. Kapcsolódás a 20 legkeresettebb elektronikus szolgáltatás listához [03] Ez az információ típus a 20 legkeresettebb elektronikus szolgáltatások listáján szereplı szolgáltatások közül többhöz is kapcsolódik. Így például természetszerőleg a Személyes dokumentumokkal (útlevél igénylés, gépjármő vezetıi engedély igénylés) kapcsolatos ügyintézéshez, de a gépjármő nyilvántartáshoz, az anyakönyvekkel kapcsolatos szolgáltatásokhoz is. Az elektronikus szolgáltatási szintek közül az 1. és a 2. szint egyirányú interakciót jelent, a 3. szinten jelenik meg a kétirányú interakció. Az [04] dokumentumban az Útlevéligénylés és útlevéllel kapcsolatos egyéb ügyintézés megnevezéső szolgáltatás a bizalmasság biztonsági célra a nem értelmezhetı kategóriát adta, ennek oka, az elıbb említett szolgáltatási szintekben keresendı, hiszen az elsı és második szint esetén a bizalmasságot nem értelmezhetı kategória, ez a 3. szolgáltatási szinten jelenik meg informatikai biztonsági célként. 6.1.2.2.2. Információ és mőszaki menedzsment Az IT menedzsment magába foglalja az e-közigazgatási szolgáltatásokat lehetıvé tevı vagy támogató IT erıforrások és rendszerek mőködésének koordinálását. Az IT rendszerek mőködésével kapcsolatos információkra számítható kihatást gyakorlatilag mindig figyelembe kell venni, még akkor is, ha a rendszer által feldolgozott minden, a szervezet küldetésére, feladataira vonatkozó információt a nagy nyilvánosság számára kívánnak elérhetıvé tenni. A sértetlenség és rendelkezésre állás lényegi szempontjai eltérhetnek a bizalmasságétól. A nyilvánossá tett információ alaphelyzetben nem igényel bizalmassági védelmet. Ezzel ellentétben, a sértetlenség és rendelkezésre állás nem tartható fenn azon információpéldányokra, melyet a nyilvánosság számára tettek közzé, osztottak szét. A sértetlenség és rendelkezésre állás garanciái csak azáltal tarthatók fenn, ha megırzik az információ másolatokat a szervezet által felügyelt információs rendszerekben. 21

6.1.2.2.2.3. Rendszerfejlesztéssel kapcsolatos információ típusok A rendszerfejlesztés minden olyan tevékenységet támogat, ami a szoftver alkalmazások szervezeten belüli tervezésével és fejlesztésével kapcsolatos. A rendszerfejlesztési információ típus javasolt biztonsági kategorizálása: Biztonsági kategória= {(bizalmasság, alacsony), (sértetlenség, fokozott), (rendelkezésre állás, alacsony)} Bizalmasság A bizalmasság biztonsági cél kihatási szintje az a következmény, amit a rendszerfejlesztési információ illetéktelenek általi megismerése jelent a szervezeten belüli szoftveralkalmazás tervezésért és fejlesztésért felelısök képességeire. A rendszerfejlesztési szakaszban kialakítják a rendszer biztonsági konfigurációjának alapkészletét. A legtöbb esetben, a rendszerfejlesztési információ nem különösebben érzékeny, és a felhasználók között szétosztott. Általában a rendszerfejlesztési információk felfedése csupán korlátozott hátrányos kihatást jelent a rendszer információinak és folyamatainak bizalmasságára. Sértetlenség A rendszerfejlesztési információk jogosulatlan módosításának vagy megsemmisítésének következményei a rendszerrel kapcsolatos információk és folyamatok maximális összegzett érzékenységtıl és kritikusságától függnek. Speciális szempontok: A nemzetbiztonsági információkra a javasolt sértetlenség kihatási szint alacsonytól kiemelt szintig terjedhet (ez a jelen segédlet hatókörén kívül esik). Javasolt kihatási szint: fokozott. Rendelkezésre állás Általában a rendszerfejlesztési információ által támogatott funkciók és folyamatok nem idıkritikusak, azaz a rendszerfejlesztési információkhoz való hozzáférés ideiglenes megszakadásának csupán korlátozott negatív hatása van a szervezet mőködésére (ideértve a küldetéshez és a szervezet iránt megnyilvánuló közbizalmat is), értékeire vagy a vele kapcsolatba kerülı egyénekre. 6.1.2.2.2.4. Életciklus/változáskezelés információ típus Az életciklus és változáskezelés magába foglalja azokat a folyamatokat, amelyek lehetıvé teszik a szervezeti erıforrások (úgymint értékek, módszerek, rendszerek és eljárások) tervezésének és megvalósításának gördülékeny fejlıdését, összeállítását és munkaerı átcsoportosítását. Az életciklus és változáskezelés információ típus javasolt biztonsági kategorizálása: Biztonsági kategória= {(bizalmasság, alacsony), (sértetlenség, fokozott), (rendelkezésre állás, alacsony)} 22

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés