II-15
KR-2
2006. 06. 23.
Tom
KARD ÉS TOLL 2006/2
Katonai alakulatok információvédõ szerveinek vész- (veszélyhelyzeti) tervei Kerti András – Dr. Rajnai Zoltán hadnagy
mk. alezredes
Az információvédelmi jogszabályokat, elõírásokat mindenki betartja, betartatja, azonban mi történne egy váratlan, elõre nem tervezhetõ esetben? Minden eseményt számba venni, elõre látni nem lehet, de törekedni kell arra, hogy legyenek olyan sémáink, intézkedés terveink, amelyeket fel tudunk használni, hogy csökkentsük, illetve elkerüljük az elõre nem látható esetek miatt az információinkat ért károkat. A cikk ezen nem várt események hatásainak csökkentését célzó vészhelyzeti tervek elkészítését járja körbe. Everybody keeps the regulations and rules of information protection or has them kept, but what would happen in an unexpected, unpredictable case? We cannot consider and foresee all such events but we have to make every effort to have schemes and action plans at hand that we can use to reduce or avoid the damages done by such unpredictable cases. This article deals with ‘emergency plans’ that aim to reduce the effects of such unforeseen events.
Az információ hatalom, különösen egy esetleges minõsített idõszakban, illetve valamilyen katonai mûveletben. A szakértõk többsége szerint a jövõ háborúi az információs fölény megszerzésérõl fognak szólni. Ez alapján mindenki számára világos és egyértelmû, hogy az információinkat védeni kell ezekben az esetekben. De mi a helyzet az úgymond „békeidõszak”-ban? A cikk írásakor1 fent állt az a kettõsség, hogy más fajta elõírások vonatkoztak a hazai, és külföldi minõsített adatok védelmére. De véleményem szerint mindenképpen ennek a kettõsségnek a megszüntetése lenne az elérendõ cél. A jelen írásban az információ fogalmán a minden fajta minõsített információt, adatot, dokumentumot értek függetlenül annak minõsítési szintjétõl, és készítési helyétõl (Magyarország, NATO, EU stb.) Amennyiben az interneten google keresõjével rá keresünk a vészhelyzet szóra akkor 352 000, ha a veszélyhelyzetre, akkor 47 200 találatot kapunk. Ebbõl is következik, hogy nagyon divatos kifejezésekkel van dolgunk, amelyek az élet minden területén megjelennek.2 Ezért természetesnek tartom, hogy pontosítsam ezt a fogalmat.
1 2006. március 2 Be kell ismernem nem volt lelkierõm átnézni ebbõl mennyi a cikk jellegéhez kapcsolódó találat.
181
II-15
KR-2
2006. 06. 23.
Tom
KARD ÉS TOLL 2006/2
Jelen cikkben minden olyan természeti katasztrófát, ipari balesetet és az emberi tevékenységet, legyen az szándékos vagy vétlen cselekedet, amely az információk biztonságára negatív hatással lehet, veszélyhelyzetnek nevezek. Elismerem ennek a tárgyalt tervnek lehetne más elnevezése, lásd alább, ez a személyes választás, mert véleményem szerint a katonai információvédelem területén ez honosodott meg a legjobban. A veszélyhelyzetek fogalma és fajtái Az információvédelem területén vészhelyzetnek nem csak iparibaleseteket, természeti katasztrófákat értjük, de ide tartozhatnak minden olyan technikai jellegû problémák amelyek, sérthetik az információbiztonságot, valamint olyan speciális katonai események amelyekkel egy civil vállalatnál nem kell számolni. (Ilyen lehet pl.: ellenséges fegyveres erõk behatolása az ország területére.) Az információkra leselkedõ veszélyeket sokféleképpen lehet csoportosítani, egy fajta ilyen, a tulajdonságaikat figyelembe vevõ csoportosítás lehet:3 – természeti katasztrófák, – ipari balesetek, – közvetlen emberi beavatkozások. Az elsõ két csoportosítás jellemzõ vonása, hogy általában nem közvetlenül hatnak az információk biztonságára. Ilyen hatás lehet egy beázás esetén az elektromos rendszerek sérülése, ami helyrehozhatatlan károkat okozhat egyes információhordozókba. Vagy egy természeti katasztrófa, súlyosan megrongálhatja a megfelelõ módon felépített fizikai biztonsági létesítményeket, ezáltal lehetõséget biztosítva illetéktelenek számára az információkhoz történõ hozzáférésre. Ugyanilyen problémát okozhat, ha egy ipari katasztrófa által kibocsátott gázfelhõ megközelíthetetlenné teszi a katonai objektumokat. Közös jellemzõjük még hogy a bekövetkezésük elõre általában jelezhetetlen, illetve a hatásuk nagyon gyorsan bekövetkezik (ilyen gyorsan bekövetkezõ hatás pl.: a vihar vonulási, illetve káros anyag felhõ útja). A közvetlen emberi beavatkozásokat is tovább lehet bontani mint szándékos, illetve nem szándékos károkozás. Ez a felosztás azért fontos mert a nem szándékos károkozások általában tudatlanságból, és gondatlanságból keletkeznek és ezeket a felhasználók képzésével, illetve szorosabb felügyeletével el lehet kerülni. Bár az emberi beavatkozásból történõ beavatkozások is elõfordulhatnak meglepetésszerûen, de bizonyos jelekbõl esetleg következtetni lehet a bekövetkezésükre. Az informatika rendszereket (és ez által az információkat) fenyegetõ új vírusok hetente jelennek meg, ezért a vírusirtó szoftvereket is rendszeresen frissíteni kell. Két ország katonai konfliktusát is megelõzik bizonyos félreérthetetlen jelek, és amennyiben a különbözõ titkos szolgálatok jól végzik a feladatukat, a terrorista aktivitás veszélyének növekedését is bizonyos mértékig elõre lehet jelezni.
3 Ez csak egyfajta csoportosítás, vannak más fajta csoportosítások is.
182
II-15
KR-2
2006. 06. 23.
Tom
KERTI ANDRÁS – DR. RAJNAI ZOLTÁN: Az információvédõ szervek vész- (veszélyhelyzeti) tervei
A fenyegetettségek idõbeli korlátai valószínûsége Amikor az összes lehetséges fenyegetést számba vesszük, szinte azonnal a szemünkbe ötlik, hogy nem mindegyiknek ugyanakkora a bekövetkezési valószínûsége, valamint a fenyegetésék – különösen a természeti katasztrófák és az ipari balesetek – a földrajzi elhelyezkedéstõl is függenek. Például ma egy közvetlen ellenséges csapatok által történõ, a Magyar Köztársaság területére történõ támadásnak az esélye nagyon kicsi,4 de ha az alegység NATO feladatot lát el egy nem éppen baráti környezetben, ennek az esélye nagyságrendekkel megnõ. Ugyanakkor egy a Dunántúlon, dombtetõn települõ alakulat, árvízi veszélyeztetettsége jelentõsen kisebb, mint annak az alakulatnak, amelyik a Tisza mellett díszlokál. De egy rosszindulatú szoftver számítógépes rendszerbe történõ bejutásának az esélye napi probléma. Vajon ez azt jelenti, hogy azokkal az eseményekkel nem kell foglakozni, amelyeknek a bekövetkezési valószínûsége nagyon alacsony? Egyáltalán nem, de a tervkészítésekor tisztában kell lenni, hogy vannak olyan feladatok, amelyek nagy valószínûséggel csak bizonyos elõjelek után következnek be, az arra szakosodott szervek ezeket elõre tudják jelezni. Ami a tervezésnél azt jelentheti, hogy ezekhez a kockázatokhoz csak keretet jelölünk ki, és késõbb, ha növekszik a kockázati szint akkor csak pontosítani kell a válaszlépések körét, illetve szigorítani kell a biztonsági rendszabályokat. Miért kell veszélyhelyzeti tervet készíteni? A vészhelyzeti terv célja: – a vezetéshez szükséges információ áramlás folytonosságát fenntartani nem várt káros események esetén is; – megelõzõ és helyreállító óvintézkedésekkel elfogadható szintre csökkenteni a katasztrófák hatásait; – elkerülni, hogy ezen események hatására az információk illetéktelenek részére hozzáférhetõké váljanak; – útmutatást adni arra az estre amikor egy nem kívánt esemény bekövetkezik, ezáltal elkerülhetõk legyenek az elhamarkodott döntések; – az összes elõvigyázatosság ellenére a bekövetkezett veszélyhelyzet után a tevékenységek újrakezdésnek feltételeit megteremteni. Nem készíthetünk el semmilyen tervet anélkül, hogy ne vizsgálnánk meg a vonatkozó jogszabályokat, szabályzatokat, szabályozókat. Az általam olvasott anyagok feldolgozása5 során túlzott egységesítési törekvéseket nem találtam. A jogszabályi hátérként feldolgozott 179/2003 Kormányrendelet foglalkozik bizonyos formában a vészhelyzeti tervek elkészítésével, a III. Fejezet Dokumentum biztonsági részben „Intézkedési tervet” említ (33 §), a IV. fejezet elektronikus biztonsági alapelvek és követelmények részben pedig „Vészhelyzeti intézkedési”(51 §, 53 §), illetve „Vészhelyzeti és helyreállítási tervet” (63 §) említ.
4 2236/2003. (X.1) Kormányhatározat 5 A felhasznált irodalom jegyzék alapján
183
II-15
KR-2
2006. 06. 23.
Tom
KARD ÉS TOLL 2006/2
A jelenleg érvényben levõ Magyar Honvédség Informatikai Szabályzata „Katasztrófaterv” elkészítését írja elõ. A Magyar Szabványügyi Testület által kiadott „Az informatikai biztonság menedzselésének eljárásrendje” (MSZ ISO/IEC 17799) az üz6 letmenet folyamatossági terveket említ. Milyen károk keletkezhetnek? A nem várt események bekövetkeztekor sérülhet az információbiztonság, illetve ennek következtében a vezetési folyamat is. Az információbizonság azt jelenti, hogy a rendszer megõrzi az információk: – titkosságát: vagyis az információkhoz azok a személyek férhetnek hozzá akik erre jogosultak; – sértetlenségét: megvédi az információnak és a feldolgozás módszerének pontosságát és teljességét; – rendelkezésre állását: a jogosult felhasználó amikor szüksége van hozzá tud férni az információkhoz; – hitelességét: az információ azon tulajdonsága, hogy az eredetüket kétséget kizáróan ismerjük. Amikor bekövetkezik egy természeti katasztrófa bármilyen jól felépített információvédelmi rendszeren is rések keletkezhetnek, és a fent említett három kritériumnak nem felel meg a rendszer, – már nem beszélhetünk információbiztonságról. A Magyar Honvédségnél a különbözõ szintû információkra a csapatok vezetése, irányítása céljából van szükség. Ebbõl következik, hogy az információkban bekövetkezõ bármilyen változás kihatással lehet a vezetés minõségére. Milyen ellenintézkedések lehetségesek? Ahhoz hogy a az ellenintézkedések körét megtárgyalhassuk, mindenképpen külön kell választanunk bizonyos idõszakokat, amelyek valószínûsítik, az ellenintézkedések végrehajtásához rendelkezésre álló idõt. Ezek lehetnek a „béke-,” a „megelõzõ-,” illetve a tényleges veszélyhelyzet idõszak. A „béke”-idõszakban semmilyen különösebb fenyegetésrõl7, illetve annak veszélyrõl nincs tudomásunk, a különbözõ információvédelmi szervek végzik a napi munkájukat. Ennek az idõszaknak a feladatai: elkészíteni a „vészhelyzeti tervet” és naprakészen tartani. Végrehajtani az egyéb utasításokban elõírt rendszeres mentéseket, a felhasználok kiképzését, felkészítését, gyakoroltatni a vészhelyzeti tervben leírtakat, de itt elsõsorban a törzsgyakorolási rendszerben bevált gyakoroltatásokat tartom célszerûnek, nem a konkrét vég-
6 Sokaknak furcsa lehet, hogy egy kifejezetten katonai tartalmú cikkben „civil” felhasználóknak szánt irodalom került, ami ráadásul nem is elõirás csak ajánlás, de épp a jogszabályi, és szabályzati háttér hiányosságai miatt célszerû a kidolgozott szabványok tanulmányozása. Ráadásul a fentemlitett szabvány az információvédelem csak egyik ágával foglalkozik, viszont véleményem szerint a benne vázolt módszerek adaptációja, kiegészitve a speciális katonai és egyébb körülményekkel jól használható szabályzókat, terveket eredményezhet. 7 Sajnos a rosszindulatú szoftverek jelenléte ma már nem számít „különösebb” fenyegetésnek
184
II-15
KR-2
2006. 06. 23.
Tom
KERTI ANDRÁS – DR. RAJNAI ZOLTÁN: Az információvédõ szervek vész- (veszélyhelyzeti) tervei
rehajtást. Megfelelõ rendszerességgel felmérni a kockázatokat, vannak-e változások a környezetben. És nem utolsó sorban a nyilvántartásokat naprakészen tartani. A „megelõzõ” idõszakban már lehetnek bizonyos értesüléseink arról, hogy bizonyos kockázati tényezõk megnövekedtek, de még nem érték el a veszélyeztetés szintjét. Ez nem azt jelenti, hogy elõbb-utóbb bekövetkezik valamilyen vészhelyzet csak a bekövetkezés valószínûsége nõt. Legfontosabb feladat felmérni a fenyegetést milyenségét és a rendelkezésre álló idõt, mert ezek nagymértékben meghatározzák a feladatokat. Pontosítani kell a vészhelyzeti tervet. Az alakulat vezetésének dönteni kell bizonyos prioritásokról, ilyen döntési helyzet lehet, hogy a vezetési rendszer mûködését vagy az információk védelmét tekinti-e fontosabbnak. Ugyanis bizonyos helyzetekben nagyobb kár keletkezhet a vezetés megszakadásából, mint egy fontos információ kompromittálódásából. De ennek tudatos döntésnek kell lenni a megfelelõ személy részérõl. Lehetõség szerint csökkenteni kell az érzékeny információk mennyiségét, azonban ebben az idõszakban minden érvényben levõ elõírást és jogszabályt be kell tartani és tartatni, ezért ezek a csökkentések lehetõség szerint központi tárolóhelyre szállítások kell, hogy legyenek, bár nem zárhatók ki a megsemmisítések sem. Amennyiben az információ védelemért felelõs személy úgy ítéli meg, bizonyos eszközök, információhordozók tartós, egy jobban védett tárolóba helyezése is lehetséges. Figyelembe kell venni, hogy a „megelõzõ” idõszak milyen más az alakulatot érintõ folyamatokat indít el. Ha ez azt eredményezi, hogy bizonyos vezetési szintek esetleg kitelepülnek és visznek magukkal a vezetés érdekében információvédelmi szervezeteket, eszközöket is, akkor ezeknek a szervezeteknek eszközöknek el kell készíteni a saját vészhelyzeti tervüket az eredeti vészhelyzeti terv alapján. Az elõbbiekbõl következik, hogy a tényleges vészhelyzet bekövetkezhet teljesen váratlanul, de bizonyos elõjelek után is amikor fel tudunk készülni rá. Mindenesetre amikor bekövetkezik mindenképpen fel kell mérni a veszélyeztetés mértékét, a veszélyeztetett információs vagyont, a rendelkezésre álló idõt, el kell dönteni a vezetés számára a fontossági sorrendeket és azt is hogy az elõzõekben említetteken kívül kell-e más lépéseket tenni. Ilyenek lehetnek a különösen érzékeny információk, információhordozók, és feldolgozó eszközök megerõsített tárolásba helyezése, evakuálása valamint amikor más mód már nincs az információk idegenkézbe jutásának elkerülésére, akkor vészhelyzeti megsemmisítésük. Ebben a fázisban már lehet, hogy nincs elég idõ arra, hogy mindent az elõírtaknak megfelelõen hajtsunk végre. Például az iratokat nam semmisítheti meg egy személy, ezért a vészhelyzeti tervnek mindenképpen pontosan kell fogalmazni, amikor bizonyos szabályzóktól el lehet, el kell térni. A pontatlan fogalmazás, rosszul kidolgozott terv eredményezhet kompromittálódást, túlzott megsemmisítéseket is. Többek között ezért is fontos a vészhelyzeti tervben foglaltak gyakorlása. Visszaállítási feladatok A vészhelyzetek, illetve a megelõzõ idõszak elmúlta után (amennyiben azt nem követte tényleges veszélyhelyzet) az információ feldolgozó rendszert vissza kell állítani az alaphelyzetre, hogy a lehetõségeit maximálisan ki lehessen használni. Kedvezõbb
185
II-15
KR-2
2006. 06. 23.
Tom
KARD ÉS TOLL 2006/2
helyzetben, ha a tervek megfelelõen kidolgozottak voltak és az ellenintézkedéseket sikerült megvalósítani, illetve a vészhelyzet nem okozott károkat, a visszaállítás probléma mentesen végrehajtható. Kedvezõtlenebb esetben bizonyos fokú károk keletkezhetnek. Mivel a vészhelyzeti eseményeket sem lehet pontosan tervezni, bizonyos esetekben a terv csak irányelveket tartalmazhat, ebbõl következõen a visszaállítási feladatok tervezése még kevésbé tervezhetõ, igazából csak egy munkafolyamat (munkakeret) kijelölésére van mód. Ez a munkafolyamat lehet: – Az információs vagyon felmérése, a hiányzó információk, információ-hordozók helyének tisztázása, tudjuk-e hogy ténylegesen megsemmisült, vagy ismeretlen, mi történt velük (fenn áll-e egy esteleges kompromittálódás lehetõsége? – Tudnunk kell lehetséges-e az elveszett információk pótlása, egy estleges biztonsági mentésbõl? – Jelentés készítése az elöljárónak a történt eseményekrõl, a keletkezett károkról, segítségkérés, ha a keletkezett károk miatt sajáterõbõl, nem tudjuk helyre állítani az alapállapotot. – A rendszer helyreállítása. – A megtörtént események elemzése, az ezekbõl levont következtetések adaptálása, az információvédelmi és vészhelyzeti tervekbe. A tervezés konkrét feladatai Egy katonai alakulatnál a vészhelyzeti tervnek nem egy kötetbe foglalt tervnek kell lennie, hanem a szakterületeknek külön-külön kell rendelkezniük saját, a specialitásokat is tartalmazó tervekkel. Ahhoz, hogy a különbözõ szaktervekben biztosítani tudjuk az ellentmondás-mentességet a tervezést, a szakterületek vezetõinek együtt, lehetõleg egy – mindegyikõjük irányában intézkedni képes vezetõ, irányításával kell végrehajtani. És ez a vezetõ lehetõleg az legyen, aki felelõs az egész alakulat veszélyhelyzeti tevékenységéért. (Ez a személy lehet az alakulat „titokvédelmi felelõs” is) Viszont ebbõl következik, hogy neki is rendelkezni kell egy veszélyhelyzetre vonatkozó tervvel, ami csak a szakterületek irányítási feladatait kell, hogy tartalmazza, a tényleges feladatok leírása a „szak” tervek feladata. Annak érdekében, hogy valamennyi vészhelyzeti tevékenység megfelelõ támogatottságot kapjon az alakulat vészhelyzeti tervét a parancsnok hagyja jóvá. A tervkészítés folyamatát az alábbiakban nyolc pontban sorolom fel, illetve részletezem azok tartalmát: l
A védendõ információs vagyon felmérése
Alapvetõen három jól elkülönithetõ szerv végzi az információvédelem zömét: Az ügyviteli iroda, amely alapvetõen a dokumentum védelmet látja el; Az alakulat rejtjelzõ szerve amelynek a alapvetõ feladata az információk rejtjelzéssel kapcsolatos védelme, s az ebböl fakadó speciális feladatok (külön ügyvitel, kulcs menedzsment stb…) végzése, valamint az egyre jobban terjedõ számítógépes eszközök, hálózatok felügyelet-
186
II-15
KR-2
2006. 06. 23.
Tom
KERTI ANDRÁS – DR. RAJNAI ZOLTÁN: Az információvédõ szervek vész- (veszélyhelyzeti) tervei 8
ét ellátó informatikai szakállomány. Nem szabad azonban elfelejtkezni az információkat felhasználó ügyintézõkrõl sem, akik szintén rendelkezhetnek érzékeny információkkal, illetve ilyeneket feldolgozó számitógépekkel. Beletartozhat ebbe a folyamatba az alárendelt alakulatok bizonyos szintü felmérése is. Erre azért van szükség, hogy adott esetben tiszában legyünk azzal, milyen feladatokat, intézkedéseket adhatunk számukra, hogy azt reálisan végre is tudják hajtani. l
A felsõbb szintû utasitások áttanulmányozása
Az alakulat vészhelyzeti tervének, több más tervhez is kapcsolódni kell, ezért elkerülhetetlen, hogy az elöljáró által kiadott utasításokat az alakulat dolgoz fel. A felsõbb szintû utasítások alatt nem csak a speciálisan katonai utasításokat, intézkedéseket kell figyelembe venni, hanem a jogszabályokat is. Ezen utasítások és jogszabályok elõírhatnak különbözõ, formai és tartalmi követelményeket. Szintén utalhatnak az általános kockázatok lehetõségére, speciális ellenintézkedésekre, valamint elfogadható szintû maradványkockázatokra. Ez a lépés elsõ olvasatra egyszerûnek tûnik, de ha belegondolunk a változó világunk változó jogi-, és a Magyar Honvédség utasításrendszerébe, rájövünk nem is olyan egyszerû feladat. l
Kockázatok elemzése
A kockázatok elemzésekor nagymértékben kell támaszkodni az elöljáró által kiadott szakintézkedésekre, nem egy beosztott zászlóalj-parancsnoknak kell rájönni, hogy a Magyar Köztársaság politikai vezetése 2013-ig biztos, hogy nem számol hagyományos támadással.9 Szintén nem õ tudja megmondani, hogy alegységének milyen mértékben kell számolnia egy esetleges terrorista támadás veszélyével. Viszont a helyi sajátosságokat a felsõbb vezetés nem képes olyan mélységig vizsgálni, mint a helyi információvédelmi szakemberek. Tehát a tervek készítésekor fokozott figyelmet kell fordítani a speciális veszélyekre (árvíz-, belvíz-, tûzveszély, ipari katasztrófák bekövetkezésének veszély stb…). Minden kockázatot nem lehet kizárni, de csökkenteni kell egy vészhelyzet bekövetkezésének esélyét. Valamint lehetnek olyan kockázatok, amelyekkel számolni kell. l
Ellenintézkedések megválasztása 10
Az ellenintézkedések megválasztásánál meg kel határozni a jogosultsági szinteket is. Például a vészhelyzeti evakuálást szerintem csak a parancsnok rendelheti el. Más részrõl az egyéb tervekben elõírt rendszeres feladatokra (nyilvántartás, karbantartás,
8 Jelenleg ez a három szervezet még elég jól elkülönithetõ, de a konvergenciájuk megfigyelhetõ, ha arra gondolunk, hogy a különbözõ dokumentumok egyre többször hozzáférhetõek nem csak papír alapon, hanem különbözõ adathordozókon, illetve rejtjelzési feladatok is elláthatók a számitógépekkel. 9 2236/2003. (X.1) Kormányhatározat 10 A lehetséges ellenintézkedéseket elõzõleg már tárgyaltam
187
II-15
KR-2
2006. 06. 23.
Tom
KARD ÉS TOLL 2006/2
naplózás, mentés stb.) elég csak utalni. Viszont nagyon fontos, hogy a tisztázva legyen mikor, ki mire jogosult. l
Felelõsségi körök kiosztása
A felelõsségi körök kiosztására is igaz az a megállapítás, hogy látszólag egyszerû feladat, elvileg csak annyi, hogy a szakterületek vezetõi felelõsek a szakterületükért. De a már említett átfedések miatt mindenképpen érdemes átgondolni. A tervezés lényege, hogy minden, meglévõ információhordózóhoz tartozzon egy felelõs személy. Ugyanakkor nagyon fontos az együttmûködés megszervezése, ki felellõs egy olyan szakterületért amely, esetleg nem csak egy szakterületet érint. Ilyen lehet esetleg egy számítógépes munkaállomás amelyik az ügyviteli irodán helyezkedik el. l
A terv formába öntése, a szakterületek vészhelyzeti terveinek elkészítése
A tervezésnek ebben a stádiumában a kiosztott felelõsségi köröknek megfelelõen el kel készíteni a szakterületek speciális vészhelyzeti terveit. Természetesen ez történhet a párhuzamos munkamódszerrel is. A speciális tervek elkészítésének a munka logikája megegyezik a fent leírtakkal, természetesen a szakterületeknek megfelelõ különlegességek figyelembevételével. l
A rendszeres felülvizsgálat és az állomány oktatási rendszerének kidolgozása
A jelenlegi változó világunkban nem elégedhetünk meg azzal, hogy elkészítettük a tervet, mert a legjobban, legkörültekintõbben elkészített terv a körülmények változásának hatására, elõbb-utóbb elavulttá válik. Fokozottan érvényes ez az információ-feldolgozó technológiára. Ebbõl kiindulva szükséges a kész tervet rendszeres idõközönként felül vizsgálni, azokat a változásokat, amik a rendszerben illetve a környezetben történtek felmérni és ezek alapján, ha szükséges a terveket módosítani kell. Annak érdekében, hogy a kezelõi állomány tudatlanságból eredõ károkozását elkerüljük tervezni kell az állomány oktatását is. Azt is látni kell, az ismeretek idõvel megkopnak, ezért az oktatást is rendszeressé kell tenni. l
A vészhelyzetek utáni tevékenységek tervezése
Ebben a munkarészben ki kell jelölni azt a munkafolyamatot, amelyet a visszaállítási feladatok során követni kell. Ehhez célszerû lefektetni, elõkészíteni a szükséges nyomtatványokat, jelentési ûrlapokat. Meg kell határozni azokat a feladatokat, amelyeket kompromittálódás gyanúja esetén kell követni. A vészhelyzeti tervet, a Magyar Honvédség információvédelmi politikája alapján elkészített Információvédelmi szabályzatra építve, figyelembe véve az elöljáró információvédelmi szerv szabályozását is, kell összeállítani. Szintén szükséges figyelembe venni az érvényes jogszabályokat, egyéb elõírásokat. Nagy valószínûséggel, az alakulat nem kifejezetten vészhelyzeti intézkedést kap, hanem az egyéb alaprendelte-
188
II-15
KR-2
2006. 06. 23.
Tom
KERTI ANDRÁS – DR. RAJNAI ZOLTÁN: Az információvédõ szervek vész- (veszélyhelyzeti) tervei
tésbõl adódó feladatok hozzák magukkal a különbözõ vészhelyzeti tevékenységek végrehajtását. Például, ha az alakulat készenlétében változás következik be, akkor az információvédelemmel foglalkozó szakállomány felelõssége, hogy végrehajtsa a tervben foglaltak közül a megfelelõ intézkedést. Összefoglalás A cikkben leírtak jelenleg még eléggé elvi síkon mozognak, aminek okai objektivek. Ilyen objektiv ok a nem egységes jogszabályi szabályozás, valamint az ágazati információvédelmi elképzelés (doktrina, politika) hiánya. Jelenleg az alakulatok titokvédelmi felelõse nagyon sok egyéb dologgal kénytelen foglalkozni beosztásbeli munkákja során, a szakterületek vezetõi pedig kifejezetten csak a saját szakterületükre koncentrálnak (tudnak koncentrálni). Cikkemben bemutattam, hogy egy alakulatnál mire kell kidolgozni egy komplex veszélyhelyzeti tervet, amelynek tartalmaznia kell mind az információvédelmi, mind a nem szakemberek feladatait. A tervet egy a döntéshozatalra felhatalmazott személynek (törzsfõnök, vagy akár a parancsnok) kell kidolgozni, figyelembe véve az egyéb nem információvédelmi elõírásokat is, amelyek befolyásolhatják a veszélyhelyzeti terv elkészítését illetve az abban foglalt feladatok végrehajtását.
FELHASZNÁLT IRODALOM 1. www.katasztrofa.hu 2. http://katasztrofa.lap.hu 3. MSZ ISO/IEC TR:13335:2004 Az informatikai biztonság menedzselésének irányelvei. 4. Alt 210 A Magyar Honvédség Informatikai Szabályzata. 5. Berényi Melinda: Informatikai biztonsági mintaszabályzatok (Eötvös Loránd Tudományegyetem, Informatikai Kar Budapest, 2005. június 12.) Internet letöltés. 6. Kassai Károly: Az információk, valamint a hiradó és informatikai rendszer védelmének szabályozása (Kommunikáció 2003 Nemzetközi szakmai tudományos konferencia anyaga, ZMNE 2003 ISBN 96386229 6 2 ) 7. 179/2003. (XI. 5.) Korm. rendelet a nemzetközi szerzõdés alapján átvett, vagy nemzetközi kötelezettségvállalás alapján készült minõsített adat védelmének eljárási szabályairól 8. Ált/3 A Honvédelmi Minisztérium és a Magyar Honvédség Titokvédelmi és ügyviteli szabályzata. (HM kiadás 1996) 9. Dr. Váncsa Julianna: Az információtechnológia fejlõdésébõl adódó kihívások az elektronikus információvédelem területén (tanulmány 2003.)
189