Habilitációs tézisfüzet A közfeladatot ellátó szervezetek információbiztonságának aktuális kérdései Dr. Kerti András Biztonságtudományi Doktori Iskola Budapest, 2015. május
Tartalom I.
A kutatás előzményei .......................................................................................................... 4
II. Új tudományos eredmények .................................................................................................. 4 1.Tézis: A közfeladatot ellátó szervezetek információs rendszere, a különböző feladatok ellenére is hasonló .................................................................................................................. 4 Katonai információs rendszerek ......................................................................................... 5 A katonai információs rendszerek viszonya más információs rendszerekhez .................... 9 Következtetések ................................................................................................................ 10 2.Tézis: Az információs rendszerek információbiztonságát meghatározó szemlélet nem egységes ................................................................................................................................ 10 A kezelt adatok kategóriái, megjelenési formái ................................................................ 11 Az adatok megjelenési formái: ......................................................................................... 12 A közérdekű adatokat kezelő rendszerek jogi szabályozása............................................. 12 Adatkezelő rendszerek fajtái ............................................................................................. 13 Következtetések ................................................................................................................ 16 3.Tézis: Az információbiztonság megvalósításának alapja az információbiztonsági kockázatelemzés ................................................................................................................... 16 A kockázat fogalma .......................................................................................................... 16 Az információs rendszerek fenyegetései, sebezhetőségei ................................................ 17 Az információbiztonsági kockázatkezelés folyamat áttekintése....................................... 17 Az összefüggések megállapítása ....................................................................................... 19 A kockázatfelmérés ........................................................................................................... 21 A kockázatkezelés opciói .................................................................................................. 24 Kockázat elfogadás ........................................................................................................... 25 Következtetések ................................................................................................................ 25 4.Tézis Az információbiztonság leggyengébb láncszeme az ember, ennek ellenére a személyi biztonság megvalósítása nem kidolgozott ............................................................. 26 A személyi biztonság kialakításakor érintett állomány .................................................... 26 Az információbiztonság megvalósításának időszakai ...................................................... 27 Az alkalmazás előtti személyi biztonsági feladatok ......................................................... 27 Az alkalmazás időszakában elvárt személyi biztonsági feladatok .................................... 30 Alkalmazás megszűnésének feladatai ............................................................................... 32
Következtetések ................................................................................................................ 32 III. A kutatás és a bemutatott eredmények hatása, visszhangja ............................................... 33 IV. Irodalmi hivatkozások listája ............................................................................................. 33 1. tézis: .............................................................................................................................. 33 2. tézis: .............................................................................................................................. 34 3. tézis: .............................................................................................................................. 35 4. tézis: .............................................................................................................................. 36 V. A tézispontokhoz kapcsolódó tudományos közlemények ................................................... 36 VI. További tudományos közlemények ................................................................................... 38
I. A kutatás előzményei Szakmai munkámat tekintve teljes életutam során a katonai infokommunikációs rendszerek tervezésével, szervezésével és üzemeltetésével foglalkoztam, a 2000-s évek elejétől az érdeklődésem ezen rendszerek biztonsága felé fordult. Ebből kiindulva a tudományos kutatásaim is főképpen katonai információs rendszerekre és azok biztonságára irányultak. A Kutatásaim során feldolgoztam, analizáltam a megjelent tudományos publikációkat, jogszabályokat, információbiztonsági ajánlásokat és szabványokat. Megállapítottam, hogy a katonai információs rendszerek, - annak ellenére - hogy egy speciális szakterületet képeznek megfelelő alapjai lehetnek a teljes közfeladatot ellátó szervezetek információs rendszereinek vizsgálatához. Az információs társadalom változásai nagyon gyorsak, gondoljunk csak a Monroe elvre, az ismeretek ebből kifolyólag nagyon gyorsan elévülnek. Az információs társadalom fejlődésének irányvonalát, - figyelembe véve az elmúlt évek változásait, - abszolút pontossággal lehetetlen megadni, éppen így az információbiztonság jövőbeni kihívásai sem jósolhatók meg teljes biztonsággal. Éppen ezért ez a jelen tézisfüzet nem egy lezárt kutatás bemutatása, hanem egy kutatási folyamat aktuális állapotának prezentációja. Ennek a prezentációnak kapcsán bemutatom az információbiztonsági kutatásaim jelenlegi állapotát, a továbbfejlesztés, a kutatási lehetőségek, problémák megoldásainak lehetséges útjait.
II. Új tudományos eredmények 1. Tézis: A közfeladatot ellátó szervezetek információs rendszere, a különböző feladatok ellenére is hasonló A fő kutatási területem a közfeladatot ellátó szervezet információbiztonsága. Ahhoz azonban, hogy ezt a témát teljesen körül tudjuk járni nélkülözhetetlen magának az információs rendszernek az ismerete. A mai infokommunikációs rendszerek nem lehetnek egymástól teljesen függetlenek, mint pályafutásom kezdetén a 80-s évek elején. Manapság a nem közfeladatot ellátó „civil” és a közfeladatot ellátó szervezetek infokommunikációs hálózatait a különbözőségek ellenére nagyfokú integráltság jellemzi. Egyrészt a „civil” szervezetek tudományos vívmányait, legjobb gyakorlatait a közszféra is alkalmazza. Másrészt az információs technológia területén a közszféra is nagy felvevő piac, ezért a „civil”
szervezeteknek is jól felfogott érdeke, hogy tisztában legyenek ezen a területen érvényes előírásokkal, elvárásokkal. Ugyanígy a közfeladatot ellátó szervezetek körében is nagy a hasonlóság attól függetlenül, hogy katonai rendszerekről, vagy egyéb rendszerekről van-e szó. Tudományos
kutatásaim
alapját,
hivatásomból
adódóan,
a
katonai
információs,
kommunikációk rendszerek vizsgálatával kezdtem. Katonai információs rendszerek A katonai hivatás feladata: a különféle, akár béke, akár missziós feladatok eredményes végrehajtása, amelyet a parancsnok, mint egyszemélyi vezető döntései alapján hajtanak végre a katonái. A parancsnok döntéseihez megfelelő minőségű és mennyiségű információ szükséges. Ezeket az információkat a parancsnok számára az elöljáró, az alárendeltjei valamint a törzsének különböző beosztású tagjai a saját adatbázisaikra és információs kapcsolataikra támaszkodva szolgáltatják. Az ellenségre és a környezetre vonatkozó adatokat a felderítési rendszer, a saját erőkre vonatkozó adatokat a hadműveleti, logisztikai, és személyügyi rendszer, a saját csapatok vezetését a híradó és informatikai rendszer biztosítja. Természetesen ezek az alrendszerek akár még kisebb alrendszerekre is bonthatók attól függően, hogy milyen mélységben és céllal kívánjuk vizsgálni a rendszert. Az, hogy ezekben az információs alrendszereknek mi az adattartalma függ a parancsnok szándékától és a törzs szervezetétől. A törzs szervezete függ az alegység, illetve egység alaprendeltetésétől és nagyságától, valamint attól, hogy a különböző szervezeti elemeket a kötelék vezetése milyen szervezetei elemben képzeli el. Az egész folyamat mozgatórugója az információáramlás, ami egyrészt mint vezetői tevékenység felfogható a különböző információk továbbításának: tervek, utasítások, intézkedések eljuttatása az érdekelt feleknek, másrészt a végrehajtásról történő visszacsatolás, amely a tervezést és a szervezést támasztja alá információkkal. Nagyon fontosnak tartom kiemelni azonban, hogy a döntési folyamat előkészítéséhez szükséges információkat az ember
szolgáltatja,
vagyis
az
információs
rendszer
legfontosabb
eleme
az
infokommunikációs rendszerek szempontjából a felhasználó, vagy idegen szóval a user. Azonban az, hogy ezek a jelentések, adatok, üzenetek eljussanak a címzettekhez és megfelelően feldolgozásra kerüljenek, a vezetési és információs rendszer számára szolgáltatást nyújtó híradó és informatikai rendszer feladata. Más szóval a híradó és informatikai rendszer a vezetés és információs rendszer technikai alrendszere.[1.]
Az információt szolgáltató alrendszer és a technikai alrendszer elválaszthatatlan. A vezetési funkció nem értelmezhető, ha a parancsokat, utasításokat, és az őket alátámasztó információkat nem tudjuk eljuttatni a feladótól a címzettig, illetve ezek nélkül a továbbítandó adatok nélkül a technikai alrendszer okafogyottá válna.[1.] A doktori disszertációm megírásakor a katonai infokommunikációs terminológiánkban nem volt egységesen kialakult és letisztult fogalomrendszer, amit a szakembergárda formálisan, vagy informálisan, de egységesen értelmezett volna. Fogalmi keveredések olvashatók az akkori katonai lexikonokban is, melynek oka az új és a régi fogalmak ötvözése, illetve az angol kifejezések fordítási és honosítási szándéka volt. Ezért, hogy a különböző értelmezésbeli problémákat elkerüljem a dolgozatomban a híradó és informatika rendszert a feladatából adódóan Vezetési és Információs Rendszer Technikai Alrendszereként (VIRTAR) emlegettem. Vagyis a VIRTAR a vezetés és az információ szolgáltatás érdekében telepített információ-és adattovábbító, feldolgozó és tároló eszközök (hardver és szoftver) és az őket telepítő és üzemeltető személyi állomány összessége. A jelenlegi informális katonai terminológiában a NATO-ban használt „Communications and Information System” magyar megfelelője a Kommunikációs és Információs Rendszerek (CIS) kifejezés honosodott, honosodik meg. Én az információ feldolgozó, tároló és továbbító alrendszert a továbbiakban is VIRTAR-ként említem.[1.][2.] A VIRTAR felépítésére, szerkezetének bemutatására a szakirodalomban nem találtam teljes, a kor színvonalának megfelelő modellt. A legfiatalabbnak és hagyományosnak számító modell keletkezésekor gyakorlatilag ez csak a hírrendszert jelentette, a számítógépes környezet még nem létezett, legfeljebb egyedi nagygépek álltak rendelkezésre. A „hagyományos modell” alkalmazása a jelenlegi és a jövőbeli rendszerek leírására nem alkalmazható, mert: •
a híradás és az informatikai eszközök konvergenciája a polgári életben végbe ment, egymástól elválaszthatatlan egységet alkotnak;
•
a NATO a hálózat nyújtotta képességek kifejlesztését befejezettnek tekinti, amelynek adaptálása a magyar rendszerek számára is elengedhetetlen;
•
a jelenlegi katonai gondolkodásunkban a szimmetrikus hadviselés lehetősége ha nem is szűnt meg, de jelentősen háttérbe szorult. A csapatok elsősorban a különböző missziók végrehajtására és természeti katasztrófák leküzdésének támogatására készülnek fel.
A „hagyományos” modellnek az elavultsága ellenére is van egy nagy előnye, mégpedig az, hogy egységes egészként szemléli a rendszert. Az 1990-s évek elejétől a katonai munka területén is megjelentek a személyi számítógépek, amelyeket az ezredforduló idején elkezdtünk helyi hálózatokba szervezni és jelenleg a legtöbb helyen a helyi hálózatok egy egységes országos hálózatban tudnak működni. Azonban a katonai rendszerekben a híradás és az informatika konvergenciája még nem fejeződött be, ami kettőséget mutat minden rendszerelem tekintetében.[1.][2.] A jövő katonai konfliktusainak az információ áramlását, az információk minőségét, mennyiségét és elosztását a „NATO hálózat nyújtotta képességek NNEC” koncepciója fogja meghatározni. A NATO hálózat nyújtotta képességek (NNEC) a szövetség észlelő és technikai képessége, amely egyesíti a műveleti környezet alkotóelemeit a stratégiai szinttől (beleértve a NATO parancsnokságot is) a taktikai szintig a hálózati és információs infrastruktúrán keresztül. Egyszerűbben fogalmazva, az információk hatásos és hatékony megosztásának a képessége, a missziók (feladatok) sikeres végrehajtása érdekében, a NATO-t alkotó nemzetek és a szervezetek között. Azonban a NNEC nem kifejezetten csak katonai fogalom. A NNEC koncepciójában az érdekelt felek a NATO szervezetei, a parancsnokságok, ügynökségek civil és katonai szervezetei, a NATO-t alkotó nemzetek katonai és polgári szervezetei, a kutatásfejlesztésben és a megvalósításban résztvevők, kutatóhelyek, egyetemek, iparvállalatok, nem kormányzati szereplők, nemzetközi szervezetek. A VIRTAR tervezésében, üzemeltetésében részt vevők számára az a legfontosabb kérdés, hogy a NNEC megvalósításához szükséges rendszer hogyan épülne fel. A kutatásaim során arra a következtetésre jutottam, hogy a VIRTAR a következő elemekből kell hogy álljon: •
Felhasználói eszközök (végberendezések)
Amelyek közvetlenül a felhasználó használatában, felügyelete alatt kell, hogy legyenek, ezeket az eszközöket valószínűleg maguk a felhasználók fogják az adott települési helyre szállítani. A rendszerbe történő biztonságos beléptetésről a VIRTAR üzemeltetőinek kell gondoskodniuk. •
Belső hálózatképző eszközök
A belső hálózatképző eszközöknek alapvetően kettős szerepük lesz. Egyfelől a felhasználói eszközöket kell csatlakoztatni a kormányzati célú elkülönült hírközlő hálózathoz vagy a kormányzati célú hálózathoz, másfelől a felhasználói eszközök egymás közötti kapcsolatát kell biztosítani. A belső hálózatok sajátossága kell hogy legyen a megfelelő szintű
adathozzáférés biztosítása is, lehetőség szerint tehát csak azokat az adatainkat osszuk meg, amelyekre másoknak is szükségük van. A számítógép-hálózatok kialakításakor lehetőségünk van a fizikai összeköttetés mellett logikai összeköttetés létrehozására is, így egy számítógép több, kisebb virtuális hálózat eleme is lehet egyszerre, ezáltal a rendszerekben az erőforrásokat másként oszthatja meg. •
Kormányzati célú elkülönült hírközlő hálózat vagy kormányzati célú hálózat (harcászati vagy országos hálózat)
A vezetési pontok belső hálózatainak kommunikációját a harcászati vagy az országos hálózat oldja meg attól függően, hogy a kötelékek hol teljesítik a feladataikat. Mindkét esetben a hálózat struktúrájában két alkotóelemet különböztethetünk meg, úgymint az átviteli vonalakat és a kapcsoló elemeket. Attól függően, hogy a hálózatot milyen szervezet felügyeli, feloszthatjuk nemzeti-, missziós vagy harcászati, illetve szövetséges hálózatokra. •
Hálózat független eszközök
A hálózat független eszközök tervezése esetén fontos szempont, hogy nem szabad csak a hálózat nyújtotta képességekre támaszkodnunk, szükségünk van olyan rendszerekre, amelyek a hálózat nyújtotta szolgáltatások nélkül is üzemképesek maradhatnak. Ilyen közvetlen összeköttetéseket biztosító eszközök lehetnek a nagytávolságú kapcsolatokat biztosító rövidhullámú rádiók, illetőleg a mikrohullámú műholdas berendezések. Alapesetben ezek az eszközök is részt vehetnek a hálózat kiépítésében mint kerülő irányok, még abban az esetben is, ha ez a képességük a korlátozott sávszélességük miatt nem jelentős (pl.: RH rádiók). Viszont adott esetben ez a korlátozott sávszélességű összeköttetés is létfontosságúvá válhat. •
VIRTAR vezetési rendszere
A VIRTAR egyik legfontosabb tulajdonsága kell hogy legyen a rugalmasság, azaz a körülményekhez való alkalmazkodás képessége. Ez a képesség elképzelhetetlen a megfelelő szintű vezetés nélkül, így a vezetésnek folyamatosan figyelemmel kell kísérni a rendszert és szükség esetén be kell avatkozni, illetve tervezni kell a kialakítandó hálózatot. •
VIRTAR biztonsága
Napjaink talán egyik legfontosabb kihívása a biztonságos infokommunikáció. A katonai gondolkodásban nagyon sokan összekeverik a biztonságos átviteli utakat a minősített adatokat feldolgozó rendszerekkel. Azonban nagyon fontos a megkülönböztetés, mert minden egyes rendszernek és hálózatnak vannak - kell, hogy legyenek - biztonsági funkciói, amelyek „szigorúsága” függ a feldolgozott adatok minősítési szintjétől. Jelenleg a különböző
szigorúságú (különböző minősítéssel rendelkező adatokat feldolgozó) rendszerek számára külön hálózatokat üzemeltetünk.[2.][3.][4.]
A katonai információs rendszerek viszonya más információs rendszerekhez Mennyire alkalmazható a fent bemutatott modell más közfeladatot ellátó szervezetre? Ez természetesen függ a vizsgálni kívánt szervezet rendeltetésétől és felépítésétől. Alapvetően elmondhatjuk, hogy minél jobban hasonlít egy szervezet a honvédségre, annál kevesebb eltérőséget találunk VIRTAR-jának felépítésében. Ebből a szempontból a legfontosabb kérdés, hogy a szervezet jogosult-e „elkülönült hírközlési tevékenység” végzésére? Abban az esetben ha jogosult az elkülönült hírközlési tevékenységre, akkor gyakorlatilag szinte ugyanolyan feladatokkal és problémákkal néz szembe mint a honvédség: ezen tevékenységéből fakadóan létre kell hoznia és fent kell tartania az elkülönült hálózat átviteli útjait és biztosítani kell az ahhoz való csatlakozást. Ha nem jogosult ilyen tevékenységre sokkal egyszerűbb a dolga: az átviteli utakat biztosító szolgáltatást megvásárolja, nem kötelezett a fenntartási költségek és feladatok biztosítására. Milyen - általam vázolt rendszerelemek vannak a közfeladatot ellátó szervezeteknél, azt az alábbi táblázatban foglaltam össze: Közfeladatot ellátó szervezet Elkülönült hírközlési tevékenységre jogosult szervezet
Magyar Honvédség
Elkülönült hírközlési tevékenységre nem jogosult szervezet
Felhasználói eszközök Minden szervezetnél ezek képezik a technikai alrendszer alapját (végberendezések) Belső hálózatképző eszközök A végberendezések hálózatba kötését biztosítják Kormányzati célú elkülönült hírközlő hálózat és a kormányzati Mindkettő Csak a kormányzati célú hálózat célú hálózat Feladat függvényében lehetséges Hálózat független eszközök Mobiltelefon (EDR, mobiltelefon) VIRTAR vezetési rendszere Igen Csak a belsőhálózatra vonatkozóan Minden rendszer esetében elengedhetetlenül fontos! A védelem szintjét az információs rendszeren „érzékenysége”, minősítése határozza meg.
VIRTAR biztonsága
kezelt
adat
1. táblázat A közfeladatot ellátó szervezetek rendszer elemei
Azonban nem csak különbözőségek, de alapvető azonosságok is vannak mindhárom információs rendszer esetében.
Ezek: •
a létrehozásukat, működtetésüket a törvényhozó szabályozza;
•
ugyanolyan adatfajtákat, közérdekű és személyes adatokat dolgoznak fel;
•
rendeltetésük, hogy a támogatott szervezet döntési folyamatának végrehajtására szervezett rendszer munkáját segítsék;
•
legfontosabb elemük az ember, a felhasználó, a technikai alrendszer csak őket szolgálja ki.
Következtetések A tézispontban bemutattam a Katonai infokommunikációs rendszereket, mint az információs rendszerek technikai alrendszerének felépítését, és annak feladatait. Bemutattam továbbá, hogy a közfeladatot ellátó szervezetek információs rendszerei feladatuk függvényében többkevesebb hasonlóságot mutatnak a katonai VIRTAR-al. Ebből kiindulva a honvédségi rendszerek vizsgálatakor levont következtetések megfelelő alapot jelenthetnek egyéb közfeladatot ellátó szervezetek infokommunikációs rendszereinek vizsgálatához. Tapasztalatból tudjuk, hogy az infokommunikációs eszközök töretlen és hosszútávon megjósolhatatlan fejlődést követnek, ezért a továbbiakban is a kutatások középpontjában kell hogy legyen a VIRTAR.
2.Tézis: Az információs rendszerek információbiztonságát meghatározó szemlélet nem egységes Mint már az előző tézisemnél említettem a közfeladatot ellátó szervezetek a rendeltetésüktől függetlenül ugyanolyan fajta adatokat kezelnek, mégpedig a közérdekű és a személyes adatokat. A személyes adatok védelmének technikai, technológiai feltételei megegyeznek a közérdekű adatokéival, azonban a jogi szabályozásuk különbözik.
A kutatásaim nem
terjednek ki a személyes adatok védelmére, ebből kifolyólag a továbbiakban csak a közérdekű adatokkal fogok foglalkozni. Mielőtt azonban a konkrét vizsgálatot elkezdeném, tisztázni kell egy fontos kérdést: Miben különbözik a közfeladatot ellátó szervezetek és a „civil” cégek információbiztonsága? A közfeladatot ellátó szervezetek és az ettől eltérő funkciójú szervezetek (civil cégek) információbiztonságának technikai részletei, a kivitelezés (megvalósítás) aspektusai
semmiben sem különböznek: mindkét rendszerben szükség van a rosszindulatú kódok elleni védelemre, naplózásra, a rendszerelemek fizikai védelmére és a többi jól bevált információbiztonsági tevékenységre. A különbséget a menedzsment megközelítésében látom. Amíg a civil” cég saját maga határozhatja meg az információvédelem megvalósításának módszerét, akár felhasználva a rendelkezésre álló szabványokat (COBIT, ISO 27001) akár teljesen egyéni, saját módszert alkalmazva, addig a közfeladatot ellátó szervezeteknek jogszabályok
és
az
ezeket
részleteiben
is
szabályzók,
-
úgynevezett
közjogi
szervezetszabályozó eszközök - kötelező jelleggel határozzák meg a feladataikat. Mielőtt megvizsgálnánk a közérdekű adatok védelmének jogi szabályozását, tisztában kell lennünk ezen adatoknak kategóriáival és megjelenési formáival. A kezelt adatok kategóriái, megjelenési formái A közérdekű adatok kategóriái: Nyílt adatok, amelyeket bárki, bármikor megismerhet. Ezek az adatok vagy fent vannak az interneten, vagy a közérdekű adatigénylés után bárki megkaphatja; Azon adatok, amelyeknek az érzékenysége nem éri el a minősítési szintet, de nem hozhatók nyilvánosságra. Ezeket az adatokat a szakzsargon „nyílt, nem nyilvános adatok” -nak hívja, hogy meg lehessen különböztetni a nyílt és a minősített adatoktól egyaránt. A továbbiakban én is így fogok hivatkozni erre a kategóriára. Ezek az adatok vagy döntés előkészítés során keletkeztek, vagy törvény tiltja a nyilvánosságra hozatalukat;
Minősített adatok, amelyeknek a nyilvánosságra kerülésük, vagy illetéktelen személy tudomására jutása esetén valamilyen szintű kár éri az országot, illetve a szövetségi rendszereink valamelyikét. Az okozott kár mértékének megfelelően különféle minősítési szinteket különböztetünk meg. Alapvetően két fajta minősített adatcsoportot különböztethetünk meg; a nemzeti minősített adatokat, illetve a külföldi minősített adatokat, amelyeket valamilyen kétoldalú szerződés alapján vettünk át a másik féltől. Ebből a csoportból a két legjelentősebb a NATO és az EU minősített adatok csoportja. Fontos, hogy a kétoldalú szerződések megkötésekor, mindkét fél kötelezettséget vállal a partner fél által elvárt biztonsági intézkedések betartására.
Az adatok megjelenési formái: adathordozón tárolt adatok; jelenleg a két legfontosabb adathordózó típusa az elektronikus adathordozók tárháza, (pendrive-ok, winchesterek,CD-k, DVD-k, stb,) illetve a papír alapú adathordozók; szóban közölt adatok; objektumok, tárgyi eszközök, amelyek adatokat hordoznak; és az egyéb, nem tárgyiasult formában, például az emberi tudatban megjelenő adatok. A különféle infokommunikációs rendszerek szempontjából azonban a legfontosabb adatformák azok, amelyek valamilyen adathordozón rögzítve vannak, ezért a többi megjelenési formával nem foglalkozom. A fenti kategorizálásból látszik, hogy az adatkezelő rendszerek lehetnek nyílt adatos, nyílt nem nyilvános adatos, és minősített adatos. Megjelenésükben csak papíralapon, elektronikus formában illetve mindkét formában kezelő rendszerek. Természetesen a minősített adatot kezelő rendszerek kezelhetnek nyílt, nem nyilvános és nyílt adatot is, és a nyílt, nem nyilvános adatot kezelő rendszerek pedig nyílt adatot is. A közérdekű adatokat kezelő rendszerek jogi szabályozása A
közérdekű
adatok
kezelésére
létrehozott
rendszerekre
vonatkozó
legfontosabb
jogszabályokat összefoglaltam az alábbi táblázatban. A táblázat nem teljes, mert nem tartalmazza az ágazat specifikus - HM, BM, stb. - jogszabályokat, a közjogi szervezetszabályozó eszközöket. 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról 301/2013. (VII. 29.) Korm. rendelet a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról 233/2013. (VI. 30.) Korm. rendelet az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről 484/2013. (XII. 17.) Korm. rendelet a Nemzeti Kiberbiztonsági Koordinációs Tanács, valamint a Kiberbiztonsági Fórum és a kiberbiztonsági ágazati munkacsoportok létrehozásával, működtetésével kapcsolatos szabályokról, feladat- és hatáskörükről 73/2013. (XII. 4.) NFM rendelet az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági
események jelentésének és közzétételének rendjéről 77/2013. (XII. 19.) NFM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről 26/2013. (X. 21.) KIM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról 2009. évi CLV. törvény a minősített adat védelméről 90/2010. (III. 26.) Korm. rendelet a Nemzeti Biztonsági Felügyelet működésének, valamint a minősített adat kezelésének rendjéről 92/2010. (III. 31.) Korm. rendelet az iparbiztonsági ellenőrzés és a telephely biztonsági tanúsítvány kiadásának részletes szabályairól 161/2010. (V. 6.) Korm. rendelet a minősített adat elektronikus biztonságának, valamint a rejtjeltevékenység engedélyezésének és hatósági felügyeletének részletes szabályairól 1995. évi LXVI. törvény a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről 335/2005. (XII. 29.) Korm. rendelet a közfeladatot ellátó szervek iratkezelésének általános követelményeiről 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról 2010. évi CLVII. törvény a nemzeti adatvagyon körébe tartozó állami nyilvántartások fokozottabb védelméről 38/2011. (III. 22.) Korm. rendelet a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozásának biztosításáról 2. táblázat A közérdekű adatok kezelésére létrehozott rendszerekre vonatkozó legfontosabb jogszabályok
Adatkezelő rendszerek fajtái Ennyi szabályozás már elve felveti a túlszabályozottság kérdését, azonban nem minden jogszabály vonatkozik minden rendszerre. A következő táblázatban összefoglaltam a szabályzók hatókörét. Egyszerűség kedvéért csak a törvényeket írtam be, de ahol a törvény szerepel ott végrehajtásukra, értelmezésükre létrehozott egyéb szabályzót is figyelembe kell venniük a rendszer üzemeltetőinek. Adatok kategóriája: Nyílt adatok
A rendszeren kezelt adatok adathordozója Papír
Elektronikus adattároló
Vegyes
2011. évi CXII. törvény
2011. évi CXII. törvény
2011. évi CXII. törvény
2010. évi CLVII. törvény
2010. évi CLVII. törvény
2010. évi CLVII. törvény
1995. évi LXVI. törvény
1995. évi LXVI. törvény
1995. évi LXVI. törvény
2013. évi L. törvény
2013. évi L. törvény
2011. évi CXII. törvény
2011. évi CXII. törvény
2011. évi CXII. törvény
Nyílt, nem nyilvános
2010. évi CLVII. törvény
2010. évi CLVII. törvény
2010. évi CLVII. törvény
adatok
1995. évi LXVI. törvény
1995. évi LXVI. törvény
1995. évi LXVI. törvény
2013. évi L. törvény
2013. évi L. törvény
2011. évi CXII. törvény
2011. évi CXII. törvény
2011. évi CXII. törvény
2010. évi CLVII. törvény
2010. évi CLVII. törvény
2010. évi CLVII. törvény
1995. évi LXVI. törvény
1995. évi LXVI. törvény
1995. évi LXVI. törvény
2009. évi CLV.
2009. évi CLV.
2009. évi CLV.
2013. évi L. törvény
2013. évi L. törvény
Minősített adatok
3. táblázat A törvények ható köre
A szabályozással, véleményem szerint nem csak a túlszabályozottság a nagy probléma, hanem az eltérő szemléletmód. Miért probléma ez, amikor már megállapítottuk, hogy az információbiztonság technikai megvalósításának eszközei minden esetben ugyanazok? Azért, mert a különböző szemléletekkel megvalósított információbiztonsági rendszerek nem összemérhetőek. Pedig a világ az egységesítés irányába halad. Ennek érdekében a nemzetközi szabványosítási szervezetek az információbiztonsági szabványokat is „szabványosították”, vagyis a 9001-s szabvány követelményei alapján alakították ki. Nézzük a közfeladatot ellátó szervezeteknél mi a helyzet. A minősített adatkezelő rendszerek esetében – függetlenül az adathordozótól – a jogalkotó megpróbálta követni a NATO információbiztonsági koncepcióját, kifejezetten az azonos védelem, az összemérhetőség érdekében. A próbálkozás nem teljesen sikerült. Ezt bizonyítja ha összevetjük a NATO modellt a Minősített adatvédelmi törvény és a hozzájuk kapcsolódó kormányrendelet modelljével.
1. ábra Az információbiztonság rendszere a minősített adatvédelmi törvény és a hozzájuk kapcsolódó kormányrendelet alapján
2. ábra A NATO információbiztonsági modellje
Továbbá, ha összevetjük a 2013. évi L. törvény elektronikus információs rendszerek biztonsági osztályba sorolását a COBIT érettségi modelljeivel, nagyfokú hasonlóságot állapíthatunk meg. Azt gondolom, nem követünk el túlzott elfogultságot ha azt véleményezzük, hogy a jogalkotó szemléletében e törvény megalkotásakor a megnevezett szabványhoz való kötődöttséget feltételezünk? A jelenlegi jogi szabályozásnak, a túlszabályozottságnak nem csak az eltérő szemléletmód a problémája, hanem a merevsége is. 2009. december 29-én került kihirdetésre a 2009. évi CLV törvény a minősített adatok védelméről, ez a törvény adta át a múltnak az 1995. évi LXV törvényt az államtitokról és a szolgálati titokról. Ez utóbbi törvény a NATO-ba való belépésünkkor 1999-ben már elavulttá vált, szükséges lett volna a cseréje. A tényleges csere 10 évet váratott magára.
Következtetések A közfeladatot ellátó szervezetek információbiztonságát az érvényben levő jogszabályok által előírtak alapján kell megszervezni. A mai magyarországi nehézkes és időigényes jogszabályalkotás egy olyan gyorsan változó területet, mint az infokommunikáció és annak biztonsága nem tud megfelelő rugalmassággal kezelni. Figyelembe véve továbbá, hogy jelenleg a kezelt adatok érzékenységükre és megjelenési formájukra tekintettel más és más szemléletű biztonsági megközelítés tapasztalható elmondhatjuk, hogy a jogi szabályozás korrekcióra szorul. Ebből kiindulva a közfeladatot ellátó szervezetek információbiztonsági kutatásainak az egyik feladata kidolgozni az egységes szemléletű, a technológiai változásokra rugalmasan reagálni képes szabályrendszert.
3.Tézis: Az információbiztonság megvalósításának alapja az információbiztonsági kockázatelemzés Szinte minden információbiztonsággal foglakozó szabályzó, ajánlás, szabvány úgy írja le az információbiztonság megvalósításának folyamatát, hogy mérjük fel az információs rendszer kockázatait, alakítsuk ki a kockázatokkal arányos védelmet, és készítsünk tervet a nem várt és nem
kívánt
események
hatásainak
kiküszöbölésére.
Ebből
is
látszik,
hogy
az
információbiztonság megvalósításának sarokköve a kockázatelemzés. De mi is az a kockázatelemzés? Minden szervezetet egy meghatározott cél (vagy célok) érdekében hoztak létre, illetve hogy működésével egy meghatározott célt (vagy célokat) szolgáljon. Ezek megvalósítása vagy teljesítése során azonban olyan tényezők is szerepet játszanak, amelyek bekövetkezése és hatása
bizonytalan.
Bizonytalanságuk
a
szervezet
működésének,
felépítésének
összetettségéből, illetve a környezet (gazdasági, társadalmi, politikai, természeti stb.) összetettségéből és kiszámíthatatlan változásaiból fakad. [9.][10.] A kockázat fogalma A kockázat: egy szervezet tekintetében mindazon elemek és események bekövetkeztének a valószínűsége, amelyek hátrányosan érinthetik a szerv működését. Bármely szervezet működésének alapvető érdeke, hogy elérje célkitűzéseit. A szervezet a szervezeti cél érdekében végzett tevékenysége, működése során különféle kockázatokkal szembesül.
A szervezet vezetésének feladata az, hogy a kockázatokra - amelyek lényegi befolyással lehetnek a szervezet célkitűzéseire, - tudjon válaszolni oly módon, hogy lehetőség szerint elősegítse a szervezet eredeti céljainak, elérhetőségének, teljesítésének valószínűségét, s ezzel egy időben minimálisra csökkentse az ezt veszélyeztető tényezők bekövetkeztének esélyét, lehetséges hatását. Ezt a kockázatkezeléssel érheti el a szervezet. Az információs rendszerek fenyegetései, sebezhetőségei Bármely szervezet a lehető legkülönfélébb folyamatokkal rendelkezik és a folyamatokban lévő kockázatokkal néz szembe. Azonban a felsorolt folyamatok közül mindegyik függ különféle információktól és információ-feldolgozó rendszerektől. Ezt az összefüggést szemlélteti a következő ábra:
3. ábra Az információs kockázatok és az egyéb folyamatok összefüggései
Forrás: 25 NIST Ebből kifolyólag az információs rendszerek biztonsága, és így az információs rendszerek kockázatai kiemelt figyelmet kell hogy kapjanak egy szervezet irányításában. [9.][10.]
Az információbiztonsági kockázatkezelés folyamat áttekintése Az információbiztonsági kockázatkezelési folyamat tartalmazza a kockázatfelmérést, a kockázatjavítást, a kockázatelfogadást, a kockázatok kommunikációját, a kockázatok figyelését és felülvizsgálatát. [9.][10.]
4. ábra
A kockázatkezelési folyamat az ISO/IEC 27005 alapján
Ahogyan a 4. ábra mutatja, a kockázatkezelési folyamatnak a kockázatfelmérés és/vagy a kockázatjavítás ismétlődő tevékenységéből kell állnia. Az ismétlődő megközelítés a folyamatos megközelítésben növelheti a kockázatfelmérés mélységét és részletességét minden egyes ismétléskor. Az ismétlődő megközelítés jó egyensúlyt teremthet az idő és költségráfordítások között, miközben biztosíthatja a kockázatok magas szintű felmérését. Az összefüggések megállapítása után következik a kockázatok felmérése. Ezek elégséges információt nyújtanak ahhoz, hogy hatásosan megállapítsuk azokat a tevékenységeket, amelyek a kockázatok elfogadható szintre csökkenését eredményezi, majd ezt a folyamatot követi a kockázatjavítás. Ha az információk nem elégségesek, akkor a kockázatfelmérés következő
ismétlésekor
már
javított
feltételekkel
(kockázat-felmérési
kritériumok,
kockázatelfogadási kritériumok, hatáskritériumok) lesz végrehajtva. (4. ábra első döntési pont) A kockázatjavítás hatásossága függ a kockázatfelmérés eredményétől. Lehetséges, hogy a kockázatjavítás nem eredményezi azonnal, hogy a maradványkockázatok az elfogadható szint alá csökkenjenek, ebben az esetben a kockázatfelmérés megismétlésekor további kockázatjavítások lehetnek szükségesek. (4. ábra a második döntési pont) A kockázatelfogadási tevékenységnek biztosítani kell, hogy a maradványkockázatokat a szervezet menedzsmentje nyíltan elfogadja.
Az egész információbiztonsági kockázatkezelés folyamata alatt fontos, hogy a kockázatok és a kockázatjavítások megfelelő módon kommunikálva legyenek a vezetéssel és az üzemeltető személyzettel. Még a kockázatjavítás előtt az azonosított kockázatokról szóló információk nagyon hatásosak lehetnek az incidensek kezelésében és segíthetnek csökkenteni a potenciális károkat. A kockázatkezelés minden tevékenységét, valamint a döntési pontok döntéseit részletesen dokumentálni kell.[9.][10.] Az összefüggések megállapítása Általános megfontolások A szervezetről szóló minden információ szükséges ahhoz, hogy megállapítsuk a kockázatkezelés összefüggéseit. Az összefüggések megállapítása a kockázatkezelés részére szükségesek ahhoz, hogy meghatározzuk a szükséges alapkritériumokat, a hatókört és határokat, a kockázatkezeléshez szükséges szervezet felállítását. Lényegbe vágó, hogy meghatározzuk az információbiztonsági kockázatkezelés célját, mert ez befolyásolja a teljes folyamatot és különösen az összefüggések megállapítását. Ezek a következők lehetnek: -
Információbiztonsági irányítási rendszer támogatása;
-
Törvényi megfelelőség biztosítása;
-
Üzletmenet folytonossági terv elkészítése;
-
Incidenskezelési terv elkészítése.
Alapkövetelmények megállapítása A kockázatkezelési hatókör és tárgy függvényében különböző megközelítések alkalmazhatók, sőt minden ismétléskor más megközelítést lehet alkalmazni. A megfelelő kockázatkezelési megközelítés kiválasztja vagy kifejleszti a következő alapkövetelményeket: -
kockázatértékelési követelmények;
-
hatáskritériumok;
-
kockázatelfogadási kritériumok.
Továbbá a szervezet felmérheti, hogy szükséges-e további forrásokat fordítani arra, hogy: -
végrehajtsák a kockázat felmérést, és kifejlesszék a kockázatjavítási tervet;
-
kifejlesszék az információbiztonsági előírásokat és eljárásokat.
Kockázatértékelési kritériumok lefektetése A kockázatértékelési kritériumok kifejlesztésekor figyelembe kell venni: -
a szervezet információ-feldolgozó folyamatainak stratégia értékét;
-
az információs vagyontárgy kritikusságát;
-
jogszabályi előírásokat, valamint a szerződéses kötelezettségeket;
-
az információk sértetlensége, bizalmassága, és rendelkezésre állása elvesztésének jelentőségét.
Kockázatelfogadási kritériumok A kockázatelfogadási kritériumok nagymértékben függnek a szervezet céljától, feladatától, a működési irányvonalától, a kezelt információk minősítési szintjétől. A szervezetnek saját skálát kell kifejlesztenie a kockázatelfogadási kritériumokra. Figyelembe kell vennie: -
a kockázatelfogadási kritériumok több küszöböt, határértéket is tartalmazhatnak;
-
különböző kockázatelfogadási kritériumot lehet alkalmazni különböző minősítési szintekre.
A kockázatértékelési kritériumok szintje különböző lehet attól függően, hogy milyen hosszú ideig van kitéve a szervezet egy adott kockázat negatív hatásainak. Kockázatkezelés (kockázatmenedzsment) hatókörének meghatározása A kockázatfelmérés hatókörét pontosan definiálni kell, ezáltal biztosítjuk, hogy az összes lényeges vagyontárgy fel legyen mérve. A szervezetről be kell gyűjteni a pontos információkat, hogy meghatározzuk, melyek azok a fontos információk, amelyek lényegesek az információbiztonsági kockázatfelmérés folyamatához. A hatókör megállapításához elengedhetetlenül fontos, hogy figyelembe vegyük a következőket: -
a szervezet stratégiai céljait és előírásait;
-
az információk minősítési szintjét;
-
a szervezet feladatait;
-
a szervezet információbiztonsági irányítási rendszerét.
A kockázatmenedzsment szervezet Ha megfelelő módon szeretnénk végrehajtani a kockázatkezelés feladatait, ki kell jelölni a kockázatfelmérésben részt vevő személyeket, és létre kell hozni a kockázatkezelő szervezetet. Pontosan meg kell állapítani a szervezet és az egyének feladatait, és felelősségeiket.
A következőkben bemutatom, hogy a kockázatfelmérő szervezetnek milyen felelősségeik lehetnek: -
a szervezethez alkalmazkodó kockázatmenedzsment terv elkészítése;
-
a vagyontárgy tulajdonosainak azonosítása;
-
a szerepek és felelősségek azonosítása;
-
a döntési folyamat meghatározása;
-
a dokumentálási feladatok meghatározása.
A kockázatfelmérés A kockázatfelmérések határozzák meg, számszerűsítik a kockázatokat, és adnak elsőbbségi besorolást a szervezetre vonatkozó célok, és a kockázatelfogadási kritériumok alapján. A kockázatfelmérés, a kockázatkezelés alapvető feladata, központi eleme, amely tartalmazza a kockázatok analízisét, amelynek a munkafolyamatai: a kockázatok azonosítása; a kockázatok becslése; a kockázatok értékelése. Kockázatok azonosítása A kockázatok azonosítása a kockázatfelmérés, és így a kockázatkezelés legfontosabb tevékenysége, amely a vagyontárgyak értékeléséből, a fenyegetések azonosításából, a sebezhetőségek és hatások értékeléséből, és a meglévő ellenintézkedések meghatározásából áll. A vagyontárgyak értékelése Biztonsági szemszögből nézve a közfeladatot ellátó szervezetek tekintetében a vagyontárgyak értékelésénél elsődleges szempont az információs vagyontárgyak minősítési szintje, illetve ha a szervezet nem kezel minősített adatokat, akkor az a lehetséges kár, amely az információs vagyontárgyak biztonságának sérülésekor keletkezhet. A fenyegetések és sebezhetőségek, valamint együttes hatásuk felmérése alapján, a kockázat felbecsülhető
és
foganatosíthatók.
a Ezt
vagyontárgyak követően
megfelelő
szükséges
a
védelmét
biztosító
maradványkockázat
ellenintézkedések felmérése
megállapítására, hogy a vagyontárgyak megfelelő védelemben részesülnek-e. A vagyontárgyakat az ISO/IEC 27005 alapján az alábbi csoportokba lehet sorolni: -
Elsődleges vagyontárgyak:
annak
Az üzemeltetési folyamatok Azok a folyamatok, amelyeknek a sérülése, vagy megszakadása lehetetlenné teszi a szervezet küldetését; Azon folyamatok, amelyek minősített, vagy érzékeny információkat tartalmaznak. Információ A törvények által védett információk; Stratégiai információk; Egyéb információk.
-
Másodlagos (támogató) vagyontárgyak, a másodlagos vagyontárgyak értékelésekor az elsődleges vagyontárgyakra gyakorolt hatásaik alapján kell értékelni őket. Hardware; Software; Hálózat, mely tartalmazza az összes berendezést, amely a különböző berendezéseket kapcsolja össze; Személyzet; Helyszín; Szervezeti struktúra.
Fenyegetések azonosítása A vagyontárgyak sokféle fenyegetésnek vannak kitéve. Fenyegetésnek azt a lehetőséget nevezzük, amely valamely vagyontárgyban és ennélfogva valamely szervezetben kárt tehet. Ez a kár keletkezhet az informatikai rendszer, vagy szolgáltatás által kezelt információ, vagy maga a rendszer, illetve egyéb erőforrások elleni támadásból, például annak jogosulatlan tönkretételét, nyilvánosságra hozatalát, módosítását, megrongálását, valamint rendelkezésre nem állását, vagy elvesztését okozva. A fenyegetés szükségszerűen feltárja a vagyontárgy meglevő sebezhetőségét, hogy a vagyontárgyban kárt okozhasson. A fenyegetések lehetnek természeti vagy emberi eredetűek, és az utóbbi esetben, véletlenszerűek vagy szándékosak. A fenyegetések érinthetik a szervezet meghatározott részeit, ilyen például a személyi számítógépek megbontása. Meghatározott helyen, ahol az adott rendszer vagy szervezet működik, néhány fenyegetés általános lehet a környezetből adódóan; ilyen például a villámcsapás által okozott épületkár. A fenyegetés származhat a szervezeten belülről, például valamely alkalmazott szabotázsa révén, vagy kívülről, például rossz szándékú feltörés vagy
kémkedés, szabotázs révén. A kár nagysága a fenyegetés egyes előfordulásakor nagymértékben különbözhet. A kár lehet átmeneti jellegű, vagy tartós, mint például egy vagyontárgy tönkretétele esetén. [9.][10.] A fenyegetések olyan jellemzőkkel bírnak, amelyek meghatározzák viszonyukat más biztonsági elemekhez. Ezek a jellemzők a következőket foglalhatják magukban: -
a (veszély) forrást, azaz belső vagy külső a fenyegetést;
-
a motivációt, például a pénzügyi nyereséget, a versenyelőnyt;
-
az előfordulás gyakoriságát;
-
az előfordulás valószínűségét;
-
és a hatást.
Egyes fenyegetések egynél több vagyontárgyra is hathatnak. Ilyen esetekben különböző hatást gyakorolhatnak, attól függően, hogy milyen vagyontárgyakat ért a hatás. Például, egy vírus egyetlen személyi számítógépen korlátozott és elkülönült hatást fejt ki. Ugyanez a vírus azonban egy hálózati alapú fájlszerveren messzire szétterjedő hatást okozhat. [9.][10.]
Sebezhetőségek felmérése Valamely vagyontárgy vagy a vagyontárgyak valamely csoportja gyengeségét, amit egy vagy több fenyegetés kihasználhat, sebezhetőségként ismerjük. A vagyontárgyakkal kapcsolatba hozható sebezhetőségek magukban foglalják a fizikai elrendezés gyengeségeit, a szervezeti, eljárásbeli, személyzeti, felső vezetési, igazgatási gyengeségeket, a hardver, a szoftver vagy az információ gyengeségeit. A sebezhetőségeket olyan fenyegetések használhatják ki, amelyek az informatikai rendszerben, vagy a szervezeti célokban okozhatnak kárt. A sebezhetőségeket mind egyedileg, mind összességükben az üzemeltetés valamennyi összefüggésének figyelembevételével kell értékelni. A sebezhetőség elemzése azon gyengeségek vizsgálatát jelenti, amelyeket az azonosított fenyegetések kihasználhatnak. Ennek az elemzésnek figyelembe kell vennie a környezetet és a meglévő ellenintézkedéseket. Egy meghatározott rendszer, vagy vagyontárgy adott fenyegetésre vonatkozó sebezhetősége azzal mérhető, hogy mennyire könnyű az adott rendszernek, vagy vagyontárgynak kárt okozni. A hatás azonosítása A hatás, valamely fenyegetés által kiváltott informatikai biztonsági esemény következménye, ami hatással van a vagyontárgyakra. A hatás lehet bizonyos vagyontárgyak tönkremenetele,
az informatikai rendszer megrongálódása, a bizalmasság, a sértetlenség, a rendelkezésre állás, a hozzáférés, a letagadhatatlanság, a számonkérhetőség, a hitelesség vagy a megbízhatóság veszélyeztetése. A hatás mérése lehetővé teszi, hogy egyensúlyt teremtsünk valamely esemény várt eredményei és az esemény elleni védelem költsége között. Az esemény előfordulási valószínűségét is figyelembe kell vennünk. Ez különösen akkor fontos, amikor az egyes előfordulások által okozott kár mértéke ugyan csekély, azonban sok ilyen esemény időben
halmozódó
hatása
már
káros
lehet.
A
hatásfelmérés
fontos
eleme
a
kockázatfelmérésnek és az ellenintézkedések megválasztásának. [9.][10.] A meglévő ellenintézkedések Az ellenintézkedések olyan gyakorlati módszerek, eljárások vagy mechanizmusok, amelyek védelmet
nyújthatnak
valamely
fenyegetés
ellen,
csökkenthetik
a
sebezhetőséget,
korlátozhatják valamely informatikai biztonsági esemény hatását, észlelhetik a nem kívánt eseményeket és elősegíthetik a helyreállítást. A hatékony biztonság általában megköveteli a különböző ellenintézkedések kombinálását annak érdekében, hogy a vagyontárgyakat különböző biztonsági szintekkel védhessük. Kockázatok becslése és értékelése A kockázatbecslés (risk estimation) folyamat, amelynek segítségével értékeket rendelnek a kockázat valószínűségéhez és következményeihez. A kockázatok becslésének munkafolyamata során az inputot az előző kockázatok azonosítása során kapott hatások listája képezi. A feltárt hatásokat össze kell vetnünk azok bekövetkezésének valószínűségével. A valószínűségek meghatározása során legtöbbször a tapasztalati tényezőket tudjuk figyelembe venni. A kimeneti output egy, a hatások és a valószínűségek nagyságát figyelembe vevő lista lesz, amely a kockázatok szintjét fogja megmutatni. A kockázatkezelés opciói Minden kockázatra, amelyet a kockázatfelmérés után azonosítottak, és meghaladják a szervezet által rögzített elfogadható kockázati szintet, kockázatkezelési döntést kell hozni. A feltárt kockázatkezelésnek négy lehetséges módja van, amelyek a következők: -
kockázatcsökkentés (risk reduction): Intézkedések, amelyeket egy kockázattal kapcsolatos valószínűség vagy a negatív következmények (vagy mindkettő) enyhítésére hoztak;
-
kockázatelkerülés (risk avoidance): Döntés bizonyos kockázati helyzetbe jutás megakadályozásáról, illetve intézkedés az ilyen helyzetből való kijutás érdekében;
-
kockázatáthárítás (risk transfer): Egy adott kockázatból származó kár terhének, vagy hasznának, másik féllel történő megosztása;
-
kockázatvállalás (risk retention): Egy adott kockázatból származó kár terhének, vagy hasznának, tudomásul vétele.
Kockázat elfogadás A megválasztott ellenintézkedések kivitelezését követően mindig fennmarad valamennyi maradványkockázat. Ez egyrészt azért van, mert egyetlen rendszer sem tehető teljesen biztonságossá, másrészt azért, mert egyes vagyontárgyakat szándékosan védelem nélkül hagyhatunk (például azért, mert a védendő vagyontárgy becsült értékéhez képest csekélynek véltük a kockázatot, vagy jelentősnek a javasolt védelem költségét). A
kockázatelfogadási
folyamat
első
lépése,
hogy
áttekintjük
a
megválasztott
ellenintézkedéseket, azonosítjuk és felmérjük az összes maradványkockázatot. A következő lépés, hogy a maradványkockázatokat a szervezet számára „elfogadható”-nak és „elfogadhatatlan”-nak tekintett kockázati kategóriákba soroljuk. Nyilvánvaló, hogy az elfogadhatatlan kockázatok nem tolerálhatók, tehát ajánlatos megfontolni az olyan további ellenintézkedéseket, amelyek az ilyen kockázatok hatását vagy következményeit korlátozzák. Minden egyes ilyen esetben üzleti döntést kell hoznunk: vagy a kockázatokat ítéljük „elfogadhatónak”, vagy pedig jóvá kell hagyatnunk a kockázatokat elfogadható szintre csökkentő további ellenintézkedések kiadásait. [9.][10.] Következtetések A mai korban, ha egy szervezet sikeres akar lenni, akkor elkerülhetetlenül használnia kell a különböző, modern információ-feldolgozó eszközöket. Azonban ezen eszközök használata nem csak előnyt, hanem egyfajta fenyegetettséget, és így kockázatot is jelenthet a szervezet számára. Ebből kifolyólag nagyon fontos hogy tisztában legyünk az információtechnológiai kockázatokkal, azok hatásaival a közfeladatot ellátó szervezetre. A fenti módszertan kiindulópontja lehet egy információs rendszer kockázatelemzésének végrehajtásához, azonban a konkrét végrehajtás során sok, még megoldatlan kérdésbe botlunk: Hogyan értékeljük az információkat?
Mi a viszonya az információnak és a nagy értékű berendezéseknek, vagyis hogyan lehet összemérni a fizikai és az információs vagyontárgyakat? Mi a matematikai alapja az információbiztonsági kockázatelemezésnek? A fenti kérdések megválaszolása a jövő kutatásainak feladata.
4. Tézis Az információbiztonság leggyengébb láncszeme az ember, ennek ellenére a személyi biztonság megvalósítása nem kidolgozott Az információbiztonság leggyengébb láncszeme az ember. Ezt az állítást ma már senki sem tagadja, szinte közhelyként használjuk, viszont ha ez így van, akkor ez az a szakterület – gondolnánk – amely legjobban körülhatárolt és kidolgozott. Sajnos ez nem így van. Jelen közleményemben a közfeladatot ellátó szervezetek információs rendszereinek személyi biztonságának állapotát vizsgálom, a vizsgálat végrehajtásához – mint a legjobb nemzetközi gyakorlat eszközét – az ISO/IEC 27002 szabvány személyi biztonságot meghatározó részeit veszem alapul. A tézisemben nem vizsgálom az információbiztonsági hatósági feladatokat. [11.][12.] A személyi biztonság kialakításakor érintett állomány A fenti bekezdésekből láthatjuk, hogy információbiztonsági szempontból az információs rendszerrel kapcsolatba kerülő személyeket alapvetően két csoportra oszthatjuk: a felhasználókra – vagy, ahogy a 335/2005. (XII.29.) Korm. rendelet fogalmaz és a továbbiakban én is ezt a kifejezést alkalmazom: ügyintézők (akiknek a feladata a döntéshozók döntéseinek előkészítése, ezen munkájuk során az információs rendszert csak használják), a második csoport az, akik ehhez a munkához az információs rendszert biztonságos módon üzemeltetik. A felhasználók a szervezet rendeltetése, feladata alapján sokfélék lehetnek. Azt azonban hogy milyen biztonsági szakembereket kell alkalmazni egy közfeladatot ellátó szervezetnél jogszabályok írják elő, amelyet a következő táblázatban foglaltam össze: Munkakör
A munkakört előíró jogszabály
Ügykezelő
335/2005. (XII.29.) Korm. rendelet
Elektronikus információs rendszer biztonságáért felelős személy
Megjegyzés
Azonos 2013. évi L. törvény
vezetővel.
lehet
a
biztonsági
Biztonsági vezető
2009. évi CLV. törvény
Titkos ügykezelő
90/2010. (III.26.) Korm. rendelet
Csak akkor, ha szervezet minősített adatot is kezel. Csak akkor, ha szervezet minősített adatot is kezel. Csak akkor, ha szervezet
Rendszerbiztonsági
161/2010. (V.6.) Korm. rendelet
felügyelő
minősített adatot elektronikus formában is kezel. Csak akkor, ha szervezet
Rendszeradminisztrátor
161/2010. (V.6.) Korm. rendelet
minősített adatot elektronikus formában is kezel. Csak akkor, ha szervezet
Rejtjelfelügyelő
161/2010. (V.6.) Korm. rendelet
minősített adatot is kezel, és rejtjelző eszközt is alkalmaz. Csak akkor, ha szervezet
Rejtjelző
161/2010. (V.6.) Korm. rendelet
minősített adatot is kezel, és rejtjelző eszközt is alkalmaz.
4. táblázat Biztonsági szakemberek egy közfeladatot ellátó szervezetnél
Az információbiztonság megvalósításának időszakai A személyi biztonság feladatait, mint a biztonság többi szegmensének feladatait is permanensen az információs rendszer életciklusának teljes idején kell végrehajtani, azonban ezeket a feladatokat három jól elkülöníthető időszakra bonthatjuk: az alkalmazás előtti, az alkalmazás közbeni és az alkalmazás megszűnése utáni feladatok. [11.][12.] Az alkalmazás előtti személyi biztonsági feladatok A személyi biztonsági feladatokat a 27002-es szabvány foglalja össze a legjobban, amely alapján az alkalmazás előtti feladatok célja: „annak biztosítása, hogy az alkalmazottak, a szerződő felek és a használó harmadik fél megértsék felelősségüket és legyenek alkalmasak azokra a feladatokra, amelyekre szánták őket és csökkentsék a lopás, csalás vagy berendezések helytelen használatának kockázatát.” Feladatok: „Biztonsági felelősségekkel az alkalmazás előtt kell foglalkozni megfelelő munkaköri leírásokban és az alkalmazási feltételekkel megadva. Minden alkalmazásra jelöltet, a szerződő feleket és a használó harmadik felet megfelelően világítsanak át, különösen érzékeny munkakörökben.”
Tekintsük át jelentését: „.. megértsék felelősségüket … csökkentsék a lopás, csalás vagy berendezések helytelen használatának kockázatát” biztonság tudatos képzést kell számukra tartani. „.. alkalmasak azokra a feladatokra, amelyekre szánták őket” számomra ez két dolgot jelent: egyrészt legyenek képesek a munkájukhoz tartozó feladatok ellátására, amely nem elsősorban információbiztonsági kérdés, hanem az ügyintéző szakmai felkészültségét is jelenti. Miért fontos ez, és miért itt tárgyaljuk? Mert szakmai tapasztalatom az, hogy a legtöbb információbiztonsági probléma a saját feladathoz tartozó rendszerek hiányos ismeretéből adódik. Természetesen ezekkel a feladatokkal az informatikus nem tud mit kezdeni. Ezeknek az ismereteknek az elsajátítása az ügykezelő feladata, az elsajátítás ellenőrzése pedig a szakmai vezetőjéé. Másrészről pedig – ami már kifejezetten információbiztonsági feladat – legyen meg a szükséges ismerete az általa használt információs rendszerről, annak működéséről. [11.][12.] „Minden alkalmazásra jelöltet … megfelelően világítsanak át, különösen érzékeny munkakörökben.” Biztosítani kell, hogy csak megbízható emberek férhessenek hozzá a rendszerelemekhez és az információkhoz. Összefoglalva az alkalmazás előtti feladatokat: átvilágítás, felkészítés információs rendszer alkalmazására, biztonsági oktatás. Nézzük meg, hogyan intézkedik ezekre a feladatokra a jogalkotó, alapul véve az előző táblázatot és kiegészítve a felhasználókkal: Intézkedés a Munkakör
Ügykezelő
átvilágításra
oktatására
információbiztonsági tudatosság oktatására
A szerv vezetője felelős
Elektronikus információs rendszer biztonságáért felelős
Információs rendszer
büntetlen előélet
személy
A törvény a Nemzeti Közszolgálati Egyetem hatáskörébe utalja minősített adatok
megfelelő szintű Biztonsági vezető
személyi biztonsági tanúsítvány
felsőfokú
iskolai
végzettség
kezelésének, vagy védelmének területén szerzett legalább egy év szakmai gyakorlat
Titkos ügykezelő
megfelelő szintű
legalább
középfokú
minősített adat védelmére
személyi biztonsági
iskolai végzettség
tanúsítvány
vonatkozó rendelkezések, ismeretéből, gyakorlati alkalmazásából sikeres vizsgát tett
megfelelő szintű Rendszerbiztonsági felügyelő
személyi biztonsági tanúsítvány megfelelő szintű
Rendszeradminisztrátor
személyi biztonsági tanúsítvány
bemeneti
bemeneti követelmény
követelmény nincs
nincs
bemeneti
bemeneti követelmény
követelmény nincs
nincs
nincs
nincs
megfelelő szintű személyi biztonsági Rejtjelfelügyelő
tanúsítvány rejtjelhozzáférési engedéllyel rendelkezik megfelelő szintű személyi biztonsági
Rejtjelző
tanúsítvány rejtjelhozzáférési engedéllyel
az általa üzemeltetendő rejtjelző eszköz biztonságos üzemeltetéséhez szükséges elméleti és gyakorlati ismereteket nyújtó tanfolyamot elvégezte
rendelkezik Ügyintéző felhasználó
nincs
nincs
nincs
nincs
nincs
megfelelő szintű Titkos ügyintéző
személyi biztonsági tanúsítvány
5. táblázat A biztonsági szakemberek képzési követelményei
A táblázatból látható, hogy a követelményrendszer nem egységes. A jogszabályok feltételezik, hogy az iskolai végzettség megfelelő informatikai ismeretekkel párosul, mint például a biztonsági vezető és az elektronikus információs rendszer biztonságáért felelős személy esetében. A biztonsági vezető esetében felsőfokú végzettség, míg a titkos ügykezelő esetében a középfokú az előírt végzettség. Tudjuk tapasztalatból, hogy az oktatási rendszerünkben a különböző iskolák különböző mértékben és szinten oktatják az informatikai
ismereteket, ezért célszerű lenne ezeket a követelményeket egységesíteni, konkrét, szintenkénti informatikai ismereteket előírni, oktatni. [11.][12.] Felmerül továbbá az a kérdés is, hogy az a kár, amit egy olyan informatikai szakember tud okozni aki semmilyen minősített adattal nem rendelkezik, összemérhető-e egy minősített adattal való visszaéléssel? Ennek a kérdésnek az eldöntésekor nézzük meg a Jogalkotó véleményét, amely BTK megfelelő paragrafusaiból olvasható ki: Addig, amíg minősített adattal visszaélés maximális büntethetősége nyolc év, addig az információs rendszer felhasználásával elkövetett csalás tíz évig terjedő szabadságvesztéssel büntethető, vagyis a jogalkotó szerint is összemérhető a két cselekvés. Kétséges tehát, hogy addig amíg „bizalmas” minősítési szintű adatok ügyintéző által történő feldolgozásához személyi biztonsági tanúsítvány – és ehhez nemzetbiztonsági ellenőrzés – szükséges, addig egy nagy bonyolultságú elektronikus adatfeldolgozó rendszer biztonságáért felelős személynek elég a büntetlen előélet. Az alkalmazás időszakában elvárt személyi biztonsági feladatok Szintén a 27002 szabvány alapján nézzük meg, hogy mi a célja az alkalmazás időszakában a személyi biztonsági feladatoknak: „biztosítsák, hogy az alkalmazottak, szerződő felek és a használó harmadik fél tudatában legyenek az információbiztonsági fenyegetéseknek és gondoknak, felelősségüknek, kötelezettségüknek és legyenek felszerelve, hogy támogassák a szervezeti biztonsági politikát rendes munkájuk alatt, és csökkentsék az emberi tévedés kockázatát. Megfelelő szintű tudatosságot, a biztonsági eljárásokban való képzést és oktatást, és az információ feldolgozó eszközök helyes használatát biztosítsák minden alkalmazottnak, szerződő félnek és használó harmadik félnek, a lehetséges biztonsági kockázatok legkisebbre szorítása céljából. Létre kell hozni egy hivatalos fegyelmi folyamatot a biztonság megsértésének kezelésére.” A szabvány alapján két dolgot tehetünk: megszervezzük a továbbképzéseket, és fegyelmezünk. Azonban a bemeneti feltételek nemcsak a tudás szintjén kopnak el, de maga az ember is változhat. Aki a munkakör betöltésekor megbízhatónak számított, lehet, hogy mára már nem az. Ezt a kritériumot a minősített adatokat kezelő rendszerek estében a jogalkotó úgy oldotta meg, hogy a személyi biztonsági tanúsítványt ötévente meg kell hosszabbítani. Ennek az alapja az új nemzetbiztonsági ellenőrzés, de a büntetlen előélet időszakos vizsgálatára azonban nincs intézkedés.
A továbbképzések rendszere sem egységes. Az elektronikus információs rendszer biztonságáért felelős személy továbbképzésének tartalma, módszere jogszabályban került rögzítésre. A biztonsági vezetők éves továbbképzése a Nemzeti Biztonsági Felügyelet feladata, de gyakorlatilag a többi érintett információbiztonsági tudatosságnak kialakítása az ellenőrzésére jogosult információbiztonsági szakember feladata. [11.][12.] Ez a rendszer két problémát vet fel: nem egyforma felkészültségű szakemberek különböző szintű
felkészítést
fognak
tartani,
ebből
következően
nem
lesz
egységes
az
információbiztonság. Másrészt az információbiztonsági tudatossági felkészítésnek az egyik legfontosabb pillére a bekövetkezett eseményekből levonható következtetések. Ha ezeket a következtetéseket nem országos szinten végezzük el, akkor nagy az esély az incidensek ismétlődésére, ami szintén csökkenti az információbiztonság hatásosságát. Véleményem szerint hagyjuk a szervezet információbiztonsági szakembereit a saját szervezetüknél önállóan tevékenykedni, de ki kell adni éves szinten azokat a fő kérdéseket, amelyek az elmúlt időszakban különböző problémákat vetettek fel. Saját tapasztalatom az, hogy a legjobban megtartott felkészítő foglakozás is csak részben éri el a célját, ha az nem zárul számonkéréssel. A tudás ellenőrzését a mai technikai fejlettségnél szintén meg lehet oldani központi rendszerben, ezzel is hangsúlyozva a téma fontosságát. Hivatalos fegyelmi eljárás Ha valami a közfeladatot ellátó szervek információbiztonságával kapcsolatban ki van dolgozva, az a hivatalos fegyelmi folyamat. Ugyanis, ha valaki valamilyen kárt okoz az információs rendszerben – ami magába foglalja az információk biztonságának megsértését is – az nemcsak a fegyelmi felelősségre-vonással néz szembe, hanem a jog szigorával is. A következő táblázatban összefoglalom, hogy a büntető törvénykönyv és a szabálysértési törvény milyen maximális büntetésekkel fenyegeti az információs rendszert nem megfelelő módon használó személyeket: Büntetni rendelt cselekmény
Maximális büntetés
Minősített adattal visszaélés
8 év
Információs rendszer felhasználásával elkövetett csalás A
nemzeti
adatvagyon
körébe
tartozó
állami
10 év nyilvántartás
elleni
5 év
bűncselekmény Információs rendszer, vagy adat megsértése
8 év
Információs rendszer védelmét biztosító technikai intézkedés kijátszása
2 év
Minősített adat biztonságának megsértése
szabálysértési elzárás: 60 nap
6. táblázat Büntetési tételek maximális nagysága
Alkalmazás megszűnésének feladatai Alkalmazás megszűnésének célja szintén a szabvány alapján: „annak biztosítása, hogy az alkalmazottak, a szerződő felek, és a használó harmadik fél rendezett módon hagyják el a szervezetet vagy változtassanak alkalmazást. A felelősségeket úgy alakítsák ki, hogy biztosítsák az alkalmazottak, a szerződő felek vagy a használó harmadik fél távozását a szervezetből úgy, hogy az összes berendezés visszaküldése és minden hozzáférési jog visszavonása a szervezetben befejeződjék.” Véleményem szerint ez a legkevésbé szabályozott terület. Konkrét előírásokat csak a 90/2010. (III.26.) Korm. rendelet tartalmaz a vezetővel, a biztonsági vezetővel, a titkos ügykezelővel és a felhasználóval kapcsolatban. Az információs rendszer többi szereplőjének elszámoltatásával kapcsolatban a feladatok meghatározása a vezető, illetve a biztonsági menedzsment feladata marad. Következtetések A közfeladatot ellátó szervezetek információbiztonságának minden területén, így a személyi biztonság megvalósításakor is szükséges az egységes szemlélet kialakítása attól függetlenül, hogy a szervezetek minősített, vagy nem minősített adatokat papír, vagy elektronikus adathordozókon kezelnek. Az egységes szemlélet kialakításának alapja a kárelvűség lehet, azaz annak vizsgálata, hogy az adott adatkezelő rendszer biztonságának megsértése milyen kárt okozhat az államnak. A személyi biztonság az egyik legfontosabb feladata az információbiztonsági tudatosság kialakítása, amelynek az alappillére a továbbképzési rendszer. A továbbképzési rendszer során azokat a kérdéseket, amelyek a képzési ciklusban országos szinten problémákat jelentettek, bele kell építeni a tananyagba. Ez csak úgy lehetséges, ha az információbiztonsági hatóságok közösen kidolgoznák és a továbbképzést végrehajtók számára hozzáférhetővé tennék tapasztalataikat.
III. A kutatás és a bemutatott eredmények hatása, visszhangja Kutatási eredményeim alapvetően a Nemzeti Közszolgálati Egyetem Hadtudományi és Honvédtisztképző Kar, és jogelőd intézményei Híradó Tanszékének oktatási tevékenységében hasznosulnak: Az egyetem fenntartójának igényei szerint hét különböző információbiztonsági tanfolyam kerül levezetésre félévente, a honvédség különböző szintű szervezeteinek újonnan beosztásba kerülő információbiztonsági szakemberei számára; 2010-ben, főképp a kutatási eredményeimre támaszkodva létrehoztuk, és azóta is folytatjuk az információbiztonsági modul (specializáció) BsC-képzést a katonai üzemeltetés szakon; A mesterképzésben a Katonai üzemeltetés-szakon az információbiztonsági szakirányon és a rejtjel felügyeleti szakirányon;
A PhD képzésben témát hirdettem a Nemzeti Közszolgálati Egyetem Hadtudományi doktori iskolájában és az Óbudai Egyetem, Biztonság Tudományi Doktori Iskolájában. Kutatásaim továbbfejlesztésében - azokra támaszkodva -, két általam vezetett doktorandusz hallgató Nyikes Zoltán és Szabó Anna Barbara is részt vesz.
IV. Irodalmi hivatkozások listája A téziseim kidolgozásához az alábbi irodalmat használtam fel:
1. Tézis: 1. Fekete Károly mk. alezredes: A Magyar Honvédség állandó telepítésű kommunikációs rendszere továbbfejlesztésének technikai lehetőségei. Doktori (PhD) értekezés Budapest, 2003. 2. Ternyák István ezredes: NATO tagságunk hatása és következményei a magyar katonai információs rendszerre Doktori (PhD) értekezés Budapest 2003 3. Rajnai Zoltán mk. őrnagy: A tábori alaphírhálózat vizsgálata egyes NATO tagországok kommunikációs rendszereinek tükrében, Doktori (PhD) értekezés Budapest, 2001, 4. Gorza Jenő: A Magyar Honvédség informatikai rendszerének fejlesztése, az adatmodellezés szerepe a fejlesztési folyamatban Doktori (PhD) értekezés Budapest 2003
5. Pándi Erik rendőr alezredes: A magyar kormányzati távközlés egységesítésének hatása a rendvédelmi-, katonai-, és közigazgatási kommunikációs rendszerek megszervezésére és irányítására Doktori (PhD) értekezés Budapest 2005 6. Szöllősi Sándor okl. mk. őrnagy: Konvergáló hálózatok fejlődési trendjei, a technikai alkalmazhatóság kérdései a Magyar Honvédség infokommunikációs rendszerében Doktori (PhD) értekezés Budapest 2007 7. C-M(2002)49 Security Within The North Atlantic Treaty Organisation (NATO) Enclosure ‘F” Internet letöltés: Nemzeti Biztonsági Felügyelet honlapja http://www.nbf.hu/anyagok/jogszabaly/C-M(2002)49.pdf
2. Tézis: 8. 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról 9. 301/2013. (VII. 29.) Korm. rendelet a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról 10. 233/2013. (VI. 30.) Korm. rendelet az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről 11. 484/2013. (XII. 17.) Korm. rendelet a Nemzeti Kiberbiztonsági Koordinációs Tanács, valamint a Kiberbiztonsági Fórum és a kiberbiztonsági ágazati munkacsoportok létrehozásával, működtetésével kapcsolatos szabályokról, feladat- és hatáskörükről 12. 73/2013. (XII. 4.) NFM rendelet az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjéről 13. 77/2013. (XII. 19.) NFM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről 14. 26/2013. (X. 21.) KIM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról
15. 2009. évi CLV. törvény a minősített adat védelméről 16. 90/2010. (III. 26.) Korm. rendelet a Nemzeti Biztonsági Felügyelet működésének, valamint a minősített adat kezelésének rendjéről 17. 92/2010. (III. 31.) Korm. rendelet az iparbiztonsági ellenőrzés és a telephely biztonsági tanúsítvány kiadásának részletes szabályairól 18. 161/2010. (V. 6.) Korm. rendelet a minősített adat elektronikus biztonságának, valamint a rejtjeltevékenység engedélyezésének és hatósági felügyeletének részletes szabályairól 19. 1995. évi LXVI. törvény a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről 20. 335/2005. (XII. 29.) Korm. rendelet a közfeladatot ellátó szervek iratkezelésének általános követelményeiről 21. 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról 22. 2010. évi CLVII. törvény a nemzeti adatvagyon körébe tartozó állami nyilvántartások fokozottabb védelméről 23. 38/2011. (III. 22.) Korm. rendelet a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozásának biztosításáról
3. Tézis: 24. MAGYAR SZABVÁNY MSZ ISO/IEC 17799 Informatika. Biztonságtechnika. Az információbiztonság irányítási gyakorlatának kézikönyve 25. NIST Special Publication 800-30 Revision 1 Guide for Conducting Risk Assessments Internet letöltés 2013. november 4.: http://csrc.nist.gov/publications/nistpubs/800-30rev1/sp800_30_r1.pdf 26. ISO/IEC 27005 Information technology — Security techniques — Information security risk management 27. ISO/IEC 27005 Information technology — Security techniques — Information security risk management 28. MSZ ISO/IEC 27001 Informatika. Biztonságtechnika. Az információbiztonság irányítási rendszerei. Követelmények 29. ISO/IEC 27002 Information technology — Security techniques — Code of practice for information security management
4. Tézis: 30. 335/2005. (XII.29.) Korm. rendelet a közfeladatot ellátó szervek iratkezelésének általános követelményeiről 31. 2013.
évi
L.
törvény
az
állami
és önkormányzati
szervek
elektronikus
információbiztonságáról 32. 2009. évi CLV. törvény a minősített adat védelméről 33. 90/2010. (III.26.) Korm. rendelet a Nemzeti Biztonsági Felügyelet működésének, valamint a minősített adat kezelésének rendjéről 34. 161/2010. (V.6.) Korm. rendelet a minősített adat elektronikus biztonságának, valamint a rejtjeltevékenység engedélyezésének és hatósági felügyeletének részletes szabályairól 35. 27001 szabvány 36. 2012. évi C. törvény a Büntető Törvénykönyvről 37. 2012. évi II. törvény a szabálysértésekről, a szabálysértési eljárásról és a szabálysértési nyilvántartási rendszerről 38. 26/2013. (X.21.) KIM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs
rendszer
biztonságáért
felelős
személyek
képzésének
továbbképzésének tartalmáról
V. A tézispontokhoz kapcsolódó tudományos közlemények [1.] Kerti András: A vezetési és információs rendszer technikai alrendszerének vizsgálata különös tekintettel a minőségbiztosításra és az átvitelbiztonságra 120 p. Témavezető: Rajnai Zoltán 2010. [2.] Kerti András- Pándi Erik-Töreki Ákos: A vezetési és információs rendszerek elméleti megközelítése In: Fekete Károly (szerk.) Kommunikáció 2010. 39-49 p. Konferencia helye, ideje: Budapest, Magyarország, 2010.10.06 Budapest: Zrínyi Miklós Nemzetvédelmi Egyetem, 2010. 39-49.p. (ISBN:978-963-7060-21-2) [3.] Kerti András: A minőségbiztosítás és átvitelbiztonság kérdései a Vezetési és Információs Rendszer technikai alrendszerében In: Fekete Károly (szerk.) Kommunikáció 2010. 397 p. Konferencia helye, ideje: Budapest, Magyarország,
és
2010.10.06 Budapest: Zrínyi Miklós Nemzetvédelmi Egyetem, 2010. 57-60. p. (ISBN:978-963-7060-21-2) [4.] Kerti András- Pándi Erik-Töreki Ákos: A vezetési és információs rendszer technikai alrendszerének irányítása HÍRVILLÁM = SIGNAL BADGE 1:(1) pp. 135-142. (2010) [5.] Kerti András-Pándi Balázs-dr. Rajnai Zoltán: Structure of the command and information system HADMÉRNÖK 4:(3) pp. 303-309. (2009) [6.] Kerti András-Pándi Erik-Töreki Ákos: A vezetési és információs rendszer biztonsága HÍRVILLÁM = SIGNAL BADGE 1:(1) pp. 255-264. (2010) [7.] Kerti András-Pándi Erik: [dr. Pándi Erik (szerk.)] Az Információbiztonság menedzsmentje I. Az információbiztonság menedzsmentjének jogi szabályozása hazánkban Budapest: Zrínyi Miklós Nemzetvédelmi Egyetem, 2010. 179 p. [8.] Kerti András-dr. Pándi Erik: [dr. Pándi Erik (szerk.)] Az Információbiztonság Technikai megvalósítása I. Az információbiztonsági követelmények hazánkban: Egyetemi jegyzet Budapest: Zrínyi Miklós Nemzetvédelmi Egyetem, 2010. 102 p. [9.] Kerti András: Az információbiztonsági kockázatkezelés oktatásának buktatói In: Fekete Károly (szerk.) Kommunikáció 2013. 213 p. Konferencia helye, ideje: Budapest, Magyarország, 2013.11.13 Budapest: Nemzeti Közszolgálati Egyetem, 2013. pp. 53-60. (ISBN:978-615-5305-16-0) [10.] Kerti András- Szabó Anna Barbara: Az információbiztonsági kockázatelemzés, mint a vállalati kockázatkezelés része In: dr. Fregan Beatrix (szerk.) Kockázatelemzés, kockázatértékelés: tanulmányok az Óbudai Egyetem Biztonságtudományi Doktori Iskola kutatásaiból. 207 p. Budapest: Óbudai Egyetem, 2013. pp. 120-177.
ISBN:978-
615-5018-98-5) [11.] Kerti András: Osztályba soroló vizsgáztatás KARD ÉS TOLL: VÁLOGATÁS A HADTUDOMÁNY DOKTORANDUSZAINAK TANULMÁNYAIBÓL 8:(2) pp. 108-113. (2007) [12.] Rajnai Zoltán-Kerti András: Az információvédelmi szakállomány továbbképzési rendszere In: Fekete Károly (szerk.) Kommunikáció 2007. 511 p. Konferencia helye, ideje: Budapest, Magyarország, 2007.10.16 Budapest: Zrínyi Miklós Nemzetvédelmi Egyetem, 2007. pp. 84-89. (ISBN:978-963-7060-31-1)
VI. További tudományos közlemények [13.] Kerti András-Nyikes Zoltán: The Information Security Standards Dealing with Hungarian and International Organizations In: MECHEDU-2015 konferenciakötet . Konferencia helye, ideje: Szabadka , Szerbia , 2015.05.14 -2015.05.15. Szabadka: VTS, 2015. pp. 1-9. [14.] Kerti András-Nyikes Zoltán: Overview of Hungary Information Security, The Issues of the National Electronic In: Kerti András, Nyikes Zoltán SACI-2015 konferenciakötet. Konferencia helye, ideje: Temesvár , Románia , 2015.05.21 2015.05.23. Temesvár: Technical University Timisoara, 2015. pp. 1-9. [15.] András Kerti-Harasimczuk, Krzysztof :Polish classified information law HÍRVILLÁM = SIGNAL BADGE 2014/2:(1) pp. 75-81. (2014) [16.] Kerti András: Cyberterrorisme In: 5. Báthory-Brassai Konferencia: Nemzetközi multidiszciplináris tudományos konferencia. Konferencia helye, ideje: Budapest , Magyarország , 2014.05.21 -2014.05.22. Budapest: Óbudai Egyetem, 2014. pp. 284286. (ISBN:978-615-5460-38-8) [17.] Kerti András: Command and Information System at the HDF In: Báthory Brassai konferencia 2014. Konferencia helye, ideje: Budapest , Magyarország , 2014.05.21 2014.05.22. pp. 279-283. [18.] Kerti András: A telepíthető gyorsdiagnosztikai laboratóriumot általános infokommunikációs képessége, a technikai lehetőségek és problémák analizálása Budapest: Nemzeti Közszolgálati Egyetem, 2013. 54 p. [19.] Kerti András: A telepíthető gyorsdiagnosztikai laboratóriumot általános információbiztonsági, lehetőségei a problémák analizálása Budapest: Nemzeti Közszolgálati Egyetem, 2013. 38 p. [20.] Kerti András: A telepíthető gyorsdiagnosztikai laboratórium általános információbiztonsági kockázat elemzésének lehetséges végrehajtása Budapest: Nemzeti Közszolgálati Egyetem, 2013. 33 p. [21.] dr. Rajnai Zoltán-Kerti András : A kormányzati IT rendszerek technológia-upgrade lehetősége Budapest: Zrínyi Miklós Nemzetvédelmi Egyetem, 2011. 132 p. [22.] dr. Rajnai Zoltán-Kerti András-Töreki Ákos: New areas of IT and information systems of the HDF In: Fekete Károly (szerk.) Kommunikáció 2010. 397 p. Konferencia helye, ideje: Budapest , Magyarország , 2010.10.06 Budapest: Zrínyi Miklós Nemzetvédelmi Egyetem, 2010. pp. 51-55.(ISBN:978-963-7060-21-2)
[23.] dr. Fekete Károly-dr. Rajnai Zoltán-Kerti András-dr. Fregan Beatrix-dr. Pándi Erik: [dr. Rajnai Zoltán (szerk.)] A Magyar Honvédség állandó telepítésű kommunikációs rendszerében üzemelő mikrohullámú hálózat a technológiai fejlesztések és egyéb távközlő hálózatok tükrében: innovációs tanulmány Budapest: Zrínyi Miklós Nemzetvédelmi Egyetem, 2009. 141 p. [24.] Fregan Beatrix-Kerti András-Pándi Erik-Fekete Károly: A Magyar Honvédség stacioner hálózatának képességei, továbbfejlesztésének lehetőségei Budapest: Zrínyi Miklós Nemzetvédelmi Egyetem, 2009. 141 p. [25.] Papp Zoltán- Pándi Erik- Kerti András: A számítógép-hálózatok elleni támadások módszertana In: Fekete Károly (szerk.) Kommunikáció 2009. 346 p. Konferencia helye, ideje: Budapest, Magyarország, 2009.10.14 Budapest: Zrínyi Miklós Nemzetvédelmi Egyetem, 2009. pp. 143-154. (ISBN:978 963 7060 70 0) [26.] Rajnai Zoltán-Fekete Károly-Pándi Erik-Kerti András: Infokommunikációs megoldások alkalmazhatósága egy korszerű, mobil biológiai labor esetében: KV 572 (2009) [27.] Fekete Károly- Pándi Erik- Rajnai Zoltán- Kerti András: Az MBC System Housing terv keretében kialakítandó rendszer híradó és informatikai alrendszere: tanulmány Budapest: ZMNE BJKMK Híradó Tanszék, 2008. 107 p. [28.] Kerti András: Katonai infokommunikációs rendszerszervezés HADMÉRNÖK III:(2) pp. 96-104. (2008) [29.] Kerti András: A polgári élet és a katonai információbiztonság viszonya In: Fekete Károly (szerk.) Kommunikáció 2008. 326 p. Konferencia helye, ideje: Budapest, Magyarország, 2008.10.07 Budapest: Zrínyi Miklós Nemzetvédelmi Egyetem, 2008. pp. 102-106. (ISBN:978-963-7060-57-1) [30.] dr. Pándi Erik-Kerti András: Az információtechnológiai ágazat sajátosságai In: Fekete Károly (szerk.) Kommunikáció 2008. 326 p. Konferencia helye, ideje: Budapest, Magyarország, 2008.10.07 Budapest: Zrínyi Miklós Nemzetvédelmi Egyetem, 2008. pp. 66-76. [31.] dr. Rajnai Zoltán-Kerti András: Az ISDN és az IP technológia megvalósíthatósága a Magyar Honvédség zártcélú kommunikációs rendszereiben (2007) [32.] Kerti András: Átviteli út biztonság HADMÉRNÖK II:(4) pp. 60-65. (2007) [33.] Zoltan Rajnai-Andras Kerti: Internetterrorisme In: Fekete Károly (szerk.) Kommunikáció 2007. 511 p. Konferencia helye, ideje: Budapest, Magyarország,
2007.10.16 Budapest: Zrínyi Miklós Nemzetvédelmi Egyetem, 2007. pp. 116119.(ISBN:978-963-7060-31-1) [34.] dr. Rajnai Zoltán-Kerti András: Alternatív vezetékpótló lehetőségek (2006) [35.] Kerti András: A vezetés és a hírrendszer kapcsolata: Kommunikáció 2006 ISBN 978963-7060-18-2 ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEM KIADVÁNYA 7:(1) pp. 293-301. (2006) [36.] Rajnai Zoltán-Kerti András: Katonai alakulatok információvédő szerveinek vész(veszélyhelyzeti) tervei KARD ÉS TOLL: VÁLOGATÁS A HADTUDOMÁNY DOKTORANDUSZAINAK TANULMÁNYAIBÓL 2006:(2) pp. 181-189. (2006) [37.] Rajnai Zoltán-Kerti András: Információbiztonság és rejtjelfelügyelet BIZTONSÁGPOLITIKA. HU (12) pp. 12-21. (2006) [38.] Kerti András-dr. Pándi Erik: Az infokommunikációs rendszerek biztonságának szabályozása a Magyar Köztársaságban különös tekintettel a Magyar Honvédségre: tanulmány Budapest: Zrínyi Miklós Nemzetvédelmi Egyetem, 2010. 151 p. Budapest 2015. május
Kerti András
