Miniszterelnöki Hivatal Informatikai Koordinációs Iroda
Informatikai Tárcaközi Bizottság ajánlásai
Informatikai biztonsági módszertani kézikönyv
8. sz. ajánlás
1. számú melléklete
Informatikai biztonság és a szervezet összbiztonságának összefüggései
Budapest, 1994
A közigazgatás korszerûsítésérôl szóló 1026/1992. (V.12.) Korm. határozat a közigazgatási informatika fejlesztésével összefüggô konkrét feladatokat fogalmazott meg. Ehhez kapcsolódóan a központi államigazgatási szervek informatikai fejlesztéseinek koordinálásáról szóló 1039/1993. (V.21.) Korm. határozat a következôket írja elô: "Az informatika területén az Európai Közösség elôírásaihoz igazodó kormányzati ajánlásokat kell kibocsátani, amelyek az államigazgatási informatikai fejlesztéseknél irányadók. Az ajánlásoknak biztosítaniuk kell a "nyílt rendszer" elv érvényesítését, informatikai stratégiai tervek készítését, a tervezéshez minôségjavító módszerek bevezetését, a biztonsági és adatvédelmi követelmények fokozott érvényrejuttatását, a beszerzések megalapozottságának javítását. Felelôs: Informatikai Tárcaközi Bizottság elnöke." A kormányhatározatban elôírtak alapján az Informatikai Tárcaközi Bizottság által elfogadott kormányzati ajánlásokat a Miniszterelnöki Hivatal Informatikai Koordinációs Irodája teszi közzé.
Az "Informatikai Biztonsági Módszertani Kézikönyv"-et mellékleteivel együtt az Informatikai Tárcaközi Bizottság ajánlásként elfogadta. Ezen melléklet az informatikai biztonság igényeit és az azokkal kapcsolatos feladatokat tágabb megközelítésbôl, a szervezet összbiztonságának tükrében elemzi. Az Informatikai Biztonsági Módszertani Kézikönyv (IBMK) egy általános szervezeti struktúrát feltételez és annak alapján tárgyalja az informatikai biztonságot. A szervezet összbiztonsági megközelítése szerint viszont, aminek csupán egyetlen eleme az informatika, további védelmi szükségleteket is figyelembe kell venni, amelyek tágabb értelmû összefüggéseit kívánja szemléltetni ez a melléklet. Ezek közül néhány az IBMK-ban is tárgyalásra került.
Informatikai biztonság és a szervezet összbiztonságának összefüggései
Miniszterelnöki Hivatal Informatikai Koordinációs Iroda
1994. május
Tartalom 1. Alapvetések .....................................................................................................................1 1.1. Az országos hatáskörû kormányzati szervek alapfunkciója .........................................1 1.2. A kormányzati szervezeti-intézményi rendszer tagjainak helyzete..............................1 1.3. A kormányzati szervek szervezeti felépítése................................................................1 1.4. A kormányzati szervek alapvetô feladatkörei ..............................................................2 1.5. A kormányzati tevékenység alaptermészete.................................................................2 1.6. Biztonsági alapfogalmak ..............................................................................................3 2. Intézményi-szervezeti védelmi szükséglet ......................................................................5 3. Az intézményi-szervezeti védelmi-biztonsági alapfunkciók...........................................7 4. A védelmi-biztonsági alapfunkciók realizálásának alapelemei.......................................10 5. Alapvetô biztonságvédelmi fejlesztési feladatok ............................................................13 Összefoglalás.......................................................................................................................14 1. számú függelékObjektumvédelem funkcionális megközelítésben..................................15 2. számú függelék Tájékoztatási kötelezettség - titoktartási kötelezettség jogszabályi háttere .....................................................................................................................................17 3. számú függelék Munkavállalói, közalkalmazotti kötelezettségek jogszabályi háttere ...19
Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.
Az informatikai biztonság és a szervezet összbiztonságának összefüggései
1. oldal
1. Alapvetések
1.1. Az országos hatáskörû kormányzati szervek alapfunkciója A kormányzati szervek a Kormány felügyelete alá tartozó, országos hatáskörû államigazgatási szervek, amelyek önálló költségvetési szervként mûködnek. A kormányzati szervek a hatáskörükbe tartozó ügyekben az érintett ágazati törvényekben, valamint az államigazgatási eljárás általános szabályairól szóló 1957. évi IV. törvény módosításáról és egységes szövegérôl rendelkezô 1981. évi I. törvény szerint járnak el. A kormányzati szervek biztonsági koncepcióját meghatározó alapvetô szempontok az intézményeknek a katonai, külpolitikai, nemzetgazdasági biztonság védelme-erôsítése terén betöltött szerepébôl, valamint a kormányzati stabilitás megôrzésével-erôsítésével kapcsolatos szerepébôl vezethetôk le. Ezek a szempontok - többször csak áttételesen - kifejezésre jutnak az Alkotmány, valamint az egyes ágazati törvények megalkotása során figyelembe vett alapvetô társadalmi-gazdasági érdek-kategóriákban. Összességében megállapítható, hogy a kormányzati szervek alapfunkciója a kormányzati rendszernek a nemzetgazdaság "normál állapotával" immanens mûködési módja feltételeinek a kormányzat képviseletében történô biztosítása és folyamatos továbbfejlesztése. Az egyes intézmények biztonsági koncepciójának elemeznie kell azokat a szempontokat, amelyek figyelembevételével biztosítható az adott szervezet alapfunkciója realizálásának zavartalansága.
1.2. A kormányzati szervezeti-intézményi rendszer tagjainak helyzete Az országos hatáskörû szervek ágazati miniszteri felügyelettel közvetlen kormányzati alárendeltségben mûködô kormányzati szervek. A mûködésükhez szükséges erôforrásokat és azok felhasználásának alapvetô szabályait a költségvetési törvény és az államháztartási törvény határozza meg. Költségvetési tervezési, elôirányzatmódosítási és -felhasználási, beszámolási és információmódosítási kötelezettsége és joga a költségvetési cím jogállásnak megfelelôen történhet.
1.3. A kormányzati szervek szervezeti felépítése A kormányzati szféra szervezeteire a centralizált, hierarchikus felépítés jellemzô. A szervezeten belül három-öt hierarchiaszint jellemzô. Az egyes szervezeti egységek kialakításánál a munkamegosztás hosszabb távon tartós formájára vonatkozó elképzelések játszottak szerepet. Általános gyakorlat szerint ideiglenes munkaerô átcsoportosítás csak külön eljárás (vezénylés, megbízás) keretében lehetséges. Az egyes szervezeti egységek szükség szerinti pótlólagos erôforrásszükséglete - idôszakosan - együttmûködési kötelezettség elôírása révén biztosítható. A kiadványozáshoz kötött információ bekérô és szolgáltató tevékenység centralizált jellegû.
Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.
2. oldal
Az informatikai biztonság és a szervezet összbiztonságának összefüggései
1.4. A kormányzati szervek alapvetô feladatkörei Az alapfunkció realizálása érdekében végrehajtandó feladatok • • • • • • • •
engedélyezés, ellenôrzés, felügyelet, érdekvédelem, koordináció, szabályozó, kodifikációs-elôkészítô tevékenység, befolyásolás, érdekképviselet.
Az alapvetô funkció gyakorlása során a szervezetek szemben találják magukat a fentiekben vázolt feladatok közötti ellentmondások feloldásának, folyamatos meghaladásának követelményével. Vélelmezhetôen ez a követelmény a legélesebben az általános érdeket képviselô törvények által meghatározott követelmények, illetve az ágazati- és csoportérdekek érvényesítésével kapcsolatos koordinációs, kodifikációs-elôkészítô tevékenység során jelentkezik. Az ezzel kapcsolatos követelményeknek való megfelelés szempontjából alapvetô jelentôsége van az informatikai védelmi funkció realizálását szolgáló eszközbázis tágabb értelmezésébe vont célirányos, hatékony tájékoztató rendszernek. Ez példa arra, hogy a védelmi-biztonsági funkciók fogalmának kiterjesztése, komplex értelmezése önmagában is új problémamegoldási lehetôségeket kínál.
1.5. A kormányzati tevékenység alaptermészete Megállapítható, hogy a kormányzati tevékenység alaptermészetét tekintve információfeldolgozó tevékenység. A megvalósuló folyamat általános sémája:
Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.
Az informatikai biztonság és a szervezet összbiztonságának összefüggései
3. oldal
információszerzés információelemzés az információelemzés eredményeinek kiértékelése
döntés visszacsatolás belsõ
külsõ
nyilvántartásbavétel
véleményezés
intézkedés
engedélyezés tájékoztatás
1. ábra Az információfeldolgozó folyamat sémája
1.6. Biztonsági alapfogalmak A kormányzati szervek mûködési rendszere biztonságának védelme-erôsítése a rendszerösszeomlások megelôzésére, lokalizálására, felszámolására irányuló tevékenység. A fenyegetô rendszerösszeomlások három alaptípusba sorolhatók. − Az elsô típus esetében egymástól kölcsönösen függô és egymást kölcsönösen támogató rendszerelemek vagy funkciók bonyolult, szerteágazó hálózatában egyetlen elemnek (bármilyen okú) összeomlása okozza az egész intézmény és funkciórendszer összeomlását. − A második típus esetében fenyegetô változások jelennek meg a rendszer környezetének egyes részeiben, ezek azonban észrevétlenek maradnak mindaddig, amíg akut veszéllyé nem növik ki magukat, amikoris a veszély többé nem is küzdhetô le, mert már túl késô van az elhárítás, a kompenzálás, vagy akár a szakaszos adaptáció megkísérléséhez. − A harmadik típusú rendszerösszeomlást olyan eseményeknek véletlenszerû egybeesése okozza, amelyeknek - az érintettek által gyakorlatilag elôre nem látható - idôbeli kombinációja rendszerösszeomlásra vezet. Az ilyen katasztrófák okainak jellegzetes konstellációja alakul ki akkor is, amikor valamely jól mûködô társadalmi-mûszaki rendszer azért omlik össze, mert több "hiba" váratlanul egymáshoz kapcsolódik. Bár vannak biztonsági rendszabályok, ezek csôdöt mondanak, tekintettel a körülményeknek a katasztrófát együttesen elôidézô, meg nem tervezett kombinációjára. Mihelyt a tényezôk végzetes konstellációja már létrejött, az összeomlás túl sebesen megy végbe
Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.
4. oldal
Az informatikai biztonság és a szervezet összbiztonságának összefüggései
ahhoz, hogy külsô beavatkozással még feltartóztathatnák, vagyis egyszerûen nincs idô sem a kompenzációra, sem a szakaszos alkalmazkodásra. A rendszerösszeomlás elôidézésével fenyegetô változások, események alaptermészetét vizsgálva minden esetben valamilyen, a rendszer mûködésének feltételét jelentô szükséglet kielégítetlenségével találjuk szemben magunkat. Ezen szükséglet-kielégítetlenségek közgazdasági nyelvezettel élve - aránytalansági képzôdmények, mértéke, kölcsönhatása, egymásba történô átalakulásuk lehetôségei határozzák meg a rendszer biztonságának helyzetét. Egy alapvetôen információfeldolgozásra szakosodott szervezet esetében az információhiány, illetve az információfeldolgozó kapacitások és a feldolgozás eredményeinek visszacsatolását szolgáló kapacitások hiánya, sérülése veszélyezteti leginkább a szervezet biztonságát. A rendszer biztonságának védelme-erôsítése éppen az elôre jelezhetôség, illetve a beavatkozási lehetôségek korlátozott volta miatt nem a katasztrófa közvetlen kivédésére irányul, hanem sokkal inkább, indirekt módon, olyan rendszer-tulajdonságok erôsítése, fejlesztése révén valósul meg, amelyek alapvetô szerepet játszanak a rendszer katasztrófák általi sebezhetôségének csökkentése terén. Ezek az alapvetô tulajdonság-osztályok a következôk: •
Az állóképesség úgy határozható meg, mint a rendszer struktúrájának megôrzése egyes elemek megsemmisülése esetén is, dublírozás, helyettesítés révén.
•
A túlélôképesség a káros külsô (és belsô) tényezôk elleni aktív fellépés feltételeinek meglétén alapul.
•
Az alkalmazkodóképesség elsô közelítésben a külsô zavarok "elnyelésének" képességével hozható összefüggésbe.
Megállapítható, hogy az állóképesség és a túlélôképesség kutatásában eddig a rendszerelemek sebezhetôségére irányuló vizsgálódások voltak túlsúlyban, figyelmen kívül hagyva az elemek közti kapcsolatok sebezhetôségét. A kormányzati szervek, mint "bürokratikus szervezetek" tevékenysége - mint ezt a fentiekben rögzítettük - információfeldolgozáson alapul. Ez az információfeldolgozó tevékenység irodai környezetben (irodaépületben) irodatechnikai eszközök, számítógépes információfeldolgozó rendszerek, telekommunikációs eszközök alkalmazásával valósul meg. Az információfeldolgozás jelentôs része adatfeldolgozásra épül. Az adatfeldolgozás során egyaránt alkalmaznak papíralapú és elektronikus adathordozókat, adatfeldolgozási technológiákat. Az információfeldolgozás másik része a közvetlenül, vagy távbeszélô vonalakon történô, élônyelvû kommunikáción alapul. Mindezek alapján kézenfekvônek tûnik, hogy elsôsorban az információfeldolgozó rendszerek állóképessége, túlélôképessége, alkalmazkodóképessége erôsítésével kapcsolatos kérdéseket helyezzük az intézményi-szervezeti biztonság védelmének elôterébe. Mint ezt a késôbbiekben látni fogjuk, az informatikai védelmi funkció kiemelése és elkülönült kezelése sem a hatékonyság, sem pedig a szervezeti összbiztonsági érdekek szempontjából nem lehetséges.
Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.
Az informatikai biztonság és a szervezet összbiztonságának összefüggései
5. oldal
2. Intézményi-szervezeti védelmi szükséglet Az intézményi-szervezeti védelmi szükséglet az alapfunkció realizálását fenyegetô legfontosabb veszélyforrások elemzése révén határozható meg. Ennek során az IBMK keretei közt nem foglalkozunk részletesen olyan, a szervezeteket általánosan fenyegetô, alapvetô veszélyforrásokkal, mint például a természeti csapásokból, tûzvészbôl eredô katasztrófák, kulcsfontosságú területeken dolgozó alkalmazottak együttes balesete, vagy jelentôs adatállományok teljes megsemmisülése, egyéb belsô mûködési zavarok. Azok az érdekek, amelyekkel kapcsolatos érdekérvényesítési törekvések az egyes kormányzati szervek alapfunkciójának realizálását veszélyeztetik, sokkal inkább kapcsolódnak a politikai-kormányzati rendszerhez, illetve annak egyes elemeihez, mint közvetlenül magához az adott szervezethez. Tevékenysége ellátása érdekében saját szakterületén minden kormányzati szerv megadott hatalmi jogosítványokkal rendelkezik és meghatározott körû autonómiát élvez. Ennek következtében bizonyos érdekek érvényesítése terén az adott kormányszerv nem megkerülhetô, az érdekérvényesítés csak a kormányszerv ellenében, annak befolyásolása, esetleg kényszerítése révén képzelhetô el. Nyilvánvaló, hogy a közvetlen befolyásolási, kényszerítési törekvésekkel szemben az egyes kormányszerv részére a jogszabályok és a kormányzati szervezeti intézményi rendszer egésze megfelelô védelmet nyújt. Az indirekt módszerekkel történô érdekérvényesítés azonban már sokkal nehezebben kezelhetô, védhetô ki. Az indirekt módszerekkel történô érdekérvényesítés alaptermészetét tekintve az információ manipulálásán, az információval való visszaélésen alapul. Ahhoz, hogy a foganatosítandó védelmi rendszabályok jellegét és volumenét helyesen tudjuk meghatározni, alaposabban fel kell tárnunk a különérdek érvényesítés kifejezéssel jelölt fogalom tartalmát és terjedelmét. A kormányzati rendszer politikai és nemzetgazdasági funkcióját, a rendszer egyes elemeinek szerepét, súlyát vizsgálva megállapítható, amint azt a legmagasabb rendû jogszabályok is leszögezik, hogy a kormányzati rendszerrel, illetve a kormányzati rendszerbe sorolt szervezetekkel szembeni jogalap nélküli érdekérvényesítés jelentôs erôforrásokat és szervezettséget igényel. Feltehetô, hogy ilyenfajta érdekérvényesítésre csak idegen államok, multinacionális gazdasági szervezetek, a szervezett bûnözés, illetve belföldi, úgynevezett különérdeket képviselô elosztási koalíciók lehetnek képesek. Az elsô három esetben a közvetlen érdekérvényesítési törekvés felfedése az állam, összes igénybe vehetô erôforrásának felsorakoztatásával, széles körû és hatékony védelmet biztosít a kormányzati rendszer, illetve az egyes szervezetek részére. A különérdek érvényesítés információmanipuláláson alapuló mechanizmusait vizsgálva három alapvetô tevékenységi kört különböztethetünk meg: •
ellenadaptáció,
•
befolyásolás,
•
megtévesztés.
Az ellenadaptáció alapvetôen kétirányú és az információ monopolizálásán, illetve a monopólium megsértésén alapul. A különérdeket képviselô elosztási koalíció egyfelôl igyekszik saját törekvéseit eltitkolni, ezáltal az állami felügyeleti szerv, illetve az adott kormányzati szervezet ellenreakcióit megbénítani, késleltetni. Ezzel egyidejûleg a bank-, az
Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.
6. oldal
Az informatikai biztonság és a szervezet összbiztonságának összefüggései
üzleti, a hivatali, illetve akár állam- és szolgálati titok kifürkészése révén törekszik a számára kedvezôtlen szabályozási akciók, beavatkozások megakadályozására, megelôzésére. A védekezés itt egyfelôl a jogszabályok maradéktalan betartásával történô hatékony információs monopóliumképzésen és monopóliumvédelmen (titokvédelmen), másfelôl a jogosulatlan információs monopóliumképzés feltörésének - elsôsorban elemzô-értékelô kapacitások fejlesztésén alapuló - képességére támaszkodik. Az ellenadaptációval szemben hatékony fegyver lehet a gyors, célirányos tájékoztatás is, melynek révén a különérdekérvényesítés alapjául szolgáló információs monopólium megsemmisíthetô. A befolyásolás alapvetôen a nyilvánossággal való visszaélés, illetve az ezzel való fenyegetés, valamint a személyi kapcsolatokkal való visszaélés révén valósulhat meg. A befolyásolás elleni harc két alapvetô formája ennek megfelelôen a rendszeres, gyors és hiteles tájékoztatás, valamint a személyi biztonsági tényezôk erôsítése. A megtévesztés hamis ügyletspecifikus információk közlésével, valamint a döntések alapjául szolgáló általános háttérinformáció manipulálásával, azaz dezinformáció révén valósulhat meg. A megtévesztés elleni védelem elsôsorban az elemzô-értékelô képességen, valamint a kontroll hírforrásokhoz való hozzáférés biztosításán alapszik. A különérdek érvényesítés elleni informatikai vonatkozású védelmi mechanizmusok felvázolása alapul szolgálhat az intézményi-szervezeti védelmi-biztonsági funkció felvázolásához.
Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.
Az informatikai biztonság és a szervezet összbiztonságának összefüggései
7. oldal
3. Az intézményi-szervezeti védelmi-biztonsági alapfunkciók A kormányzati szervezeti rendszer alaptevékenysége az információfeldolgozás. Ennek megfelelôen a védelmi erôfeszítéseket, az igénybe vehetô erôforrásokat elsôsorban az információfeldolgozási folyamatok, az információfeldolgozást támogató rendszerek, valamint a kommunikációs kapcsolatok, csatornák védelmére kell összpontosítani. Az ezzel kapcsolatos feladatok megoldásához szükséges ráfordítások jelentôs mértékben mérsékelhetôk az intézményi-szervezeti biztonságvédelem két másik alapvetô területének, az objektumvédelemnek és a személyi-strukturális biztonság védelmének célszerû, összhangban történô erôsítésével. A kormányzati szervezeti rendszer önálló egységeinek biztonsága az alábbi három alapvetô funkció komplex realizálása révén szavatolható: •
informatikai védelmi funkció,
•
objektumvédelmi funkció,
•
személyi-strukturális védelmi funkció.
Az IBMK alapvetôen az informatikai védelmi funkcióra koncentrál. Természetesen a függôségi viszonyai miatt az objektumvédelmi, (az IBMK terminológiája szerint a környezeti infrastruktúra védelme) és a személyi-strukturális védelmi funkciók valamilyen része elemzésre került, de nem fedte le a szervezet teljes egészét. Az informatikai védelmi funkció Az informatikai védelmi funkció realizálása magában foglalja az adatvédelmi és a kommunikáció-védelmi mechanizmusok és eljárások alkalmazását, a megfelelô elemzôértékelô kapacitások mûködtetését, elsôsorban az információ hitelességének biztosítása érdekében célirányos, hatékony tájékoztató rendszer üzemeltetését, valamint a hozzáférést ellenôrzô és biztosító (információszerzô, monitoring) rendszerek alkalmazását. Az objektumvédelmi funkció Az objektumvédelmi funkció realizálása magában foglalja az intézmény szervezeti egységeinek elhelyezését szolgáló épületekbe, helyiségekbe, a hozzájuk kapcsolódó szabad területekre való belépés ellenôrzését, az illetéktelen behatolás megakadályozását, a területen, az épületekben, helyiségekben való mozgás megfigyelését, ellenôrzését, a mûszaki létesítmények, berendezések, al- és felépítmények állapotában bekövetkezô változások megfigyelését, ellenôrzését, valamint a megfigyelések, ellenôrzések eredményeinek elemzése-értékelése alapján történô visszacsatolást (beavatkozást, korrekciót) és a beavatkozás, korrekció érdekében igénybe veendô erôforrások folyamatos biztosítását. A személyi-strukturális védelmi funkció A személyi-strukturális védelmi funkció realizálása magában foglalja az intézmény szervezeti keretei közt dolgozó közalkalmazotti állomány kiválasztását, biztonsági felkészítését és ellenôrzését, az információs monopóliumokhoz kapcsolódó személyi körök határain átvezetô formális kapcsolatok ellenôrzését az intézményi-szervezeti keretek közt és azon túl, valamint a formális és informális szervezeti struktúrák biztonsági megfontolásokból történô célszerû kialakítását, fejlesztését, befolyásolását.
Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.
8. oldal
Az informatikai biztonság és a szervezet összbiztonságának összefüggései
A személyi-strukturális védelem magában foglalja a szervezeti struktúra biztonsági szempontokat figyelembe vevô, célszerû kialakítását, illetve folyamatos továbbfejlesztését, ideiglenes szervezeti elemek létrehozatala szabályozott lehetôségét. A védelmi-biztonsági funkciók egymás közti viszonyát, valamint az alapvetô biztonsági rendszerelemek mûködtetése révén megvalósuló védelmi folyamatokat a 2. számú ábra szemlélteti.
Védelmi biztonsági szükséglet
Monitoring alrendszer
Objektumvédelmi funkció
Elemzõ-értékelõ alrendszer Informatikai biztonsági funkció Személyi-struktúrális funkció Szabály
Intézkedési alrendszer
Infrastuktúra
Erõforrás
2.ábra A szervezeti intézményi védelmi-biztonsági funkciók viszonya és a realizálásukat szolgáló biztonsági rendszerek
Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.
Az informatikai biztonság és a szervezet összbiztonságának összefüggései
9. oldal
Amint azt az ábra is érzékelteti, a különbözô alaptermészetû funkciók realizálását szolgáló, különbözô természetû biztonsági rendszermodulok közös alapstruktúrára szervezôdnek. Az ezzel kapcsolatos felosztás megfeleltethetô az IBMK 2. fejezetében közölt 2. sz. ábra szerinti informatikai rendszerelem-csoportok függôségi viszonyainak. Mindegyik modul tartalmaz monitoring, elemzô-értékelô és intézkedési alrendszereket, ugyanakkor ezen alrendszerek mûködtetése, kölcsönhatása minden esetben lényegében ugyanazon séma szerint, azaz meghatározott erôforrások konkrét infrastruktúra bázisán történô, meghatározott szabályok szerinti igénybevételével megy végbe. Lényegét tekintve a legkülönbözôbb szervezeti biztonsági rendszerek ezen elemi konstrukciók megfelelôen parametrizált változataiból építhetôk fel. A konkrét biztonsági rendszerelem paraméter-értékeinek (végsô soron tulajdonságainak) meghatározásához a biztonsági helyzetfelmérés eredményeit feldolgozó kockázatelemzés szolgál alapot. A központi kormányzati szférában azonban a kockázatelemzô sajátos nehézséggel találja magát szemben. A kockázatelemzés módszerei a károk mértékének és gyakoriságának, ennek alapján pedig a kockázat pénzértékben kifejezett értékeinek meghatározása nyomán állapítja meg a védelmi intézkedések szükséges körét, azok igazolható költségét és a maradványkockázat elfogadható mértékét. Politikai, nemzetgazdasági vonatkozású értékek esetén sem a számszerûsítés, sem az elfogadható maradványkockázat megállapítása nem problémamentes, sôt általában meg sem valósítható. Mivel azok a megfontolások és eredmények, amelyek a kockázatelemzéshez kapcsolódnak, a védelmi-biztonsági rendszer kialakításának folyamatában nem nélkülözhetôk, a sajátos feltételekhez illeszkedô módszer alkalmazására van szükség. A módszer egyik alapvetô eleme, hogy a kockázat meghatározása úgynevezett kockázati mátrix létrehozása útján történik. Ennek érdekében olyan értékskála kerül meghatározásra, amely az adott szervezet sajátos céljainak megfelelôen, szükség szerint akár folyamatcsoportonként eltérô módon, kategorizálja a fenyegetések érvényre jutásának valószínûségét és a fellépô károk mértékét. A mátrix alapú megközelítés ugyanakkor nem mossa egybe az egyes kárérték-gyakoriság párokat, pl. egy nagyértékû, kis valószínûséggel bekövetkezô és egy kisértékû, nagy valószínûséggel bekövetkezô kár esetét. Ez lehetôséget teremt az egyes kockázatok megkülönböztetett módon történô, az intézményi-szervezeti sajátosságokhoz illeszkedô kezelésére. A módszer másik fontos összetevôje azon kockázatok kezelése, amelyek esetében maradványkockázat nem fogadható el. Mivel egy fenyegetés érvényre jutásának valószínûsége nullára nem csökkenthetô, a védelmi intézkedések fontos részét képezik az esetleges károkozás felfedezéséhez, a felelôsségrevonhatósághoz kapcsolódó követelmények kielégítését szolgáló eszközök. Ez a megközelítés a védelmi-biztonsági rendszer integráns részévé teszi az esetleges károkhoz kapcsolódó kártérítési, helyreállítási, jóvátételi kötelezettség végrehajtását, és ezzel a lehetséges mértékben megközelíti a teljes biztonság megvalósítását.
Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.
10. oldal
Az informatikai biztonság és a szervezet összbiztonságának összefüggései
4. A védelmi-biztonsági alapfunkciók realizálásának alapelemei A védelmi-biztonsági alapfunkciók realizálásának számos eleme - például az adatvédelem részletesen szabályozott. Az intézményi-szervezeti rendszer biztonsága az eddig kevésbé feltárt, alkalmazott elemek egymással összhangban történô rendszerbe állítása révén helyezhetô új alapokra. Az e téren legfontosabbnak tekinthetô védelmi tevékenységi elemek az alábbiak. -
Az információs monopóliumképzés elemzô-értékelô módszertani támogatása Ennek keretei közt folyamatosan vizsgálni kell, hogy az intézményi alapfunkció betöltése, valamint az intézményi-szervezeti mûködés zavartalansága szempontjából mely információ megismerhetôségét kell meghatározott személyek körére korlátozni (titkosítani). A titkosítás során - a jogszabályi elôírások kötelezô figyelembevételével mindenekelôtt vizsgálni kell, hogy az adott információ ténylegesen eltitkolható-e. Ez alatt azt értjük, hogy a megismerhetôségi korlátozás alá nem esô egyéb információból az eltitkolni kívánt információ nem következtethetô-e ki. Vizsgálni kell továbbá, hogy a monopóliumképzés révén nem sérülnek-e olyan érdekek, amelyek magasabb értéket képviselnek, mint a monopólium képzéshez fûzôdôek. A fentieken túl az elemzés tárgyát kell, hogy képezze a titkosítás idôhorizontjának meghatározása, valamint az, hogy a monopólium fenntartása szükségesnek ítélt idôtartama alatt a titokban tartás feltételei folyamatosan biztosíthatók-e. Végül elengedhetetlenül szükséges, hogy az ad-hoc jellegû munkamegosztási konstrukció alakulása révén ténylegesen "betekintôk" köre nem lépi-e túl - akárcsak eseti jelleggel is - a betekintésre jogosultak körét.
−
Az információ hitelességének biztosítása elemzô-értékelô módszerek alkalmazásával A döntéselôkészítés alapjául szolgáló általános háttérinformáció hitelessége ellenôrizhetô, biztosítható megfelelô elemzô-értékelô módszertani támogatással. Ez a támogatás az információ-megmaradás elvének meghatározott feltételek közti érvényre jutásán alapul. A lényege, hogy kellôen fejlett thesaurus birtokában "hiányos", "üres" és "hamis" információból elfogadható hatékonysággal "teljes" információ reprodukálható. Megjegyzendô, hogy megfelelô elemzô-értékelô támogatással - bizonyos keretek közt az ellenérdekeltségû információs monopóliumképzés, illetve az adatvesztés okozta információhiány is jó hatékonysággal pótolható.
−
Komplex hozzáférés-ellenôrzés A komplex hozzáférés-ellenôrzés magában foglalja a számítógépes rendszerben tárolt minôsített adatállományokhoz, illetve a feldolgozás alatt álló minôsített adatokhoz való hozzáférés személyhez kötött naplózását, a minôsített iratokba való betekintés naplózását, bizalmas tárgyú értekezleteken, megbeszéléseken résztvevôk nyilvántartását, bizalmas szóbeli közléseket illetôen a kommunikáló felek személyhez kötött dokumentálását. A titkos információhoz való hozzáférés naplózásának kiegészítô, illetve kontroll eleme az objektumon belüli mozgásellenôrzô rendszer. A szigorúan bizalmas információ feldolgozását, megtárgyalását célszerû az objektumon belül kialakítandó, úgynevezett "védett körletekhez", helységekhez kötni. Célszerûen kialakított beléptetô rendszerek alkalmazásával meghatározható, naplózható az adott idôpontban a bizalmas
Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.
Az informatikai biztonság és a szervezet összbiztonságának összefüggései
11. oldal
információ feldolgozása, megbeszélése során a helyiségben tartózkodó alkalmazottak, tárgyalópartnerek, ügyfelek személye. A komplex hozzáférés-ellenôrzô, megfigyelô (monitoring) rendszer által szolgáltatott adatok rendszeres elemzése alapján megállapítható a szabályokban meghatározottaktól eltérô cselekmény, magatartás, valamint biztosítható a rendkívüli események okainak feltárása. −
Komplex hozzáférés-biztosítás Komplex hozzáférés-biztosítás alatt az intézményi-szervezeti mûködés szempontjából lényeges háttérinformáció forrásául szolgáló információs rendszerekhez, adatbázisokhoz való állandó, illetve gyors eseti kapcsolódás intézményesített feltételeinek megteremtését értjük. Az információtechnológiai bázisú hozzáférés-biztosítást kiegészíti a személyi kapcsolatok intézményesített hálózata, amelynek révén a döntéselôkészítési, elemzési folyamatokba külsô szakértôk, tanácsadók vonhatók be gyorsan és hatékonyan. A hozzáférés-biztosítás központi kérdése a szükséges információ forrásaként számba vehetô információs rendszerek, adatbázisok, személyek elérhetôségének folyamatos ellenôrzése, az elérési feltételek alakulásának rendszeres elemzése.
−
A személyi-strukturális védelmi funkció realizálása A személyi-strukturális védelmi funkció realizálása a gondos kiválasztáson túl magában foglalja az adott közalkalmazotti kategóriába sorolt személyek biztonsági felkészítését. Tudomásul kell vennünk, hogy a megfelelô személyiségjegyek, a szakmai felkészültség és rátermettség, valamint a közalkalmazotti, hivatali eskü letétele önmagukban - a legjobb szándék ellenére - sem biztosítják a biztonsági szempontból kritikus helyzetek sikeres megoldását a közalkalmazott részérôl. A titok megôrzésére, a fenyegetettség, veszélyeztetettség felismerésére, elkerülésére, kivédésére, az ezzel kapcsolatos cselekvési, viselkedési szabályok betartására az alkalmazottakat célirányosan fel kell készíteni és gondoskodni kell folyamatos továbbképzésükrôl és felkészültségük rendszeres ellenôrzésérôl. A biztonsági felkészítés hiányain túl komoly veszélyt jelentenek a biztonsági követelmények figyelmen kívül hagyásával kialakított szervezeti viszonyok. A fentiekben utaltunk az úgynevezett ad-hoc jellegû munkamegosztásból eredô veszélyekre. Az intézményi-szervezeti biztonság szempontjából alapvetô jelentôségû, hogy biztosított legyen ideiglenes szervezeti elemek (munkacsoportok, problémamegoldó team-ek) intézményesített létrehozatala. Ez alatt azt értjük, hogy szükséges esetben az elôzetesen feljogosított vezetôk a szolgálati út figyelmen kívül hagyásával is létrehozhassanak ideiglenes munkacsoportokat. Ennek alapfeltétele, hogy az ilyen csoportokban való részvételre a megfelelô személyek elôzetesen kijelölésre és felkészítésre kerüljenek, továbbá legyen megszervezve a mindenkori helyettesítésük. Az ilyen jellegû munkacsoportszervezésnek a biztonsági jelentôsége abban áll, hogy nem kell a szolgálati útba esô valamennyi vezetôt az adott feladatról tájékoztatni, továbbá a szervezet mûködésének zavartalanságát nem veszélyeztetik helyettesítési problémák. A strukturális biztonság témakörébe tartozik a formális kapcsolatok ellenôrzése (például szolgálati út betartása). Megállapítható, hogy e téren az elôírásoktól való eltérés gyakori észlelése a szervezeti struktúra hibáira vezethetô vissza. A formális kapcsolatokra vonatkozó elôírások ellenôrzése - indirekt módon - lehetôvé teszi a szervezeti érdekek szempontjából ítélve káros, informális kapcsolatok felfedését is. A formális kapcsolatok ellenôrzését éppúgy, mint a helyettesítés személyi feltételei folyamatos meglétének ellenôrzését, biztosítását támogathatják célszerûen kialakított monitoring rendszerek.
Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.
12. oldal
Az informatikai biztonság és a szervezet összbiztonságának összefüggései
Összefoglalva az intézményi-szervezeti biztonság minôségileg új elemei az alábbiak: A. Elemzô-értékelô kapacitások kialakítása •
az információs monopóliumképzés hatékonyságának növelése és biztonságának erôsítése,
•
a biztonsági monitoring rendszerek által szolgáltatott adatok összesített elemzéseértékelése,
•
a döntések alapjául szolgáló teljességének biztosítása
általános
háttérinformáció
hitelességének
és
céljából. B. Komplex hozzáférés-ellenôrzô és hozzáférés-biztosító kifejlesztése, rendszerbe állítása és mûködtetése.
monitoring
rendszerek
C. Alkalmazotti állomány biztonsági felkészítése és folyamatos továbbképzése. D. Biztonsági szervezetfejlesztés. Ezen elemek realizálása csak célirányos, komplex biztonságvédelmi fejlesztô tevékenység révén biztosítható. A biztonságvédelmi fejlesztést meghatározó alapvetô szempont, hogy a már meglévô biztonsági-védelmi konstrukciók a lehetô legteljesebb mértékben integrálódjanak az új rendszerbe. A tényleges fejlesztési szükségletek meghatározása a biztonsági helyzetfelmérés eredményeként kialakításra kerülô biztonsági helyzetértékelés során felvázolt biztonsági modell normatív leképezése révén meghatározható biztonsági fejlesztési célok egybevetése révén történhet.
Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.
Az informatikai biztonság és a szervezet összbiztonságának összefüggései
13. oldal
5. Alapvetô biztonságvédelmi fejlesztési feladatok Az intézményi-szervezeti biztonság elôzô fejezetben meghatározott újszerû elemei és az elôzetes tájékozódás, konzultációk tapasztalatai során kialakított biztonsági helyzetkép egybevetése alapján - a teljesség igénye nélkül - megfogalmazhatók az alábbi biztonságvédelmi fejlesztési feladatok: •
beléptetô és belsô mozgás ellenôrzô rendszer telepítése az objektumvédelem erôsítése érdekében;
•
biztonsági körletek, zónák kijelölése;
•
az alkalmazotti állomány biztonsági felkészítése, folyamatos továbbképzése;
•
felkészítéshez kötött megbízhatósági kategóriák kijelölése;
•
a szervezeti struktúra biztonsági szempontból történô átvilágítása, elemzése, fejlesztése;
•
ideiglenes szervezeti elemek kialakítását biztosító elemzési, szervezési és szabályozási feladatok végrehajtása;
•
elemzô-értékelô szakemberek felkészítése, elemzô-értékelô munkát támogató információtechnológiai fejlesztések végrehajtása;
•
monitoring rendszerek definiálása a meglévô információtechnológiai infrastruktúra bázisán, illetve az információtechnológiai infrastruktúra továbbfejlesztése monitoring rendszerek támogatása céljából;
•
hozzáférés-támogató információtechnológiai fejlesztések beindítása, a fejlesztések fedezeti pénzalapjainak elkülönítése;
•
a célirányos tájékoztatást támogató kapcsolati rendszer fejlesztése, a tájékoztatás "erôsítô pontjai" finanszírozási feltételeinek megteremtése.
(Ez a feladatlista a biztonsági helyzetfelmérés eredményeként kialakításra kerülô biztonsági helyzetértékelés ismeretében várhatóan tovább bôvül.)
Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.
14. oldal
Az informatikai biztonság és a szervezet összbiztonságának összefüggései
Összefoglalás A kormányzati szervek intézményi-szervezeti biztonsági koncepciója az alábbi három alapelvre építve határozható meg. A komplexitás elve A komplexitás elvét követve már a vizsgálódás jelenlegi szakaszában is számos olyan új biztonságvédelmi feladat vált megfogalmazhatóvá, amelyek közül több, hagyományos, elsôsorban a szervezeti elemek sebezhetôségét elôtérbe helyezô megközelítés során fel sem merülhetett. A modulrendszerû fejlesztés elve A modulrendszerû fejlesztés elvének alkalmazása - egyfajta normatív megközelítéssel kombinálva - lehetôvé teszi, hogy korlátozott fejlesztési erôforrások birtokában is idôben foganatosítsuk a jövôbeni megfelelés és a rendszer jelenlegi biztonsági helyzete szempontjából már ma is elengedhetetlenül szükséges védelmi intézkedéseket. A szinergetika elve A szinergetika elvének alkalmazásával válik lehetôvé a komplexitás iránti igények és az erôforrások korlátozott volta miatt szükségessé váló modulrendszerû, szakaszos fejlesztés lehetôségei közti ellentmondások hatékony feloldása. Ezen elv alkalmazásával önmagukban sokszor jelentéktelennek tûnô, apró fejlesztési lépések megfelelô konstellációjának kialakításával olyan hatás érhetô el, amelynek eredôjeként a teljes rendszer új minôséget jelentô biztonsági állapotba lendíthetô át. Az egyes fejlesztési modulok megfelelô konstellációjának kialakítása után a kívánt siker a modulok keretei közti fejlesztési feladatok szakszerû, módszeres végrehajtása esetén nem marad el. De a szinergetikai konstrukció kialakítása vonatkozásában nincs megtanulható, rendszeres módszer, amely a célhoz vezetne. Azt mondhatjuk, hogy itt csak a tapasztalatba beleérzésen alapuló intuíció visz sikerre. Az intuíció - ebben az esetben is - csak rendkívül komoly, megalapozott elméleti-szakmai felkészültségbôl táplálkozhat. Éppen ezért van az intézményi-szervezeti biztonsági rendszer fejlesztése terén kiemelt szerepe az emberi tényezô helyes kezelésének, az alkalmazotti állomány módszeres biztonsági-szakmai felkészítésének. Széles körû szakirodalmi és gyakorlati tapasztalatok alapján állítható, hogy a legnagyobb tartalékok az intézményi-szervezeti biztonság védelme-erôsítése terén más vonatkozásban is a személyi-strukturális vonatkozásokban rejlenek. Ezen tartalékok kiaknázásának legfôbb akadályát az általánosan tovább élô centralizált hierarchikus strukturájú szervezeti felépítés, valamint a személyi biztonsággal összefüggésbe hozható jogi szabályozás túlzottan általános volta jelenti.
Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.
Az informatikai biztonság és a szervezet összbiztonságának összefüggései
15. oldal
1. számú függelék Objektumvédelem funkcionális megközelítésben Az objektumvédelem funkcionális modellje egy meglehetôsen széles körben értelmezhetô biztonsági alapinfrastruktúra modelljeként fogható fel. A biztonsági alapinfrastruktúra bázisán speciális biztonsági alrendszerek definiálhatók, ezáltal a modell alkalmazhatósági köre tovább bôvíthetô. A biztonsági alapinfrastruktúra fô elemeiként az alábbiak jelölhetôk meg: •
beléptetési rendszer;
•
biztonsági monitoring rendszer (jelzô-, riasztó-, megfigyelôrendszer);
•
tájékoztatási és intézkedési rendszer;
•
egyéb biztonsági létesítmények és berendezések.
1. A beléptetô rendszer differenciált szolgáltatást nyújtó személy és áru, anyag be- és kiszállítást ellenôrzô alrendszerekbôl áll. A korszerû beléptetési rendszereknél alapvetô követelményként jelenik meg a gyors nyilvántartási, regisztrálási technikák és a nagy megbízhatóságú személyazonosítás feltételeit egyaránt biztosító "Smart Card" alapú technológiák széles körû alkalmazása. 2. A monitoring rendszer biztosítja a védett terület biztonsági helyzetének folyamatos megfigyelését, továbbá a biztonsági rendszer mûködôképességének, készenléti állapotának folyamatos ellenôrzését. A monitoring rendszer általában zárt láncú videorendszerbôl és a biztonsági szempontból elôzetesen definiált állapotváltozások észlelését szolgáló érzékelôkbôl (szenzorokból), valamint az elôzetesen meghatározott jelenségek megfigyelésével megbízott személyekbôl és a rendszer elemeit a biztonsági diszpécserközponttal összekötô adatátviteli, hírközlési hálózatból, eszközökbôl, berendezésekbôl, a diszpécserközpontban elrendezett hang-, kép-, adatmegjelenítô és rögzítô eszközökbôl, egyéb speciális kijelzôkbôl áll. A monitoring rendszerrel szemben gyakorta támasztott specifikus követelményként említhetô meg a mozgáskontroll, illetve az egyéb "rejtett" (jogosultság ellenôrzô) konstrukciók mûködtetése révén keletkezô "esemény" jelzése, helyszínének real-time megfigyelés alá vonása, rögzítése, illetve az eseményt, rendkívüli eseményt okozó személy helyzetváltoztatásának követése. 3. A tájékoztatási és intézkedési rendszer tájékoztatási alrendszere alapvetôen az alkalmazottak, a kiszolgálószemélyzet és a látogatók biztonsági szempontból fontos információval való idôbeni ellátása feltételeit hivatott megteremteni. A tájékoztató alrendszer biztosítja a szolgálatot teljesítô biztonsági szervezetek jelentési, illetve koordinációs szükségleteinek kielégítését is. Az intézkedési alrendszer a kialakult veszélyhelyzetek gyors elemzését, a helyzet értékelését, a döntések meghozatalát, a veszélyforrások lokalizálására, felszámolására irányuló intézkedések foganatosítását támogatja. A tájékoztatási és intézkedési rendszer magában foglalja a helyzetelemzést-értékelést végzô, a döntést hozó és az intézkedések végrehajtását irányító személyeket és a tevékenységük feltételeit megteremtô
Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.
16. oldal
Az informatikai biztonság és a szervezet összbiztonságának összefüggései
technikai eszközöket és berendezéseket, tevékenységi szabályokat, értékelési szempontokat és döntési algoritmusokat. 4. Az egyéb biztonsági létesítmények és berendezések kategóriába sorolhatók mindazok az infrastrukturális elemek, amelyek megléte, elôírás szerinti állapota a biztonsági rendszer mûködôképessége fenntartásának alapfeltételeként jelölhetô meg. A biztonsági létesítmények és berendezések képezik a biztonsági rendszer leginkább standardizálható, és ezáltal viszonyítási alapul szolgáló részét. A biztonságot fenyegetô veszélyek felismerése alapjául tulajdonképpen a biztonsági berendezések és létesítmények állapotában bekövetkezett változások, illetve a hozzájuk viszonyított mozgások megfigyelése, regisztrálása és értékelése szolgál. Biztonsági berendezések és létesítmények közé sorolhatók például: •
kerítések és nyílászárók;
•
vészkijáratok, menekülési útvonalak;
•
beléptetô folyosók, mozgáskontroll céljait szolgáló terelôútvonalak, kapuk;
•
tûzoltó berendezések, mentôkészülékek, szellôzôberendezések;
•
biztonsági rendeltetésû világítástechnikai és hangosítóberendezések, feliratozások, táblák, egyéb jelölések;
•
kézipoggyász biztonsági átvilágítását szolgáló berendezések, metál detektor kapuk;
•
stb.
A fentiekben körvonalazott biztonsági infrastruktúra "rendszerelem védelmi" orientáltságú, mindazonáltal a "rendszerként lokalizálható" létezôk rendkívül széles körére adaptálható. Hasonlóképpen általánosnak tekinthetô a biztonsági alapinfrastruktúra kiépítésének modellje is. E modell szerint a biztonsági rendszer kiépítése során - a lehetô legnagyobb mértékben támaszkodva a meglévô feltételekre - meg kell határozni a fentiekben megjelölt rendszerelemeket jellemzô paraméterek értékeit, ki kell dolgozni a rendszer mûködtetésének szabályait, meg kell vizsgálni a meglévô elemek megfelelését a követelményeknek, egységes rendszerbe kell integrálni a megfelelô szintre hozott meglévô és új elemeket. Ellenôrizni kell a kialakított biztonsági rendszer állapotát, mûködôképességét. A fentiekben vázolt funkcionális megközelítési mód - több sikeres gyakorlati alkalmazás tapasztalatainak elemzése alapján - hatékonynak minôsíthetô. Alkalmazása új követelményeket támaszt a biztonságvédelem számos területén.
Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.
Az informatikai biztonság és a szervezet összbiztonságának összefüggései
17. oldal
2. számú függelék Tájékoztatási kötelezettség - titoktartási kötelezettség jogszabályi háttere 1957. évi IV. törvény az államigazgatási eljárás általános szabályairól 41.§ (1) Az ügyfél és képviselôje az eljárás során keletkezett iratokba betekinthet, és azokról másolatot készíthet. (2) Az államigazgatási szerv az ügyfélen és képviselôjén kívül más személynek (szerv képviselôjének) is megengedheti az iratokba való betekintést vagy másolat készítését, ha igazolja, hogy az iratok tartalmának ismerete jogának érvényesítése vagy feladatának teljesítése céljából szükséges. (3) Nem lehet betekinteni a tanácskozásról és szavazásról készített jegyzôkönyvbe, a határozatok tervezetébe és azokba az iratokba, amelyek államtitkot vagy szolgálati titkot tartalmaznak. Szolgálati titok címén nem lehet kizárni az olyan iratba való betekintést vagy arról másolat készítését, amelyen az érdemi határozat alapul. 1992. évi LXIII. törvény a személyes adatok védelmérôl és a közérdekû adatok nyilvánosságáról 1. § (1) E törvény célja annak biztosítása, hogy - ha e törvényben meghatározott jogszabály kivételt nem tesz - személyes adatával mindenki maga rendelkezzen, és a közérdekû adatokat mindenki megismerhesse. 19. § (1) Az állami vagy helyi önkormányzatot ellátó szerv és személy (a továbbiakban együtt: szerv) a feladatkörébe tartozó ügyekben - ideértve a gazdálkodásával kapcsolatos ügyeket is - köteles elôsegíteni a közvélemény pontos és gyors tájékoztatását. (2) Az (1) bekezdésben említett szervek rendszeresen közzé- vagy más módon hozzáférhetôvé teszik a tevékenységükkel kapcsolatos legfontosabb - így különösen a hatáskörükrôl, illetékességükrôl, szervezeti felépítésükrôl, a birtokukban lévô adatfajtákról és a mûködésükrôl szóló jogszabályokra vonatkozó - adatokat. (3) Az (1) bekezdésben említetteknek lehetôvé kell tenniük, hogy a kezelésükben lévô közérdekû adatot bárki megismerhesse, kivéve, ha az adott törvény alapján az arra jogosult szerv állam- vagy szolgálati titokká nyilvánította, továbbá, ha a közérdekû adatok nyilvánosságához való jogot - az adatfajták meghatározásával - törvény a) honvédelmi, b) nemzetbiztonsági, c) bûnüldözési vagy bûnmegelôzési, d) központi pénzügyi vagy devizapolitikai érdekbôl, e) külügyi kapcsolatokra, nemzetközi szervezetekkel való kapcsolatokra, f) bírósági eljárásra tekintettel
Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.
18. oldal
Az informatikai biztonság és a szervezet összbiztonságának összefüggései
korlátozza. 1993. évi XLVI. törvény a statisztikáról 8. § (2) Adatszolgáltatásra kötelezett bármely természetes és jogi személy, valamint jogi személyiséggel nem rendelkezô szervezet. 17. § (1) A hivatalos statisztikai szolgálathoz tartozó szervek által végrehajtott adatgyûjtések eredményei - a (2) bekezdésben foglalt kivétellel - nyilvánosak. A nyilvánosságra hozásról e szervek saját hatáskörben gondoskodnak. (2) Nem lehet nyilvánosságra hozni az államtitoknak vagy szolgálati titoknak minôsített adatokat, valamint - a 18. §-ban foglaltak kivételével - a statisztikai célt szolgáló, a természetes és a jogi személy, valamint a jogi személyiséggel nem rendelkezô adatszolgáltatóval kapcsolatba hozható adatot (a továbbiakban: egyedi adat). 18. § (2) Közérdekû feladatot ellátó szerv, illetôleg társadalmi szervezet, valamint a költségvetési szerv ezen tevékenységére vonatkozó egyedi adat az adatszolgáltató írásbeli hozzájárulása nélkül is nyilvánosságra hozható.
Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.
Az informatikai biztonság és a szervezet összbiztonságának összefüggései
19. oldal
3. számú függelék Munkavállalói, közalkalmazotti kötelezettségek jogszabályi háttere 1992. évi XXII. törvény a Munka Törvénykönyvérôl 3. § (3) A munkavállaló a munkaviszony fennállása alatt - kivéve, ha erre jogszabály feljogosítja - nem tanúsíthat olyan magatartást, amellyel munkáltatója jogos gazdasági érdekeit veszélyeztetné. 5. § (1) A munkaviszonnyal kapcsolatosan tilos hátrányos megkülönböztetést alkalmazni a munkavállalók között nemük, koruk, nemzetiségük, fajuk, származásuk, vallásuk, politikai meggyôzôdésük, munkavállalói érdekképviseleti szervezethez való tartozásuk vagy ezzel összefüggô tevékenységük, továbbá minden egyéb, a munkaviszonnyal össze nem függô körülmény miatt. Nem minôsül hátrányos megkülönböztetésnek a munka jellegébôl vagy természetébôl egyértelmûen következô megkülönböztetés. 77. § A munkavállalótól csak olyan nyilatkozat megtétele vagy adatlap kitöltése kérhetô, illetve vele szemben csak olyan alkalmassági vizsgálat alkalmazható, amely személyiségi jogait nem sérti, és a munkaviszony szempontjából lényeges tájékoztatást nyújthat. 103. §
(1) A munkavállaló köteles
... c) munkatársaival együttmûködni, és munkáját úgy végezni, valamint általában olyan magatartást tanúsítani, hogy ez más egészségét és testi épségét ne veszélyeztesse, munkáját ne zavarja, anyagi károsodását vagy helytelen megítélését ne idézze elô; ... (3) A munkavállaló köteles a munkája során tudomására jutott üzemi (üzleti) titkot, valamint a munkáltatóra, illetve a tevékenységére vonatkozó alapvetô fontosságú információkat megôrizni. Ezen túlmenôen sem közölhet illetéktelen személlyel olyan adatot, amely munkaköre betöltésével összefüggésben jutott tudomására, és amelynek közlése a munkáltatóra vagy más személyre hátrányos következménnyel járna. 1992. évi XXXIII. törvény a közalkalmazottak jogállásáról 39. § (2) A közalkalmazott munkaköri feladatait a közalkalmazotti jogviszonyra vonatkozó szabályoknak, szakmai szokásoknak, valamint a munkáltató utasításainak megfelelôen, a közérdek kizárólagos figyelembevételével látja el. Munkahelyén kívül is köteles a közalkalmazotti jogviszonyhoz, munkaköréhez és beosztásához méltó magatartást tanúsítani. 41. § (1) A közalkalmazott nem létesíthet munkavégzésre irányuló további jogviszonyt, ha az a közalkalmazotti jogviszony alapján betöltött munkakörével összeférhetetlen.
Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.
20. oldal
Az informatikai biztonság és a szervezet összbiztonságának összefüggései
61. § (2) A miniszter határozza meg az egyes közalkalmazotti osztályba tartozó munkaköröket, az ezek betöltéséhez az (1) bekezdésben foglaltakat meghaladóan szükséges képesítési és más többletkövetelményeket, továbbá az egyes munkakörökhöz kapcsolódó elnevezéseket. 81. § Gondatlan károkozás esetén a közalkalmazott háromhavi illetménye erejéig felel, amennyiben a) a munkáltató gazdálkodására vonatkozó szabályok súlyos megsértésével, b) az ellenôrzési kötelezettség elmulasztásával, illetve hiányos teljesítésével okozta a kárt, vagy c) a kár olyan - jogszabályba ütközô - utasítása teljesítésébôl keletkezett, amelynek várható következményeire az utasított közalkalmazott elôzôleg a figyelmét felhívta.
Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda - 1994.