TANULMÁNY Az informatikai biztonság helyzete, biztonsági stratégia kialakítása és megvalósítása Témakör: Információs Társadalom BUDAPEST 2002.
TARTALOMJEGYZÉK BEVEZETÉS...4 1. AZ INFORMATIKAI BIZTONSÁG HELYZETE MAGYARORSZÁGON ÉS AZ EU-TAGÁLLAMOKBAN...5 1.1.Néhány publikált nemzetközi és magyar támadási esemény és a támadásokból levonható következtetések 7 1.2. EU és magyar statisztikai kimutatás az informatikai biztonság helyzetérõl... 8 2. INFORMATIKAI STRATÉGIA...14 2.1. A központi államigazgatás informatikai stratégiájának fõbb összefüggései... 14 2.2. A Belügyminisztérium ágazati szintû informatikai stratégiájának fontosabb fejezetei (1999-2002 rövid elemzés)... 16 2.3. A Nemzeti Információs Társadalom Stratégia ( 2001. május 17.) fõbb elvei... 21 2.4. A Felsõoktatási Informatikai Stratégia FIS rövid ismertetése és elemzése... 21 2.5. A CCTA legújabb ajánlásainak tömör összefoglalása... 22 2.6. Egyes Rendszer Specifikus Biztonsági Követelmények... 22 3. AZ INFORMATIKAI BIZTONSÁG TERVEZÉSE...25 3.1. Biztonság szervezési lépések az SSADM (Structured Analysis and Design Method) szerint... 25 3.2 Az ISO 17799 szabvány a védelmi irányítási rendszerekrõl... 26 3.3. Az ITB-ajánlások összefüggései (A biztonság irányítása)... 27 3.3.1. Biztonsági politikák... 27 3.3.2. Biztonsági szintek... 28 3.3.3. A biztonsági stratégia... 29 3.3.4. Elosztott rendszerek biztonságát érintõ specifikus tényezõk... 31 3.4. Az ITB 8., 12. és 16. számú ajánlás elemzése... 34 3.4.1. Az ITB 8. számú ajánlására vonatkozó észrevételek... 34 3.4.2. Az ITB 12. számú ajánlására vonatkozó észrevételek... 35 3.4.3. Az ITB 16. számú ajánlására vonatkozó észrevételek... 36 3.5. A védelmi igény feltárása... 40 3.6. A fenyegetettség, veszélyeztetettség vizsgálata... 44 3.6.1. Veszélyelemzés, veszélyazonosítás... 45 3.6.2. Valószínûségek becslése és a veszélykiváltó gyökér-okok behatárolása... 48 3.7. Kockázatelemzés (FTA, STA, ETA, kozkázati mátrix)... 54 3.7.1. FTA... 55 3.7.2. Hibafák és sikerfa (STA) kombinációjának elemzése... 58 3.7.3. ETA (Event Tree Analysis= Eseményfa elemzés)... 59 3.7.4. Kockázati mátrix... 59 4. AZ INFORMATIKAI BIZTONSÁG MEGVALÓSÍTÁSA...67 4.1. A kockázat menedzselése... 67 4.1.1. Számszerûsített kimeneti érték alapjáni racionális döntések... 67 4.1.2. Lehetõségköltség kiértékelésének folyamata... 69 4.1.3. A releváns lehetõségköltség behatárolása... 71 4.2. Biztonsági akkreditációs ajánlások figyelembevétele:... 75 4.3. Rendszer mûködési ajánlások figyelembevétele... 79 4.4. Az informatikai Biztonsági Szabályzat kialakítása (figyelembe véve a Biztonsági Szabályzat EU elõírásait)... 79 2
5. AZ INFORMATIKAI BIZTONSÁG FENNTARTÁSA AZ INFORMATIKAI RENDSZER TELJES ÉLETCIKLUSA ALATT...80 5.1. Állapotfelmérés... 80 5.2. Esetvizsgálatok... 95 5.3. Összefoglaló értékelés... 97 5.4. További elemzési javaslatok... 97 5.4.1. Az oktatás, továbbképzés területén:... 97 5.4.2. Alapvetõ, vagy minimális biztonsági feltételek:... 98 5.4.3. Informatikai szakemberek biztonsági felkészültségének javítása:... 99 FELHASZNÁLT IRODALOM...100 Törvények, jogszabályok, szabványok... 100 Könyvészeti tudományos munkák,... 100 Publikációk, perodikák... 101 Kormányzati, minisztériumi dokumentumok... 101 Informatikai szaksajtó tájékoztató anyagok... 102 3
BEVEZETÉS A biztonság megteremtése minden országban az állam alapvetõ funkciói közé tartozik. Az általános értelemben vett biztonsággal a biztonság politikusok foglalkoznak, létesültek biztonságpolitikai kutatóhelyek, a biztonság tudományos téziseinek felállításához. Egyetemi tanszékek foglalkoznak biztonsági szakértõk képzésével. A biztonságnak több fogalma létezik, kutatói csoportok más és más megközelítésben látják. Kutatócsoportunk az általános biztonság alatt a következõt érti: a biztonság olyan mûködési és védelmi állapotok fenntartása, amelyek akadályozzák a veszélyhelyzetek kialakulását, veszélyhelyzetben a megfelelõ tervekkel, erõkkel, eszközökkel és módszerekkel garantálja a várható káros hatások kifejlõdésének gátlását, semlegesítését. A Magyar Köztársaság biztonságával legfelsõbb szinten a kormányzati szervek foglalkoznak. A 2144/2002. (V.6.) Kormány határozat a Magyar Köztársaság nemzeti biztonsági stratégiájáról jogszabály rögzíti az alapvetõ feladatokat. A Kormány utasítja az érintett minisztereket a stratégiában foglaltak végrehajtására és az ágazati stratégiák elkészítésére. A biztonságnak több összetevõje van, egyik ilyen eleme az informatikai biztonság. Az informatikai biztonságra közvetlenül a fenti kormányhatározat mellékletének Biztonság az új évezred küszöbén a Magyar Köztársaság Nemzeti Biztonsági Stratégiája 2.1.5. pontja Az információs társadalom kihívásai fejezetben leírtak hatnak. Ezen stratégia egyéb bekezdéseiben foglaltak közvetett hatásként funkcionálnak, ilyenek például a nemzetközi terrorizmus, a katasztrófák, a szervezett bûnözés stb. Az informatikai biztonság megteremtésével nemzetközi szervezetek, nemzetközi szabványok foglalkoznak, amelyeknek egy része kötelezõ érvényû a NATO tagságunk, leendõ EU tagságunk kapcsán, mások ajánlások. Nemzeti szinten az Alkotmány, az adatvédelmi törvény, az egyes országos szervek mûködésérõl szóló törvények adatkezelési elõírásai, az ITB ajánlásai a mérvadók az informatikai biztonság megteremtésénél. A tanulmány célja az informatikai biztonság hazai és külföldi állapotának tanulmányozása, következtetések levonása, a nemzetközi szabványok hazai alkalmazhatóságának kutatása, az informatikai biztonság megteremtésének hátterét biztosító tudományos elvek, módszerek bemutatása. 4
1. AZ INFORMATIKAI BIZTONSÁG HELYZETE MAGYARORSZÁGON ÉS AZ EU-TAGÁLLAMOKBAN Az információ rendszer a szervezet idegrendszere. A szervezet vezetése illetve mûködése biztosításához szükség van az adatok, információk védelmére, az informatikai biztonságra. A támadás, és így a védelem alapvetõ tárgya az adat, de a támadó mindig közvetve éri el az adatokat, át kell hatolnia a rendszer elemein. Mint védõknek alapvetõ célunk, hogy megõrizzük adataink integritását, bizalmasságát és rendelkezésre állását, hiszen ki vagyunk téve annak, hogy adataink e három fenti minõségi jellemzõje lecsökken vagy megszûnik, ha illetéktelenek behatolhatnak rendszerünkbe. Mindez számunkra azért jelent veszélyt, mert elõre látható a fenyegetettség, amely jelentõs kár elõidézéséhez vezethet. A reálfolyamatoktól kissé eltérõen itt a puszta veszély (hiba, nem szándékos emberi hiba) helyett a szándékos támadás, fenyegetettség a jellemzõ. A sebezhetõség vizsgálatakor fontos a veszélyforrás, az emberi motiváció és a célpont elemzése. Az informatikai biztonság kérdéseivel átfogóan az ITB ajánlások foglalkoznak, amelyek az informatikai biztonságot az alábbiak szerint definiálják: - információvédelem: az adatok által hordozott információk sértetlenségének, hitelességének, és bizalmasságának elvesztését gátolja; - IT-(Információ Technológiai) rendszer megbízható mûködése: az alkalmazói rendszerek funkcionalitását, ehhez az adatok rendelkezésre állását biztosítja. IT-rendszer alapfenyegetettsége: azon veszélyek hatásösszege, amelyek az IT-rendszer megbízható mûködését és információvédelmét érhetik. Információbiztonság: az információvédelem szélesebb értelmezése, az informatikai eszközökkel kezelt adatokon túl kiterjesztve a hagyományos információkezelésre is. (Ezzel a témával a tanulmányban nem foglalkoznánk, de az ISO 17799 éppen hogy ezt definiálja információvédelemként.) - informatikai biztonság: egy informatikai rendszernek az az állapota, amikor az informatikai rendszer védelme a rendszer által kezelt adatok bizalmassága, hitelessége, sértetlensége és rendelkezésre állása, illetve a rendszerelemek rendelkezésre állása és funkcionalitása szempontjából zárt, teljes körû, folyamatos, és a kockázatokkal arányos. 1. A védelem zárt, ha az összes releváns fenyegetést figyelembe vevõ védelem megvalósul. 2. A védelem teljes körû, ha a védelmi intézkedések a rendszer összes elemére kiterjednek. 3. A folyamatos védelem az idõben változó körülmények és viszonyok ellenére is megszakítás nélkül megvalósul. 4. A kockázatokkal arányos a védelem, ha egy kellõen nagy idõintervallumban a védelem költségei arányosak a potenciális kár értékével. Ezt az arányt a biztonságmenedzsment határozza meg, és mint a védelem színvonalát is értékelhetjük. A védelem akkor kielégítõ erõsségû, ha a védelemre akkora összeget és olyan módon fordítanak, hogy ezzel egyidejûleg a releváns fenyegetésekbõl eredõ kockázat (kárérték * bekövetkezési gyakoriság) a szervezet számára még elviselhetõ szintû vagy annál kisebb. A védelemre fordított költségeknek nemcsak az összege, hanem a ráfordítás módja is lényeges, azaz a védelmet zártan és teljes körûen kell kialakítani. A ráfordítás mértékét az elviselhetõ kockázat mértéke szabja meg, amelyet a kárérték és a bekövetkezési gyakoriság 5
alapján meghatározott elviselhetõségi határ determinál. Ezt a határt minden szervezetnek egyedileg kell meghatároznia. A megállapított kockázatok értékelése, döntése után a kockázatok kezelésére intézkedéseket kell kiadni. A kockázatelemzést azonban veszélyelemzés elõzi meg. A veszélyelemzés alapján lehetséges a rendszert érõ támadások, fenyegetettség, sebezhetõség felmérése, behatárolása, csoportosítása és besorolása, és majd csak ezután jön a kockázatok becslése, értékelése és végül a szükséges intézkedések megfogalmazása, megvalósítása. A hatásos védelem megvalósításához a gyenge, sebezhetõ pontok idejekorán való megtalálása, és az idõben tett ellenintézkedések meghozatala szükséges. A védelmi intézkedések közvetlenül a rendszerelemekhez kapcsolódnak. Ha az összes fenyegetésnek kitett rendszerelemet a kockázattal arányosan kiépített védelemmel látjuk el úgy, hogy közben figyelembe vesszük a különbözõ védelmi intézkedések sokszor egymást erõsítõ hatását is, akkor az informatikai biztonságot magasabb szintre emeltük, mert adott valószínûségû támadások mellett a káresemények bekövetkezésének valószínûsége alacsonyabb, azaz a kockázat elviselhetõ mértékû lesz. Arányskálán való mérés helyett kategorizálásokkal, (azaz sorrendi skálán való méréssel) közelíthetjük a valószínûségi értékeknek, a káresemények nagyságának, súlyosságának megítélését. 6
1.1.Néhány publikált nemzetközi és magyar támadási esemény és a támadásokból levonható következtetések A téma elemzése során megállapítottuk, hogy nyíltan hozzáférhetõ publikációk ugyan elég nagy számban találhatók, azok azonban csak a legritkább esetben és akkor sem pontosan jelölik meg a tényleges eseményeket és valódi hatásaikat, ami teljesen érthetõ, hisz annak az eltitkolása az adott intézmény imázsának védelmét szolgálja. A publikációk jellegébõl azonban megállapíthatók: - jelentõs számban történnek az információ-technológia felhasználásával bûncselekmények mind Amerikában mind az EU országokban; - hazánkban a btk korábban is tartalmazott számítógépes csalással, bankkártya hamisítással kapcsolatos megfogalmazásokat, ezzel kapcsolatban a bûnügyi statisztikában találhatunk adatokat; - a btk. legutóbbi módosítása jelentõsen kibõvítette és pontosan meghatározta az informatikával, adatkezeléssel összefüggõ bûncselekményeket, amelyek joghézag hiányában korábban nem voltak eredményesen kezelhetõk; - 2002 áprilistól hatályosak a számítógépes bûnözéssel kapcsolatos új esetek, amelynek megfelelõen bûncselekménynek minõsül például a számítástechnikai rendszerekbe való jogosulatlan belépés és a számítógépes rendszerek mûködésének akadályozása, abban az esetben is, ha nem történt konkrét károkozás; - 2003-tól az EU szabályozással összhangban további lépések is várhatók. - az új jogi szabályzások hatása azonban az informatikai bûncselekmények statisztikai feldolgozása és mélyebb elemzése tekintetében még jelentõs idõt fog igényelni. Az alábbiakban megemlítünk néhány, informatikai biztonságot veszélyeztetõ publikációt a megfelelõ tanulságok levonásához. Amikor az Ivar Aasen múzeum professzora meghalt, a múzeum dolgozói nem jutottak hozzá a számítógépén tárolt, fontos adatokhoz, mivel csak õ ismerte a jelszót. A múzeum vetetõi végsõ megoldásként hackerekhez fordultak, akik 5 óra alatt feltörték a jelszót. Az MTI-ECO honlapját hackerek támadták meg, az MTI I. kerületi RK-on feljelentést tett. Az egyik Internet szolgáltató honlapját feltörték. A nigériai csalás néven említett esetekben névtelen e-mailban kapnak egyes cégek felkérést, hogy 25% jutalom fejében segítsenek felszabadítani egy nagyobb összeget, ehhez adják meg a bankszámlaszámukat, vagy küldjenek pénzt egy meghatározott helyre. (Bõvebb információ: www.home.rica.net/alphae/419coal.) 2001. január 2-án Budapesten a számítógéprendszer meghibásodása miatt a gyógyszertárak többségében szünetelt a betegek kiszolgálása. Sebezhetõvé váltak a szerverek A Netcraft The Register által idézett jelentés szerint a Microsoft IIS és Apache alapú weboldalak ellen járványszerû támadás indulhat. Észlelték a Free BSD-n futó Appache-rendszer ellen írt elsõ féregvírus felbukkanását is. Az elsõ eset tanulsága kettõs. Egyrészt a jelszavakat úgy kell tárolni, hogy a rendszergazda szükség esetén azokhoz hozzáférhessen. Másrészt a jó jelszavas védelem is feltörhetõ megfelelõ szakértelemmel. Az Internet megfelelõ csatorna a számítógéprendszerekbe való betöréshez. Ezért célszerû a helyi hálózatokat fizikailag elkülöníteni az Internetre kötött számítógépektõl, létre kell hozni a külsõ betörést észlelõ védelmi berendezéseket. 7
Az elektronikus levelezés számtalan támadási felületet biztosít a vírusok bejutásának a rendszerbe, továbbá az ilyen levél feladójának azonosítása, a levél tisztaságának szándéka nehezen határolható be, ezért nagyon fontos a körültekintõ, óvatos eljárás. A bankszámlaszám kiadása, pénzösszeg feladása kellõen nem tisztázott kérõnek tragikus lehet. A számítógéprendszer meghibásodása leállíthat fontos szolgáltatásokat. A szervezeteknek nem szabad sajnálniuk a kiadásokat az erõs tûzfalrendszer kialakítására, folyamatosan a legkorszerûbb szoftveres védelemmel kell rendelkezniük, általánossá kell tenniük az alkalmazások során a memoriarezidens vírusfigyelõ programok felügyeletét a felhasználók számítógépein. 1.2. EU és magyar statisztikai kimutatás az informatikai biztonság helyzetérõl A szervezetek vezetõinek, IT-menedzsereknek a leginkább foglakoztató kérdések között elsõ helyen szerepel, hogy a szervezeti stratégiához illeszkedõ informatikai stratégiát hogyan tudnak készíteni. Az informatikai stratégia megvalósításával kapcsolatban a legfontosabb kérdések egyike a megfelelõ szintû informatikai biztonság megteremtése. A Számítógépes Bûnözés Elleni Egyezmény Nemzetközi Konferencia és Aláíró Ünnepség 2001. november 22-23. Budapest rendezvényen is szó esett a statisztikai kimutatások szükségességérõl. A Cutter Consortium korábbi vizsgálatainak elemzése az e-kereskedelemmel kapcsolatban megállapítja, hogy kevés vállalat egyezteti az üzleti és információtechnológiai stratégiáját. Az informatikai vezetõk a megkérdezett vállalkozásoknak csak mintegy felénél szólhattak bele a tervekbe annak ellenére, hogy a megkérdezettek több mint 30 %-a vett részt az e-kereskedelemben, és többségük hirdet is az Interneten. Különösen a múlt évi szeptember 11.-i események után a biztonsággal kapcsolatos kérdések figyelembevételei is felerõsödtek. Ezzel egy idõben a nemzetközi elemzések alapján a biztonsági védelmi rendszerek, szoftverek ára is elkezdett gyors ütemben emelkedni, mert a szükségesség elõtérbe került. Ez összefüggött azzal, hogy a veszélytényezõk száma is növekedett, ezáltal a rizikó is nagyobbá vált. A széles körben használt rendszerek biztonsági hibái, rései a szakértõi vizsgálatok nyomán erõteljesen felszínre kerültek, azonban az újabb fejlesztések a korábbi szabad felhasználással ellentétben már csak fizetés ellenében voltak felhasználhatók. Az információbiztonsági problémák miatt keletkezett károk felmérésérõl számol be kétéves idõ intervallumban a BellResearch IT-biztonság iránti attitûd és biztonságtechnikai megoldások" címû tanulmánya. Annak ellenére, hogy a felmérés szerint a cégek több mint 20 %- a szenvedett közvetlen anyagi kárt, a tanulmány megállapítása szerint az informatikai adatbiztonságot a vállalatvezetõk továbbra is csak közepes fontosságú kérdésként kezelik. A tanulmány megállapítja továbbá, hogy az IT-biztonság iránti elkötelezettség a cégmérettel egyenes arányban növekszik: az 500 fõnél többet foglalkoztató vállalatok kimutathatóan fontosabbnak ítélték meg a kérdést mind a vállalatvezetés, mind az üzleti partnerek szempontjából; a probléma a kisebb cégeknél jelentkezik erõteljesebben.. Ez azonban a cégek adatainak összekapcsolása következtében sokkal nagyobb veszélyforrássá válhat. A Bell Research tanulmánya kimutatja azt a tendenciát, hogy a vállalatoknál új, egyre kiforrottabb biztonsági megoldások jelennek meg és a cégeknél általában felértékelõdik az információbiztonság. Ezzel szemben vitatottnak mondható annak megítélése, hogy magas szintû védelmet csak információbiztonságra szakosodott külsõ cég nyújthat, illetve a márkás eszközök magasabb 8
szintû védelmet biztosítanak mint a no-name termékek A megkérdezett cégek közül a nagyobb cégek házon belül nagyobb arányban - 36% - foglalkoztatnak információbiztonságra szakosodott munkatársakat, a kisebb cégeknél ez az arány alacsonyabb 22-27%. A korábbitól eltérõ új megítélés kezd elõtérbe kerülni az utóbbi idõben. Tekintettel arra, hogy napjainkra az élet szinte minden területe (bankvilág, a tõzsdék, a különféle médiumok, az egészségügy, a légi irányítás stb.) informatikai eszközök felügyelete alatt áll, és ezen alkalmazások eszközök használata nélkül tevékenységük megbénulna. Napjainkra az informatika túllépett a feladat támogató szerepén, a tevékenységek alapjává vált. Ezt. tovább fokozza a gépek és hálózatok világméretû összekapcsolása, amelybõl következhetõ veszélyeket csak mostanában kezdenek súlyuknak megfelelõen kezelni, hiszen bizonyos hálózatok támadása, blokkolása akár hadászati jelentõséggel bírhat. Az informatika tehát katonai, stratégiai jelentõségû területté is vált! Ebbéli jelentõségének egyik fontos aspektusára elsõként a különféle nagyhatalmak hírszerzései kezdtek ráeszmélni, amikor folyamatos adatgyûjtésbe fogtak a világhálón. Hadászati terepként történõ felhasználására és a megfelelõ védelem megszervezésére az egyes országok, a különféle sikeres hacker-, féreg- és vírustámadások példáján okulva mostanában kezdenek el gondolni. Mint ismeretes jelen pillanatban viszonylag kis befektetéssel igen hatékony támadóeszközöket lehet készíteni, amelyekkel óriási károkat lehet okozni. A hatásos "fegyverek" viszonylag egyszerû elõállítására több példa is ismert, amikor fiatalok okoztak óriási, több millió dolláros károkat pl. a NASA szervereinek blokkolásával, vagy más esetekben szerte a világban. Az informatika biztonsági, sõt katonai jelentõségére mutat rá az FBI, Nemzeti Infrastruktúravédelmi Központ közelmúltbeli figyelmeztetése, mely szerint Nyugat-Európából nagyszabású DOS-támadások várhatók a weboldalak és ISP-k ellen. Katonai elemzõk szerint a jelenlegi támadások, adatlopások, betörések az egyszerû kalandvágyó tizenévesek cselekedetein túl egyféle hadgyakorlatnak is tekinthetõk, ahol most a fegyverek tökéletesítése és a védelem megszervezése a cél. Figyelemre méltó, hogy például Kína annak érdekében, hogy rendszereit teljes egészében ellenõrzése alatt tarthassa, a Linux egy általa ellenõrzött, és módosított változatára tér át. Különbözõ elemzõk szerint a teljes nyugati világot romba lehetne dönteni a bankjai ellen végrehajtott átfogó, összehangolt számítástechnikai eszközökkel történõ támadással. A NATO Biztonsági Hivatal adatai (és más nemzetközi adatok) szerint a veszélyforrásoknak több mint 80%-át a belsõ veszélyek teszik ki, de jelentõs fenyegetettséget okoznak a külsõ veszélyek (kémtevékenységek, szabotázs, zavarások, vírusok, stb.) is. A ZMNE Elektronikai Hadviselés Tanszékének a MEH IKB számára 2001-ben készített tanulmánya a katonai veszélyek egy széles körét leírja.a civil szféra számára pl. a CISA (1999) 4.1.3. pontja felsorolja, hogy leggyakrabban kik (mely kategóriák) és mely módszerekkel veszélyeztetik a védelmet. Terjedelmi korlátok miatt támadási esetpéldák vagy táblázatok beillesztése helyett azokra most csak hivatkozunk és a kiváltó okok elemzését tartjuk a legfontosabbnak. Terjedelmi okokból csak jelezzük, hogy statisztikai adatok találhatók továbbá az IM Bünügyi Statisztika adataiban ezen belül a Statisztikai Fõosztály.Számítógépes bûnözés adataiban vagy például a ( Hunaudit, ) ISACA adatai között. 9
A számítógépes bûnözéssel kapcsolatos anyagok még találhatók az EU bizottság felkérésére a Würzburgi egyetemen elkészített tanulmányban is (IM Europe web oldalon IT OMIKK 98 okt-nov.-i száma). Az EU országokra vonatkozó statisztikai kimutatásokat az European Comission legutóbb 2002 júniusában jelentetett meg. A statisztikák minden informatikai biztonsággal összefüggõ területet bemutatnak, terjedelmi okokból itt három statisztikát elemzünk: - biztonsági problémákat; - spamming problémákat; - vírus problémákat. Mindhárom statisztika valamennyi tagország vonatkozásában összesíti az adatokat, továbbá meghatározza a teljes EU átlagokat is. (1.sz.táblázat) 10
1.sz.táblázat 11
A hazai általános informatikai biztonsági helyzetre nézve a fenti nyugati tapasztalatokból levont következtetésünk ezért az, hogy a továbbiakban két dologra kívánunk koncentrálni: 1.) az üzemeltetõ és a fejlesztõ biztonsági vonatkozású tudásának integrálást elõsegítõ megoldási lehetõségekre (ilyen pl. a CC=Common Criteria alkalmazása, lásd a 3.5. pontban), valamint 2.) a védelmi célok kitûzésének elõkészítésére (ezzel a 3. fejezet foglalkozik). Mindkettõ tudniillik a megelõzést szolgálja. Éppen a megelõzés érdekében van szükség arra, hogy a káresemények kiváltó okait, és magukat az eseményeket hazánkban is statisztikailag elemezzék. Ezen a téren eddig történt intézkedések elvárások röviden: - A reguláció szakmai-módszertani irányítását nemrég emelték a legmagasabb (kormányzati) szintre. - A szervezetek és berendezések kockázatára vonatkozó adatok közérdekûnek nem minõsülnek, nem-hozzáférhetõek, gyûjtésük megszervezve nincs. - Mûszaki ajánlások elõírása van, a szervezetek önfelméréseit és intézkedési terveik végrehajtását rendszeresen számon kérõ hatósági ellenõrzés nincs. Amit eddig a fõhatóságok tettek, az elsõsorban az ITB 8, 12, 16. ajánlások kibocsátása, azaz állami ajánlások, módszertani kézikönyvek megjelentetése volt. Viszont azoknak, akiknek ez szólt, akisebb gondjuk is nagyobb volt annál, hogy az informatikai biztonságra költsenek. A vállalatoktól törvény ezt nem követelte meg, a költségvetési szervezeteknek erre egyrészt nem volt megfelelõ költségvetési elõirányzata, másrészt ami volt, azt rendesen elköltötték, - de az eredménye csekély, a gazdasági hatékonysága gyenge. Ahhoz képest nagyon kevés helyen lett magasabb, (a NATO-nak, vagy az EU-nak kielégítõ) a biztonsági szint. 12
Kutatócsoportunk az ISO 17799 ajánlása alapján végzett egy reprezentatív felmérést, amely az informatikai rendszereket érinthetõ veszélyek gyakoriságára keresett választ. Az összesített értékeket az alábbi táblázat mutatja. 1-3 havonta 4-6 havonta 7-12 havonta 1-5 évente 5 évnél ritkábban Felhasználói mulasztás 1 Hardver meghibásodás 2 Áramszünet 1 Rendszer védelmi (jelszó, tûzfal) probléma Adatintegritás (SIS csak név, születési dátum, anyja neve adatokra ellenõriz) 2 3 Kiszámíthatatlan Rendszer leállás, hálózati 1 hiba Adatátviteli jeltorzulás 2 Belsõ támadás 4 Vírus fertõzés 2 Hardver ellopása 4 Külsõ támadás (hacker 3 krecker) Tûz 5 Terrortámadás 5 Szoftver hiba 1 Elektronikai hadviselés (lehallgatás, rombolás) Épület összeomlás 3 Természeti katasztrófa 5 A kitöltött táblázatban a sorok az elõfordulható veszélyeket, az oszlopok az elõfordulási gyakoriságot tartalmazzák. A kár mértéke az 1-5 skálán állítható be. A táblázat elemzésekor megállapítható, hogy a felhasználói mulasztás 1-3 havonta fordulhat elõ, de a kár kicsi, mert legföljebb egy napi adat veszik el. Hardver meghibásodás 4-6 havonta fordulhat elõ, a kár mértéke nem túl nagy, mivel a wincseszter adatai 75%-ban helyreállíthatók. A természeti katasztrófa (földrengés), terrortámadás kiszámíthatatlan, de minden elpusztulhat, a kárérték 5-ös fokozatú. A megkérdezettek eddigi tapasztalatik, feltételezéseik szerint úgy látják, hogy a legmagasabb kárértéket a legritkábban bekövetkezõ események okozzák, amely egy olyan veszélyt hordozhat magában, hogy ezeknek a ritkán elõfordulható eseményeknek a védelemért felelõs személyek nem szentelnek kellõ figyelmet a bekövetkezési valószínûség alacsony küszöbe miatt. A külsõ támadást elég gyakorinak ítélik meg, és elég magas kárértékkel, ennek ellenére a gyakorlat azt mutatja, hogy az üzemeltetõk ezen a téren nem minden esetben tesznek meg minden védelmi intézkedést. 4 13
2. INFORMATIKAI STRATÉGIA A fejezetben rövid elemzést adunk biztonsági nézõpontból a korábban készült illetve jelenleg is érvényben lévõ informatikai és általánosabb stratégiákról, bemutatva, hogy melyek a korábbi és jelenleg érvényben lévõ fõbb irányok, elvek. Egyidejûleg röviden elemezzük milyen módon és összefüggések révén folytathatóak illetve újra gondolásra javasoltak a már megfogalmazott informatikai biztonsággal kapcsolatos összetevõk, elemek, kiemelve azt, hogy az aktuális stratégiák az adott terület legátfogóbb elemzése után a fõbb feladatokra és azok változásaira koncentráltan hogyan készüljenek. A 141/2002 (VI. 28.) Kormány határozattal létrehozott Informatikai és Hírközlési Minisztérium IHM felállítása jelentõs lépés volt az információs társadalom témakörének megfelelõ szintû kezelésére. Az IHM egyik legfontosabb deklarált feladatköre egy átfogó információs társadalom stratégia kidolgozása, amelynek révén meg kell teremteni az információs társadalom fejlõdési feltételeit. Ezek között a szükséges infrastruktúra mellett az informatika alkalmazási készségek fejlesztése a jelentõs, beleértve a lakosság erre alkalmas rétegét is, amely az oktatás, különösen a felsõoktatás feladat és felelõsségi körébe tartozó feladat. Az EU integráció feladatainak megfelelõen fontos az EU információs társadalom programjaiban a részt vétel biztosítása, az EU jogharmonizáció, amelyet jelen feladatkörre is ki kell terjeszteni. Lényeges annak elemzése, hogy a meglévõ alkalmazások milyen helyzetben vannak és milyen módon valósult már meg az EU jogharmonizáció, azt figyelembe véve, hogy az utóbbi években az EU ezzel kapcsolatos szabályozásai, ajánlásai is jelentõs változáson mentek keresztül. 2.1. A központi államigazgatás informatikai stratégiájának fõbb összefüggései A központi államigazgatás informatikai stratégiája (továbbiakban stratégia) a kormányzati informatikai koordináció továbbfejlesztéséhez készült elsõ alkalommal az 1995-1997. évekre. A stratégia már az EU konform informatikai stratégiai tervezési kultúra gyakorlatának kialakítását valósította meg. A 4. Fejezet az informatikai alkalmazások jövõképe már negyedik helyen említette a teljes körû információvédelem és ezen belül az adatbiztonság megvalósítását. A stratégia alapelvei tizenkét pontban kerültek megfogalmazásra, 11. pontként a biztonságosság került meghatározásra, amely a kormányzás fontos szempontjaként lett deklarálva. A célkitûzések közé bekerült a kormányzati információrendszer biztonságának, minõségének javítása cím, megállapítva, hogy a közigazgatási információ rendszerek és azok adatvagyonának léte az ország és a közigazgatás mûködésének alapvetõ feltétele. A kormányzati informatikai feladatkörök meghatározásának jövõbeni irányai között szereplõ intézményi (minisztériumi) informatikai szervezeteken feltétlen belül ellátandó belsõ (nem kiadható) feladatok között szerepelt a biztonsági és minõségi szempontok érvényesítése, az adatvédelem irányítása, az adatvagyon felügyelete. Már megjelent az informatikai feladatok külsõ szolgáltatókkal történõ ellátása, amelynél a biztonsági szempontok érvényesítésére került a hangsúly. A központilag szervezett és menedzselt beszállító értékelés (minõsítés) megfogalmazást nyert, de a végrehajtáshoz ez a megfogalmazás még nem volt elegendõ. 14
A nemzetközi kapcsolatok különösen az EU csatlakozással összefüggõen jelentõssé váltak és több szervezet CCTA, CIIBA AIPA vonatkozásában a folyamatosság követelményként került megfogalmazásra. A stratégia végezetül összefoglalta az országos jelentõségû számítógépes adatbázisokat. Az 1050/2000. (VI. 23.) Korm. Határozattal módosított 1066/1999. (VI. 11.) Korm. Határozat az államigazgatás informatikai koordinációjának továbbfejlesztésérõl rövid elemzésében megállapítható, volt az elsõ és legfontosabb intézkedés, hogy az információs társadalom kialakulásával kapcsolatosan a MeH. koordinációjában készülõ kormányzati stratégiához hozzá kell igazítani, és mind ágazati, mind összkormányzati szinten jelentõsen meg kell erõsíteni az államigazgatás informatikai koordinációját. Ennek a munkának ki kell terjednie az államigazgatás adathátterére, a nagy értékû adatvagyonnal való gazdálkodásra és a szükséges informatikai szolgáltatási architektúrára is. Fel kell mérni a jelenlegi adatvagyont és szolgáltatásokat, s dönteni kell azok fenntartásához, továbbfejlesztéséhez, illetve kiváltásához, továbbá az adatokkal való megfelelõ gazdálkodáshoz szükséges intézkedésekrõl. Természetesen figyelembe kell venni a kormányzati, közigazgatási folyamatoknak a kormányprogramban célul kitûzött jelentõs modernizálását is, melynek tervezése és megvalósítása során az eddiginél sokkal nagyobb mértékben kell építeni az informatika lehetõségeire. A mellékletben a Miniszterelnöki Hivatalt vezetõ miniszternek a kormányzati informatika koordinációjával kapcsolatos részletes feladatai kerülnek meghatározásra amelybõl röviden kiemelnénk: A kormányzati informatikával kapcsolatos stratégiai tervek elkészítésének koordinálását, továbbá; A minisztériumok és a közvetlenül a Kormány által felügyelt országos hatáskörû államigazgatási szervek ágazati szintû informatikai terveinek összehangolását; A kormányzati informatikai fejlesztések mûszaki, szabványosítási, tartalmi összehangolását, a rendszerek mûködtetési tapasztalatainak figyelemmel kísérését, hasznosítását és továbbadását; Az adatbiztonsági követelmények érvényesítését a kormányzati informatikában. Az informatikai rendszerekhez kapcsolódó egyéb biztonsági kérdések megoldásában való közremûködést; Az összkormányzati érdekek hangsúlyozott érvényesítését az adatvagyongazdálkodásban, beleértve az államigazgatás adatvagyonának és adatkezelõ rendszereinek a számontartását, a szükséges harmonizációt, az adat- és rendszergazdai felelõsség rendszerének mûködését A fenti rövid elemzésbõl látható, hogy a feladatok kezelése, értelmezése- az informatikai biztonság kivételével, amelynek lényegesen erõteljesebben kellett volna szerepelnie megoldott, azonban a feladatok megfelelõ szakmai tartalommal történõ kitöltése még további elemzéseket és szakmai elõkészítõ munkát igényel. 15
2.2. A Belügyminisztérium ágazati szintû informatikai stratégiájának fontosabb fejezetei (1999-2002 rövid elemzés) A Belügyminisztérium az informatikai alkalmazások nagyságrendje és fontossága következtében kiemelten fontos szerepet tölt be az ország közigazgatási és rendészeti alkalmazásaiban A Belügyminisztérium nyilvánosan megjelent ágazati szintû informatikai stratégiája az Informatikai Tárcaközi Bizottság korábban megjelent központi államigazgatás informatikai stratégiájának 1995-1997. évekre ( továbbiakban központi stratégia) figyelembevételével rövid távon 2000-2002 évekig határozta meg a fõbb feladatokat, azonban ennek ellenére fontosnak ítéljük néhány kiemelt fejezet rövid elemzését, illetve a speciális központi funkciók között szerepeltetett biztonsági és adat felügyeleti megfogalmazásokat az általánosítható elvek és meghatározások miatt alábbiak szerint: Rövid tartalmi elemzés A külsõ szolgáltatókkal történõ informatikai feladatok ellátására a jogi lehetõségek megteremtése után megfogalmazza a stratégia, hogy hosszabb távon a szervezetek számára köztisztviselõkkel csak a legszükségesebb informatikai feladatok belsõ ellátását kell fenntartani, s a többi feladatot egy megfelelõen kialakított, sok vonatkozásban központilag szervezett külsõ szolgáltatókkal kell megoldani. Itt szerepet kap a kormányzati, illetve ágazati szinten szervezett központosított szolgáltatás, illetve a megfelelõ kategóriájú (központilag szervezetten ellenõrzött) beszállítók a privát szféra bevonásával. El kell érni, hogy a szolgáltatás stabilan biztosított legyen, ugyanakkor a belsõ szervezetet semmilyen formában ne terhelje a szolgáltató választás hosszadalmas, erõforrás-igényes terhe. A beszállítói rendszer igénybevételével kapcsolatos döntéseknél (mind a feladat kiadhatóságának eldöntésénél, mind a külsõ partner megválasztásánál) a biztonsági szempontokat megfelelõen érvényesíteni kell. Ehhez központilag szervezett és menedzselt beszállító értékelés szükséges. Megjegyezzük, hogy a szolgáltatók felelõssége nemzetközi szinten is több tanulmányban került elemzésre, arra tekintettel, hogy milyen hatékonyak a biztonsági intézkedéseik. A szerzõdések elemzései során megállapítható volt, hogy a biztonság kérdését, vagy nem vetik fel eléggé, vagy a felelõsség elhárítására alkalmasak. A felhasználóknak fel kell készülni arra, hogy a szolgáltató nem tudja megvédeni minden veszélytõl a felhasználót, különösen akkor, ha önmaga is hibát követ el. Az ajánlás szerint a megfelelõ szerzõdések mind a két fél vonatkozásában meghatározzák az elvárásokat és ennek megfelelõen a hangsúly nem csak a felelõsség kérdése, hanem a közösen megállapított biztonsággal összefüggõ tevékenység. Speciális központi funkciók elemzése Külön kell vizsgálni két központi funkciót, amelyek megléte lényeges a koordináció eredményessége, az informatika kormányzati használatának megalapozása érdekében, ezek: - a biztonsági felügyeleti szervezet; - az adat-felügyeleti szervezet. A biztonsági kérdéskörben megállapítja a stratégia, hogy a készítés idején joghézag miatt egyetlen szervezetnek sem valós feladata az informatikai alkalmazások elvárt biztonsági követelményrendszerének meghatározása, a megoldások hivatalos minõsítése és a szabályok betartásának folyamatos ellenõrzése. Bár egyes részterületeket természetesen lefednek a jelenlegi szakszolgálatok, a feladat egésze megoldatlan. Mindez akadályozza az informatika 16
érdemi elterjedését, s ezzel a kormányzati munka hatékonyságának javítását (megjegyezve, hogy az elektronikus irat hitelességének kérdése már jogilag megoldott, az érzékeny adat kezelése is törvényi szinten szabályozott). Tekintettel a feladat összetett jellegére, legcélszerûbb megoldásnak a szakszolgálatok együttmûködésével, közösen létrehozott szervezet kialakítása lenne. A mûködési területen használt informatikai rendszerek jelentõs részénél a biztonsági kérdéskör kiemelt fontosságú, emiatt e területen további elõrelépés szükséges. Az adat-felügyelet témakörben belátható idõn belül összkormányzati szinten javaslatként is felmerült egy szervezet kialakítása, amely nyilvántartja a kormányzatban (majd a közigazgatásban) kialakult adatcsere formátumok definícióját, véleményezi az új fejlesztéseknél a tervezett adatcsere formátumokat. E szervezetnek ágazati szinten meg kell, hogy jelenjenek a partnerei, az adatgazdák. A kormányzati lépések elhúzódása esetén javasolja az ágazati szintû koordinációhoz saját rendszer bevezetését. Ez a feladatkör a Központi stratégia 7.1.5 pontjához kapcsolódik, amelynek megvalósítása a meghatározott években csak elkezdõdött Közhitelességhez kapcsolódó alkalmazások kialakítása Más kormányzati szervek mellett a belügyminisztériumnak is kiemelt feladata a közhitelesség biztosításában elõre lépni, javítva a fenyegetettség elleni védelmet. E feladatkör részeiként többek között szerepelt az okmányirodák informatikai hátterének kialakítása, amely idõközben alapvetõen megtörtént. A létesítendõ okmányirodák belsõ ügyviteli rendszereinél célként jelenik meg, hogy magukba foglalják az intelligens iroda alapját képezõ számítástechnikai eszközöket, levelezõ és ügykezelõ programokat. Lényeges szempont volt az irodai rendszerek kiválasztásában, hogy a lehetõ legnagyobb mértékben alkalmazkodjanak a szakmai alkalmazásokhoz. Az elektronikus átvitel hitelességének (biztonságának) megvalósítása Az adatkezelõ szervezetek közötti nagysebességû kapcsolatok létesítéséhez, a meglévõ adatátviteli hálózatok egységesítéséhez és a felhasználó szervezetek, új közigazgatási egységek munkáját támogató informatikai alkalmazások kiterjesztéséhez szükséges fejlesztések. Rendvédelmi alkalmazások, Közigazgatási szolgáltatások kialakítása / fejlesztése, amelybe beletartozik az Egységes címnyilvántartás kialakítása. Elsõsorban egy önálló, közhiteles alapnyilvántartás létrehozása, minden olyan érzékeny adat nélkül, amely korlátozná a teljes nyilvánosságot. A nyilvántartás a minisztériumok együttmûködésében valósuljon meg. Közigazgatási területi informatikai központok kialakítása, a jelenlegi szervezetekre alapozva, de szervezeti struktúrájukat, technikai hátterüket egyaránt szükség szerint átdolgozva ki kell alakítani a közigazgatáson belüli szolgáltatásra képes területi informatikai szolgáltató központokat. Nyilvános lakossági információs rendszer, a polgárok által használható közhasznú információkat biztosító, nyilvános (Interneten is megjelenõ) rendszer létesítése. Az elsõ ütemében az autópiacok és legforgalmasabb csomópontokon mûködõ (pénzbedobós) információs kioszkok telepítése. Ez az elképzelés már több EU országban mûködik, ennek tapasztalatait figyelembe véve célszerû ismét a napirendre tûzni a feladatot, illetve továb fejleszteni az elképzeléseket. 17
A szervezetek együttmûködése kell az eredményességhez Az informatikai fejlesztéseknél korábban az elzárkózás érvényesült mind kormányzati szinten, mind az egyes felügyelt szervezetek között. Tudomásul kell venni, hogy a társadalom egy egységes szolgáltatást igényel a közigazgatástól, ehhez az egyes területeknek összedolgozva, a szolgáltatások nyújtásához legcélszerûbb struktúrákat választva kell dolgozniuk. A központi közigazgatás egyarcúan kell, hogy megjelenjen az állampolgár és a magánszféra elõtt. Fel kell számolni a presztízs szempontokon alapuló rivalizálást, s meg kell teremteni az érintettek együttmûködésének formáit, pontos szabályait. A közös megoldások, szolgáltatások, szolgáltatás igénybevételek alapozzák meg a megfelelõ költséghatékonyságot. A belügyminisztérium a maga részérõl mindent megtesz az együttmûködés javítására, alapelvként kimondva, hogy a Belügyminisztérium a kormányzat, a közigazgatás részeként kíván az informatikai fejlesztéseknél is eljárni, ugyanakkor a kormányzat, közigazgatás többi résztvevõje részérõl is szemléletváltásra lenne szükség a kor követelményeinek megfelelõ informatikai háttér kialakíthatóságához. A közigazgatás az ágazathoz tartozó szervezetek esetében az együttmûködés erõsítésére konkrét intézkedéseket tesz. A Központi stratégia 7.1.6 pontjához kapcsolódó feladatkör, amelynek további elemeit is célszerû a célok között szerepeltetni. A közigazgatás felhasználója az informatikai szolgáltatásoknak A stratégia megállapítja, hogy az üzleti területen dolgozó jó kvalitású szakemberek bérezése 2-3-szorosa az állami szférában dolgozókénak. Ezért a közigazgatásban csak közepes képzettségû informatikai szakembereket lehet alapvetõen alkalmazni. Tudomásul kell venni, ezért, hogy nagy rendszerek fejlesztéséhez szükséges professzionális és gazdaságosan mûködtethetõ informatikai fejlesztõ és szolgáltató/üzemeltetõ gárdával nem rendelkezhet. A közigazgatás alkalmazó, ezért fontos, hogy a megrendelõ - szolgáltató szerep szétválasztása megtörténjen. A továbbiakban a közigazgatáson belül köztisztviselõként, közalkalmazottként is csak a megrendelõi szándékot képviselõk maradnak, az informatikai szolgáltatások a szolgáltatás jellegéhez jobban illõ alkalmazási struktúrában történjenek (szolgáltatásvásárlás külsõ cégtõl, vagy saját szolgáltatási szervezet gazdasági társaság létrehozásával. A piaci viszonyok között elõnyösebben megszerezhetõ szolgáltatásoknál határozottabban kell a kormányzaton kívüli szférára támaszkodni. Ez a megközelítés megfelel a fejlett EU országok fejlõdési trendjének. Megjegyezzük, hogy a nemzetközi tapasztalatokkal is összhangban ez a megközelítés nem vonatkozhat az informatikai biztonsággal kapcsolatos kulcspozíciókra és a szükséges belsõ szakemberekre. Az informatika kiszolgáló jellege Az informatika a szervezet mûködését kell, hogy szolgálja. Az esetek többségében azonban az informatikai szervezethez nem jut el arra vonatkozó információ, hogy mivel szolgálhatja még jobban a szervezet mûködését. Emiatt gyakran az informatikai szervezet felhagy a kiszolgáló szereppel, és maga válaszol (a feladatát maga határozza meg a szervezet mûködési követelményébõl származtatva). Az így elhagyott kiszolgáló szerep nélkül könnyen dominánssá válik, de közben továbbra is hangsúlyozza kiszolgáló szerepét. Határozottan vissza kell állítani az informatika eredeti kiszolgáló szerepét, ami a nem informatikai területekre is lényeges feladatokat ró. Javasolja, hogy minden szervezetben a gazdasági, humánpolitikai területekkel egyenrangú szerepet kell biztosítani az informatikai vezetés számára. Az alkalmazásokkal kapcsolatos szakmai (tartalmi) követelményeket a szakmai vezetõknek kell megfogalmazniuk. Ez a javaslat jelenleg már több területen is kezd érvényesülni. 18
Megfelelõ védelem biztosítása Mivel az euro-atlanti szervezetek "éles" informatikai rendszereinél igen komoly biztonsági elõírásokat alkalmaznak, így az adatcsere lehetõsége az EU országokkal illetve szervezetekkel is megkérdõjelezõdhet, ha a hazai rendszerek kellõ szintû védelmet nem nyújtanak. Fokozott fenyegetést jelent a romló közbiztonság is. Mindezek miatt a következõ idõszakban a stratégia fontos eleme a biztonsági szint lényeges javítása (a rendszerek auditálása, rejtjelezés, stb.). A nemzetközi adatcserével kapcsolatban az elmúlt évben lépett hatályba pl.: a 2001. évi LXXXIX. Törvény A Magyar Köztársaság és az Európai Rendõrségi Hivatal együttmûködésérõl, amelynek 12. és 13. Cikke határozza meg a biztonsági elõírásokat. Az adatkezelésre a 4/2002. (I. 30.) BM-PM együttes rendelet Adatkezelési fejezete vonatkozik. Az alkalmazási architektúra kialakítás szempontjai Javasolja a stratégia az informatikai alkalmazási (ezen belül adatháttér-szervezési) architektúra kialakításában ne a technikai megközelítés legyen az elsõdleges, hanem a jogi háttér által megengedett, biztonságos és gazdaságos szolgáltatási jelleg létrehozása. A meghatározó szempontok között szerepel: Közérdekû adatokhoz való hozzáférés biztosítása Megállapítja a stratégia, hogy a közigazgatás mûködése során hatalmas mennyiségû információ keletkezik. A folyamatok ellenõrizhetõsége, a demokrácia követelményeinek érvényesítése megköveteli, hogy a keletkezõ információtömeg ne csak elvben, de gyakorlatban is hozzáférhetõvé váljon az állampolgárok részére. Az alkalmazási rendszerek kialakításában régebben követett, alapvetõen csak a közigazgatás belsõ igényeit szem elõtt tartó megközelítés helyett a jövõben e szempontnak hangsúlyosan érvényesülnie kell. Ez a feladat a minisztériumok, köztük a belügyminisztérium honlapjának alkalmazása révén alapvetõen megvalósult. Biztonság szavatolása A szervezet folyamatos mûködõ képessége érdekében feltétlen gondoskodni kell a megfelelõ biztonságról. A biztonságnak a teljes rendszerre ki kell terjednie, valamennyi szinten (ügyintézési ponttól a központig). A biztonságnak alapvetõ része a fizikai biztonság megteremtése. Szükséges a szokásos technikai felszereltség (elektronikus riasztó rendszer, folyamatos videó rögzítés stb.), de emellett megfelelõ biztonsági személyzetre is szükség van. Arra kell törekedni, hogy az ügyintézési helyek - különösen az ügyfélszolgálatok, irodák, stb. - ne tartsanak maguknál adatokat, hanem csak a tranzakciókhoz vegyék igénybe a tárolási helytol, úgy nincs szükség kiemelt védelemre, csak a telepített eszközök értéke a védendõ érték. Amennyiben a programok is tranzakciós jellegûek, s nincsenek nagy értékû számítástechnikai szolgáltató gépek az ügyintézési helyeken, úgy a veszélyeztetettség tovább csökken. A szolgáltató központok védelmének kialakítása ugyanakkor nem maradhat el. Mindezeket a szempontokat fokozottan érvényesíteni kell az érzékeny adat környezetben (beleértve az érzékeny adatról szóló törvényben meghatározott egyéb adatfajtákat), illetve a feltételezhetõen komolyabb technikai felkészültségre épülõ fenyegetéseknél (szervezett bûnözés), megteremtve a teljes körû védelmet. A hiteles információ-tároló alapnyilvántartások adatbázisát határozottan szét kell választani az információ-szolgáltatási célú adatbázisoktól (különösen a nem vagy csak korlátozottan kontrollált körben hozzáférhetõek esetében), támaszkodva az adatraktár technológiára. 19
A biztonság kérdésköre nem szûkíthetõ le a fizikai illetve az átviteli biztonsági kérdésekre. A fogalom valamennyi összetevõjének érvényesülésérõl gondoskodni kell, beleértve az adatbiztonságot, hitelességet, integritást stb. A biztonsági kérdéseket és feladatokat külön dokumentumok is tárgyalják. Szolgáltatás biztosítása Jelenleg a közigazgatási szolgáltatások nyújtása jelentõs mértékben az alkalmazott köztisztviselõi kar erõfeszítésein alapul, a szorosan vett munkaköri feladatok, a normál elvárható munkaintenzitás és munkaidõ jelentõs meghaladásával. Hosszabb távon ez nem tartható, az informatikai háttérnek pont e terheket kell mérsékelnie. Az informatikai háttérnek valóban kiszolgálnia kell a felhasználót, amihez professzionális menedzselési rendszerre van szükség, amely kiterjed az állandóan elérhetõ tanácsadáson, rendszer felügyeleten túl a probléma-kezelésre, a változás-kezelésre stb. Ennek azonban szervezeti, személyi feltételei is vannak. Be kell vezetni a professzionális infrastruktúra-menedzselést (azonnali telefonos tanácsadás, probléma elhárító rendszer, változás-követés stb.). A szolgáltatások meghatározását, nyilvántartási rendszerét olyan szintre kell fejleszteni, ami lehetõvé teszi a szolgáltatási szint megállapodások kialakítását a belsõ szolgáltatókkal, illetve szolgáltatási szint szerzõdés megkötését külsõ szolgáltatóval. A szakmai színvonal javítása érdekében az elaprózottság, megosztottság csökkentésére, a számítógépes szolgáltatások központosítottabb szervezésére célszerû törekedni. Az elv alkalmazása során át kell tekinteni az adatgazdai szerepkörök kiosztását, érvényesülését, s a szakmai és informatikai feladathatárok illeszkedését. Továbbá pontosan meg kell határozni a specifikus adathátterek határait. Az idõközben történt változásoknak megfelelõen a több éves elõkészítõ munka eredményeképp több kormányzati szervezet mellett társadalmi szervezetek kezdeményezésére is megalakult a Nemzeti Informatikai Stratégia ( NIS) Elõkészítõ Bizottsága. Az informatikai szakemberek már korábban is kezdeményezték az 5-10 évre szóló stratégia elkészítését, amellyel kapcsolatban az IIF készített dokumentumokat. A NIS lényeges eleme, hogy a legfontosabb nemzeti szintû feladatokra projektekre koncentrál, ennek megfelelõen kidolgozása nagy körültekintést és mélyreható elemzéseket igényelt. A Projekt javaslatok közül jelen téma szempontjából kiemelésre érdemesek az alábbiak: - az IIF program bõvítése; - a nagy kormányzati rendszerek hatékony gépesítése; - oktatási, továbbképzési hálózatok; - céghálózat. 20
2.3. A Nemzeti Információs Társadalom Stratégia ( 2001. május 17.) fõbb elvei A Nemzeti Információs Társadalom Stratégiája 3-5 éves idõtartamra készült, míg a hozzá rendelt akcióterv, illetve a konkrét programok idõhorizontja a 2001. és a 2002. év. Az info kommunikációs technológia változásainak sebessége nem teszi lehetõvé az egy országra vonatkoztatott klasszikus stratégia megalkotását. A stratégia megállapítja, hogy mire meghatározzuk a kiindulási állapotot, meghatározzuk a céljainkat, megtervezzük az ezek elérését biztosító megoldásokat és ténylegesen hozzákezdünk a megvalósításhoz, addigra a kiindulási állapot már nem ugyanaz. E nehézség feloldását a megújuló stratégia hivatott megoldani. A rendszeres monitoringba épített mérõszámok értelmezése és a visszacsatolás biztosítja a folyamatos korszerûsítést. Évenkénti rendszerességgel újabb verzió lesz irányadó, ezt jelzi a dokumentum címében szereplõ 1.0 verzió. A Nemzeti Információs Társadalom Stratégiájának 1.0 ás verziója Elektronikus kormányzati célkitûzések rövid elemzése. Az elektronikus kormányzati célkitûzések megvalósítása érdekében kiemelten kezelendõ területek: 1. A kormányzati ügyvitel elektronizálása, a szolgáltató kormányzat létrehozása. Önkormányzati célkitûzések A modern informatikai megoldásokon alapuló, költség-hatékony belsõ és külsõ munkavégzés érdekében az önkormányzati ügyvitel elektronizálásának támogatása, illetve a szolgáltató önkormányzatok kialakításának elõsegítése. A regionális/önkormányzati célkitûzések megvalósítása érdekében kiemelten kezelendõ területek: az önkormányzati ügyvitel elektronizálása, a szolgáltató önkormányzat létrehozása. Az infrastrukturális célkitûzések megvalósítása érdekében kiemelten kezelendõ területek: a szabályozás és a szabványosítás. 2.4. A Felsõoktatási Informatikai Stratégia FIS rövid ismertetése és elemzése A felsõoktatás fejlesztésérõl 1995-ben hozott országgyûlési határozat és a felsõoktatási törvény 1996-ban elfogadott módosítása határozta meg a felsõoktatás korszerûsítését, amelynek két fontos szempontja között kerül meghatározva az információs társadalomban való kiemelkedõ szerepe. A Felsõoktatási Informatikai Stratégia elkészítését tehát kormányrendelet írta elõ. A FIS fõ célja az információs technológiák alkalmazásának támogatása és széleskörû elterjesztése a hazai felsõoktatásban. A legfontosabb informatikai fejlesztési irányok és módszerek: - oktatás továbbképzés; - kutatás és fejlesztés; - az intézmények irányítása és mûködtetése; - könyvtárak és informatikai adatbázisok kezelése; - intézményi és országos információs infrastruktúra. A stratégia fõbb kérdéskörei: - a felsõoktatás jövõképe az információs társadalomban; - információs technológiák alkalmazásának helyzete; - az informatika szerepe az oktatás, képzés területén, az oktatás tartalmi technikai kérdései; 21