IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Magyar információs társadalom stratégia [MITS]
Informatikai biztonsági részstratégia1 [IBRS]
I. kötet
Készült: az Informatikai és Hírközlési Minisztérium megbízása alapján
2003. 1
A dokumentum – els!sorban a feladatok ütemezését és forrásigényét tekintve – munkaanyagnak tekintend!
1. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
VEZET,I ÖSSZEFOGLALÓ Magyarország az informatika rohamos fejl!désének szakaszában lép be az Európai Unióba. Az ország sikere Európában és a globalizálódó világban jelent!s mértékben múlhat az információs társadalomba való átmenet hatékonyságán: az egyének és szervezetek birtokában lév! információ ugyanis létfontosságú er!forrás. A rohamos technikai fejl!dés következtében megnövekedett a kormányzati szektor és a gazdálkodó szervezetek m-köd!képességének az informatikai rendszerekt!l való függ5sége, és új típusú kockázatok jelentek meg, melyek hatékony kezelése nélkül az információs társadalom nem fejl!dhet. Csak széles kör- együttm-ködéssel biztosítható, hogy az állampolgárok és a vállalkozások bizalommal lehessenek az egyre inkább mindennapi életük és tevékenységük részévé váló információs társadalom iránt, melynek alapja a demokratikus jogok érvényesülése. Ez két (id!nként egymásnak ellentmondó) alapvet! emberi jog kiegyensúlyozott érvényesülését kívánja meg: az információhoz való jogot és a saját információk védelmének jogát. Köztudott, hogy az informatikai biztonság nem csak (s!t els!sorban nem) technológiai kérdés, bár megteremtésében és fenntartásában jelent!s szerepe van az információtechnológiai megoldásoknak is. Az informatikai biztonság területén - az utóbbi id!ben megtett, illetve kezdeményezett lépések ellenére - jelent!s lemaradásban vagyunk. Ahhoz, hogy ez el!nyösen megváltozzon, meg kell teremteni az informatikai biztonságnak alapot nyújtó jogi környezetet, a meglév! szabályozások és a technikai fejl!dés harmonizációját, a megfelel! szervezeti kereteket és a szükséges technikai feltételeket egyaránt. A fejlett országok gyakorlatával ellentétben, az informatikai biztonság helyzetére hazánkban jellemz!, hogy • súlya, kezelése nincs arányban a fontosságával, • nincs egységesen alkalmazott módszertan és • nem kapcsolódik a f! nemzetközi áramlatokhoz. Az informatikai biztonság megoldatlan kérdései nem csak átmenetileg akadályozzák, hanem hosszú távon is veszélyeztetik az állam- és közigazgatás m-köd!képességét és az informatika dinamikus továbbfejl!dését. Ezzel együtt, a jogi és szervezeti intézményrendszer fejlesztésével kapcsolatos hiányosságok nem mentesítik a felel!sség alól az informatikai rendszerekben feldolgozott adatok védelméért felel!s vezet5ket és szakembereket, mivel az általános védelmi el írások a hatályos jogrendszerben teljes kör-en szerepelnek. Ugyanakkor el kell ismerni, hogy a végrehajtást segít! részletszabályozásokon, a szervezeti intézményrendszeren lényegesen javítani kell.
2. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
A fentiek alapján aktív és el5retekint5 intézkedéseket kell tenni, melyek figyelembe veszik • a nemzeti érdekeket, • informatikai helyzetünk, sajátosságait, valamint
szabályozási
és
intézményi
rendszereink
• a nemzetközi tapasztalatokat és a nemzetközi együttm-ködésben lehet!ségeket és el!nyöket. Az Informatikai biztonsági részstratégia célja, hogy a biztonság és növelésével segítse a gazdasági fejl!dést, a versenyképesség növelését, hozzájáruljon az elektronikus ügyintézés, az elektronikus kereskedelem informatikai alkalmazások minél szélesebb körben való elterjedéséhez, a informatikai rendszerek és infrastruktúrák kiemelt védelméhez. A f!bb célok az alábbiak:
rejl! bizalom továbbá és más kritikus
• A társadalmi fejl!dés és a gazdaság versenyképességének támogatása biztonságos, hatékony információs rendszerek m-ködésével, • A kritikus infrastruktúrák kiemelt védelme, • Az informatikai rendszerekbe és hálózatokba vetett bizalom er5sítése, az információbiztonsági tudatosság és ismeretek fejlesztése, • Az informatikai rendszerek alanyaira vonatkozó alapjogok védelme. A célok megvalósításához az alábbi f5bb feladatok esetében szükséges el!relépni: • a jogszabályi és intézményi környezet biztosítása, • a biztonsági honosítása,
követelmények
kidolgozása,
nemzetközi
szabványok
• a biztonságos információs rendszerek kialakításának és fenntartásának támogatása, • Részvétel a nemzetközi IT biztonsági szervezetek munkájában, • az IT kockázatkezelési módszerek fejlesztése és alkalmazása, • a tudásbázis növelése, oktatási, képzési és ismeretterjesztési feladatok az ITbiztonság területén, felkészítés a védekezésre, a felhasználó-védelem kiterjesztése az információs társadalomban, • az IT-termékek min!ségbiztosítása, • a biztonsági szempontok érvényesítése a fejlesztés, tervezés és üzemeltetés során és • az informatikai biztonsági szempontok érvényesítéséhez szükséges források megteremtése.
3. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
A rövidtávra (2004 végéig) kit-zött kulcsintézkedések a következ!k: • a jogszabályi, intézményi feltételek harmonizációjának megkezdése a stratégiai célok megvalósítása érdekében a technikai fejl!dés, nemzetközi elvárások, hazai infrastruktúra figyelembevételével, • részvétel a nemzetközi IT-biztonsági szervezetek munkájában, ezen belül csatlakozás a Common Criteria-t elfogadó országokhoz, • a biztonsági követelmények kidolgozása és a nemzetközi szabványok honosítása (ezen belül ki kell dolgozni a kormányzati rendszerek, különösen a min!sített információkat feldolgozó informatikai rendszerek - a többfokozatú min!sítési skálának megfelel! - kockázatarányos követelményeit), • az IT-termékek min5ségbiztosítási szabályzattervezetének kidolgozása a termékekre és rendszerek értékelésére, továbbá a tanúsítást végz! szervezeteket érint! eljárásrendjére vonatkozóan, • kiemelt, IT-biztonságot er!sít! szakmai projektek indítása, meglév!k támogatása, ezen belül a számítógépes vész-reakciókat kezel! központ(ok) (CERT-ek) támogatása és • a tudásbázis növelése és ismeretb!vítés: ajánlások kidolgozása a különböz! (köztük külön a kormányzati) informatikai rendszerek használatának szabályozásához. A fenti feladatok végrehajtásához jelent!s kormányzati szabályozási és koordinációs tevékenységek végrehajtása szükséges több szervezet, els!sorban az Informatikai és Hírközlési Minisztérium és a Nemzeti Biztonsági Felügyelet részvételével, számos területen küls! szakért!i források bevonásával. Évente 4-500 millió forintos kormányzati anyagi ráfordítás szükséges ahhoz, hogy felzárkózzunk az EU országok informatikai biztonsági szintjéhez és kihasználjuk az együttm-ködésben rejl! el!nyöket. A stratégiai célok megvalósításával hosszabb távon várható az esetleges károk csökkenése, a megalapozott biztonsági követelmények alapján pedig érvényesülnek a kockázattal arányos biztonsági elvárások költségcsökkent5 hatásai és a társadalmi szinten jelentkez! el!nyök. Legalább ilyen fontos szempont az, hogy a biztonság kell! szintre növelésével elérhet! az információs társadalom fejl!déséhez nélkülözhetetlen felhasználói bizalom növelése és a felhasználó jogainak védelme. A stratégia az információs társadalom biztonságossá tételének hosszú távú célját megvalósító út els! lépése. A stratégia céljainak megvalósításához a biztonsági elvárások teljesítését kormányzati szinten támogatni és koordinálni kell, továbbá szükség van az informatikai rendszerek fejleszt!inek, felhasználóinak, üzemeltet!inek aktív közrem-ködésére is.
4. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
EXECUTIVE SUMMARY Hungary joins the European Union in an age when the information technology in a rapid development phase. The efficiency by which the transition to the information society happens greatly influences the success of our nation both in Europe and over the whole world, as information possessed by individuals and organisations is critical resource. The fast technological evolution has increased the extent of dependence on information systems regarding the operability of organisations and government sector; new risks have emerged, which without being handled effectively can mar the development of the information society. Extensive co-operation the only way to assure that Hungarian people and enterprises can trust in information technology advancements being integrated into our everyday life and activities. The base for this is the existence of the democratic rights, which requires two (occasionally two contradictory) basic human rights balanced validation: right to information and the right to protect proprietary information. It is universally acknowledged, that IT security is not only (and mainly it is not) technological issue, although the IT solutions significantly contribute to security. Despite the recent steps taken and changes initiated, Hungary is lagging behind in the IT security field. Adequate legal environment for information security has to be established, the existing policies and technical developments have to be harmonised, proper organisational framework and the required technical conditions have to be created. In contrast to the developed countries, the state of information security in Hungary can be described as the following: • managing security and the attitude towards it are not in proportion to its objective importance; • it does not have methodology applied consistently; and • it is not linked to the main international trends. The unsolved problems of information security (not only temporarily but) in the long run hinder the dynamic improvements in information technology and the operability of the government and public services. Nevertheless the expectations concerning the development of the legal, institutional system do not exempt the management and experts being in charge of protecting data processed in information systems from the responsibility, since the general security rules exist in full extent in current legislation system, though detailed rules aiding enforcement and the institutional system need improvement.
5. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
According to the status mentioned above active and prospective measures must be taken that consider the following aspects: • national interests, • traits of our IT-position, regulatory and institutional systems, as well as • international experience and the advantages and potentialities lying in international co-operation. The aim of the information security strategy to help the economic development by increasing the level of security and trust, to contribute to the electronic administration in offices, the spread of the e-commerce and other IT-applications as extensively as possible and to the distinguished protection of the critical information systems and infrastructure. As a summary, we emphasise the following main points: • Support of the socioeconomic development and the competitiveness of the economy with secure and effective information system; • Accentuated protection of critical infrastructure; • Strengthening the trust in information systems and networks, improving level of security awareness and knowledge; • Protection of the basic rights of the subjects of the information systems. We have to take steps in order to accomplish our goals in the next main activity directions: • Provision of the legal regulatory and institutional environment; • Participation in the work of the international IT security organisations; • Elaboration of the security requirements, adaptation of international standards; • Support of creating secure IT systems; • Quality assurance of IT products; • Development of risk management methods; • Enhancing the IT security knowledge base, IT security training and education, preparation for IT-defence, user-protection in the information society; • Provision of resources, enforcement of security considerations during design and development. Key-measures in the short term (by the end of 2004): • Hungary has to commence the harmonisation of the legal and institutional terms, considering the technical improvements, international expectations and the domestic infrastructure, in order to achieve the strategic goals.
6. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
• Participation in the activities of the international IT security organisations, particularly joining the countries recognising the Common Criteria. • Working out security requirements, adaptation of international standards; namely elaborating the risk-proportionate criteria appropriate for the multilevel classification system for governmental computer systems – particularly for those which process classified information. • In the field of the quality assurance of the IT products a draft policy has to be articulated concerning the organisations, agencies and procedures which are connected to the evaluation and certification of products and systems. • Launching new, IT-security enhancing projects; keeping existing good ones, and supporting Computer Emergency Response Teams. • Enhancing the IT-security knowledge base, working out recommendations regarding education and training for the regulation of the use of the different (distinctly the governmental) IT-system; Numerous and significant governmental regulatory and co-ordination activities have to be taken in order to achieve these goals. The issues ought to be handled with the participation of different sectors, mainly the Ministry of Information Technology and Communication, the National Security Authority and in a number of cases outside experts. As a result of the 4-500 million HUF government investment needed in the field of IT-security per annum Hungary can reach the level of IT-security in the European countries and can take the advantages of the co-operation with them. On the long run, with the accomplishment of the strategic goals we may expect the mitigation of the potential damages, and (with the risk-proportionate security conditions considered in the development phase) cost-reducing effect, which are advantages at national level. Another important effect that with raising the level of security to the appropriate level we may achieve that user confidence will increase and the protection of user rights will enhance. This strategy is the first step on the long way of making the information infrastructure secure. To achieve the goals of the strategy the fulfilment of the security requirements and expectations have to be supported and co-ordinated at governmental level, and the developers, users and operators of the information systems have to contribute actively to the realisation of these purposes.
7. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
TARTALOMJEGYZÉK VEZET,I ÖSSZEFOGLALÓ .........................................................................2 EXECUTIVE SUMMARY ...............................................................................5 EL,KÉSZÜLET AZ INFORMATIKAI BIZTONSÁGI RÉSZSTRATÉGIA ELKÉSZÍTÉSÉHEZ (I. FEJEZET).....................10 1. BEVEZETÉS .............................................................................................11 2. A STRATÉGIAI BIZTONSÁGI TERVEZÉS CÉLJA ÉS ALAPELVEI..............................................................................................17 2.1 2.2
A Magyar Köztársaság nemzeti biztonsági stratégiájáról .......................................... 18 A Magyar információs társadalom stratégiát el!készít! tanulmány .......................... 19
3. HAZAI HELYZETKÉP ...........................................................................20 3.1 3.2 3.3 3.4 3.5
Az információs társadalom jelenlegi helyzete ........................................................... 20 Az informatikai biztonság helyzete............................................................................ 23 A magyarországi IT szabályozás rövid áttekintése .................................................... 27 A szervezeti keretek ................................................................................................... 30 Szakmai szervezetekkel történ! egyeztetések............................................................ 32
4. NEMZETKÖZI HELYZETKÉP, KÖVETELMÉNYEK ÉS ÚTMUTATÁSOK .....................................................................................34 4.1 4.2 4.3 4.4 4.5
EU direktívák ............................................................................................................. 35 Javaslat az európai biztonsági ügynökség felállításáról............................................. 37 Az OECD ajánlás ....................................................................................................... 37 Nemzetközi szabványok, ajánlások és módszertanok................................................ 39 A bemutatott országok biztonsági törekvéseinek összevetése ................................... 39
5. A BIZTONSÁGOS INFORMÁCIÓS TÁRSADALOM KIALAKÍTÁSÁHOZ SZÜKSÉGES FELADATOK ÁTTEKINTÉSE.........................................................................................45 5.1 5.2 5.3
Az informatikai biztonsággal összefügg! szabályozással és az azt végz!, illetve végrehajtó intézményrendszerrel kapcsolatos feladatok elméleti megközelítésben ......................................................................................................... 45 Központi felügyeletet igényl! tevékenységek az informatikai biztonság terén, a kormányzati tevékenység megoszlása a különböz! kormányzati szervek között............................................................................................................. 62 Az informatikai termékek, rendszerek biztonsági értékelésének és tanúsításának hazai rendszerével kapcsolatos feladatok ............................................ 71
8. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
5.4 5.5
Feladatok a Common Criteria elfogadásával kapcsolatban ....................................... 75 Feladatok a demokrácia és a jogbiztonság er!sítése, továbbá a felhasználó-védelem biztosítása területén.................................................................. 77
MAGYAR INFORMATIKAI BIZTONSÁGI STRATÉGIA (II. FEJEZET) ..................................................................................................81 1. A HAZAI JÖV,KÉP................................................................................82 2. STRATÉGIAI CÉLOK ÉS PRIORITÁSOK .........................................85 3. VÁRHATÓ HATÁSOK............................................................................90 4. HOSSZÚ TÁVÚ FELADATOK ..............................................................91 5. KÖZÉPTÁVÚ FELADATOK 2006-IG ÉS A 2004 VÉGÉIG SZÜKSÉGES INTÉZKEDÉSEK ............................................................97 5.1 5.2 5.3
A középtávú stratégiai feladatok .............................................................................. 104 A 2004 végéig tartó középtávú feladatok beindításához szükséges intézkedések ............................................................................................................. 111 Feladatlapok néhány kiemelt prioritású intézkedéshez............................................ 117
MELLÉKLETEK ..........................................................................................123 1. A LEGFONTOSABB TÖRVÉNYEK ÉS RENDELETEK (1. melléklet) ...................................................................................................124 2. A LEGFONTOSABB NEMZETKÖZI IT BIZTONSÁGI MÓDSZERTANOK (2. melléklet)..........................................................126 3. INFORMATIKAI BIZTONSÁGI KÖVETELMÉNYEK A KÖZPONTOSÍTOTT KÖZBESZERZÉSBEN (3. melléklet).............133 4. A KRITIKUS INFRASTRUKTÚRÁVAL KAPCSOLATOS NÉHÁNY SZABÁLYOZÁS (4. melléklet) ............................................136 5. A KONZULTÁCIÓKON ELHANGZOTT GONDOLATOK ÖSSZEFOGLALÁSA (5. melléklet).......................................................146 6. FOGALMAK ÉS JELÖLÉSEK (6. melléklet)......................................155
9. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
EL,KÉSZÜLET AZ INFORMATIKAI BIZTONSÁGI RÉSZSTRATÉGIA ELKÉSZÍTÉSÉHEZ (I. FEJEZET)
10. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
1. BEVEZETÉS 2002 végén a Kormány elfogadta a „Magyar információs társadalom stratégia” készítésér!l, a további feladatok ütemezésér!l és egy tárcaközi bizottság létrehozásáról szóló 1214/2002. (XII. 28.) Korm. határozatot. Ennek 3. pontja el!írja a Magyar információs társadalom stratégia (MITS) kidolgozását, melynek els! lépésként a feladatért felel!s Informatikai és Hírközlési Minisztérium (IHM) elkészítette és a honlapján (www.ihm.gov.hu) elérhet!vé tette “A Magyar információs társadalom stratégiát el!készít! tanulmány” cím- anyagot. A hivatkozott kormányhatározat 2. pontja szerint (a MITS kidolgozása során) 2003. június 30-ig el kell készíteni a feladat- és intézkedési terveket is tartalmazó részstratégiákat. Bár a kormányhatározat e pontja alapvet!en ágazati részstratégiákról szól, de vannak olyan horizontális, minden ágazatot, minden alkalmazási területet érint! kérdések, amelyekkel külön részstratégia szintjén kíván foglalkozni az IHM. Az informatikai biztonságot az IHM olyan nagy jelent!ség-, általános feladatnak ítéli meg, hogy az azzal kapcsolatos állami szerepvállalás stratégiáját - küls! szakért!k bevonásával - külön részstratégiában dolgoztatja ki. Ennek a részstratégiának a többi részstratégiával együtt be kell épülnie a MITS-be, mert az informatikai biztonság2 az információs társadalom fejl5désének egyik meghatározó kérdése. Az Informatikai biztonsági részstratégia (a kés!bbiekben IBRS) dokumentumot a következ!k jellemzik: • kapcsolódik az Európai Unió informatikai biztonsággal kapcsolatos elvárásaihoz, törekvéseihez, • figyelembe veszi a magyar állami és közigazgatási, gazdasági, társadalmi stb. terveket, illetve az ezekb!l származó gazdasági, társadalmi stb. elvárásokat, • épít a nemzetközi tapasztalatokra, • tekintetbe veszi napjaink legkorszer-bb informatikai és kommunikációs helyzetét, fejl!dését és • kapcsolódik a MITS-hez. Az információs fejl!dés azel!tt soha nem látott fejl!dési ütemet hozott, ugyanakkor negatívumaival is szembe kell nézni: újfajta veszélyek, fenyegetések jelentek meg. Egyrészt a - jogos - félelem a rendszerek m-ködési zavaraitól, a kiszolgáltatottságtól, 2
Az informatikai biztonság fogalmának meghatározása a szakembereknek számára a 13. oldalon szerepel. Az értelmez! szótár szerint "a biztonság veszélyekt!l vagy bántódástól mentes (zavartalan) állapot”. D. Russel a lényegre tapintott ezzel kapcsolatban, amikor szellemesen és közérthet!en így fogalmazott: "A biztonságos informatikai rendszer akkor is azt teszi, amit feltételeztek róla, hogy tenni fog, ha a felhasználók vagy a környezet nem azt teszi, amit feltételeztek róla, hogy tenni fog."
11. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
másrészt új típusú vélt, vagy valós "ellenség-kép” alakult ki: az interneten, határokat átívelve intézhetnek támadást kritikus infrastruktúrák, adataink ellen. Az informatikai hálózatok terjedésével n! a kölcsönös kockázat, ezzel az együttm-ködési igény és követelmény a kockázatok kezelésére: • az információs rendszerek3 és a számítógép-hálózatok növekv! hatása a nemzetgazdaságokra, a nemzetközi kereskedelemre, valamint a társadalmi, kulturális és politikai életre különleges védelmi er!feszítéseket igényel, • az információs rendszerekben és hálózatokban tárolt, feldolgozott, vagy ezeken keresztül továbbított adatok ki vannak téve a jogosulatlan hozzáférések, felhasználások, módosítások, a h-tlen és/vagy gondatlan kezelések, a rosszindulatú kódok továbbítása, a szolgáltatások megtagadása vagy tönkretétele legváltozatosabb módszereib!l származó fenyegetéseknek, • szükség van a biztonsági szemlélet er!sítésére, s arra, hogy az információs rendszerekkel, hálózatokkal szembeni veszélyek és a veszélyek leküzdéséhez rendelkezésre álló biztonsági elvek, gyakorlati módszerek, intézkedések és eljárások egyre inkább ismertté váljanak, • közös érdek a nemzetközi koordináció és kooperáció támogatása annak érdekében, hogy az információs rendszerek és hálózatok ellenálljanak a nemzeti gazdaságokban, a nemzetközi kereskedelemben, valamint a társadalmi, kulturális és politikai életben jelentkez! biztonsági hiányosságok, hibák potenciális veszélyeinek, fenyegetéseinek, • további kockázatot jelent a folyton fejl!d!, egyre komplexebbé váló technológia és a nem megfelel! szaktudás és irányítás. A MITS el!készít! tanulmány "Az információs társadalom szervez dési víziója" címrésze (l. 5.2. alpont) az információs társadalom jöv!képét egy bonyolult sokdimenziós rendszerként írja le, amely magában foglalja az új társadalmi, kulturális és gazdasági min5séget. A mindent behálózó infokommunikációs eszközök széleskörelterjedésével, a virtualitás és a virtuális világ(ok) meghatározó fontosságú sajátossága lesz a jöv! társadalmának. A virtuális világ(ok) meghatározó fontosságú szerephez jutnak a társadalomban és a gazdaságban egyaránt, min!ségileg új élettér és életmin!ség lehet!ségét biztosítva a szerepl!k részére. Ezzel a társadalom, mint rendszer még bonyolultabbá válik, ami nagymértékben növeli a sebezhet!ségét. Ezért a hálózatok, továbbá az információfeldolgozás és -szolgáltatás megbízhatóságának és biztonságának kérdése meghatározó fontosságúvá lép el!.
3
Az információs rendszer az adatoknak (információknak), az információs folyamatoknak és eseményeknek, a szerepl!k tevékenységének, az információs er!forrásoknak, a fizikai környezetnek, továbbá a szervezeti, személyi és szabályozási összetev!knek - meghatározott célok elérése érdekében - összehangolt együttese.
12. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
Nemzetközi együttm-ködés keretében meg kell osztani a veszélyekre és védelmi megoldásokra vonatkozó információkat, és fel kell lépni a számítógépes b-nözés ellen a világháló határokat átível! jellege miatt. Az IHM szerint az informatikai biztonsági részstratégiában az „informatika” szó azt a szerteágazó területet jelöli, amely a távközlési hálózatokat, a számítástechnikai berendezéseket, digitális adat-, illetve információforrásokat, az azok elérését, feldolgozását biztosító szoftvereket, kommunikációs eljárásokat, algoritmizált megoldásokat, s!t sajátos ismereteket, szakértelmet mind magába foglalja, és amelyet a magyar szakirodalomban is egyre gyakrabban infokommunikációs technológiának (ICT) hívnak. A részstratéga kidolgozása során az informatikai biztonsággal a lehet! legszélesebb értelmezésben foglalkozunk, beleértve az információvédelmet (bizalmasság, hitelesség és sértetlenség kérdésköreit), valamint a megbízható m-ködést, azaz a rendelkezésre állás és a funkcionalitás biztosítását a környezeti zavarok, az emberi és m-ködési hiba, rosszindulatú támadás esetében is. A fogalom bonyolultságát jelzi, hogy az angol szakirodalomban - és a magyar szóhasználatban sem - alakult ki még egyértelm! rendszerezése a fogalmaknak. Legtöbbször a következ kifejezéseket használják, nagyjából a fenti sorrendben: Trustworthiness, Security, Confidentiality, Privacy, Authenticity, Integrity, Safety, Availability, Reliability, Correctness. Külön kérdéskör az, hogy teljes biztonság nem létezik, a védelem egyre magasabb fokozatai egyre drágábbak, és kialakítása akadályozhatja a rendszer funkcionális, jól kezelhet m!ködését. A fentiek el re bocsátásával adunk egy általánosan elfogadott meghatározást: az informatikai biztonság a védelmi rendszer olyan, a szervezet számára kielégít mérték! állapota, amely az informatikai rendszerekben kezelt adatok bizalmassága, hitelessége, sértetlensége és rendelkezésre állása, illetve a rendszerelemek rendelkezésre állása és funkcionalitása szempontjából zárt, teljes kör!, folytonos és a kockázatokkal arányos4.
A biztonságnak (a megel!zés, észlelés, beavatkozás eszközeinek, illetve a termékekbe eleve beépített biztonsági elemeknek) természetesen ára van. A reális felmérésen alapuló, szakmailag indokolt ráfordítások azonban valószín-leg nagyságrenddel kisebbek, mint azok a károk, amelyek • er!forrás-kiesés, • szolgáltatás-kiesés, • m-ködés-kiesés, • adatvesztés, 4
ITB 12. sz. Ajánlás: Informatikai rendszerek biztonsági követelményei
13. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
• jog megsértése, (szerz!i, személyes adatok védelme, titoksértés stb.), • anyagi kár és • presztízsveszteség esetén érhetik az informatikai rendszert, illetve annak birtokosát. A nemzeti informatikai stratégiával (és ezen belül az informatikai biztonsági stratégiával) az EU e-Europe+ programhoz (és az EU biztonsági kezdeményezéseihez) kapcsolódunk. Ezek olyan szakmai-politikai kezdeményezések, amelyek megcélozzák, hogy az Európai Unió különböz! nemzetei részesüljenek azokból az eredményekb!l, amelyeket az Információs Társadalom változásai hoznak magukkal, és csökkentsék az informatikai fejl!désb!l adódó kockázatokat, továbbá hozzájáruljanak a biztonság (és ezáltal) a bizalom növeléséhez. A stratégia célkit-zése az ország állampolgárainak, igazgatásának, gazdaságának, alapvet! emberi és kormányzati szolgáltatásainak védelme, a nemzet biztonságának meg!rzése azáltal, hogy megakadályozza, vagy elviselhet! mérték-re csökkenti a kritikus jelent!ség- infrastruktúra elleni sikeres támadásokat. A bekövetkezett zavaroknak alacsony gyakoriságúaknak, rövid id!tartamúaknak, kezelhet!eknek kell lenniük, és a lehet! legkisebb kár okozásával járhatnak. A célkit-zés megvalósítása folyamatos munkát jelent, a végrehajtás az állami és magánszektor együttm-ködését igényli. A Nemzetbiztonsági stratégiához (2144/2002. (V. 6.) Korm. határozat a Magyar Köztársaság nemzeti biztonsági stratégiájáról) hasonlóan a Nemzeti informatikai biztonsági stratégia az alábbi célokat t-zi ki: • a kritikus rendszer és infrastruktúra elleni támadások megel!zése, • a sebezhet!ségek csökkentése, • a károk és a helyreállítási id! minimalizálása bekövetkezett sikeres támadások esetén. A nemzet informatikai biztonságához az összes láncszem egyenszilárdságú biztonságát kell megteremteni, és a láncszemeket a legkisebbekt!l (otthoni felhasználók) a legnagyobbakig (kritikus infrastruktúra, nemzetközi szervezetek) figyelembe kell venni, továbbá a teend!ket is meg kell határozni számukra. A stratégia az érintettek – vagyis az egész társadalom – érdekében fogalmazza meg a feladatokat az informatikai támadások megel!zése, észlelése és a támadásokkal szembeni védekezés megszervezése céljából. A lefektetett elvek, javasolt módszerek természetesen nem megkérd!jelezhetetlen igazságok, hiszen az informatika állandóan fejl!d! ágazat, új kihívásokkal, technológiákkal, új szerepl!kkel. Nagyon fontos kérdése az elkészül! részstratégiának az állami szerepvállalás szintje. Az ebben való döntés meghatározza a reálisan kit-zhet! célokat, de a szükséges jogi, szervezeti intézményrendszert, valamint a szükséges er!forrás igényt is. A hazai helyzetképb!l (I. kötet I. fejezet) kit-nik, hogy az informatikai biztonsággal összefügg! területeken az állami szerepvállalás dönt!en a közszférára terjed ki (ez alól csak néhány kivétel van, például az elektronikus aláírással kapcsolatos kérdések).
14. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
A legfontosabb hazai informatikai biztonságot érint! magas szint- jogszabályokat a 1. melléklet tartalmazza. A hazai jogi szabályozás (és az erre felépített intézményi rendszer) els!sorban a min!sített adatok (mely a jog szerint az állam és a szolgálati titokkört fedi le) védelmére koncentrál. Ezen belül is az informatikai biztonság két fontos területe [a megbízható m-ködés (rendelkezésre állás) biztosítása és az információvédelem (illetéktelen megismerés, módosítás)] közül f!leg az utóbbira. (A fenti megállapítások alól a HÍF feladatköre kivétel, mert a HÍF pl. a hitelesítés-szolgáltatókkal szembeni elvárásokban magas rendelkezésre állási követelményeket fogalmaz meg, továbbá ellen!rzi e követelmények teljesülését.) Az els! területet általában a résztvev!k egyéni felel!sségére bízzák (ehhez deklarált kötelezettséget vagy iránymutatást, segítséget nem írnak el! az állami szervezetek részére). Ugyanakkor a titokvédelem szabályozása jelenleg hiányos (még az állami szférában is), mivel a min!sített adatok többségét feldolgozó számítástechnikai rendszerek titokvédelmi szabályozása nem megfelel! (az 1995. évi, az államtitokról és szolgálati titokról szóló LXV. törvény 30. § (2) pontjában leírt kötelezettségek, illetve a 2001. évi CVIII. törvény 17.§ a) pontjában szerepl! felhatalmazás ellenére). Az informatikai biztonság kialakítását segít! jogszabályi környezetben - európai mércével mérve is - nagyon korszer-en szabályozott részterületek vannak: ilyenek az elektronikus aláírással kapcsolatos törvény és végrehajtási rendeletei. Ugyanakkor hosszú el!készít! munkák folytak a június végén elfogadott új titokvédelmi törvény kidolgozása érdekében is, amely már átveszi az EU-s jogharmonizációhoz szükséges négyfokozatú min5sítést. A többfokozatú skála bevezetése azért is fontos, mert ezzel lehet!vé válhat a költséges informatikai védelemnek (a veszélyeztetettségnek megfelel!) rugalmasabb kezelése is. Természetesen az államigazgatásban a min!sített információkon kívül is léteznek egyéb védend! adatok, pl. az üzleti titkok, a személyes adatok, egészségügyi, pénzügyi titkok stb. melyekre vonatkozóan az állami szervezeteknek (pl. APEH, BM) szintén megfelel! védelmet kell garantálniuk. Több országban rámutatnak arra, hogy a nemzeti informatikai infrastruktúra (NII) biztonsága el!feltétele a közszféra biztonságos m-ködésének, az e-kormányzat fejlesztésének, a gazdasági és technikai fejl!désnek. Ett!l elválaszthatatlan az informatikai rendszerekkel szembeni bizalom megteremtése. A fentiek alapján az állami szerepvállalás meger!sítése nélkülözhetetlen mind az államigazgatás informatikai biztonságának növelése, mind az NII biztonságának segítése területén. Ehhez szükség van a jogszabályi kötelezettségek meger!sítése, pontosítása (új jogszabályok kiadása) mellett a szervezeti infrastruktúrának a technikai fejl!désb!l, hazánk nemzetközi kapcsolatrendszeréb!l adódó követelményekhez igazítására is. A legtöbb fejlett országban - valószín-leg a fejl!désb!l adódóan - bonyolult szervezeti struktúrát jelenítenek meg az informatikai biztonság egyes részterületeivel foglalkozó szervezetek, mégis az informatikai biztonsággal kapcsolatos szervezési, koordinációs,
15. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
irányítási, esetenként hatósági feladatokra külön szervezet létezik. Hazánkban is szükség van az informatikai biztonsági felügyelettel kapcsolatos feladatok ellátására. Eltér! az egyes országokban az állami szerepvállalás mértéke is, illetve a civil szféra bevonása, segítése az informatikai biztonság szerteágazó feladataiban, általános elnevezéssel a PPP (Public Private Partnership) program alkalmazása informatikai biztonsági feladatok megoldásában. A PPP - legegyszer-bben megfogalmazva - egy olyan együttm-ködése a magán és a közszférának, ahol a befektet!k átvállalják az állami feladatok teljesítéséhez szükséges beruházásokat (vagy azok egy részét), valamint az adott beruházásban megvalósított eszközök üzemeltetését és az állam által felvállalt szolgáltatások nyújtásának egy részét. Néhány országban az ún. CERT (Computer Emergency Response Team) feladatokat (pl. az informatikai vészhelyzetek figyelését egyetemek végzik), és különböz!, nem állami laboratóriumok látják el az informatikai rendszerek értékelését, min!sítését, tanúsítását. A részstratégiában felvázolt célok, tervek megvalósításához a következ!k szükségesek: • a kapcsolódó jogszabályok egységes szemlélet- módosítása és végrehajtási rendeletek kiadása, • az informatikai biztonság felügyeletével kapcsolatos feladatok kialakítása és ellátása, • az informatikai biztonság er!sítésében érdekelt felek együttm-ködésének er!sítése és • a prioritások meghatározása, cselekvési tervek kidolgozása és a végrehajtás feltételeinek biztosítása. Hosszú távon e részstratégiával az információs társadalom el!nyeinek a lehet! legteljesebb hasznosítását kívánjuk segíteni az infokommunikációs technológiákkal járó potenciális veszélyek minimalizálásával. Várhatóan az informatikai ágazattól való függés a jöv!ben a jelenlegit!l is er!sebb lesz. A bonyolultság növekedése a biztonság megteremtését is még összetettebb feladattá teszi. Az Informatikai biztonsági részstratégia a tanulmány I. kötete II. fejezetében szerepel, amely széleskör- elemzésre (I. kötet I. fejezet) valamint a nemzetközi tapasztalatokat ismertet! részre (II. kötet) épít. A részstratégia az alábbiakat tartalmazza: • hazai jöv!kép, • stratégiai célok és prioritások, • várható hatások, • hosszú távú feladatok, • a középtávú feladatok és a 2004 végéig szükséges intézkedések.
16. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
2. A STRATÉGIAI BIZTONSÁGI TERVEZÉS CÉLJA ÉS ALAPELVEI Az informatikai biztonsági stratégia tervezés célja olyan alapelvek megfogalmazása és a legfontosabb alapfeltételek megkeresése, amelyek a (gazdasági, társadalmi, politikai, szociális, kulturális stb. folyamatokat támogató) információs rendszerek normális m-ködéséhez, a biztonság fejlesztéséhez, az instabil helyzetek kialakulásának megel!zéséhez és felszámolásához szükséges megfelel! döntéseket és intézkedéseket eredményezik. A stratégiai biztonsági tervezés a következ! alapelvek szerint történt: • Az infokommunikációs rendszerek védelmi megoldási és az alkalmazott eljárások nem mondhatnak ellent, s!t eleget kell hogy tegyenek a jogszabályi el5írásoknak. Amennyiben az egyéb elvárások ezt nem teszik lehet!vé, a stratégia javaslatot tesz a vonatkozó jogszabályok megváltoztatására. • A stratégia megnevezi azokat a feltételeket és feladatokat, amelyek biztosítják az adatok körének egyértelm- biztonsági megkülönböztetését az Alkotmánnyal, a hazai és nemzetközi joggal és szándékokkal egyetértésben. • A stratégia azokat az ösztönz!ket, megoldásokat és védelmi eljárásokat támogatja, amelyek a védett adatokra vonatkozóan ellen5rizhet5vé teszik a beavatkozásokat, és lehet!vé teszik az illetéktelen cselekedetek felderítését, a felel!sök megállapítását. • A stratégia olyan védelem kialakítását tartja szükségesnek, amely biztosítja a kritikus információs rendszerek megbízható üzemét, a fenyegetések elhárítását, illetve a káros hatások minimalizálását, egységes (szabványos) biztonsági követelmények alapján. • A stratégia azt javasolja, hogy az informatikai biztonság olyan legyen, hogy – meghatározott biztonsági garancia mellett – csak minimális megkötöttséget jelentsen az informatikai rendszerek felhasználói, fejleszt!i, gyártói és üzemeltet!i számára. A stratégiai tervezés prioritásai: • a stratégiai célok meghatározása, • az alternatívák feltárása hazai és nemzetközi példák alapján, • az optimális stratégia elemek kiválasztása és értékelése, • egyeztetés egyéb biztonsági stratégiákkal, • az Informatikai biztonsági részstratégia véglegesítése.
17. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Az Informatikai biztonsági részstratégia az alábbi f!bb követelmények szerint készült: • A stratégiának illeszkedni kell a f!bb gazdasági célokhoz, társadalmi elvárásokhoz, figyelembe kell venni a hazai és nemzetközi környezetet, elvárásokat, tendenciákat, f! célja a nemzeti fejl!dés segítése a globalizálódó gazdaság keretein belül. • A stratégiának egyetértésre kell épülnie, mivel csak így biztosítható a társadalmi szerepl!k széleskör- hatékony részvétele. A kormányzat mellett más szervezetek is kapjanak felel!s szerepet a célok kialakításában, majd megvalósításában. • A stratégia átfogó és összefügg! szakmai-politikai folyamatként jelenjen meg, amely megbízható analízisen alapszik, fennálló folyamatokra és stratégiákra épít, valamint integrálja a magyar és európai elvárásokat. Ennek megfelel!en a stratégia egyaránt alapoz az országon belül és kívül zajló folyamatokra, vagyis arra a környezetre, amelyben a stratégiát megvalósítjuk. • A stratégia célkit-zésének, a célok megvalósításához szükséges feltételek, források biztosításának feltétele a prioritások meghatározása, a meglév! jogiés intézményi rendszerre, tudásbázisra, er!forrásokra való támaszkodás, ezek fejlesztési feltételeinek megteremtése, a tapasztalatok, változó igények kés!bbi követése, a stratégia id!nkénti felülvizsgálata, a tanulságok beépítése. A stratégia elkészítésének várható eredménye az, hogy - az intézkedési és cselekvési tervek végrehajtása eredményeként, az informatikai rendszerek megbízható és biztonságos m-ködésén keresztül - el!segíti a Nemzeti Fejlesztési Tervben megfogalmazott, az állam és a társadalom el!tt álló feladatok megvalósítását, az információs társadalom és a tudásalapú gazdaság fejl!dését. Az informatikai biztonsági stratégiának két alappillérb!l kell kiindulni: a nemzeti biztonsági [1] és az informatikai [2] stratégiából. Az els! a Magyar Köztársaság nemzetbiztonsági stratégiájáról szóló 2144/2002. (V.6.) kormányhatározat melléklete (Biztonság az új évezred küszöbén), a másik a MITS el!készít! tanulmány. Ezekb!l kiindulva, továbbá a hazai informatikai helyzet, a kapcsolódó jogszabályok elemzése [3] és széleskör- szakmai egyeztetés [4] alapján készülhet el a részstratégia.
2.1 A Magyar Köztársaság nemzeti biztonsági stratégiájáról A Magyar Köztársaság nemzeti biztonsági stratégiája a 2144/2002. (V. 6.) Kormányhatározatban került elfogadásra „Biztonság az új évezred küszöbén a Magyar Köztársaság Nemzeti Biztonsági Stratégiája” címmel. A dokumentum 2.1.5. alpontja szól az információs társadalom kihívásairól. Ebben az szerepel, hogy: „Magyarország érdeke, hogy felzárkózzon a fejlett világ informatikai és telekommunikációs színvonalához. Az e téren történ! relatív lemaradás
18. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
konzerválódása hosszú távon súlyos hatást gyakorolna a gazdaság egészére, a társadalom életére és biztonságára, s az ország érdekérvényesítési képességeire. Kiemelt feladat az oktatás színvonalának emelése, a kutatás és fejlesztés támogatása, valamint az információs forradalom eredményeinek hozzáférhet!vé tétele a társadalom mind szélesebb rétegei számára. A fejlett informatikai infrastruktúra kiépítése és az ehhez szükséges szellemi háttér biztosítása mellett fontos érdek a rendszerek védelme és a vészhelyzeti tartalékok biztosítása. Az információs forradalom, miközben széles lehet!ségeket teremtett a modern társadalom számára (gyorsaság, hozzáférhet!ség), az új típusú fenyegetések megjelenésével rendkívül sebezhet!vé tette az informatikai rendszerekre épít! társadalom zavartalan m-ködését. A rendszerek sebezhet!sége olyan kockázati tényez! az ország számára, amely bekövetkezte esetén viszonylag kis er!összpontosítás nagy távolságból is rendkívül nagy kárt képes okozni.” A nemzeti biztonsági stratégiára épülve készülnek el azok az ágazati stratégiák – többek között külpolitikai, katonai, nemzetbiztonsági, gazdasági-pénzügyi, informatika- és információvédelmi, szociálpolitikai, katasztrófavédelmi vagy környezetvédelmi területen –, amelyek az átfogóan értelmezett biztonság terén határozzák meg a teend!ket.
2.2 A Magyar információs társadalom stratégiát el5készít5 tanulmány Az Informatikai és Hírközlési Minisztérium által 2002. decemberében - szakmai szervezetek közrem-ködésével - készített tanulmánynak f!bb megállapításai, amelyek az informatikai biztonsági részstratégiát is meghatározzák, a következ!k: 1.
A célok prioritását kell meghatározni. Ki kell választani azokat, amelyek tudatformáló és/vagy gazdaságélénkít! hatásukkal a többi területre is hatnak.
2.
Az egyes minisztériumok által végrehajtandó és az információs társadalom polgárainak ügyintézését támogató alapvet! információs rendszerek fejlesztését és m-ködtetését központilag kell koordinálni.
3.
Szükséges a stratégiát illet!en olyan társadalmi konszenzust elérni, amely a kormányzati ciklusokon átível! továbbvitelüket eredményezi.
4.
A stratégia karbantartására, a tervezési-cselekvési folyamat viteléhez megfelel! szakmai intézményrendszerre, illetve annak munkáját támogató szervezett társadalmi hálózatra volna szükség.
5.
El kell dönteni azt az elvi kérdést, hogy sz-kös er!források hogyan hasznosíthatók a leghatékonyabban.
19. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
3. HAZAI HELYZETKÉP Az informatikai biztonságra vonatkozó hazai helyzetkép felvázolásakor röviden utalunk az információs társadalom jelenlegi helyzetére, melyr!l részletes elemzés szerepel a MITS el!készít! tanulmányban (és várhatóan sokkal részletesebb adatok szerepelnek majd az egyes ágazati részstratégiákban). Az informatikai biztonság jelenlegi helyzetének felmérésekor a számunkra hozzáférhet! néhány felmérés adatait használtuk fel. Külön köszönetet mondunk a GKIeNET Internetkutató és Tanácsadó Kft-nek azért, mert rendelkezésünkre bocsátotta ehhez a munkához a 2003 májusában készített felméréseit, melyekben a vállalatokra és az önkormányzatokra vonatkozó e-biztonság helyzetét bemutató adatok szerepelnek. AZ IBRS elkészítését szolgáló jelenlegi projekt kereteibe nem fért bele egy - az államigazgatás, a gazdasági társaságok és a civil szféra alkalmazói körében végzett - széleskör- felmérés. Ebben a dokumentumban részletesebben szólunk az informatikai biztonsággal kapcsolatos szabályozó környezetr!l (l. a fejezet 3.3 alpontja) és az intézményi keretekr!l (l. a fejezet 3.4 alpontja). A hazai helyzetet, a tapasztalatok és elvárások felmérését (a tanulmányokon kívül) a konzultációk során kívántuk megismerni. A fejezet 3.5 alpontja tartalmazza a konzultációkat segít! államigazgatási szervek, szakmai szervezetek és a szakterülettel foglalkozó gazdasági társaságok felsorolását. A konzultációkon elhangzott, sokszor egymásnak is ellentmondó vélemények ismertetése az 5 mellékletben szerepel.
3.1 Az információs társadalom jelenlegi helyzete Az informatikai biztonsági részstratégia kiindulópontja csak a jelen helyzet reális ismerete lehet, ehhez képest lehet megfogalmazni jöv!képünket, célkit-zéseinket, prioritásainkat is. Ugyanakkor ma sem az EU országaiban, sem máshol nincs kialakult, egységes elfogadott mérési módszere az információs társadalom megvalósultságának, így természetesen hazánkban sem áll rendelkezésre ilyen módszertan. Ezért igen lényeges, hogy rövid id!n belül kialakítsák a mér!számok rendszerét és értékelési módszerét. Mindezzel együtt meg kellett próbálni áttekint! képet alkotni a hazai helyzetr!l, viszonyítási alapnak tekintve a ma rendelkezésre álló adatokat. Két releváns mutató, (idézet a MITS el!készít! tanulmányból) jól jellemzi Magyarország helyzetét: 1.) A számítógépek darabszámának tekintetében Magyarország jelent!s lemaradásban van. Az EU-ban átlagosan háromszor annyi gép jut 100 f!re mint nálunk, az USA-ban több mint hatszorosa.
20. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Forrás: MITS El készít Tanulmány
1. ábra: A személyi számítógépek száma 2.) A hazai internet-felhasználók aránya magasabb, mint a csatlakozó országok átlaga, de nem éri el a felét sem az EU átlagának, s kevesebb, mint harmada az USA hasonló értékének.
21. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Forrás: MITS El készít Tanulmány
2. ábra: Az internet-felhasználók becsült száma Az országban „digitális szakadék” kialakulása figyelhet! meg, az egyének, háztartások, intézmények, vállalatok és földrajzi területek különböz! társadalmigazdasági szinten állnak mind az infokommunikációs eszközökhöz való hozzájutás lehet!ségei, még inkább az eszközök, szolgáltatások használatát illet!en.
22. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
3.2 Az informatikai biztonság helyzete Jelenleg az elektronikus biztonság hazai állapotáról nem rendelkezünk átfogó képpel5. Az utóbbi hónapokban számos, a hazai e-biztonság kérdését feltáró kutatás kezd!dött el, melyek eredményei hamarosan nyilvánosságra kerülnek. Jelenleg csak a vállalatokra és az önkormányzatokra vonatkozó e-biztonság helyzetét bemutató adatok állnak rendelkezésünkre a GKIeNET Internetkutató és Tanácsadó Kft. 2003 májusában készített felmérései alapján. Vállalati szféra6 (5 f! feletti vállalati körben) A Z E LM Ú LT 6 HÓ N A P B A N TA L Á LK O ZTA K - E A VÁ L LA LA TN Á L A K Ö VE TK E Z S ZÁ M Í T Á S TE C H N I K A I B I ZT O N S Á G I PR O B L É MÁ K K A L ? ( A V Á L L A L A T O K S Z Á Z A L É K ÁB A N )
50 40 30 48,2
20 10 0
3,9
4,8
0,4
0,7
0,5
Vírusok
Jogosulatlan behatolás(a rendszerbe)
Szolgáltatás visszautasítás (DoS)
Weboldaluk kívülr l történ módosítása
Belép kódokkal való visszaélések, lopás
Domain név jogosulatlan használata
Forrás: GKIeNet
3. ábra: Az IT biztonság helyzete az 5 f5 feletti vállalatoknál
5
Dr. Pergel Józsefné (HÍF): „E-biztonság részstratégia” c. bels! munkaanyagból
6
Infokommunikációs eszközökkel való ellátottság és az eszközök használata a magyarországi vállalatoknál, Monitoring jelentés az Informatikai és Hírközlési Minisztérium részére
23. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
M I L YE N I N TÉ ZK E D É S E K E T TE TT E K ME G E Z I D Á I G 7 A S ZÁ MÍ TÁ S TE C H N I K A I B I Z TO N S Á G I PR O B L É MÁ K K I VÉ D É S E É R D E K É B E N ? ( L É T S Z ÁM K A T E G Ó R I Á N K É N T A V Á L L A L A T O K S Z Á Z A L É K ÁB A N ) 100 90 80 70 60 50 40 30 20 10 0 5-9 f
10-19 f
20-49 f
50-249 f
250 f felett
Total
t&zfal
vírusírtó programok
backup mentések
írott IT biztonsági el írások
behatolás figyelés
SSL titkosítás
Forrás: GKIeNet
4. ábra: IT-biztonsági intézkedések az 5 f5 feletti vállalatoknál
7
Az egyes biztonsági intézkedések esetében 15%-25% között mozgott a kérdésre választ nem adó vállalatok aránya. Mivel szakmai jelleg- kérdésr!l volt szó, így a választ nem adók többsége vélhet!en nem ismerte, vagy nem tudta, hogy cégüknél alkalmazzák-e a felsorolt eszközöket. Ez alapján a fenti arányok valószín-síthet!en valamelyest magasabbak a grafikonban, illetve a melléklet táblázataiban jelzettnél.
24. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
Államigazgatás, önkormányzatok8 AZ ELMÚLT 6 HÓNAPBAN TALÁLKOZTAK-E AZ ALÁBBI SZÁMÍTÁSTECHNIKAI BIZTONSÁGI PROBLÉMÁKKAL? (az összes önkormányzat %-ában)
Igen [%]
Nem [%]
Hiányzó Válaszolók válasz száma [%] [db]
Vírusok
49,4
46,8
3,8
986
Jogosulatlan behatolás (a rendszerbe)
2,0
90,1
7,9
985
Szolgáltatás-visszautasítás (Dos)
4,4
87,4
8,2
984
Web-oldaluk kívülr!l történ! módosítása
0,3
90,4
9,3
984
Belép!kódokkal való visszaélések, lopás
0,3
90,7
8,9
987
Domain név jogosulatlan használata
0,2
90,6
9,2
987
Forrás: GKIeNet
1. táblázat: Az IT biztonság helyzete az önkormányzatoknál
8
A magyarországi önkormányzatok ICT ellátottsága, használata, Monitoring jelentés az informatikai és Hírközlési Minisztérium részére
25. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
MILYEN INTÉZKEDÉSEKET TETTEK MEG EDDIG A SZÁMÍTÁSTECHNIKAI BIZTONSÁGI PROBLÉMÁK KIVÉDÉSE ÉRDEKÉBEN?
(az összes önkormányzat %-ában)
Van [%]
Nincs [%]
Hiányzó válasz [%]
Válaszolók száma [db]
T-zfal
18,4
63,1
18,5
983
Vírusirtó programok
69,8
22,0
8,2
986
Backup mentések
24,3
54,5
21,2
985
Írott IT biztonsági el!írások
6,4
72,5
21,0
985
Behatolás figyelés
5,4
74,2
20,4
986
SSL titkosítás
2,5
76,4
21,1
984
Forrás: GKIeNet
2. táblázat: IT-biztonsági intézkedések az önkormányzatoknál
Mind az államigazgatásban, mind a gazdaságban a rohamosan terjed! informatikai alkalmazások (adatfeldolgozás, kommunikáció) hatékonysága, m-köd!képessége, megbízhatósága – ezzel együtt az adott ágazat tevékenysége - alapvet!en függ az informatikai biztonság megfelel! kezelését!l, irányításától. Úgy látjuk, hogy a felzárkózás kulcsszava a harmonizáció. Tehát, teljes körjogharmonizáció, harmonizáció az EU IT biztonsággal foglalkozó szervezeti kereteihez, szakmai elvárásokhoz és - természetesen a magyar nemzeti adottságok, sajátosságok, lehet!ségek figyelembevételével - illeszkedés az informatikai stratégiai célokhoz. Az informatikai biztonság megoldatlan kérdései nem csak átmenetileg akadályozzák, hanem hosszú távon is veszélyeztetik az informatika és az azt eszközül használó gazdaság dinamikus továbbfejl!dését és az államigazgatás m-köd!képességét.
26. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
3.3 A magyarországi IT szabályozás rövid áttekintése Az Informatikai biztonsági részstratégia kidolgozása során figyelembe kell venni a hatályos, kapcsolódó jogszabályokat, melyek közül néhányat kiemelünk. (Ebben részben csak egy rövidebb áttekintés szerepel, a részletes elemzés a fejezet 5.1. alpontjában található). Hazánkban gyakorlatilag hiányoznak a mai technológiai rendszereknek, az informatika szerepének, illetve az informatikai rendszerek veszélyeztetettségének megfelel!, az informatikai biztonságra vonatkozó jogi keretek. Javasoljuk kijelölni azokat a szervezeti kereteket a jogi eszközökkel (felel!sségeket, jog és hatásköröket is, úgy, ahogy ez megtörtént az elektronikus aláírás törvényben, a HÍF esetében), amelyek nélkülözhetetlenek az informatikai biztonság kormányzati szintkoordinációjához, hatékony megvalósításához. Az államtitokról és a szolgálati titokról szóló 1995. évi LXV. törvény 25.§ (1) bekezdés szerint "a min!sített adatok védelmének szakmai felügyeletét a belügyminiszter látja el, a honvédségnél, valamint a polgári nemzetbiztonsági szolgálatoknál - e jogkörét a hatáskörrel rendelkez! miniszterrel együttesen gyakorolja”. "A belügyminiszter ajánlása a min!sített adatok kezelésér!l és védelmér!l, a min!sítési hatáskör jogszer- gyakorlásáról és a titokvédelmi rendszer alkalmasságának vizsgálatáról” [Belügyi Közlöny XIV. évfolyam 1. szám, 2003.01.15.] A törvény III. §-a foglalkozik a titokvédelmi alkalmasság vizsgálatával, melynek 2.3.4. alpontja a kommunikációs és informatikai biztonsággal. A 1995. évi CXXV. törvény a nemzetbiztonsági szolgálatokról (az Információs Hivatal) 4.§ h) ellátja a rejtjeltevékenység szakirányítását, hatósági engedélyezését, felügyeletét, és rejtjelkulcsot állít el!. 43/1994. (III.29.) Kormányrendelet a rejtjeltevékenység szakirányításának, hatósági engedélyezésének és felügyeletének részletes szabályairól Az állam- és szolgálati titokról szóló törvényt is módosító 2003. évi, még ki nem hirdetett törvény 13. §-ával módosított 1998. évi LXXXV. törvény a Nemzeti Biztonsági Felügyeletr5l 1. § (1) A Nemzeti Biztonsági Felügyelet (a továbbiakban: Felügyelet) az Északatlanti Szerz!dés Szervezete (a továbbiakban: NATO), a Nyugat-európai Unió (a továbbiakban: NYEU), az Európai Unió Tanácsa és az Európai Bizottság, valamint az EURATOM (a továbbiakban együtt: EU) Biztonsági Szabályzataiban el!írt követelmények érvényesítéséért felel!s, a Miniszterelnöki Hivatal szervezeti keretében m-köd!, önálló feladattal és hatósági jogkörrel rendelkez! szervezet. A személyes adatok védelmér5l és a közérdek- adatok nyilvánosságáról szóló 1992. évi LXIII. törvény
27. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefügg! szolgáltatások egyes kérdéseir!l 2001. évi XXXV. törvény az elektronikus aláírásról Az egyik legújabb informatikai kihívás az elektronikus aláíráshoz kapcsolódik. Az európai uniós ajánlásban foglaltaknak megfelel!en erre vonatkozóan hazánkban is kialakultak a szabályzási feltételek. Az elektronikus aláírásról rendelkez5 törvény megteremti a jogszabályi kereteket az állam- és közigazgatásban és az információs társadalom által érintett más területeken az elektronikus aláírás széleskör-, kötelez! érvénnyel elismert használatához. A törvény bevezeti a különböz! szint- biztonságot megvalósító eszközrendszer használatát feltételez! fokozott és min!sített aláírás fogalmát, mely utóbbi lehet!vé teszi a papír alapú dokumentum kézi aláírásával egyenérték- elektronikus okirat használatát. 15/2001. (VIII. 27.) MeHVM rendelet az elektronikus aláírási termékek tanúsítását végz! szervezetekr!l, illetve a kijelölésükre vonatkozó szabályokról 16/2001. (IX.1.) MeHVM rendelet az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekr!l 2/2002. (IV.26.) MeHVM irányelv a min5sített elektronikus aláírásokkal kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó biztonsági követelményekr!l 2001. évi XL törvény a hírközlésr5l. 2001 júniusában az Országgy-lés elfogadta a 2001. évi XL törvényt a hírközlésr!l, mely 2001. december 23-án lépett hatályba. A törvényhez kapcsolódóan a versenypiac kialakítását célzó legsürg!sebb kormány- és miniszteri rendeletek elkészültek. Az új szabályozás bevezetése után kiderült, hogy pontosításra, módosításra szorul, ezért folyamatban van a módosítása. 2003. évi LXXX (VI.23.) törvény az államtitokról és a szolgálati titokról szóló 1995. évi LXV. törvény, valamint az azzal összefüggésben más törvények módosításáról Az Informatikai biztonsági részstratégia készítése közben az országgy-lés elfogadta az államtitokról és a szolgálati titokról szóló 1995. évi LXV. törvény, valamint azzal összefüggésben más törvények módosításáról szóló törvényjavaslatot, mely bevezeti a négyfokozatú min!sítés- rendszert, ezzel egyrészt megvalósította a magyar min!sítési rendszer NATO, EU, EURATOM és NYEU harmonizációs célú átalakítását, megszüntette a még meglev! min!sítési automatizmusokat. A törvényjavaslat az EU min!sített információk védelmére a Nemzeti Biztonsági Felügyeletet jelöli ki. A fejlett országok gyakorlatával ellentétben az informatikai biztonság helyzetére hazánkban jellemz!, hogy • súlya, kezelése nincs arányban a fontosságával, • szétaprózódik a különböz! részterületek irányítása alatt, • jogszabályi és irányítási hiányosságok korlátozzák számos területen,
28. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
• nincs egységesen alkalmazott módszertana, szakmai elvárás-rendszere és • nem kapcsolódik a f! nemzetközi áramlatokhoz. A jogszabályokon túl egyéb, nemzetközi kötelezettségekb!l adódó követelményeket is figyelembe veszünk a munkánk során. Ilyen, pl. a Számítástechnikai bUnözés elleni egyezmény, melyet 47 állam írt alá Budapesten 2001. november 23-án. Az egyezmény alapvet! célja "közös büntet!jogi politika kialakítása, a társadalom védelmének biztosítása a számítástechnikai b-nözéssel szemben, többek között megfelel! jogszabályok elfogadásával és a nemzetközi együttm-ködés el!segítésével". A nemzetközi egyezmény megszületését egyre szaporodó és egyre veszélyesebb "számítógépes b-ncselekmények" (a számítógépes csalás, a szerz!i jogok megsértése, a gyermekpornográfia terjesztése, a számítógépes hálózatok biztonsága elleni cselekmények) és ezeknek az egyes országok fizikai és saját igazságszolgáltatási határait egyaránt túllép! jellege indokolta. Az Egyezmény nyomán a magyar büntet!jog, illetve a Büntet5 Törvénykönyv az alábbi tényállásokat kezeli számítógépes b-ncselekményekként (számítógépes b-nözésként): • 300/C. §. Számítástechnikai rendszer és adatok elleni b-ncselekmény, • 300/E. §. Számítástechnikai rendszer védelmét biztosító technikai intézkedés kijátszása, • 312/B. §. Fedezetlen bankkártya felhasználása, • 313/B. §. Bankkártya-hamisítás, • 313/C. §. Bankkártyával visszaélés, • 329/A. §. Szerz!i vagy szerz!i joghoz kapcsolódó jogok megsértése, • 329/B. §. Szerz!i vagy szerz!i joghoz kapcsolódó jogok védelmét biztosító m-szaki intézkedés kijátszása és • 329/C. §. Jogkezelési adat meghamisítása. PECA egyezmény (Protocol on European Conformity Assessment) Ebben az egyezményben hazánk vállalta, hogy az EU-s /CEN, CENELEC és ETSI/ szabványokat elfogadjuk, tanúsító szervezeteket jelölünk ki (és jelentünk be az EUnak) 8 területen, ebb!l 2 közvetve érinti az informatikai biztonságot is (LVD9, EMC10 direktívák). 9 10
Low Voltage Device /LVD/ (93/68/EEC), Kisfeszültség- berendezések Electromagnetic compability /EMC/ (98/13/EC), Elektromágneses összeférhet!ség
29. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
A PECA egyezmény alapján a MEEI és a TÜV bejelentett (vagyis az egyezmény keretében bejelentett [notified] és az EU hivatalos lapjában is közzétett) vizsgálati és tanúsító szervezet, így vizsgálati eredményeit és tanúsítványait az EU tagállamok is elfogadják. Hiányosság azonban, hogy nem csatlakoztunk a PECA egyezményhez hasonló, de közvetlenül az informatikai biztonságra vonatkozó nemzetközi egyezményekhez, köztük els!sorban a Common Criteria CCRA11-jához.
3.4 A szervezeti keretek A 2004-ben várható EU csatlakozásunkig nem csak a jogszabályokban kell rögzíteni az EU-ban bevezetett négy, min!sített kategóriát, hanem - a jogszabályi rendszeren kívül - a szervezeti rendszer összhangját is meg kell teremteni azért, hogy az EU szervezeteihez történ! csatlakozás és a kapcsolattartás is megoldható legyen. A szervezeti keretek Magyarországon szétforgácsoltak, és lefedetlen területek is vannak. A legtöbb fejlett informatikai szinten álló európai országban létezik ún. InfoSec (hatóság/hivatal). A legtöbb fejlett országban az informatikai biztonságot egy központi kormányszerv (hatóság vagy hivatal) fogja össze /pl. UK: CESG, Németország: BSI, Franciaország: DCSSI, USA: NSA és NIST/ Magyarországon nincs központi felügyelet, irányítás. Több szervezet felel5s a különböz5 részterületekért, és ezek dönt5 többsége is csak a min5sített információk védelmére irányul, ezért maradnak lefedetlen részterületek. Magyarországon középtávon szükséges egy kormányzati Informatikai Biztonsági Felügyelet (InfoSec) felállítása, melynek (egyéb szervezeti módosításokig) együtt kell m-ködni a min!sített információk védelmére kijelölt jelenlegi szervezetekkel, például: • a papíralapú titokvédelemért felel!s szervezettel (BM Titokvédelmi Iroda), • a ComSec hatósággal (Országos Rejtjelfelügyelet) és • a NATO és EU titokvédelemmel foglalkozó Nemzeti Biztonsági Felügyelettel (52/2002./III.26./ Korm. rend., 2003. évi, kihirdetés el!tt álló törvény) stb. A titokvédelemben jelent!s hiányt okoz az, hogy amíg a BM Titokvédelmi Iroda szakszer- és szigorú felügyeletet gyakorol a papíralapú min!sített adatok védelmére, az ilyen jelleg- információkat túlnyomórészt számítástechnikai rendszerekben készítik, jelent!s részben tárolják, telekommunikációs eszközökkel továbbítják, amelyek védelmével hatósági vagy felügyeleti szinten nem foglalkoznak. Minderr!l, és a szükséges új szervezetek közötti lehetséges hatáskörmegosztásról részletesebben az 5.1.3. alpont szól.
11
CCRA /Common Criteria Recognition Arrengement, Megállapodás a Közös Szempontrendszer szerinti tanúsítványok elfogadására/
30. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Az informatikai és hírközlési miniszter feladatkörér!l a következ!k szerepelnek az informatikai és hírközlési miniszter feladat- és hatáskörér!l szóló 141/2002. (VI. 28.) Korm. rendelet-ben: 4. § (1) A miniszter az informatika és a hírközlés tekintetében - a külön jogszabályok és e rendelet alapján - az érintett miniszterekkel együttm!ködve, önállóan intézkedik (kidolgozza, gondoskodik a bevezetésr l és a végrehajtás ellen rzésér l) d) az információs technológiákkal szemben fellép veszélyek elleni védekezésre alkalmas biztonsági szabványok, rendszerek kialakításáról, alkalmazásáról, elterjesztésér l…
A miniszter informatikával és hírközléssel kapcsolatos kiemelt feladatai a következ!k: 6. § (1) A miniszter az informatika és a hírközlés területén (3) A miniszter a technológiai fejlesztések el segítése érdekében a) meghatározza aa) az informatikai biztonság jogszabályi, technológiai követelményeit, együttm!ködve az érintett miniszterekkel…
Kormányzati Informatikai és Társadalmi Kapcsolatok Hivatala feladati közé tartozik a kormányzati informatika általános feladatai körében: • a kormányzati elektronikus közbeszerzés rendszerének megvalósításáról, • a kormányzati m-ködtetésér!l,
integrált
készenléti
rádiórendszer
létrehozásáról,
• az elektronikus kormányzati gerinchálózat kiépítésér!l, üzemeltetésér!l és • a kormányzati elektronikus aláírás rendszer megvalósításáról és üzemeltetésér!l való gondoskodás. A Hírközlési Felügyelet 2001. december 23-án, a korábbi Hírközlési F!felügyelet és területi felügyeletei átalakításával, annak jogutódaként jött létre, központi közigazgatási szervként. Jogállását a hírközlésr!l szóló 2001. évi XL. törvény, valamint a Hírközlési Felügyeletr!l és a Hírközlési Felügyelet szervei által kiszabható bírságokról szóló 248/2001. (XII. 18.) Kormányrendelet határozza meg. A Hírközlési Területi Hivatal 6 területi irodája útján látja el az els!fokú hatósági, valamint a hatósági munkához szükséges mérésügyi feladatokat. A Kormány 151/2001. (IX.1.) Korm. rendelete a Hírközlési F!felügyeletnek az elektronikus aláírással kapcsolatos feladat- és hatáskörér!l, valamint eljárásainak részletes szabályairól rendelkezik.
31. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
3.5 Szakmai szervezetekkel történ5 egyeztetések Az IBRS nem csak dokumentumok (jogszabályok, az interneten elérhet! irányelvek, stratégiák, elkészült felmérések) alapján készült, hanem célirányos konzultációk eredménye is felhasználásra került. A nemzetközi felméréshez a HÍF és az IHM segítségével több fontos nemzetközi szervezet illetékese kapta meg a kérdéseket tartalmazó levelet, a hazai tapasztalatok és elvárások pedig a széleskör- konzultáció alapján kerültek beépítésre a stratégiába. A hazai vélemények felméréséhez az informatika-biztonság, kormányzati informatika, e-kormányzat témakörökben leginkább illetékes kormányzati terület, valamint néhány a témában jelent!s tapasztalattal rendelkez! szakmai szervezet és informatikai cég képvisel!ivel történtek konzultációk. A konzultáció-sorozat alapján az alábbi (államigazgatási, szakmai és gazdasági szervezeteknek megfelel! csoportosításban felsorolt) szervezetek illetékeseinek konzultációkon elhangzott – többször megegyez!, de néhányszor egymásnak ellentmondó - véleményét tükrözi a stratégia (a vélemények rövid összefoglalása az 5. mellékletben szerepel): • Belügyminisztérium Miniszteri Kabinet Titokvédelmi Iroda, • Hírközlési Felügyelet elnöki megbízott, • Hírközlési Felügyelet Biztonsági Osztály, • Hírközlési Felügyelet Informatikai Szabályozás Osztály, • Hírközlési Felügyelet Távközl!rendszerek Osztály, • HM Információ- és Dokumentumvédelmi F!osztály, • Informatikai és Hírközlési Minisztérium Ágazati Együttm-ködési F!osztály, • Informatikai és Hírközlési Minisztérium Szabályozási F!osztály, • Informatikai és Hírközlési Minisztérium Védelemszervezési Önálló Osztály, • Kormányzati Informatika és Társadalmi Kapcsolatok Hivatala Kormányzati Hálózati F!osztály, • Külügyminisztérium Informatikai és Távközlési F!osztály, • Országos Rejtjelfelügyelet, • Nemzeti Biztonsági Felügyelet, ----------------------------------------------------------------------------------------------------• Nemzeti Hírközlési és Informatikai Tanács, • Internet Szolgáltatók Tanácsa,
32. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
----------------------------------------------------------------------------------------------------• BULL Magyarország Kft. (az intelligens kártya részstratégia készít!je), • HM Elektronikai, Logisztikai és Vagyonkezel! Rt., • HP Magyarország Kft., • HunGuard Kft. Elektronikus aláírási termékeket Tanúsító Divízió, • KÜRT Computer Rendszerház Rt., • MONTANA Rt., • NOREG Információvédelmi Kft., • SYNERGON Rt. Biztonsági Tanácsadási Üzletág, • T-Systems RIC Kft. (PKI részstratégia készít!je).
33. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
4. NEMZETKÖZI HELYZETKÉP, KÖVETELMÉNYEK ÉS ÚTMUTATÁSOK Az informatikai biztonsággal kapcsolatos nemzetközi kitekintés els!sorban az interneten hozzáférhet! informatikai biztonsági stratégiákkal, nemzeti célokkal, cselekvési tervekkel foglalkozó dokumentumok alapján készült. (A 28 ország tapasztalatára kiterjed! átfogó, esetenként részletes elemzés a II. kötetben található.) Habár az adatok eltér! társadalmi, gazdasági és technikai környezetekb!l származnak, és az eredmények közvetlenül nem is vonhatók össze (a használt fogalmak tartalmi eltérései és a különböz! technikák miatt), de az áttekintésb!l kiolvashatóak azok a tendenciák, amelyekre a döntések kialakításánál Magyarországon (is) támaszkodni lehet. A nemzetközi kitekintésb!l az informatikai biztonsággal kapcsolatosan megfogalmazott elvek és megvalósított nemzeti programok részleteikben is megismerhet!k. Az elemzés reprezentáns adatokat és mutatókat tartalmazó táblázatokat is tartalmaz, amelyben a nemzetközi szervezetek több ország adatait hasonlítják össze. A nemzetközi kitekintésben szerepel, hogy milyen IT biztonsági kérdésekre koncentrálnak a jelenlegi Európai Uniós országok (Ausztria, Egyesült Királyság, Hollandia, Franciaország stb.) és a közeljöv!ben csatlakozó országok (Csehország, Észtország, Lengyelország stb.), továbbá az EU-n kívüli Japán, Kanada, Málta, Norvégia, Svájc és Szingapúr. Külön blokkban található néhány - a problémakör szempontjából iránymutató ország informatikai biztonsági stratégiai elképzelésének részletes kifejtése (USA, Ausztrália, Németország, Finnország és Svédország). Hasznos információkat ad az informatika szerepének, ezen belül az informatikai biztonság megítélésének általános helyzete, az egyes kormányzati szerepvállalások megközelítése (pl. a nemzeti szabályozó hatóságok, az ún. NRA-k feladatvállalása). Nem hagyhatók figyelmen kívül a TransAtlantic Business Dialogue (TABD) szervezet ajánlásai, amelyeket a globális biztonsági kultúra megteremtése, valamint az állami és magánszektor IT-biztonsági együttm-ködésének el!mozdítása érdekében fogalmaztak meg, és melyekkel az USA és az Európai Unió kormányai is egyetértenek. A nemzetközi kitekintésben szerepel az európai közösségi biztonsági szabályozások néhány meghatározó dokumentumának (EU Direktívák, OECD állásfoglalások) részletesebb ismertetése, melyeket a csatlakozó Magyarországnak figyelembe kell vennie Az alábbiakban összefoglaljuk a Magyarországot is érint! fontosabb ajánlásokat és direktívákat.
34. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
4.1 EU direktívák Az Európa Tanács legfontosabb informatikai biztonsággal kapcsolatos direktíváinak már a címei is mutatják a közeljöv!ben megoldásra váró feladatainkat: • Directive 97/66/EC of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector (Az Európa Parlament és a Tanács 97/66/EC számú direktívája a személyes adatok feldolgozására és a személyiségi jogok védelmére a telekommunikációs szektorban), • Network and Information Security: Proposal for a European Policy Approach (Hálózati és informatikai biztonság: Javaslat “európai irányelvekre”), • on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data (Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000), (Az egyének védelmér!l a személyes adatok feldolgozásának vonatkozásában az EU intézményeiben és testületeiben, valamint az ilyen jelleg- adatok szabad mozgásáról), • eEurope Action Plan: Information and Network Security (the Resolution of the Council of 30 May 2001) (eEurope akcióterv: Információ- és hálózatbiztonság, a tanács 2001. május 30-i határozata.), • the eEurope 2002 Action Plan endorsed by the Feira European Council of 19 and 20 June 2000 (e-Europe akcióterv: jóváhagyva 2000. június 20-án az Európa Tanács által) és • concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive 2002/58/EC of the European Parliament and of the Council of 12 July) (Az Európa Parlament és a Tanács 2002/58/EC számú direktívája a személyes adatok feldolgozására és a magánszféra védelmére vonatkozóan az elektronikus kommunikációs szektorban). Az Európa Tanács 2002/C 43/02 sz. határozatában (Megjelent: Official Journal of the European Communities 16.2.2002) többek között felkéri a tagállamokat, hogy • 2002 végéig indítsanak információs és oktatási kampányokat, illetve fokozzák ezeket abból a célból, hogy • a számítógépes hálózatok és az információ védelmének ismereteit növeljék, • ezeket a kérdéseket kiemelten kezeljék a vállalatok, az egyéni felhasználók és a nagyközönséget szolgáló ügykezel!k körében, • növeljék a tudatosságot a magánszektorra nézve, beleértve az internetszolgáltatókat is és
35. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
• ösztönözzék a magánszektor kezdeményezéseit is, • támogassák, különösen a kis- és közép méret6 vállalatoknál az információbiztonság menedzsmentjének a nemzetközileg elfogadott szabványokon alapuló gyakorlati módszereit, ahol ez lehetséges, • vizsgálják felül a nemzeti intézkedéseknek a hatékonyságát a számítógépes vész-reakciók vonatkozásában, amelyek magukban foglalhatják a vírusriadóztatási rendszereket is, • mozdítsák el! a Common Criteria szabványnak (ISO/IEC-15408) használatát és a vonatkozó tanúsítványok kölcsönös elfogadását és • az EU-n belüli és nemzetközi együttm6ködés megkönnyítését szem el!tt tartva, cseréljenek információt egymással és a Tanácskozó testülettel azokról a szervezetekr!l, amelyek a területükön felel!sek a hálózatok és információk biztonsági ügyeiért. Annak ellenére, hogy az állásfoglalásban szerepl! határid!k némelyike lejárt, Magyarország 2004. évi csatlakozását figyelembe véve a fenti feladatok fontossága nem lehet kétséges. Az e-Europe 2005 akcióterv (a 2002. január 28-i Tanácsi Határozatban fogadták el) a már meglev! alapok továbbfejlesztését t-zte ki célul. Legfontosabbnak egy Kiberbiztonsági Taktikai Egység (CSTF) létrehozását tekintették, melynek már 2003 közepére m-ködnie kell. Az akcióterv másik irányvonala az elektronikus levelezés és a hozzáférési stratégiák, valamint a rejtjelezés alapú elektronikus aláírás és azonosítás továbbfejlesztése. A program további f! része a “Hálózat- és információbiztonság javítása” és a “Kiberbiztonsági feladatok létesítésének el készületei”, ahogy az el!re jelzett volt az e-Europe 2005 akciótervben. A biztonság kultúrájának fejlesztése érdekében tudatosítási kampányt indítanak az akcióterv során, támogatják a legjobb gyakorlat kialakítását, az információcsere javítását a privát és az állami szektor között, illetve nemzetközi szinten. Ugyancsak tovább kívánnak lépni az intelligens kártyák fejlesztése és bevezetése terén. A biztonsággal kapcsolatos kutatásokat továbbra is egy keretprogram keretében támogatják, amelyben az alábbi akciókra kerül sor: • egy kiberbiztonsági taktikai egység létrehozása, • a biztonság kultúrájának terjesztése, • a biztonságos kommunikáció kialakítása az állam- és közigazgatásban.
36. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
4.2 Javaslat az európai biztonsági ügynökség felállításáról Az Európai Unió Tanácsának készült javaslat [2003/0032 (COD), 2003.05.15.] tartalmazza, hogy a tervek szerint 2004. januárjában (egyel!re ötéves id!tartamra) az Európai Parlament és Tanács égisze alatt megkezdi m-ködését az ENISA (European Network and Information Security Agency) ügynökség. Az Ügynökség feladata az lesz, hogy segítse az információs társadalomban egyre inkább létérdekké váló informatikai biztonság megteremtését. Az Ügynökséggel való szoros együttm-ködés szükséges, hiszen nemcsak a hazai tudományos és technikai életre lehet ösztönz! hatással, hanem a biztonságos megoldások gyorsabb elterjesztése révén az informatikai felzárkózást is gyorsítaná.
4.3 Az OECD ajánlás Az OECD tanácskozó testülete több, az információs társadalmat és az informatikai biztonságot is érint! állásfoglalást tett közzé, például a Tanácskozó Testületnek az Ajánlásait az 1997. március 27-én kelt, „A kriptográfiai politikára vonatkozó irányelvek” tárgyában [C(97)62/Végs!] vagy az 1998. december 7-9-én kelt, “Hitelesítés az elektronikus kereskedelemben” tárgyú miniszteri nyilatkozat [a C(98)177 Függeléke/Végs!]). Az "OECD Guidelines for the Security of Information Systems and Networks, Towards of Culture of Security" cím- 2002-ben készített dokumentumában leszögezték az alábbiakat: • Az Ajánlás Függelékében felállított „Irányelvek az információs rendszerek és hálózatok biztonságára: El!re egy biztonsági kultúra felé!” irányelv önkéntes és nem befolyásolja a nemzetek szuverén jogait. • Ezek az Irányelvek nem keltik azt a látszatot, hogy a biztonságra valamilyen egységes megoldás létezik, vagy hogy milyen politikák, gyakorlati módszerek, intézkedések és eljárások a megfelel!k egy konkrét szituáció esetén. Ezzel szemben keretbe kívánják foglalni azokat az elveket, amelyek el!segítik annak jobb megértését, hogy a résztvev!knek milyen hasznuk származik egy biztonsági kultúra kialakításában és annak is, hogy hogyan vehetnek ebben részt. Az irányelvek világosan jelzik, hogy véget kell vetni azoknak az id5knek, amikor a hálózatok és rendszerek biztonságos tervezése és felhasználása rendszerint csak utólag került meggondolásra. A résztvev!k egyre jobban függ!vé válnak az információs rendszerekt!l, hálózatoktól és a kapcsolódó szolgáltatásoktól, amelyek mindegyikének megbízhatónak és biztonságosnak kell lennie. Csak olyan megoldások nyújthatnak hatékony védelmet, amelyek kielégít! módon figyelembe veszik az összes résztvev! érdekeit és a rendszerek, hálózatok és kapcsolódó szolgáltatások jellemz!it egyaránt.
37. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Kilenc alapelvet fogalmaztak meg, melyek egymást kiegészítik, így azokat egységes egészként kell kezelni. Ezek az elvek: Tudatosság, Felel sség, Reagálás, Etika, Demokrácia, A kockázatok felbecsülése, Biztonság-tervezés és megvalósítás, Biztonságmenedzsment, Ismételt felmérés. Az OECD ajánlás részletesen olvasható az 1. számú mellékletben. A Biztonsági Irányelveken kívül az OECD kiegészít! ajánlásokat is kifejlesztett, amelyek a világ információs társadalma számára fontos egyéb kérdésekre vonatkozó irányelvekkel foglalkoznak. Ezek a személyiségi jogokra (az 1980.-ban kiadott OECD Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data – OECD irányelvek a személyiségi jogok védelmének és a személyi adatoknak határokon keresztüli áramlásának szabályzásához) és a kriptográfiára (az 1997-ben kiadott OECD Guidelines for Cryptography Policy – OECD Irányelvek a kriptográfiai politikához) vonatkoznak. A Biztonsági Irányelveket ezekkel együttesen kell értelmezni. A kriptográfiai célokat a fenti OECD ajánlás többek között az alábbiakban fogalmazza meg: • a kriptográfiai eszközök alkalmazásának el!segítése az adatbiztonság és a magánszféra védelmének er!sítésére, • a kriptográfiai eszközök olyan támogatása, amely nem jár közbiztonság a b-nüldözés és a nemzetbiztonság indokolatlan veszélyeztetésével, • a köz- és a magánszféra döntéshozóinak támogatása abban, hogy implementáljanak a titkosítás hatékony felhasználása érdekében megfelel! módszereket, intézkedéseket, gyakorlatokat és eljárásokat fejlesszenek ki, alkalmazzanak. Az alábbi irányelveket dolgozták ki: • a kriptográfiai eljárásokba vetett bizalom elve (a kriptográfiai eljárásoknak megbízhatóaknak kell lenni), • a választás szabadságának az elve (a felhasználók szabadon választhassanak megbízható eljárások között), • a kriptográfiai módszerek piaci fejlesztésének elve, • a szabványok alkalmazásának elve (az interoperábilitás nélkülözhetetlen feltétele), • a magánszféra és a személyes adatok védelmének elve, • a jogszer- hozzáférés elve (nemzeti szabályozásokra bízza a közérdek és a visszaélési lehet!ségb!l adódó veszélyek összhangjának megteremtését), • a felel!sség elve (a kriptográfiai szolgáltatásokat nyújtó, igénybe vev! felekre),
38. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
• a nemzetközi együttm-ködés elve (módszerekben, szabályokban, a területen átmen! titkosított üzenetek engedélyezésében).
4.4 Nemzetközi szabványok, ajánlások és módszertanok Az információs rendszerekkel szemben támasztott részletes informatikai biztonsági követelményeket legjobban a nemzetközi biztonsági módszertanok figyelembevételével határozhatjuk meg. Ezek segítségével állapíthatjuk meg, hogy a javasolt informatikai megoldások (operációs és alkalmazói rendszerek, speciális adatvédelmi kiegészít!k) megfelelnek-e az elvárásoknak. Az értékeléshez fel kell használni a kiválasztott rendszerekre hozzáférhet!, nemzetközi hatóságok által elfogadott informatikai-biztonság kiértékelési eredményeket. A szabványként (is) elfogadott módszertanok alkalmazása fontos, melyek közül kiemeljük a következ!ket: • MSZ ISO/IEC 17799: 2002 Az informatikai biztonság menedzselésének eljárásrendje, • MSZ ISO/IEC 15408-1: 2002 Common Criteria, Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai. 1. rész: Bevezetés és általános modell (idt ISO/IEC 15408-1:1999), • MSZ ISO/IEC 15408-2: 2003 Common Criteria, Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai. 2. rész: A biztonság funkcionális követelményei (idt ISO/IEC 15408-2:1999), • MSZ ISO/IEC 15408-3: 2003 Common Criteria, Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai. 3. rész: A biztonság garanciális követelményei (idt ISO/IEC 15408-3:1999). A 2. mellékletben kiemelünk az informatikai biztonsággal, szoftver min!ségbiztonsággal foglalkozó további néhány szabványt, módszertant, melyeket szükséges megismerni, alkalmazni. Fontos felhívni a figyelmet arra, hogy a szabványok folyamatos frissítést igényelnek.
4.5 A bemutatott országok biztonsági törekvéseinek összevetése A nemzetközi kitekintésb!l 28 ország IT-biztonsági vezérl! elvei, programjai és az intézkedések tanulságai ismerhet!k meg. A legtöbb esetben (különösen a részletes ismertetésekb!l) országonként is követhet! a nemzetközi ajánlások elvi hatása és megvalósítása. A (földrajzi, társadalmi, gazdasági és technikai szempontból, illetve id!ben) jelent!sen eltér! programok sokféleképpen értékelhet!k, de ezek közül Magyarország szempontjából jelenleg az EU direktívákkal való összevetés a leghasznosabb, a megítélésünk szerint.
39. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Ezek alapján az alábbiakban (röviden) áttekintjük a nemzetközi helyzetképet, amelyet a 244 oldalas II. kötet részletesen tartalmaz.
4.5.1 Információs és oktatási kampányok (tudatosság növelése) Ausztriában a belügyminisztérium honlapján rendszeresen közzé teszik a számítógépes csalásokat, bankkártya visszaéléseket és gyermek-pornográfiával kapcsolatos b-neseteket. Az osztrák közigazgatásban felmerül! biztonsági problémák kezeléséhez segítséget nyújt a korábban forgalomban lév! és id!nként aktualizált ITbiztonsági kézikönyv. A dán kormány IT Biztonsági Tanácsa rendszeresen biztonsági ajánlásokat készít az állami vállalatoknak és magáncégeknek. Írországban az Adatvédelmi Bizottsági Hivatal szórólapokon és az interneten keresztül tájékoztatja a nyilvánosságot az adatvédelemr!l. A brit kormány információbiztonságért felel!s nemzeti technikai hatósága tanácsadással segíti az IT biztonsági politika megfelel! kialakítását a felhasználóknál. A veszélyek tudatosítását és kezelését információs kampány formájában támogatják Hollandiában. Az Amerikai Egyesült Államokban nemzeti programként, kormányirányítással, a különböz! ágazatok, kormányzati és magánszervezetek, illetve más szerepl!k bevonásával érik el a biztonság tudatosítását és a képzést. Kormányzati szinten támogatják az egyetemeket, f!iskolákat a tudatosságot megvalósító programok és anyagok kidolgozására és információ szétosztó központok m-ködtetésére. Ausztráliában biztonsági kézikönyv-gyUjtemény támogatja a kormányügynökségeket a titkos, illetve nem titkosnak min sített információk és eszközök védelmét. A finn Nemzeti Információbiztonsági Stratégia kiemelt területe az információbiztonsági tudatosság és ismeretek fejlesztése. Svédország IT-biztonsági stratégiai javaslata az alapvet5 biztonsági követelményeik között említi meg a biztonság-tudatosság alaptényez!vé emelését.
4.5.2 A kis- és közép méretU vállalatok támogatása a biztonság terén Az Egyesült Királyság 2000. évi költségvetésében különleges adókedvezményt vezettek be annak érdekében, hogy a kis- és középvállalatok online módon legyenek elérhet!k. (Az érintettek az új információtechnológiai vagy e-kereskedelmi befektetéseik költségét teljes egészében leírhatják adójukból.) Minden e-kormányzati szolgáltatáshoz egyedi hozzáférési pontot biztosítanak 2003 közepére Írországban, amely az esélyegyenl!ség támogatása.
40. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Az e-kereskedelem (amely Spanyolországban nagyobb részben a vállalatok és a fogyasztók között történik) támogatására a spanyol kormány regionális telekommunikációs akcióprogramot dolgozott ki. Az ausztrál kormány 2001 szeptemberében több kezdeményezést is elindított az informatikai biztonság nemzeti megvalósítására, amelynek része a kis és közép vállalatok támogatása. A kisvállalatok tulajdonosainak és üzemeltet!inek biztonsági a támogatására program indult Ausztráliában, amely információk szolgáltatása mellett elektronikus hitelesítési esettanulmányokat is tartalmaz.
4.5.3 A számítógépes vész-reakciók kezelése Ausztriában a Kancellária szervezésében IT biztonsági figyel5rendszert állítottak fel kormányzati intézmények és az internet-szolgáltatók számára. Minisztériumi felügyelettel vírusfigyel5 központot m-ködtetnek Belgiumban. Dániában már 1991 óta m-ködik számítógépes vészhelyzet elhárító csoport (CERT). Háromféle CERT is létezik Franciaországban: a nyilvánosság számára, a közigazgatást kiszolgáló és a zárt hálózaton m-köd!. Lengyelország létre kívánja hozni 24 órás figyel! szolgálatát (kríziskezel! centrumokat), amely az ICT hálózatok elleni támadások felismerésével foglalkozik. Norvégiában a digitális infrastruktúrákat fenyeget! veszélyek feltérképezése, a veszélyek mértékének felbecsülése és a korai figyelmeztetés egy vegyes vállalat feladata, amelynek tagjai a norvég hírszerzési és biztonsági szolgálatok, magánvállalatok és operátorok. Svájcban az információtechnológiai stratégiai szervezet egy olyan kríziskezelési rendszert alakított ki, amely két elemet tartalmaz: egy állandó információbiztonsági elemz5 és jelent5 központot (az adatgy-jtésért és helyzetelemzéséért felel!s) és a korai figyelmeztetésért felel!s rendszert. Az Amerikai Egyesült Államokban az informatikai és telekommunikációs ágazatra leselked! veszélyeket két alapvet! szempont szerint csoportosítják: a támadók szerint és a támadás jellege alapján. Alapos informatikai kockázatelemzést végeznek, meghatározzák a rendszereik fizikai és logikai sebezhet5ségeit, és több rétegU védelem kialakítására törekszenek. Mindezeket és a számítógépes vész-reakciók kezelését többszint- szervezeti rendszerrel, jelent!s központi támogatással érik el. A kormányzati szint- irányelvek, eljárások, szabványok megvalósítását külön központi hivatal ellen!rzi. Az informatikai biztonsági eseményekre reagáló rendszer kialakításáért az Amerikai Egyesült Államokban a Nemzetbiztonsági Minisztérium a felel!s. Az ausztrál CERT szervezet els!dleges feladata a pontos és megbízható, továbbá id!beli tájékoztatás a hálózati fenyegetésekr!l és a rendszerek sebezhet5ségér!l, de e mellett tanácsadással és informatikai biztonsági szakképzéssel is foglalkozik.
41. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
4.5.4 A Common Criteria szabvány bevezetése Az angol Kabinet Hivatal Biztonsági Részlege gondoskodik a megfelel! biztonságpolitika kialakításáról és a biztonsági szabványosítás általános követelményekké emelésér!l. Ausztráliában a biztonsági értékeléseket 1995-t!l, nemzetközileg elismert szabványok (ITSEC és CC) alapján programként végzik. A svéd Védelmi Törvényjavaslatban a kormány egy hivatalra bízta azt a feladatot, hogy (a Common Criteria alapján) alakítson ki egy értékelési és hitelesítési sémát. A svéd kormány által kinevezett bizottság az IT-termékek biztonsági tanúsítására az információtechnológiai biztonság Közös Szempontrendszere (CC) szerinti értékelést, illetve szervezeten belüli alkalmazásra egy svéd nemzeti szabványt javasol. Nemzetközi együttm-ködés tekintetében pedig ajánlást fogalmaz meg az “ITbiztonsági tanúsítványok nemzetközi elismerésér l szóló megállapodás” aláírására.
4.5.5 Csatlakozás nemzetközi biztonsági együttmUködésekhez Az Európa Tanács jóváhagyta és anyagilag támogatja Görögország információs társadalom fejlesztési tervét (amely számos biztonsági elemet tartalmaz). Luxemburg különös súlyt fektet a szoftverekkel kapcsolatos szellemi termékek védelmére (csatlakozott szerz!i jogokkal és szabadalmakkal kapcsolatos nemzetközi egyezményekhez). Ciprus követi az európai modellt az információs és kommunikációs szektor liberalizálása terén. A Cseh Tudományos Akadémia M-szaki Központja (az egyetemekkel együtt) csatlakozott egy olyan hazai szervezethez, amelynek célja egy biztonságos, a nemzeti és nemzetközi tagokat is összeköt! gerinchálózat kialakítása. Lengyelország a titkosítási szabályozásokat ez EU-val együttm-ködve, az OECD kriptográfiai irányelvek szem el!tt tartásával kívánja meghozni (mérlegelni kívánja az állami érdekeket a személyiségi jogok elismerése mellett). A szlovén e-kereskedelmi törvény követelményeket állít fel a fizikai és elektronikus védelemre és biztonság ellen5rzésre, a vonatkozó EU-s adatvédelmi törvényekkel összhangban. Norvégiában az Információs Garancia Központ operatív és analitikus feladatokat lát el a biztonság területén, és támogatja, hogy az információs b-nözés üldözésére szolgáló törvénykezés összhangba kerüljön a nemzetközi törvényhozással. Az Amerikai Egyesült Államok szorosan együttm-ködik a legtöbb nemzetközi szervezettel (pl. OECD, APEC, OAS) és a gazdasági élet ágazatainak képvisel!ivel egyfajta világméret- “biztonsági kultúra” kialakítása érdekében.
42. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Ausztrália és Új-Zéland létre hozott egy non-profit önfenntartó közös nemzetközi szervezetet, amelynek feladata a menedzsment rendszerek, az informatikai termékek és a személyzet min!sítése. Ausztrália követi az OECD ajánlásait és együttm-ködik az Amerikai Egyesült Államok, Egyesült Királyság, Kanada és Új-Zéland CERT szervezeteivel.
4.5.6 Az elektronikus aláírás és azonosítás elterjedése Ausztria az elektronikus aláírás EU-direktíváját igen korai szakaszban alkalmazta (az elektronikus aláíráshoz alkalmazható, eltárolt kulcsokra és min5sített tanúsítványokra alapuló rendszert vezettek be az állampolgári kártyák esetében), és ezt a programot az e-Europe 2005 akcióterv irányvonalaként folytatják. Az egyik legbiztonságosabbnak tartott hitelesítés-szolgáltató rendszer Belgiumban üzemel, amely 30 bankot kapcsol össze, így a legnagyobb a piacon. Dánia az európai országok közül az els!k között volt, ahol megvalósították az elektronikus aláírásra vonatkozó EU-direktívát. Az e-kormányzat egyik legsikeresebb alkalmazása az adóügyek elektronikus intézése Dániában. A brit e-kormányzat jelenleg az egyik legfejlettebb a világon, de várhatóan !k sem képesek megvalósítani azt a célt, hogy az összes kormányszolgáltatás online legyen 2005-re. Franciaországban a rejtjelezési algoritmusok szabad használatának deklarálása mellett elismerték az elektronikus aláírást is a vonatkozó EU-direktíva szerint. A holland kormány e-kormányzati kezdeményezéseken keresztül támogatja a társadalom közvetlen (online) adminisztrációs tevékenységét (könnyen elérhet! ekormányzat, kormányzati web-oldal üzemeltetése, törvények online terjesztése stb.). Portugáliában a „Nemzeti kezdeményezés az elektronikus kereskedelemért” programmal támogatják az e-kereskedelem terjedését és a tranzakciók biztonságát, továbbá a személyi adatok, a fogyasztói jogok és a magántulajdon védelmét. Egy elektronikus dokumentumnak - akárcsak a hagyományos értelemben vett dokumentumoknak – hitelesítettnek kell lennie Japánban. Kanadában a kormányzati online-t kiterjesztik a kormány ügyfelei számára a PKI esetében (és lehet!vé teszik a tanúsítványok kibocsátását és kezelését a saját alkalmazottaik számára is). A szingapúriak egészségügyi adatait elektronikusan tárolják a kórházakban és szakorvosi rendel!kben. Az egészségügyi minisztérium által létrehozott munkacsoportok tanulmányozzák az adat-szabványokat, a személyiségi jogokat és a biztonsági kérdéseket egyaránt. Az ausztrál nyilvános kulcs tanúsítvány-szolgáltatás támogatását a kormányügynökségek arra használhatják fel, hogy elektronikus kapcsolat esetén hitelesítsék a velük kapcsolatba lép! vállalatok, vállalkozások azonosságát.
43. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Németország e-kormányzati programjában megállapította, hogy a távközlési és információs technológiák használata magával hozza, hogy a közigazgatást modernizálni kell.
4.5.7 Az intelligens kártyák fejlesztése és bevezetése Speciálisan erre a célra kialakított intelligens kártyák segítségével támogatják a biztonságos e-kereskedelmet Belgiumban. Észtországban az EDI-dokumentumok digitális aláírását intelligens kártya-alapú kulcshordozóval képzelik el. Japánban a kormányzati IC kártyák széleskör- hozzáférhet!ségének alapötlete meghatározza az alapvet! specifikációkat, bemutatva a digitális aláírás funkció, a többfelhasználós alkalmazások sokrét- használatának követelményeit stb. A máltai kormányzat tanulmányozza a számos funkció ellátására alkalmas intelligens kártya kibocsátásának alkalmazhatóságát. Finnország volt az els!, ahol (nem kötelez!en) bevezették az elektronikus azonosító kártyát; egy törvényrendeletet adtak ki, amely egyesíti az egészségügyi kártyát az elektronikus azonosító kártyával. A németországi közigazgatásban alkalmazott PKI figyelembe veszi mind a szoftver alapú személyes biztonsági környezetet, mind a magánkulcsokat és tanúsítványokat tároló intelligens kártyákat.
44. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
5. A BIZTONSÁGOS INFORMÁCIÓS TÁRSADALOM KIALAKÍTÁSÁHOZ SZÜKSÉGES FELADATOK ÁTTEKINTÉSE Az informatika húzó ágazata lehet a magyar gazdaságnak, állam- és közigazgatásnak, de csak akkor, ha a benne rejl!, illetve a rá ható veszélyek kiküszöbölését hatékonyan, kormányzati szinten is kiemelt fontossággal kezelik. Ezért a stratégiában egy - a széleskör- nemzetközi tapasztalatok és hazai helyzetelemzésen alapuló - cselekvési tervet is szeretnénk megfogalmazni. Az alábbi egységes rendszerben áttekintett feladatsorból, magyarázatokból lehet meghatározni a rövid- közép- és hosszú távú feladatokat, ezek súlyozását, a végrehajtásukhoz szükséges feltételeket. A részletesen kidolgozásra kerül! rövid-, közép- és hosszú távú cselekvési tervek elkészítésekor ügyelünk arra, hogy azok összhangban legyenek azokkal az irányelvekkel és ajánlásokkal is, melyeket olyan szervezetek fogalmaztak meg, melyeknek tagjai vagyunk, illetve melyek mellett elköteleztük magunkat. Ilyenek a korábban említett EU direktívák és ajánlások, vagy az OECD ajánlások. Figyelembe kell venni továbbá a hazai jogi és intézményi feltételrendszert, valamint azt, hogy a költségvetési intézmények feladatainak a szolgáltatókkal, illetve felhasználókkal szembeni elvárásoknak, kötelezettségeknek meg kell jelenniük a szabályozásokban, ezért ennek kiemelt jelent!sége van a stratégiai terv végrehajtásában.
5.1 Az informatikai biztonsággal összefügg5 szabályozással és az azt végz5, illetve végrehajtó intézményrendszerrel kapcsolatos feladatok elméleti megközelítésben 5.1.1 Az informatikai biztonság megvalósítását és szabályozását szükségessé tev5 körülmények Szabályozni az olyan jelenségeket kell, amelyek szabályozás nélkül konfliktusokat okoznak egyes jogalanyok (személyek vagy szervezetek) között, illetve lehet!séget adnak arra, hogy egyes jogalanyok sértsék mások érdekeit. Az informatikai biztonság szabályozásának elemzését azért kell az alapoktól kezdeni, mert a nemzetközi kitekintésb!l megállapítható, hogy nincs egységes szabályozás e témakörben, az egyes államok e kérdés eltér! vonatkozásait szabályozzák. Ahhoz tehát, hogy megkíséreljük egy logikus szabályozási stratégia kialakítását, el!ször elméleti oldalról kell
45. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
megközelíteni a feladatot, és ennek alapján kell feltárni minden szabályozandó területet, továbbá azok egymáshoz való viszonyát, azaz a teljes szabályozási rendszert. 5.1.1.1 Jogok, kötelezettségek, érdek-összeütközések az informatikai biztonsággal összefüggésben 5.1.1.1.1
Az informatikai biztonsági szabályozás alanyai
(A) Az informatikai rendszereket már ma is számos célra használjuk, és az információs társadalom továbbfejl!désével még b!vül azoknak a tevékenységeknek a köre, melyeket elektronikusan lehet majd végezni. Már most is elmondható, hogy a felhasználók informatikai rendszert használhatnak: • hatósági és intézményi ügyintézésre (központi vagy helyi szinten), • gazdasági tevékenységek támogatására, • gazdasági kapcsolatra, • a gazdálkodó, továbbá az állami és közigazgatási szervezeten belüli irányításra, ellen!rzésre és (vagy) • magáncélra. Mindez azt is meghatározza, hogy kik használnak informatikai rendszert, tehát kikre terjed majd ki az informatikai biztonsági szabályozás alanyi hatálya, mint felhasználókra (a továbbiakban együtt: felhasználó): (a) a természetes személyre, mint közigazgatási ügyfélre, fogyasztóra, elektronikusan szerz!dést köt! félre, információs társadalommal összefügg! szolgáltatások12, illetve távközlési szolgáltatások igénybevev!jére, mint a személyes adat „érintettjére”, mint a munkaadójánál informatikai rendszert használó munkavállalóra vagy az információs rendszer fejleszt!jére, esetleg mint informatikai biztonsággal kapcsolatos b-ncselekmény elkövet!jére vagy sértettjére; (b) a központi vagy helyi állami és közigazgatási szervezetre, • egyfel!l, mint elektronikusan ügyet intéz! hatóságra, mint más szervezettel információt cserél! alanyra, mint állam- vagy szolgálati
12
Ez alatt az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefügg! szolgáltatások egyes kérdéseir!l szóló 2001. évi CVIII. törvényben így meghatározott fogalmat kell érteni.
46. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
titkok kezel!jére, mint személyes adatok és speciális titkok13 kezel!jére, mint elektronikusan szerz!dést köt! félre, mint információs társadalommal összefügg! szolgáltatások, illetve távközlési szolgáltatások igénybevev!jére, mint informatikai rendszert használók munkáltatójára, esetleg mint - az informatikai biztonsággal kapcsolatos b-ncselekménnyel - érintettre; • másfel!l az egyes állami és közigazgatási szervezetekre, mint az informatikai biztonság és az ezzel összefügg! szakterületek (pl. informatikai rendszerek vizsgálata, min!sített adatok kezelése stb.) szabályozásáért, koordinálásáért, érvényesítéséért, ellen!rzéséért felel!s, vagy ebben közrem-ködni köteles szervezetekre; (c) a gazdálkodó szervezetre, mint közigazgatási ügyfélre, elektronikusan szerz!dést köt! és a gazdasági életben résztvev! félre, információs társadalommal összefügg! szolgáltatások, illetve távközlési szolgáltatások igénybevev!jére, mint a személyes adat kezel!jére, mint speciális titok „érintettjére”, mint informatikai rendszert használók munkáltatójára, mint informatikai biztonsággal kapcsolatos kötelezettségek alanyára, esetleg mint az informatikai biztonsággal kapcsolatos b-ncselekmény érintettjére. Az informatikai rendszert használó gazdálkodó szervezetek között érdemes különbséget tenni a közszolgáltató, illetve „felügyelt tevékenységet” végz!, valamint az e kategóriákba nem tartozó gazdálkodó szervezetek között. A közszolgáltatók alatt az energia-, illetve vízszolgáltatást értjük, az egyéb felügyelt tevékenység alatt a banki, értékpapír-forgalmazói, biztosítási és hasonló kockázatos pénzügyi tevékenységeket, melyeket a PSZÁF felügyel. E cégeket, illetve ágazatokat az informatikai biztonság tekintetében összefoglaló néven kritikus infrastruktúrának szokták nevezni. A kritikus infrastruktúra fogalomkörébe - a fentieken kívül - beleértik a légi, vasúti, közúti, vízi közlekedést, a bányászatot és az egészségügyi ellátást támogató informatikai infrastruktúrát, de egyes országokban az ICT szolgáltatókat is. Ide sorolják továbbá az államigazgatás, a honvédelem, katasztrófavédelem, nemzetbiztonság stb. területeit is, amelyek informatikai rendszereinek biztonsága mindenképpen valamilyen szint! állami felügyeletet igényel.
Az informatikai biztonság szempontjából azért kell megkülönböztetni a kritikus informatikai infrastruktúrákat a többi gazdálkodó szervezet informatikai rendszereit!l, mert amíg az utóbbiak els!sorban saját biztonságukat kockáztatják ha gondatlanul járnak el, addig az el!bbiek nem megfelel! m-ködése sokkal szélesebb körben, 13
Többféle védend! titokkör van, melyeket összefoglaló néven speciális titkoknak nevezünk. Ilyenek, pl. az üzleti, bank, értékpapír, ügyvédi, egészségügyi stb. titkok.
47. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
jelent!sebb károkat tud okozni. Ezért velük kapcsolatban indokolt a többi gazdálkodó szervezetre vonatkozónál részletesebb informatikai biztonsági követelmények betartásának és az ellen5rzési rendszerek kialakításának el!írása. A mulasztásokat megfelel!en szankcionálni szükséges. Az általános gazdálkodási szabályoknál szigorúbb szabályozás és felügyelet egyébként a kritikus infrastruktúra körébe tartozó cégek egész tevékenységével kapcsolatban jellemz!, mivel általánosságban sokkal részletesebb szabályok, szigorúbb kötelezettségek vonatkoznak rájuk, mint más cégekre, és saját tevékenységük vonatkozásában is van ágazati felügyel! szervezetük (a pénzügyi szektorban a PSZÁF, az energia szektorban a Magyar Energia Hivatal). Azt, hogy pontosan mely ágazatokat, tevékenységi köröket szükséges hazánkban kritikus infrastruktúrának min!síteni, fel kell mérni és a felmérés eredményeként az informatikai biztonsági stratégiában a kritikus infrastruktúrára vonatkozó feladatokat elvégezni (a követelményeket rögzíteni, ellen!rizni azok teljesülését). B)
Az informatikai biztonsággal kapcsolatos kötelezettségek azokra a szervezetekre is kiterjednek, amelyek az informatikai rendszereket m-ködtetik, vagy ezzel összefügg! szolgáltatásokat nyújtanak (a továbbiakban együtt: ICT szolgáltatók), a magyar jogrendszerben: • a távközlési szolgáltatók, • az internet-szolgáltatók (akik a távközlési szolgáltatók körébe tartoznak, de az informatikai biztonság kérdéskörének különösen lényeges szerepl!i), • az információs társadalommal összefügg! szolgáltatásokat nyújtók, • a hitelesítés-szolgáltatók, • a távközlési és informatikai tanúsító szervezetek.
5.1.1.1.2
Az informatikai biztonsági szabályozással védett érdekek
Egy szabályozási tárgykörön belül a különböz! tevékenységekkel kapcsolatos szabályozás részletessége, szigorúsága, az érintett jogalanyok köre, a kötelezettségek mennyisége attól függ, hogy köz- vagy méltányolható magánérdeket érint-e a tevékenység és a közérdeket vagy magánérdeket mennyire sértheti vagy veszélyeztetheti. Szükséges megvizsgálni tehát, hogy az informatikai biztonság (illetve annak hiánya) milyen érdekeket érint és ezeket milyen eszközökkel kell védeni. (a) Titokvédelem alá es! adatok tárolása és továbbítása során, ami magában foglalja azt, hogy az adatokat ne ismerjék meg illetéktelen személyek, illetve, hogy az adatok tartalmát ne módosíthassák. Ez a tevékenység
48. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
• a természetes személyek személyes adatok védelméhez f-z!d! jogát érinti, ami állampolgári alapjog, ezért védelme közérdek, tehát az informatikai biztonság terén ezzel összefügg! szabályoknak minden – informatikai rendszert használó és személyes adatot kezel! – személyre (szervezetre) ki kell terjednie és garantálnia kell a jogvédelmet, • az állam- és szolgálati titok védelmét érinti, ami közérdek, tehát az informatikai biztonság terén ezzel összefügg! szabályoknak minden – informatikai rendszert használó és ilyen adat birtokába jutó – személyre (szervezetre) ki kell terjednie és garantálnia kell a jogvédelmet, • a speciális titok védelmét érinti, ami méltányolható magánérdek, tehát els!sorban az ebben érdekelt gazdálkodó szervezetnek kell megvalósítania, az informatikai biztonság szabályozásával el! kell segíteni, hogy védelmet kapjon, az ezért felel!s kormányzati szervezeteknek iránymutatást kell adniuk a megvalósításra. (b) Szellemi alkotások vagy egyéb kizárólagos jogokkal védett adatok védelme adatbázisokban történ! tárolás vagy adat-továbbítás során, illetve informatikai rendszerekben való feldolgozás, ami azt jelenti, hogy az adatokkal kapcsolatos kizárólagos jogok jogosultja érvényesíteni tudja a jogait. Ez méltányolható magánérdek, tehát az informatikai biztonság szabályozásával el! kell segíteni, hogy védelmet kapjon. (c) Elektronikus ügyintézés folyamatosságának (magas szint- rendelkezésre állásának) biztosítása, mely közérdek, tehát az informatikai biztonság terén ezzel összefügg! szabályoknak minden – ezzel összefügg! tevékenységért felel!s – személyre (szervezetre) ki kell terjednie és garantálnia kell az informatikai rendszer m-ködésének folytonosságát, amelyet a központi költségvetésb!l kell finanszírozni. (d) Elektronikus szerz!déskötés és fizetési forgalom, az elektronikus ügyfélszolgálatok folyamatosságának (magas szint- rendelkezésre állásának) biztosítása, mely méltányolható magánérdek, tehát els!sorban az ebben érdekelt gazdálkodó szervezetnek kell megvalósítania, az informatikai biztonság szabályozásával el! kell segíteni, hogy védelmet kapjon, az ezért felel!s kormányzati szervezeteknek iránymutatást kell adniuk a megvalósításra. (e) Az adatot küld! „távollév!” személy azonosíthatósága • elektronikus ügyintézésben, ami közérdek, • elektronikus gazdasági folyamatokban, ami méltányolható magánérdek. Ez utóbbi kérdést az elektronikus aláírás használatával lehet megoldani, melynek szabályozása megvalósult, elterjesztésér l a Nemzeti Információs Társadalom Stratégián belül külön rész-stratégia készül, tehát a jelen tanulmányban ennek szabályozási összefüggéseire csak annyiban térünk ki
49. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
amennyiben ez a még nem szabályozott informatikai biztonsági kérdésekkel összefügg.
Megjegyezzük, hogy az informatikai biztonság szabályozásának a katasztrófa helyzetekben történ! biztonságra is ki kell terjednie. 5.1.1.1.3
EU informatikai biztonsági alapelvek
Az Európai Közösség „Hálózat- és információbiztonság: javaslat egy Európai Politika kialakítására” c. dokumentumának 2.1. alpontjában meghatározott alapelvek a következ!k: • rendelkezésre állás, amely a fenti c) és d) pontokban megfogalmazott érdekekben jelenik meg, • hitelesség (az adatot küld! biztonságos azonosíthatósága), amely a fenti e) pontban megfogalmazott érdekben jelenik meg és a jelen tanulmánynak nem tárgya, • integritás, sértetlenség, amely a fenti a) és b) pontokban megfogalmazott érdekekben jelenik meg, • bizalmasság (az adatok védelme illetéktelenek általi megismerés ellen), amely a fenti a) és b) pontokban megfogalmazott érdekekben jelenik meg.
5.1.2 Az informatikai biztonsággal kapcsolatban szükséges kormányzati tevékenység köre, az informatikai biztonság terén megalkotandó szabályozás irányai A fejezet 5.1.1. alpontja szerinti érdekek elemzése lehet!séget ad arra, hogy egy koherens logikai rendszerben (a kormányzati munkamegosztástól és az eddig megvalósult intézkedési, illetve szabályozási kezdeményezésekt!l eltekintve, kizárólag a cél teljes kör- megvalósítására tekintettel) felsoroljuk azokat a kormányzati tevékenységeket, melyeket ezen érdekek védelmében, továbbá az Európai Unió idézett programja alapelveinek megvalósítása céljából végezni kell. E tevékenységek körének felmérése megadja egyben az informatikai biztonság terén teend! szabályozási lépéseket is. A) A védend! érdekek veszélyeztetését, illetve sértését tiltó szabályok A fenti érdekek els!sorban akkor valósulnak meg, ha senki nem sérti !ket aktívan, tehát ezt meg kell tiltani és a tiltás ellenére történ! tevékenységeket (adatokhoz jogosulatlan hozzáférés, adatok jogosulatlan módosítása) büntetni kell. A Btk. jelenleg tartalmazza ezeket a b-ncselekményeket, de szabályai annyiban szorulnak felülvizsgálatra, hogy a használt kifejezéseket nem definiálja, másfel!l nem azokat a kifejezéseket használja, melyeket a szakmai törvények (Hkt.) meghatároznak, így nem pontosan azonosíthatóak a törvénybe ütköz! magatartások.
50. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
B) Aktív tevékenységek az érdekek védelmében Sajnos, valamely tevékenység tiltása legtöbbször nem szokta elérni, hogy a tevékenységt!l mindenki tartózkodjon, tehát a köz- vagy magánérdeket sért! tevékenységeket nem csak tiltani kell, hanem aktívan tenni is kell a megel!zésük, illetve káros hatásaik miel!bbi kiküszöbölése érdekében. Az aktív tevékenységek sokirányúak. 5.1.2.1
Az ICT szektorra vonatkozóan megalkotandó szabályozás
A leglényegesebb feladat az informatikai és távközlési tartalmú szabályozási tevékenység, amelynek tárgyköre két alcsoportba osztható: az infokommunikációs (ICT) szolgáltatókra vonatkozó szabályokra és a felhasználókra vonatkozó szabályokra. E két csoport között els!sorban az a különbség, hogy az ICT szolgáltatókra vonatkozó szabályok els!sorban m-szaki és megbízhatósági elemeket tartalmaznak, míg a felhasználókra vonatkozó szabályok f!ként magatartási szabályok. A végrehajtás és ellen!rzés szervezeti kereteivel részletesen a fejezet 5.1.3. alpontja foglalkozik. 5.1.2.1.1
Az ICT szolgáltatókra vonatkozó szabályok tárgykörei
Az ICT szolgáltatókra vonatkozó szabályok területei a következ!k: (a)
a távközlési szolgáltatókra vonatkozó azon m-szaki el!írások és magatartási szabályok megalkotása, melyek betartása kizárja vagy jelent!sen korlátozza az adatokhoz való jogosulatlan hozzáférést, azok jogosulatlan módosítását, továbbá biztosítja a hálózatok m-ködésének folytonosságát, felhatalmazás a hírközlésr!l szóló 2001. évi XL. törvény (a továbbiakban: Hkt.) 107. § (3) bekezdés a) pontban, illetve az ennek helyébe lép! törvényben is szerepel a hálózatok m-szaki követelményeire vonatkozó felhatalmazás;
(b)
az internet-szolgáltatókra vonatkozó azon m-szaki el!írások és magatartási szabályok megalkotása, melyek betartása kizárja vagy jelent!sen korlátozza az adatokhoz való jogosulatlan hozzáférést, azok jogosulatlan módosítását, továbbá biztosítja a hálózatok m-ködésének folytonosságát, felhatalmazás a Hkt. 107. § (3) bekezdés a) pontban, illetve az ennek helyébe lép! törvényben is szerepel;
(c)
az információs társadalommal összefügg! szolgáltatást nyújtókra (pl. tartalomszolgáltatókra) vonatkozó azon m-szaki el!írások és magatartási szabályok megalkotása, amelyek betartása kizárja vagy jelent!sen korlátozza az adatokhoz való jogosulatlan hozzáférést, azok jogosulatlan módosítását, továbbá biztosítja a hálózatok m-ködésének folytonosságát, elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal
51. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
összefügg! szolgáltatások egyes kérdéseir!l szóló 2001. évi CVIII. törvény (a továbbiakban: Ekt.) 17. § (1) bekezdés a) pontjában; (d)
a hitelesítés-szolgáltatókra vonatkozó részletszabályok megalkotása (a min!sített hitelesítés-szolgáltatók tekintetében nagyrészt megfelel!, a fokozott biztonságú hitelesítés-szolgáltatókra, illetve a nyilvános kulcsú infrastruktúrával támogatható egyéb szolgáltatásokra /digitális dokumentumok titkosítása, archiválása stb./ szükséges lenne), felhatalmazás az elektronikus aláírásról szóló 2001. évi XXXV. törvényben (a továbbiakban: Eat.);
(e)
a távközlési és informatikai tanúsító szervezetekre vonatkozó további szabályozások (a 22/1999. KHVM rendeleten és a 15/2001. MeHVM rendeleten túl), felhatalmazás a Hkt. 68. § (1) bekezdés o) pontban és a fogyasztóvédelemr!l szóló 1997. évi CLV. törvény 56. § a) pontjában, a Hkt. helyébe lép! új törvény tervezete is tartalmazza a szükséges rendelkezést. {A fokozott biztonságú aláírás csupán az írásba foglalás követelményének felel meg (a többi szolgáltatásról még ennyit se mond a törvény) míg az EU Irányelv néz!pontjából csak annyi a jelent!sége, hogy „nem lehet megtagadni a bizonyítékként figyelembe vételét csak azért, mert elektronikus alakban van”. De ez Magyarországon, lévén szabad bizonyítási rendszer, nem releváns. A szoros szabályozás a sajátkez- aláírással egyenérték- elektronikus aláírások terén indokolt, fokozott biztonságú aláírásra nem.};
(f)
az ezeket végrehajtó, ellen!rz! szervezet jogairól, kötelezettségeir!l, a részére történ! adatszolgáltatásról, más szervezetekkel való együttm-ködésér!l szóló rendelet;
(g)
a felhasználók lehet!ségeinek biztosítása az ICT szolgáltatókra vonatkozó biztonsági követelmények érvényesítésére (pl. fogyasztóvédelem sajátos formája) és
(h)
a fentiekhez szükséges szabványok honosítása.
5.1.2.1.2
A felhasználókra vonatkozó szabályok tárgykörei
Mind a kormányzati, mind az üzleti felhasználókra vonatkozóan új IT-biztonsági szabályokat14 kell megalkotni, vagy a meglév!ket ki kell egészíteni, a következ! tárgykörökben:
14
(a)
a min!sített adatok elektronikus formában történ! kezelésére vonatkozó törvényi szabályok konkretizálása, a min!sített adatokra vonatkozó szabályozás Európai Uniós és NATO szabályozással való összhangjának megteremtése,
(b)
a min!sített-, a személyes adatot, az üzleti titkot, továbbá a szellemi alkotást tartalmazó dokumentumok elektronikus kezelésének, továbbításának részletszabályai IHM rendeletben,
felhatalmazás az IHM rendeletekre az Ekt. 17. § (1) bekezdés a) pontjában található
52. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
(c)
az elektronikus ügyfélszolgálatok (az állam- és közigazgatásban, továbbá a gazdálkodó szervezeteknél), az elektronikus ügyintézés és elektronikus szerz!déskötések biztonságos és folyamatos m-ködésének részletszabályai, IHM rendeletben,
(d)
a foglalkoztatottaknak a foglalkoztató (állami és közigazgatási szervezet vagy gazdálkodó szervezet) által biztosított informatikai rendszer és informatikai eszközök biztonságával kapcsolatos jogai és kötelezettségei,
(e)
a központi állami és közigazgatási szervezetek informatikai biztonsági mintaszabályzata, IHM rendeletben,
(f)
a helyi állami és közigazgatási szervezetek informatikai biztonsági mintaszabályzata, IHM rendeletben,
(g)
a kritikus infrastruktúrát használó gazdálkodó szervezetek informatikai biztonsági minta-szabályzata (külön részben a KKV-kr!l), IHM rendeletben (ezek kritikus infrastruktúra esetén el!írásként, a gazdálkodó szervezetekre vonatkozóan pedig majd ajánlásként szerepelhetnek),
(h)
az informatikai biztonsági audit szabályai IHM rendeletben,
(i)
a belföldi és az európai uniós támogatásokról szóló jogszabályokban az informatikai biztonsági fejlesztések, programok támogathatóvá tétele, ennek eljárási szabályai, az informatikai biztonság szempontjának kötelez! érvényesülése ezen támogatások során és
(j)
a fentiekhez szükséges szabványok honosítása.
(E témák részletezése nem jelenti azt, hogy mindegyikr!l külön rendeletet kell alkotni, egyes – egymással összefügg! – tárgyköröket egy rendeletbe is lehet foglalni.) 5.1.2.2 Egyéb ágazatok irányítói által alkotandó szabályozás, illetve azok kiegészítése (a)
a kritikus infrastruktúrához tartozó szervezetek meghatározása és IT-biztonsági szabályzása,
(b)
oktatási szabályok áttekintése,
(c)
a köztisztvisel!i továbbképzésr!l szóló 199/1998. kormányrendelet kiegészítése az informatikai, ezen belül informatikai biztonsági képzéssel és
(d)
a központosított közbeszerzés – illetve ha lesz, az elektronikus közbeszerzés – normatíváinak, min!ségi el!írásainak kiegészítése informatikai biztonsági követelményekkel.
53. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
5.1.2.3 Az informatikai biztonság kialakulásának ösztönzése Az informatikai biztonság kialakulása a szabályozáson kívül is számos körülményt!l függ, így különösen: • az informatikai rendszerek összes felhasználójának e tekintetben tudatos viselkedését!l, továbbá attól, hogy a felhasználók érvényesítsék informatikai biztonsági elvárásaikat az ICT szolgáltatók felé, • az ICT szolgáltatók rendelkezzenek kell! szakképesítés- személyzettel, amely képes megfelelni a felhasználói és a szabályozói elvárásoknak, • történjenek kutatások e téren, és hazánk vegyen részt az ezzel foglalkozó nemzetközi szervezetek tevékenységében, • kell! forrás álljon rendelkezésre a követelmények megvalósításához felhasználói (különösen kormányzati) és ICT szolgáltatói oldalon egyaránt. E körülményeket a kormányzat a következ! módon ösztönözheti: • a felhasználók ilyen irányú oktatása a közoktatás keretében, • köztisztvisel k informatikai biztonsági oktatása, • gazdálkodó szervezetek vezet i részére szervezett informatikai biztonsági oktatások támogatása, • informatikai biztonsági kutatás és fejlesztés támogatása, • részvétel informatikai biztonsági, illetve szabványosítási nemzetközi szervezetekben, közrem-ködés abban, hogy ezek kutatási eredményei (magyarul is) elérhet!ek legyenek, • adatbázis fenntartása a biztonságos informatikai eszközökr!l, módszerekr!l, a tanúsító szervezetekr!l, • állami tanácsadó szolgálat m-ködtetése konkrét informatikai biztonsági kérdésekben (esetleg közhasznú társaság keretében), • együttm-ködés a fogyasztóvédelmi érdekképviseleti szervezetekkel a fogyasztók részére informatikai biztonsági tanácsadás biztosítására az informatikai biztonsággal kapcsolatos panaszok kivizsgálásában.
5.1.3 A jelenlegi szabályozási helyzet, feladatok A fejezet 5.1.2. alpontjában felsoroltuk és logikai rendbe tettük, hogy milyen témákról szükséges szabályokat alkotni, továbbá leírtuk azt is, hogy létezik-e felhatalmazás az említett téma szabályozására. Ebben a részben megvizsgáljuk, hogy az adott témákat most mely jogszabály szabályozza, azt milyen irányban kell kiegészíteni, illetve ha nincs jogszabály a témában, mit kellene annak tartalmaznia.
54. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
5.1.3.1 ICT szabályozás 5.1.3.1.1
Az ICT szolgáltatókra vonatkozó szabályok
A távközlési, illetve ezen belül különösen az internet-szolgáltatókra vonatkozó azon m-szaki el!írások és magatartási szabályok megalkotása, amelyek betartása kizárja vagy jelent!sen korlátozza az adatokhoz való jogosulatlan hozzáférést, azok jogosulatlan módosítását, továbbá biztosítja a hálózatok m-ködésének folytonosságát, A hírközlésr!l szóló 2001. évi XL. törvény (a továbbiakban: Hkt.) Hkt. 58. § (1) A hírközlési szolgáltatónak megfelel! m-szaki és szervezési intézkedésekkel biztosítania kell a hírközlési szolgáltatás igénybevételével továbbított küldemények, közlések titkosságát, az illegális lehallgatás lehet! legteljesebb megakadályozását. (Ez a szabály az új EHT-tervezetben15 nem szerepel)
Hkt. 63. § (2) Technikai megoldásokkal kell biztosítani a címtárból történ! lekérdezés biztonságát és az azzal való visszaélés megakadályozását, különösen az adatok letöltését. Hkt. 66. § (1) E törvény alkalmazásában állami feladat j)
a hírközlés biztonságának növeléséhez, veszélyhelyzeti illet!leg a min!sített id!szaki feladatokra történ! felkészítéséhez szükséges szervezeti, m-ködési feltételek biztosítása a nemzeti és nemzetközi elveknek megfelel!en; Hkt. 66. § (2) Az állam biztosítja a hírközléssel kapcsolatban különösen a következ! feladatok anyagi feltételeit: c)
a hírközlés biztonságának növeléséhez, veszélyhelyzeti illet!leg a min!sített id!szaki feladatokra történ! felkészítéséhez szükséges szervezeti, m-ködési feltételek megvalósításához való hozzájárulás,
d) a szolgáltatók számára jogszabályban el!írt kötelez! fejlesztésekhez való hozzájárulás. (A forrásokról szóló ezen fontos szabályok az új EHT-tervezetben nem szerepelnek.)
15
Az IHM honlapján van véleményezés céljából
55. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
Hkt. 67. § A Kormány h) meghatározza a hírközlés biztonságának, veszélyhelyzeti és min!sített id!szaki felkészítésének rendszerét, biztosítja az államigazgatásra háruló feladatok ellátásának feltételeit; A Hírközlési Felügyeletr!l és a Hírközlési Felügyelet szervei által kiszabható bírságokról szóló 248/2001. (XII. 18.) Korm. rendelet 3. § (1) A Hírközlési Felügyeletet elnök (a továbbiakban: elnök) irányítja (2) Az elnök b) jelzi a miniszternek a hírközlés biztonságát veszélyeztet! körülményeket és javaslatot tesz a szükséges intézkedésekre, Az új EHT-tervezetben a fentieken kívül a következ! informatikai biztonsági összefüggés- szabályok találhatók: 17. § A Tanács elnöke l)
jelzi a miniszternek a hírközlés biztonságát veszélyeztet! körülményeket és javaslatot tesz az általa szükségesnek ítélt intézkedések megtételére, 88. § Az elektronikus hírközlési szolgáltatók a nyilvános elektronikus hírközl! hálózatok üzemeltetésével, valamint a hálózatok összekapcsolásával illetve azokhoz való hozzáféréssel megvalósuló együttm-ködéssel összefüggésben kötelesek: c)
biztosítani a nyilvános elektronikus hírközl! hálózatok biztonságának védelmét a jogosulatlan hozzáféréssel szemben; Noha a Hkt.-ben szerepel felhatalmazás a hálózatok m!szaki követelményeinek szabályozására, e rendeletet nem alkotta meg a miniszter. 1993-ban születtek ilyen tárgyú KHVM rendeletek, de ezekben a biztonság kérdésér l nincs szó.
Az egyetemes távközlési szolgáltatás részletes m-szaki követelményeir!l szóló 23/2001. (XII. 22.) MeHVM rendelet: 4. § (2) Az egyetemes távközlési szolgáltató köteles biztosítani, hogy az (1) bekezdésben meghatározott szolgáltatások köre a bekapcsolt el!fizet!i hozzáférési ponton keresztül folyamatosan, de legalább az 1. számú melléklet 8. és 10. pontjában meghatározott célértékek betartásával elérhet! legyen. (4) Az egyetemes távközlési szolgáltató az el!fizet!i hozzáférési ponton keresztül felépített telefax és adatátviteli kapcsolatot olyan min!ségben köteles biztosítani, hogy a)
a kapcsolatban lev! végberendezések között legalább a Hkt. 47. § (3) bekezdés a) pontjában meghatározott átviteli sebességet mindenkor lehet!vé tegye;
56. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
b) a kapcsolat ideje alatt a bekövetkez! rövid idej- min!ségromlások ne okozzanak az 1. számú melléklet 11. pont a) alpontjában meghatározottnál nagyobb mérték- jelismétlést, illetve telefax átvitel esetén az 1. számú melléklet 11. pont b) alpontjában meghatározottnál több lapismétlést. 5. § (1) Az el!fizet! az észlelt meghibásodást az egyetemes távközlési szolgáltató által a hét minden napján, a nap 24 órájában biztosított és díjmentesen igénybe vehet! hibabejelent! szolgálatnál jelentheti be. Az egyetemes távközlési szolgáltató a hibabejelentéseket köteles visszakövethet! módon, elektronikus eljárással rögzíteni és az adatkezelési szabályok betartásával azokat legalább egy évig meg!rizni. (2) Az egyetemes távközlési szolgáltató köteles biztosítani, hogy az általa fenntartott hibabejelent! szolgáltatások válaszideje az eseteknek az 1. számú melléklet 2. pont b) alpontjában meghatározott arányában ne haladja meg az 1. számú melléklet 2. pont a) alpontjában megadott id!tartamot. (3) Az egyetemes távközlési szolgáltató köteles a hibabehatároló eljárása eredményeként valósnak bizonyult hibákat az eseteknek az 1. számú melléklet 3. pontjában meghatározott arányában a hibabejelentés megtételét!l számított 72 órán belül kijavítani. Ha a vizsgálat vagy hibaelhárítás csak a helyszínen és az el!fizet! helyiségében hajtható végre és az csak az el!fizet! által meghatározott id!pontban lehetséges, vagy a megállapodás szerinti id!pontban az egyetemes távközlési szolgáltatón kívüli okok miatt nem volt lehetséges, úgy a hiba vizsgálatára vagy elhárítására nyitva álló határid! az id!kieséssel meghosszabbodik. 6. § (1) Az egyetemes távközlési szolgáltató köteles a sikertelen hívások arányára vonatkozóan az 1. számú melléklet 4. pontjában meghatározott hívástípusok szerinti bontásban az ott megadott értékeket betartani. Az információs társadalommal összefügg! szolgáltatást nyújtókra vonatkozó azon m-szaki el!írások és magatartási szabályok megalkotása, amelyek betartása kizárja vagy jelent!sen korlátozza az adatokhoz való jogosulatlan hozzáférést, azok jogosulatlan módosítását, továbbá biztosítja a hálózatok m-ködésének folytonosságát: Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefügg! szolgáltatások egyes kérdéseir!l szóló 2001. évi CVIII. Törvény: Ekt.: Az információs társadalommal összefügg szolgáltatással kapcsolatos adatszolgáltatás 4. § (3): A szolgáltató köteles általános tájékoztatást adni az alkalmazott információs rendszerek biztonsági fokáról, a felhasználó számára kockázatot jelent tényez kr l és az általa megteend óvintézkedésekr l.
57. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
A hitelesítés-szolgáltatókra vonatkozó részletszabályok megalkotása: E szabályok a min sített hitelesítés-szolgáltatók tekintetében kell részletesség!ek, a fokozott biztonságú hitelesítés-szolgáltatókra szükséges lenne kiegészíteni.
A távközlési és informatikai tanúsító szervezetekre vonatkozó további szabályozások: Nincs szabályozás.
Az ezeket végrehajtó, ellen!rz! szervezet jogairól, kötelezettségeir!l, a részére történ! adatszolgáltatásról, más szervezetekkel való együttm-ködésér!l szóló rendelet: Mivel maguk a kötelezettségek sincsenek teljes körben és kell részletességgel szabályozva, így a végrehajtó szervezetre vonatkozó szabályok sincsenek.
A felhasználók lehet!ségeinek biztosítása az ICT szolgáltatókra vonatkozó biztonsági követelmények érvényesítésére (pl. fogyasztóvédelem sajátos formája), Még nincs ilyen szabályozás.
A fentiekhez szükséges szabványok honosítása: Az ISO 17799-t 2002 decemberében, a Common Criteria-t pedig 2003. márciusában honosította a Magyar Szabványügyi Testület.
5.1.3.1.2
A felhasználókra vonatkozó szabályok
A felhasználók közül a legtöbb szabály a kormányzati és a kritikus infrastruktúrát használó üzleti felhasználókra kell hogy vonatkozzon, mivel az ! esetükben elvárható, hogy forrásaik vannak informatikai biztonságra, továbbá jellemz!en !k kezelnek védend! információkat vagy személyes adatokat. De természetesen a szabályozásoknak ki kell terjedni más, védend! adatokat kezel! rendszerekre, pl. az egészségügyi adatok kezelésére is. A magánfelhasználók körében inkább szabályozáson kívüli eszközökkel (oktatás, támogatás, tanácsadás) kell elérni, hogy törekedjenek informatikai rendszerük biztonságára. Ez azért fontos, mert az elektronikus ügyintézésen, illetve elektronikus kereskedelmen keresztül az ! informatikai rendszereik is kapcsolatba kerülnek a kormányzati, illetve üzleti felhasználókéval. A felhasználók tekintetében a következ! tárgykörökben kell új szabályokat alkotni, vagy meglév!ket ki kell egészíteni:
58. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
• a min sített-, a személyes adatot, az üzleti titkot, továbbá a szellemi alkotást tartalmazó dokumentumok elektronikus kezelésének, továbbításának részletszabályai, A törvények általános rendelkezésein kívül nincs ilyen részletszabályozás.
• Az elektronikus ügyfélszolgálatok (állam- és közigazgatásban, továbbá a gazdálkodó szervezeteknél), az elektronikus ügyintézés és elektronikus szerz!déskötések biztonságos és folyamatos m-ködésének részletszabályai, IHM rendeletben; a Hpt. és más pénzügyi szolgáltatásokról szóló törvények általánosságban írják el!, hogy az elektronikus ügyfélszolgálatot folyamatosan kell m-ködtetni: Ekt. 15. § (1) Az elektronikus kereskedelmi szolgáltatást is nyújtó közüzemi, pénzügyi és nyugdíjpénztári, valamint a biztosítási tevékenységet folytató gazdálkodó szervezetek a fogyasztói bejelentések intézésére, panaszok kivizsgálására és orvoslására, valamint a fogyasztók tájékoztatására kötelesek az ügyfelek részére elektronikus úton is ügyfélszolgálatot m!ködtetni. (2) Az (1) bekezdés szerinti szervezetek - amennyiben szolgáltatásaikat az igénybe vev k számára kizárólag elektronikus úton nyújtják - továbbá a kizárólag információs társadalommal összefügg szolgáltatási tevékenységet végz szervezetek jogosultak az ügyfélszolgálatot kizárólag elektronikus úton biztosítani. A fenti szervezetek üzemzavar esetén kötelesek telefonos ügyfélszolgálatot m!ködtetni. Hpt. 203. § (1) A pénzügyi intézmény egyértelm!en és közérthet en köteles ügyfeleit, illetve jöv beni ügyfeleit a pénzügyi intézmény által nyújtott szolgáltatások igénybevételének feltételeir l, valamint e feltételek módosulásáról tájékoztatni. (2) Az (1) bekezdésben meghatározott tájékoztatást a pénzügyi intézmény köteles elektronikus kereskedelmi szolgáltatás nyújtása esetén az ügyfelek számára folyamatosan és könnyen hozzáférhet módon, elektronikus úton is elérhet vé tenni. 210. § (4) Az üzletszabályzat kamatot, díjat vagy egyéb feltételeket érint - az ügyfél számára kedvez tlen - módosítását a módosítás hatálybalépését tizenöt nappal megel z en, hirdetményben közzé kell tenni, elektronikus kereskedelmi szolgáltatás nyújtása esetén az ügyfelek számára folyamatosan és könnyen hozzáférhet módon, elektronikus úton is elérhet vé kell tenni.
A következ! területekre vonatkozóan még nincs szabályozás: • a foglalkoztatottaknak a foglalkoztató (állami és közigazgatási szervezet, továbbá gazdálkodó szervezet) által biztosított informatikai rendszer és informatikai eszközök biztonságával kapcsolatos jogai és kötelezettségei,
59. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
• a központi állami és közigazgatási szervezetek informatikai biztonsági mintaszabályzata (IHM rendeletben), • a helyi állami és közigazgatási szervezetek informatikai biztonsági mintaszabályzata (IHM rendeletben), • a gazdálkodó szervezetek informatikai biztonsági minta-szabályzata, amely külön fejezet a KKV-kr!l (IHM rendeletben), • az informatikai biztonsági audit szabályai (IHM rendeletben), • a fentiekhez szükséges szabványok honosítása, • a belföldi és az európai uniós támogatásokról szóló jogszabályokban az informatikai biztonsági fejlesztések, programok támogathatóvá tétele, ennek eljárási szabályai, az informatikai biztonság szempontjának kötelez! érvényesülése ezen támogatások során. 5.1.3.2 Egyéb ágazatok irányítói által alkotandó szabályozás, illetve azok kiegészítése 5.1.3.2.1
A kritikus infrastruktúrához tartozó szervezetek szabályai
Az energia szektorra és a banki, biztosítási, értékpapírral kapcsolatos szolgáltatásokra vonatkozó egyes hatályos szabályok tartalmaznak utalást az informatikai rendszerek, szolgáltatások biztonságának szükségességére, illetve az ügyfélszolgálatok folyamatos m-ködésére, de ezek nem kell! részletesség-ek. A pénzügyi szektor rendeletei utalnak arra, hogy a PSZÁF ad ki részletes, nem nyilvános szabályzatot az informatikai biztonságról. Ha az informatikai biztonságról szóló általános jogszabályok elkészültek, szükséges lenne megállapítani, az azokban foglaltakon felül van-e szükség a kritikus infrastruktúra szervezeteivel kapcsolatos további szabályozásra, meg kellene állapítani ennek formáját (maradjon-e nem nyilvános – az ágazati Felügyeleti szervezet által készített – szabályzatban, vagy legyen ez is IHM rendeletben vagy ágazati rendeletben) és szükség esetén kiegészíteni. Továbbá az energia szektorban is szükséges lenne ilyen szabályok készítése. 5.1.3.2.2
Oktatási szabályok áttekintése
A közoktatási törvény szerint a képzések tartalmi követelményeit rendeletben kell közzétenni. Összesen 35 képzésr!l szóló oktatási miniszteri rendelet tartalmazza, hogy az adott képzés során informatikai ismereteket is kell oktatni (de ezek felsorolása túlmutat jelen dokumentum terjedelmén). Egyes rendeletekben az informatika témán belül megemlítik a hálózatokra vonatkozó alapvet! ismereteket is.
60. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Szükséges lenne együttm-ködni az Oktatási Minisztériummal e képzések részletes tantervének felülvizsgálata során és javaslatot tenni arra, hogy az informatikai biztonság is szerepeljen az informatikai képzés részeként. (A jelenlegi oktatási rendszerben több fels!fokú intézmény is szervez informatikai biztonsági képzést, emellett sok vállalkozás is szervez olyan oktatást, ami az országos szakképzési rendszeren belül elismert képzést nyújt, de ezek szakmai tartalma sok esetben a minimális szintet is alig éri el.) 5.1.3.2.3
A köztisztvisel5i továbbképzésr5l szóló 199/1998. kormányrendelet kiegészítése az informatikai, ezen belül informatikai biztonsági képzéssel
A köztisztvisel!i törvény el!írja, hogy a köztisztvisel!knek rendszeresen továbbképzésen kell részt venniük és leírja ennek tárgyait is. E képzést a Magyar Közigazgatási Intézet tartja, és a képzés témakörér!l szóló kormányrendeletre is ez a szervezet tesz javaslatot. Szükséges lenne a kormányrendelet módosítása, amely már tartalmazza az informatikai tárgyú képzést is. E kérdés a Belügyminisztérium hatáskörébe tartozik. 5.1.3.2.4
A központosított (elektronikus) közbeszerzés normatíváinak, min5ségi el5írásainak kiegészítése informatikai biztonsági követelményekkel
A központosított közbeszerzés során (melyet már évek óta tervez a kormányzat átalakítani elektronikus közbeszerzéssé) a Miniszterelnökség Közbeszerzési és Gazdasági Igazgatósága több ezer központi állami és közigazgatási szervezet részére vásárol informatikai és távközlési termékeket és szolgáltatásokat. Az általa keretszerz!déssel lekötött készletb!l a helyi önkormányzatok is rendelhetnek. A központosított közbeszerzés tárgyainak m-szaki követelményeit az úgynevezett normatívák tartalmazzák, melyek az 1054/2000. Korm. határozatban szerepelnek. A központosított közbeszerzésnek az informatikai biztonság szempontjából releváns tárgyait melléklet tartalmazza. Az 1054/2000. Korm. határozat néhány biztonsági el!írást is tartalmaz ezen termékek vonatkozásában, ezeket is melléklet tartalmazza. Szükséges lenne, hogy e normatívák kialakításában az informatikai biztonságért felel!s "polgári" szervezet és a „nem polgári” informatikai biztonsági központ intenzíven részt vehessen, hiszen ez jelent!sen meghatározza a kormányzati informatika biztonságát. Ha elkészülnek a fejezet 5.1.1.1.1. és 5.1.1.1.2. alpontjaiban részletezett szabályok, a központosított közbeszerzés normatíváinak azokkal összhangban kell lenniük, illetve lehet olyan szabályozási technikával is élni, hogy a normatívák részletes informatikai biztonsági követelményeket ne tartalmazzanak, hanem utaljanak az IHM rendeletekre.
61. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
5.2 Központi felügyeletet igényl5 tevékenységek az informatikai biztonság terén, a kormányzati tevékenység megoszlása a különböz5 kormányzati szervek között A különböz! európai államok, illetve más – informatikai szempontból – fejlett államok változatos szervezeti felépítést, feladatmegosztást alakítottak ki az informatikai biztonság tekintetében. A magyar kormányzati feladatmegosztásra vonatkozó javaslat kialakításakor el!ször összegy-jtöttük mindazon kormányzati feladatokat, amelyeket az informatikai biztonsággal kapcsolatban el kell látni, majd megvizsgáltuk, hogy van-e már felel!se ennek hazánkban. Ha nincs, akkor azt tekintettük át, hogy milyen típusú szervezethez kellene delegálni a feladatokat, vagy új szervezetet kell-e ezekhez létrehozni. E vizsgálat során egyrészt azt kell figyelembe venni, hogy a magyar jogrendszerben jogszabályalkotást (tehát a jogszabály közlönyben történ! kihirdetését, illetve az elfogadásra jogosult magasabb szervhez, így a Kormányhoz vagy az Országgy-léshez való benyújtását) csak miniszter végezhet, és a normatív szabályt csak jogszabályba lehet foglalni. Tehát külön kell választani a hatósági jelleg- (engedélyezési, nyilvántartásba vételi, ellen!rzési) feladatokat és a szabályozási feladatokat, melyeket miniszternek kell ellátnia. Ugyanakkor a jogszabály el!készítésében részt vehet olyan szervezet is, amely egyébként hatósági tevékenységet végez az informatikai biztonság területén, de éppen ezért komoly szakmai ismeretekkel rendelkezik. A megközelítés során figyelembe kell venni, hogy az informatikai biztonság a távközléshez közelálló terület, a távközlésben pedig rendszeres, hogy a „polgári” és a „nem polgári” távközlési – hatósági jelleg- - kormányzati feladatokat ugyanazon kérdés tekintetében (pl. frekvenciagazdálkodás) 2 különböz! szervezet végzi. Ugyanígy elképzelhet! feladatmegosztás az informatikai biztonság hatósági jellegfeladatai tekintetében is. E kérdésr!l a fejezet 5.2.3 alpontjában írunk részletesebben.
5.2.1 Az informatikai biztonságért felel5s szervezetek összkormányzati vonatkozású lehetséges tevékenységi körei Az informatikai biztonsággal kapcsolatos feladatok köre a következ!: (a) jogszabályok szakmai el!készítése egyfel!l az ICT szolgáltatók, másfel!l a felhasználók informatikai biztonsági követelményei tárgyában, (b) a fenti jogszabályok el!terjesztése, illetve elfogadása, (c) az informatikai biztonsággal összefügg! – több ágazat hatáskörébe tartozó – szabályozások (pl. kritikus infrastruktúra) tartalmának el!készítése, azok megalkotására javaslattétel az illetékes szervezet felé, a több szerepl!s együttm-ködés koordinálása, (d) szabványosításban közrem-ködés, ajánlások kibocsátása,
62. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
(e) a fenti szabályozások betartásának koordinálása, ellen!rzése, (f) stratégia készítés az informatikai biztonság tárgyában, e témának más nemzeti stratégiákban (pl. védelmi stratégia) való megjelenítése, (g) közrem-ködés abban, hogy kell! hazai források álljanak rendelkezésre informatikai biztonsággal kapcsolatos tevékenységre és e témakör az európai uniós forrásokból is támogatható legyen. (Tehát az informatikai biztonság szempontjainak képviseletét a költségvetési tervezés során meg kell oldani.) A finanszírozandó, illetve támogatandó tevékenységek köre különösen: ga) a központi kormányzati szervezetek infrastruktúrájának fejlesztése (beleértve a szoftvereket, auditokat és megfelel! szabályzatokat), gb) a helyi önkormányzati szervezetek infrastruktúrájának fejlesztése (beleértve a szoftvereket, auditokat és megfelel! szabályzatokat), gc) köztisztvisel!k oktatása, gd) más oktatás, képzés támogatása, ge) gazdálkodó szervezetek infrastruktúrája fejlesztésének támogatása (beleértve a szoftvereket, auditokat és megfelel! szabályzatokat), gf) kutatás, fejlesztés, (h) döntés a g) szerinti források felhasználásáról a támogatások odaítélése tekintetében, (i) részvétel nemzetközi szervezetekben kutatás, illetve kapcsolat-tartás céljából, (j) kutatás, fejlesztés, (k) adatbázis létrehozása a biztonságos informatikai eszközökr!l, módszerekr!l, a tanúsító szervezetekr!l, (l) tanácsadó szolgálat m-ködtetése konkrét informatikai biztonsági kérdésekben bármely felhasználó számára, (m) együttm-ködés a fogyasztóvédelmi érdekképviseleti szervezetekkel a fogyasztók részére informatikai biztonsági tanácsadás biztosítására az informatikai biztonsággal kapcsolatos panaszok kivizsgálásában, (n) részvétel minden olyan oktatás, képzés követelményeinek és szakmai tartalmának kialakításában, amely informatikával összefügg, (o) informatikai biztonsági zavarok figyelemmel kísérése, lehetséges megel!zése, jelzése a nyilvánosság számára (CERT funkció), illetve téves jelzésekkel kapcsolatos felvilágosítás, b-ncselekmények gyanúja esetén jelzés a nyomozó hatóságnak,
63. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
(p) informatikai biztonsággal összefügg! – engedélyköteles – hálózatok, termékek, szolgáltatások engedélyezése, egyéb hálózatokkal, termékekkel, szolgáltatásokkal kapcsolatos tanúsító szervezetek kijelölése, és a kijelölt szervezetekr!l, az engedélyezett, illetve tanúsított termékekr!l, szolgáltatásokról, hálózatokról közhiteles nyilvántartás vezetése, közzététele, (q) az informatikai biztonsági szempontok érvényesítése a kormányzati beruházások, illetve a központosított közbeszerzés (jövend!beli elektronikus közbeszerzés) keretében beszerzett termékek és szolgáltatások vonatkozásában, (r) a kormányzati informatikai biztonsági szakmai hálózat koordinálása, irányítása.
5.2.2 Az összkormányzati feladatok megoszlása E feladatokat nem feltétlenül egy szervezet fogja ellátni, mivel ezek jellegüknél fogva különböz! típusú szervezetek lehetséges hatáskörébe tartoznak. (Más államokhoz hasonlóan hazánkban is létrejöhet egy informatikai biztonsággal foglalkozó országos hatáskör- szerv vagy annak szervezeti egysége, amelyik e funkciók többségét ellátja, illet!leg az informatikai biztonsági hatósági feladatok nagy részét valamely meglév! szervezethez lehet telepíteni.) (a) A fejezet 5.2.1. alpontja szerinti feladatok közül az Informatikai és Hírközlési Minisztériumhoz kell hogy tartozzanak a következ! tevékenységek: • jogszabályok szakmai el!készítése egyfel!l az ICT szolgáltatók, másfel!l a felhasználók informatikai biztonsági követelményei tárgyában (e tevékenység az IHM feladata, hiszen a minisztérium jogosult e jogszabályokat elfogadni vagy a Kormány elé terjeszteni, de az el!készítéshez a szakmai háttér biztosításában azon szervezeteknek is részt kell venniük, melyek az informatikai biztonsággal kapcsolatos hatósági tevékenységet végeznek), Megjegyezzük, hogy egyes államokban az informatikai biztonságról nemcsak jogszabályok születnek, hanem ajánlások is. Ez a magyar jogrendszerben nem kötelez érvény!, mivel a jogalkotásról szóló 1987. évi XI. törvény szabályozza, hogy milyen típusú normatív jogforrások létezhetnek és ezek között sem ajánlás, sem más – nem jogszabályi formájú – dokumentum nem szerepel. Az irányelv intézményét a jogalkotásról szóló 1987. évi XI. törvény tervezett módosítása meg kívánja szüntetni. Mindemellett az ajánlások (nem kötelez érvénnyel) nagy segítséget jelenthetnek a szakmai szervezetek munkájában.
• a fenti jogszabályok el!terjesztése, illetve elfogadása (a Minisztérium hatáskörébe tartozó ügyekben),
64. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Erre a tevékenységre csak a Minisztérium jogosult, mivel országos hatáskör! szervezetek nem adhatnak ki jogszabályt, illetve nem terjeszthetnek a Kormány elé.
• stratégia készítés az informatikai biztonság tárgyában, e témának más nemzeti stratégiákban (pl. védelmi stratégia) való megjelenítése, • közrem-ködés abban, hogy kell! hazai források álljanak rendelkezésre informatikai biztonsággal kapcsolatos tevékenységre és e témakör az európai uniós forrásokból is támogatható legyen (ez az informatikai biztonság központi költségvetési képviseletét jelenti a Kormányon belül), • döntés az el!z! pont szerinti források felhasználásáról a támogatások odaítélése tekintetében (pályázatok kiírása), • részvétel minden olyan oktatás, képzés követelményeinek és szakmai tartalmának kialakításában, amely informatikával összefügg, • részvétel nemzetközi szervezetekben kutatás, illetve kapcsolat-tartás céljából, ezt a Minisztérium és a hatósági tevékenységet ellátó szervezet(ek) egyaránt végzik, • a nem engedélyköteles hálózatokkal, termékekkel, szolgáltatásokkal kapcsolatos tanúsító szervezetek kijelölése (tanúsító szervezetek kijelölése törvény és kormányrendelet szerint csak miniszterhez tartozhat), • az informatikai biztonsági szempontok érvényesítése a kormányzati beruházások, illetve a központosított közbeszerzés (jövend!beli elektronikus közbeszerzés) keretében beszerzett termékek és szolgáltatások vonatkozásában, • a kormányzati informatikai biztonsági szakmai hálózat koordinálása, irányítása. E két utolsó feladat jelent!s beavatkozást jelenthet minisztériumok tevékenységébe, ezért célszer-, hogy azt ne országos hatáskörU szervezet végezze. (b) A fejezet 5.2.1. alpontja szerinti feladatok közül az informatikai biztonsággal kapcsolatos hatósági jogkört gyakorló szervezethez kell hogy tartozzanak a következ! tevékenységek: • az informatikai biztonsággal összefügg! – több ágazat hatáskörébe tartozó – szabályozások tartalmának el!készítése, azok megalkotására javaslattétel az illetékes szervezet felé, a több szerepl!s együttm-ködés koordinálása, A több szerepl s együttm!ködés, pl. a kritikus infrastruktúrákra vagy a központosított (elektronikus) közbeszerzésre vonatkozó m!szaki követelményekre, az informatikai oktatás tartalmára vonatkozó szabályok
65. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
esetében lesz jellemz , mert ezeket nem az IHM, hanem más miniszterek jogosultak elfogadni vagy el terjeszteni.
• szabványosításban közrem-ködés, • a fenti szabályozások betartásának koordinálása, ellen!rzése, Ez tipikusan olyan operatív feladat, melyet jellemz en nem minisztériumok szoktak végezni.
• részvétel nemzetközi szervezetekben kutatás, illetve kapcsolat-tartás céljából (ezt a Minisztérium és a felügyeleti szervezet egyaránt végzi), • kutatás és fejlesztés, • adatbázis létrehozása a biztonságos módszerekr!l, a tanúsító szervezetekr!l,
informatikai
• tanácsadó szolgálat m-ködtetése konkrét kérdésekben, bármely felhasználó számára
eszközökr!l,
informatikai
biztonsági
• együttm-ködés a fogyasztóvédelmi érdekképviseleti szervezetekkel a fogyasztók részére informatikai biztonsági tanácsadás biztosítására, az informatikai biztonsággal kapcsolatos panaszok kivizsgálásában, • részvétel minden olyan oktatás, képzés követelményeinek és szakmai tartalmának kialakításában, amely informatikával összefügg (Minisztériummal közös feladat), • informatikai biztonsági zavarok figyelemmel kísérése, lehetséges megel!zése, jelzése a nyilvánosság számára (CERT funkció), illetve téves jelzésekkel kapcsolatos felvilágosítás, b-ncselekmények jelzése a nyomozó hatóságnak, • informatikai biztonsággal összefügg! – engedélyköteles – hálózatok, termékek, szolgáltatások engedélyezése a miniszter által kijelölt szervezetekr!l, az engedélyezett, illetve tanúsított termékekr!l, szolgáltatásokról, hálózatokról közhiteles nyilvántartás vezetése, közzététele. Megfontolandó, hogy egyes miniszteri szint- feladatokat, mint pl. a támogatásokkal kapcsolatos adminisztráció ki lehet szervezni esetleg kht.-be. Ugyanakkor a felügyeleti jelleg- feladatokat ellátó szervezetnél lév! tanácsadás, illetve a lakossági bejelentések fogadása, lakossági tanácsadás szintén olyan feladatok, melyeket kht.-ben lehet igazán megfelel! operativitással végezni, nem hatósági szervezetben.
66. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
5.2.3 Az informatikai biztonsággal összefügg5 hatósági tevékenységen belüli lehetséges hatásköri elhatárolás A felügyeleti funkciók egyik kritikus kérdése, hogy az informatikai biztonsággal összefügg! hatósági tevékenységet egy vagy több szervezet lássa-e el. Több szervezetet feljogosítani e funkciókkal akkor szükséges, ha a feladatkörök értelmesen elhatárolhatók, és a különböz! feladatok a feljogosítani kívánt szervezetek már meglév! feladatai közé illeszkednek. E kérdés vizsgálatánál érdemes figyelembe venni, pl. azt, hogy az informatikai biztonság a távközléshez közelálló terület, a távközlésben pedig rendszeres, hogy a „polgári” és „nem polgári” távközlési kormányzati feladatokat ugyanazon kérdés tekintetében (pl. frekvenciagazdálkodás) 2 szervezet végzi a „polgári”, illetve „nem polgári vonatkozásban. A frekvencia felügyelet terén jól elhatárolható a „polgári” és „nem polgári” feladatkör annak mentén, hogy mely szervezetek használják az adott frekvencián m-köd! távközlési hálózatot. Az informatikai biztonság terén nem ilyen egyszer- a helyzet, mert állam- illet!leg szolgálati titkot tartalmazó üzeneteket olyan hálózatokon is küldenek, melyek összeköttetésben állnak az internettel, és éppen ez jelenti a veszélyforrást. Tehát a hatásköröket nem lehet hálózati alapon elhatárolni. Másfel!l a hatósági tevékenységek köre is sokkal szélesebb kör-, mint a frekvenciával kapcsolatos tevékenység. Álláspontunk szerint a hatósági feladatok közötti elhatárolás szempontja az lehet, hogy az informatikai biztonsági hatósági tevékenység érint-e állam- illet!leg szolgálati titkot, vagy nem. A fejezet 5.2.1. alpontja szerinti hatósági feladatok között szerepelnek olyanok, melyeket mindkét szervezetnek el kell látnia a saját hatásköre vonatkozásában. A hatósági feladatok közül az informatikai biztonságot megvalósító leglényegesebb hatáskör az – engedélyköteles – hálózatok, termékek, szolgáltatások engedélyezése, illetve esetleges közrem-ködés a tanúsító szervezetek kijelölésében. Annak nincs értelme, hogy e feladatokat 2 szervezet teljes egészében elvégezze: az egyik az állam- illet!leg szolgálati titok továbbítására sohasem használt informatikai rendszerek elemei vonatkozásában, a másik pedig azon informatikai rendszerek és elemeik vonatkozásában, melyeken állam- illet!leg szolgálati titkot továbbítanak. Elképzelhet! lenne egy olyan megoldás, hogy egy szervezet végzi e tevékenységet alapfokon minden informatikai rendszer, illet!leg annak elemei vonatkozásában. Ha azonban valamely hálózatot, terméket illetve szolgáltatást olyan informatikai rendszerben való felhasználás céljából is értékesíteni kíván az el!állító, mely rendszerben állam- illet!leg szolgálati titkot fognak továbbítani, akkor engedélyeztetnie kell a min!sített adatokat továbbító informatikai rendszerek biztonságáért felel!s szervezettel is, illet!leg olyan tanúsító szervezettel kell auditáltatnia, melyet ilyen auditok végzésére jelöltek ki. Lehetne tehát egy olyan
67. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
hatóság, mely azon informatikai rendszerek tekintetében végez informatikai biztonsági hatósági tevékenységet, melyeken min!sített adatokat továbbítanak. E szervezet azonban az engedélyezéshez, illetve kijelöléshez szükséges tevékenységet csak abban a vonatkozásban végezné, hogy az alapfokú vizsgálatnak való megfelelésen felüli követelményeknek megfelel-e az adott termék, szolgáltatás vagy hálózat. Ha megvizsgáljuk a fejezet 5.2.1. alpontja szerinti hatósági feladatokat, azokat a következ!képpen lehetne felosztani: Mindkét hatóság a saját hatásköre vonatkozásában ellátná a következ! feladatokat: • az informatikai biztonsággal összefügg! – több ágazat hatáskörébe tartozó – szabályozások tartalmának el!készítése, azok megalkotására javaslattétel az illetékes szervezet felé, a több szerepl!s együttm-ködés koordinálása, • szabványosításban közrem-ködés, • a fenti szabályozások betartásának koordinálása, ellen!rzése, • részvétel nemzetközi szervezetekben kutatás, illetve kapcsolattartás céljából, • informatikai biztonsággal összefügg! – engedélyköteles – hálózatok, termékek, szolgáltatások engedélyezése, közrem-ködés a tanúsító szervezetek kijelölésében. Az általános informatikai biztonságért felel!s hatóság ellátná az alábbiakat: • kutatás és fejlesztés, • adatbázis létrehozása a biztonságos módszerekr!l, a tanúsító szervezetekr!l,
informatikai
• tanácsadó szolgálat m-ködtetése konkrét kérdésekben, bármely felhasználó számára,
eszközökr!l,
informatikai
biztonsági
• együttm-ködés a fogyasztóvédelmi érdekképviseleti szervezetekkel a fogyasztók részére informatikai biztonsági tanácsadás biztosítására az informatikai biztonsággal kapcsolatos panaszok kivizsgálásában, • részvétel minden olyan oktatás, képzés követelményeinek és szakmai tartalmának kialakításában, amely informatikával összefügg (IHM-mel közös feladat), • informatikai biztonsági zavarok figyelemmel kísérése, lehetséges megel!zése, jelzése a nyilvánosság számára (CERT funkció), illetve téves jelzésekkel kapcsolatos felvilágosítás, b-ncselekmények jelzése a nyomozó hatóságnak, • a miniszter által kijelölt szervezetekr!l, az engedélyezett, illetve tanúsított termékekr!l, szolgáltatásokról, hálózatokról közhiteles nyilvántartás vezetése, közzététele az általános és a min!sített adatok továbbítására szolgáló informatikai rendszerek vonatkozásában egyaránt.
68. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Annak ugyanis nincs értelme, hogy kétféle közhiteles nyilvántartás létezzen két különböz! szervezetnél. Ha a nyilvántartást a min!sített adatok továbbítására szolgáló informatikai rendszerek vonatkozásában hatáskörrel rendelkez! hatóság vezetné, ez azt sugallná, hogy a nyilvántartás csak ezekre az adatokra terjed ki. Viszont jelent!s érdek f-z!dik ahhoz, hogy a lakosság, a gazdálkodó szervezetek, az önkormányzatok, civil szervezetek is megvalósítsák saját vonatkozásukban az informatikai biztonságot és az ehhez szükséges közérdek- információkat megtalálják. A min5sített adatok továbbítására szolgáló informatikai rendszerek vonatkozásában hatáskörrel rendelkez! hatóság ellátná az alábbiakat: • a nemzetbiztonsági szempontból is jelent!s informatikai biztonsági zavarok figyelemmel kísérése, lehetséges megel!zése, bizalmas jelzése min!sített adatok továbbítására szolgáló informatikai rendszereket használók számára, illetve téves jelzésekkel kapcsolatos felvilágosítás, nemzetbiztonsággal is összefügg! b-ncselekmények jelzése a nyomozó hatóságnak, • együttm-ködés a minisztériummal a kormányzati informatikai biztonsági szakmai hálózat koordinálásában és irányításában. Az államtitokról és a szolgálati titokról szóló 1995. évi LXV. törvény 25.§ (1) [a továbbiakban: Álltt.] bekezdése szerint "a min!sített adatok védelmének szakmai felügyeletét a belügyminiszter látja el, a honvédségnél, valamint a polgári nemzetbiztonsági szolgálatoknál e jogkörét a hatáskörrel rendelkez! miniszterrel együttesen gyakorolja.” A nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV. törvény 4. § h) pontja szerint az Információs Hivatal ellátja a rejtjeltevékenység szakirányítását, hatósági engedélyezését, felügyeletét és rejtjelkulcsot állít el!. A rejtjeltevékenység szakirányításának, hatósági engedélyezésének és felügyeletének részletes szabályairól szól a 43/1994. (III.29.) Korm. rendelet. Az Álltt.-t is módosító 2003. évi LIII. törvény 13. §-a által módosított Nemzeti Biztonsági Felügyeletr5l szóló 1998. évi LXXXV. törvény 1. § (1) bekezdése szerint „A Nemzeti Biztonsági Felügyelet az Észak-atlanti Szerz!dés Szervezete (a továbbiakban: NATO) és a Nyugat-európai Unió (a továbbiakban: NYEU), az Európai Unió Tanácsa és az Európai Bizottság, valamint az EURATOM (a továbbiakban együtt: EU) Biztonsági Szabályzatában el!írt követelmények érvényesítéséért felel!s, a Miniszterelnöki Hivatal szervezeti keretében m-köd!, önálló feladattal és hatósági jogkörrel rendelkez! szervezet. (2) A Felügyelet a polgári nemzetbiztonsági szolgálatokat irányító miniszter (a továbbiakban: miniszter) irányítása alatt áll.” Az idézett szabályokból megállapítható, hogy a min5sített adatok továbbítására szolgáló informatikai rendszerek vonatkozásában gyakorolt informatikai biztonsági hatósági hatáskörök jobban széttagolódnak, mint az egyéb „nem polgári” távközlési feladatok irányítása.
69. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
A min!sített adatok továbbítására szolgáló informatikai rendszerek vonatkozásában gyakorolt informatikai biztonsági hatósági feladatok esetleges kés!bbi összevonása egy szervezeti keretbe, nem érinti annak szükségességét, hogy ezekt!l függetlenül kijelöljék az általános informatikai biztonsági központi szervezetet is. A külön álló, általános informatikai biztonsági szervezet kialakításának indokai: • Az informatikai biztonsági hatósági tevékenységnek vannak nagyon szerteágazó, a min!sített adatok továbbítására szolgáló informatikai rendszerek vonatkozásában gyakorolt informatikai biztonsági hatósági hatáskörökt!l távol es! területei, pl. önkormányzati biztonság, ICT szolgáltatókra vonatkozó szabályozások, általános felhasználói védelem biztosítása stb. A két terület a fenti feladat-elhatárolás alapján logikusan elhatárolható egymástól. • Létezik olyan szervezet (Hírközlési Felügyelet) melynek feladatköréhez illeszkedik az általános informatikai biztonsági hatósági tevékenység, s!t ennek egy részét már el is látja (hitelesítés-szolgáltatókkal kapcsolatos nyilvántartásba vételi, illetve min!sítési tevékenység) és rendelkezik a szükséges szakértelemmel. • Az információs társadalomba vetett bizalom er!sítéséhez, mint kiemelt célhoz hozzátartozik, hogy ne a titkosszolgálatokat felügyel! területhez tartozzon (mint most az NBF). Az informatikai biztonságot felügyel5 általános, illetve min!sített adatok továbbítására szolgáló informatikai rendszerek vonatkozásában hatáskörrel rendelkez! hatóság kialakulását követ!en e két szervezetnek és az Informatikai és Hírközlési Minisztériumnak kell szorosan együttm-ködnie.
5.2.4 Kormányzati informatikai biztonsági szakmai hálózat A kormányzati informatikai biztonság terén vannak olyan feladatok, melyeket nem csak központilag, hanem minden szervezetnél el kell látni, az egyes szervezetek ilyen tevékenységét pedig célszer- ágazati szinten koordinálni. A szervezeti, illetve ágazati szinten ezt végz! személyekb!l szakmai hálózatot kell létrehozni, mely adatszolgáltatással segíti az IHM és a min!sített adatok továbbítására szolgáló informatikai rendszerek vonatkozásában hatáskörrel rendelkez! hatóság tevékenységét, másfel!l a központi informatikai biztonsági döntések (stratégia, központi beruházások, fejlesztések) vagy szabályok megvalósítását hajtja végre az adott ágazatban, illetve szervezetnél. Gyakorlatilag tehát az állami és közigazgatási szervezetek informatikai biztonsági szabályairól szóló jogszabályok egyik el!írása az kell hogy legyen, hogy e szervezetek kötelesek informatikai biztonsági felel!st kinevezni (a jogszabály meghatározza a rá vonatkozó szakmai és megbízhatósági követelményeket). A szervezeti informatikai biztonsági felel!s jogosult és köteles különösen
70. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
• szakmai javaslatot tenni a szervezet vezet!jének a szervezet informatikai biztonsági szabályzatára, • véleményezni (egyetértési jogot gyakorolni) összefüggés- egyedi döntéseit (pl. beszerzések),
a
vezet!
informatikai
• a szervezetben gondoskodni az informatikai biztonsági jogszabályok és központi kormányzati döntések végrehajtásáról, • figyelemmel kísérni az informatikai biztonságot esetleg zavaró eseményeket, ilyen jelenségek bejelentése érdekében ügyelet tartásáról gondoskodni, ilyen jelenségekr!l az ágazati informatikai biztonsági felel!st tájékoztatni, • az informatikai biztonságért felel!s szervezetekt!l érkez!, informatikai biztonságot zavaró körülményekr!l szóló tájékoztatásokat haladéktalanul közzétenni a szervezetben, • szervezni a dolgozók informatikai biztonsággal kapcsolatos képzését, • részt venni az ágazati informatikai biztonsággal kapcsolatos tevékenységben. Mivel több ezer központi állami és közigazgatási szervezet van, jelent!sen megnehezítené egy központi szervezet munkáját, ha ezekkel egyenként kellene tartania a kapcsolatot. Továbbá egyes ágazatoknak vannak sajátos informatikai biztonsági feladatai, így kialakítható az ágazat informatikai biztonsági stratégiája. Tehát szükséges az ágazati informatikai biztonsági felel!söket kijelölni, akik közvetlenül a központi, felügyeleti funkciókat ellátó szervezettel érintkeznek, összefogják, hogy az aktuális információk azonnal eljussanak az illetékesekhez vagy akár minden dolgozóhoz, illetve az ágazaton belüli informatikai biztonsági gyakorlatot egységesítik, pl. az ágazathoz tartozó szervezeti informatikai biztonsági felel!sök részére szervezett fórumok segítségével.
5.2.5 Önkormányzati informatikai biztonság Az önkormányzatok informatikai rendszerének biztonságos m-ködése szintén nagyon fontos. Ezzel kapcsolatban a fejezet 5.2.3. alpontjában felsorolt feladatokhoz hasonló feladatok merülnek fel, de az önkormányzatok vonatkozásában az ágazati csoportosítás nem alkalmazható. Ezért ha vonatkozásukban közvetít! és koordináló szervezetek létrehozásáról születik döntés, ezeket feltehet!leg regionális szinten lehetne megvalósítani.
5.3 Az informatikai termékek, rendszerek biztonsági értékelésének és tanúsításának hazai rendszerével kapcsolatos feladatok A 1214/2002. (XII.28.) Korm. Határozat (a „Magyar információs társadalom stratégia” készítésér!l, a további feladatok ütemezésér!l és tárcaközi bizottság létrehozásáról) többek között az alább feladatot t-zi ki:
71. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
4.2. Ki kell alakítani az informatikai alkalmazások min ségének és biztonságának hiteles tanúsítási rendjét, az ehhez szükséges jogszabályok megalkotásával és intézményrendszer felállításával.
Felel5s:
Informatikai és hírközlési miniszter, Belügyminiszter, Igazságügyi miniszter Határid5: 2003. október 15. Az informatikai biztonság16 közvetlenül és alapvet!en függ azoktól a szoftver és hardver termékekt!l, az ezekb!l integrált azon informatikai rendszerekt!l és alkalmazásoktól, melyek min!ségét és biztonságát egy meghatározott követelményrendszernek való megfelelést ellen!rz! független vizsgálat, értékelés és tanúsítás garantálja. Ennek a hiteles tanúsítási rendszernek a jogszabályi és intézményrendszerbeli hiánya az egyik legnagyobb gondja jelenleg a hazai informatikai biztonságnak. Egyes szervezetek nagy költségeket fordítanak ugyan biztonsági elemek beépítésére informatikai rendszerükbe, mégis jelent!sek az informatikai rendszereket ért károk, nem megfelel! a kockázatkezelés. A bizalom hiánya mellett fontos tényez! az ún. "hamis biztonságtudat" kialakulása, melyet kiküszöbölni hiteles, a nemzetközi tapasztalatokat, követelményeket érvényesít! tanúsítási rendszer megteremtésével lehet. A f! feladat (az informatikai alkalmazások min!ségének és biztonságának hiteles tanúsítási rendjének hazai kialakítása), csak az alábbi két feladat együttes megoldásával képzelhet! el hatékonyan, hosszú távon is felvállalhatóan: 1. Csatlakozás az informatikai termékek és rendszerek biztonsági értékelésére és tanúsítására nemzetközileg elfogadott általános szabvány (Common Criteria, ISO/IEC 15408) elfogadásához, hazai elismeréséhez (ezzel közvetve az ennek alapján létrehozott nemzetközi infrastruktúrához (laboratóriumi és tanúsító szervezeti hálózathoz) is), 2. A hazai hiteles tanúsítási rendszer kialakítása az ehhez szükséges jogszabályok megalkotásával és intézményrendszer felállításával (oly módon, hogy a hazai rendszer lehet!vé tegye, s!t el!segítse a nemzetközi együttm-ködés hosszú távú elmélyítését és kiszélesítését ezen a téren). Az 1. feladat a CCRA-hoz (Common Criteria Recognition Arrangement, „Megállapodás a Közös Szempontrendszer szerinti tanúsítványok elfogadására” az informatikai biztonság területén) történ! mihamarabbi csatlakozásunkat igényli (l. a fejezet 5.4. alpontja).
16
Az alábbi összegzésben felhasználtuk az "Összefoglaló az informatikai termékek biztonsági értékelésének és tanúsításának hazai rendszerének kialakításáról" cím- HÍF által készíttetett tanulmányt
72. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
A 2. feladat (mely a 1214/2002. (XII.28.) Korm. Határozat 4.2 pontjában rövid távú kormányzati feladatként került megfogalmazásra) csak az 1. feladattal párhuzamosan, a nemzetközileg elfogadott, hiteles tanúsítási rendszerekhez igazodóan, azokkal a kés!bbi együttm-ködést lehet!vé tév!, el!segít! módon valósítható meg. Magyarországon az általános (tehát nem csak az informatikai termékek biztonságára vonatkozó) termék-tanúsítás infrastruktúrája kiépült, egyes területeken nemzetközi mércével is korszer-. Ez többek között azt jelenti, hogy a termékek vizsgálatára, ellen!rzésére és tanúsítására kidolgozott fontosabb nemzetközi szabványok kivétel nélkül honosításra kerültek, s a termék-tanúsítás számos területén évek, évtizedek óta szervezett keretekben, megfelel! intézményi háttérrel (vizsgáló laboratóriumok, tanúsító szervek, felügyeleti ellen!rzés) m-ködik. Az alábbi táblázat a legfontosabb magyar szabványokat és nemzetközi megfelel!it sorolja fel, egyúttal rámutat az európai és a nemzetközi szabványok (EN és ISO) közötti megfelel!ségekre is. A táblázat alapján megállapítható, hogy a vezet! informatikai hatalmak (nemzetközi áttekintésében feldolgozott) értékel! laboratóriumainak és tanúsító szervezeteinek általános akkreditálása olyan szabványoknak való megfelelés ellen!rzése alapján történik, melynek megvan a magyar szabvány megfelel!je is. A konkrét, informatikai biztonsági részterületre való feljogosítás (licencing) viszont hiányzik a hazai gyakorlatban, pontosabban csak egy sz-k területre (az aláíró eszközök és egyéb elektronikus aláírási termékek tanúsítására) korlátozódik.17
Hivatkozási szám MSZ EN 45001:1990 Visszavonva, helyette: MSZ EN ISO/IEC 17025:2001) MSZ EN 45002:1990 MSZ EN 45003:1990 (megegyezik az alábbival: ISO/IEC Guide 58) MSZ EN 45004:1995 (megegyezik az alábbival: ISO/IEC 17020)
17
Szabványcím Vizsgálólaboratóriumok mUködésének általános feltételei General criteria for the operation of testing laboratories Vizsgálólaboratóriumok min5sítésének általános feltételei General criteria for the assessment of testing laboratories Laboratóriumakkreditáló szervekre vonatkozó általános feltételek General criteria for laboratory accreditation bodies Ellen5rzést végz5 testületek mUködésének általános feltételei General criteria for the operation of various types of bodies performing inspection
Készült a HÍF részére készített bels! munkaanyag felhasználásával
73. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
Hivatkozási szám MSZ EN 45010:2000 (megegyezik az alábbival: ISO/IEC Guide 61:1996) MSZ EN 45011:1999 (megegyezik az alábbival: ISO/IEC Guide 65:1996) MSZ EN 45012:2000 (megegyezik az alábbival: ISO/IEC Guide 62:1996) MSZ EN 45013:1990 (megegyezik az alábbival: ISO/IEC 17024 MSZ EN 45014:2000 (megegyezik az alábbival: ISO/IEC Guide 22:1996) MSZ EN ISO/IEC 17025:2001 (ISO Guide 25 és EN 45001 helyett)
Szabványcím Tanúsító/regisztráló szervezetek min5sítésének és akkreditálásának általános követelményei General requirements for assessment and accreditation of certification/registration bodies Terméktanúsítási rendszereket mUködtet5 szervezetekre vonatkozó általános követelmények General requirements for bodies operating product certification systems Min5ségügyi rendszerek min5sítését és tanúsítását/regisztrálását végz5 szervezetekre vonatkozó általános követelmények General requirements for bodies operating assessment and certification/registration of quality systems A személyzet tanúsítását irányító tanúsítási szervekre vonatkozó általános feltételek General criteria for certification bodies operating certification of personnel Gyártók megfelel5ségi nyilatkozatának általános kritériumai General criteria for suppliers' declaration of conformity Vizsgáló- és kalibrálólaboratóriumok felkészültségének általános követelményei General requirements for the competence of testing and calibration laboratories (ISO/IEC 17025:1999) Conformity assessment - General requirements for bodies operating certification of persons (ISO/IEC 17024:2003) General criteria for the operation of various types of bodies performing inspection (ISO/IEC 17020:1998)
A tanúsítási rendszer jogszabályi hátterével kapcsolatban külön hangsúlyozandó, hogy a termékek értékelését - az informatikai biztonsági követelmények teljesítése mellett ki kell terjeszteni az informatikai termékek (beleértve szoftver termékek) min!ségbiztosításának értékelésére is, mert a megbízható m-ködés követelménye szorosan összefügg a min!ségbiztosítással.
74. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
5.4 Feladatok a Common Criteria elfogadásával kapcsolatban Az Európa Tanács 2002/C 43/02 sz. határozata (megjelent az Official Journal of the European Communities 16.2.2002 számában) felszólítja a tagállamokat több informatikai biztonsággal kapcsolatos feladat megoldására, közöttük az alábbira: „mozdítsák elE a Common Criteria szabványnak (ISO/IEC-15408) használatát és a vonatkozó tanúsítványok kölcsönös elfogadását” Ez a feladat a CCRA-hoz (Common Criteria Recognition Arrangement, „Megállapodás a Közös Szempontrendszer szerinti tanúsítványok elfogadására az informatikai biztonság területén”) mihamarabb történ! csatlakozásunkat igényli. A CCRA megállapodás résztvev!i állami szervezetek vagy állami hivatalok lehetnek, melyek országukat képviselik. E állami szervezetekre, hivatalokra a legkülönböz!bb példák találhatók a CCRA megállapodást már aláíró országok között:
Állam Amerikai Egyesült Államok Ausztria Egyesült Királyság Finnország Franciaország Görögország Hollandia Izrael Kanada Németország Norvégia Olaszország Spanyolország Új-Zéland
Hivatal, szervezet National Institute of Standards and Technology és National Security Agency (az egyetlen ország, ahol két aláíró is van) Federal Ministry of Public Service and Sports Communications-Electronics Security Group Department of Trade and Industry Ministry of Finance Service Central de la Sécurité des Systèmes d'Information Ministry of Interior Ministry of the Interior and Kingdom Relations Standard Institutes of Israel Communications Security Establishment Bundesamt für Sicherheit in der Informationstechnik HQ Defence Command Norway/Security Division Presidenza del Consiglio dei Ministri Autorità Nazionale per la Sicurezza CESIS III Reparto - UCSi Ministerio de Administraciones Públicas Defence Signals Directorate and Government Communication Security Bureau
Az egyetlen elvárás, hogy a képviselet állami szervezet legyen, melynek felhatalmazott képvisel!je írja alá a csatlakozási jelentkezést, majd a Megállapodást. Magyarország csatlakozása folyamatban van.
75. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
A Megállapodás aláírói (a továbbiakban résztvev!k) kétfélék lehetnek: • tanúsítvány felhasználó résztvev k, akik (még) nem tartanak fenn informatikai biztonsági értékelési kapacitást, mégis kifejezetten érdekeltek a tanúsított termékek és védelmi profilok (általános, termék-független biztonsági követelmény-rendszerek) használatában és • tanúsítványt jóváhagyó résztvev k, akiknek (a Megállapodást aláíró) szervezetei rendelkeznek az illetékes CB (Certification Body, a Közös Szempontrendszer szerinti tanúsítványt kibocsátó Tanúsító (Jóváhagyó) Testület) er!forrásaival és szakértelmével. Elvileg lehetséges, hogy egy ország egyb!l a tanúsítványt jóváhagyó résztvev k közé jelentkezik, de ennek olyan komoly feltételei vannak, melyet Magyarország csak több év szisztematikus felkészülési munkája után célozhat meg eséllyel. Természetesen annak nincs akadálya, hogy egy Tanúsítvány felhasználó résztvev kérje státuszának módosítását tanúsítványt jóváhagyó résztvev vé. Ennek feltételei viszont olyan szigorúak (többek között már meglév!, m-köd! nemzeti séma az informatikai termékek biztonsági tanúsítására, a Közös Szempontrendszer szerinti értékeléshez és tanúsításhoz szükséges módszertani bázis és infrastruktúra kiépítettsége, s ezek küls! értékelése egy tanúsítványt jóváhagyó résztvev által), hogy közvetlenül ez most nem célozható meg. Magyarország tanúsítvány felhasználó résztvev ként a közelmúltban kérte csatlakozását a CCRA Megállapodáshoz. A 1214/2002. (XII.28.) Kormányhatározat 4.2 pontjának teljesítése teljes összhangban áll a CCRA Megállapodáshoz való csatlakozással. Az alábbiakban az elvégzend! feladatokat a csatlakozási feltételek szempontjából csoportosítjuk: WF1
Csatlakozás a CCRA megállapodáshoz
Ebb!l adódó közvetlen kötelezettségek: Magyarország képviselete az Igazgató Bizottságban. WF2
A CCRA csatlakozásból adódó lehet!ségek kihasználása, a kötelezettségek érvényre juttatása
Részletes tanulmány (benne ütemterv és feladat összeállítás) a csatlakozás rövid (idei) és középtávú (3-4 év) feladatairól. Értelmez!, magyarázó ismeretterjeszt! anyagok kiadása a Közös Szempontrendszerr!l az informatikai biztonságért felel!sséggel tartozó vezet!k, informatikai szakemberek részére. A Közös Szempontrendszer szerint elfogadott védelmi profilok és tanúsított termékek naprakész adatbázisának létrehozása és széles kör- elérhet!vé tétele.
76. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
Ajánlások kidolgozása kormányzati és vállalati felhasználásra, benne védelmi profilok ismertetése a különböz! informatikai biztonsági komponensekre (operációs rendszerek, adatbázis-kezel!k, t-zfalak, intelligens kártyák, kommunikációs eszközök stb.). Ajánlások kidolgozása az értékelt termékek felhasználására a kormányzati és kereskedelmi-ipari informatikai rendszerek használatában. Ajánlások kidolgozása a különböz! (köztük külön a kormányzati) informatikai rendszerek használatának szabályozásához. WF3
Olyan kormányzati politika kidolgozása, mely megköveteli az értékelt termékek használatát bizonyos kormányzati rendszerekben.
Ezekre alapozva konkrét szabályozás készítend!, mely meghatározza azon esetek körét, ahol csak tanúsított termékeket használó informatikai rendszeren továbbíthatók az információk, egyben meghatározza az intézkedés bevezetésének határidejét, s az érvényesítéshez szükséges szakmai, anyagi és személyi feltételeket is. WF4
Az informatikai termékek és rendszerek min!ségének és biztonságának hiteles hazai tanúsítási rendjének kialakítása
A hiteles hazai tanúsítás rendszeréhez szükséges jogszabályok megalkotása, intézményrendszer felállítása. (l. a fejezet 5.3. alpontja) Az információbiztonsági felügyelet szervezeti “csíráinak” kialakítása, az erre vonatkozó szakmai és jogszabályi koncepciók kidolgozása. Olyan módszertan kidolgozása az informatikai biztonság értékeléséhez és tanúsításához, mely egyrészt összhangban van a Közös Szempontrendszer által kidolgozott egységes módszertannal (és ezen keresztül hozzájárul annak hazai megismertetéséhez, elterjedéséhez, a csatlakozásunkból fakadó kötelezettségeink maradéktalan teljesítéséhez), másrészt figyelembe veszi a hazai sajátosságokat is (a módszertan hazai el!zetes alkalmazásának hiányát, az alapot képez! ismeretek és infrastruktúra hiányosságát). Vizsgáló laboratóriumok felállításának támogatása (bels! szabályzatok megvalósítása, szakemberképzés, dokumentáció- és eszközbeszerzés). Tanúsító szervezetek felállításának támogatása (bels! szabályzatok megvalósítása, szakemberképzés, dokumentáció- és eszközbeszerzés).
5.5 Feladatok a demokrácia és a jogbiztonság er5sítése, továbbá a felhasználó-védelem biztosítása területén Az alapvet! emberi jogok része az információs és információs önrendelkezési jog. Minden embernek joga van ahhoz, hogy a rá vonatkozó adatok felhasználásáról rendelkezzen, azok megfelel! kezelésér!l garanciákat kapjon. Másrészt mindenkinek
77. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
joga van ahhoz, hogy megismerje mindazokat a közérdek- adatokat, amelyek hatással lehetnek az életére, el!segítik jogai gyakorlását (és megismerésük nem sérti mások, más közösségek hasonló jogait). Az elektronikus kommunikációs hálózatok és információs rendszerek az egyik alapvet! emberi jog, az információhoz való jog érvényesítésének egyre jelent!sebbé váló közvetít! eszközei. Megkönnyítik az ismeretekhez való hozzájutást. Globális voltuk miatt m-ködésüket a hálózat minden egyes felhasználója károsan befolyásolhatja, ezért fontos, hogy a hálózat minden láncszeme, a társadalom minden csoportja területi különbségek nélkül eszközöket kapjon biztonságos használatukhoz. Az információhoz való hozzájutás eszközeként az elektronikus kommunikációs hálózatok és információs rendszerek nagy szerepet kapnak a közszféra további demokratizálásában az ügyintézés új formáinak kialakítása útján. Az állampolgár új eszközöket kap állampolgári jogainak gyakorlásához, illetve kötelezettségei végrehajtásához, az állami, közigazgatási és önkormányzati ügyeinek intézéséhez. E szolgáltatások hatékonysága, ezáltal a felhasználói bizalom is sérül, ha a szolgáltatás nem elérhet!, illetve az állampolgár személyiségi jogai sérülnek, személyes adataihoz illegálisan hozzáférnek. Ez a bizalomhiány az állampolgárt nemcsak a közügyek hálózaton keresztül való intézését!l, de az elektronikus gazdaság más szolgáltatásaitól is elriaszthatja. A biztonság tehát az elektronikus gazdaság kialakulását is ösztönzi.18 Minden felhasználónak joga van információi (adatai) védelmére, arra, hogy adatait az (általa nem átlátható) információs rendszerekben védetten kezeljék.
5.5.1 Törekvések a felhasználó-védelem er5sítésére19 Az információs társadalom fejl!dése az állampolgári és a felhasználói jogokra egyre növekv! mérték- hatással van. Az internet kielégít!, a felhasználók számára biztonságos m-ködéséhez, igénybevételéhez szükség van arra is, hogy a felhasználók megfelel! információkkal rendelkezve csatlakozzanak a netre és élvezzék annak el!nyeit. Ehhez elengedhetetlen egy olyan folyamatos, könnyen elérhet! felvilágosító és informáló, jogvéd5szolgáltatás, amely iránt a felhasználók bizalmat táplálhatnak. Az Európai Unió politikái számára a fogyasztóvédelem mindig is kiemelt szerepet töltött be és erre kialakultak a megfelel intézmények is. Az információs társadalmi szolgáltatások felhasználója számára azonban a hagyományostól eltér megközelítéssel lehet csak a jogvédelmet biztosítani. 18
Idézet Dr. Pergel Józsefné bels! tanulmányából
19
Részletek dr. Mayer Erika (Inforum) bels! tanulmányából
78. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Az Európai Unión belül már korábban kiépült tradicionális fogyasztóvédelmi intézményrendszer (a külön biztos intézménye, a fogyasztóvédelmi egyesületek együttm-ködése stb.) mellett az információs társadalmi szolgáltatások felhasználói érdek- és jogvédelme céljára sajátos intézmények is felállításra kerültek. A felhasználó-védelem új típusú megközelítését jelzi az is, hogy az információs társadalmi szolgáltatások vonatkozásában azt els!dlegesen az Európai Bizottságon belül szervezett Információs Társadalom Bizottság keretén belül kezelik, amelynek kezdeményezése például az eCommerce 20. A sajátos szolgáltatás célja a fogyasztók tájékoztatása, a felvilágosítás. A hozzá intézett kérdéseket megválaszolja és a kérdéseket (a küld! személy azonosítása nélkül), valamint a válaszokat nyilvánosan megjelenteti. A másik említésre érdemes EU intézmény az EEJ-NET (European Extra Judicial Network),21 amelynek célja a felhasználók felvilágosítása, jogi tájékoztatás nyújtás és gyors, bíróságon kívüli vitarendezési megoldások fórumáról történ! információ nyújtás. Az EEJ-NET-hez csatlakozott alternatív vitarendezési fórumokat szolgáló intézmények minden uniós tagországban megtalálhatók. Az Európai Unióhoz hasonló módon az OECD22-n belül is az információs és kommunikációs politikák alpontjaként szerepel a felhasználó-védelmi politika, amelynek az újabban született dokumentumai az online technológiák, az információs társadalmi szolgáltatások és az internettel kapcsolatos kérdéskörével foglalkoznak.
Külön internet-ombudsman m-ködik, pl. Ausztriában, Svédországban, Ausztráliában: "Telecommunications Industry Ombudsman" néven. Mindazon államokban, ahol az internet használata nagymértékben elterjedt, a jogrendszerek normatív szabályozással is törekszenek az információs szolgáltatást igénybe vev felhasználók védelmének biztosítására. E körben említhet k az adatvédelmi szabályok, az elektronikus kereskedelmi szerz désekre vonatkozó el írások, az elektronikus aláírás rendezése stb. A normatív megközelítés azonban nem elégséges. Az információs társadalomban a felhasználók védelme új típusú, a normatív szabályozás eszközei mellett a felvilágosításra, tájékoztatásra er teljesen támaszkodó, az esetleges vitákra pedig gyors és hatékony vitarendezési eljárásokat kínáló intézményekre is szükség van. Ezek az intézmények akkor tudnak sikeresen m!ködni, ha függetlenek, civil szervezetek kezdeményezésére jönnek létre, de az államhatalom illetékes 20
http://europa.eu.int/information_society/topics/ebusiness/ecommerce/1welcome/drecommerce
21
http://europa.eu.int/comm/consumers/redress/out_of_court/eej_net/index_en.htm
22
http://www.oecd.org/EN/home/0,,EN-home-44-1-no-no-no-44,00.html
79. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
szervei is elismerik és támogatják m!ködésüket. Ezzel tudják a felhasználók bizalmát elnyerni, illetve hidat képezhetnek a felhasználók, a szolgáltatók és az állami szervek között, az információs társadalom polgárát a paternalista államnak kiszolgáltatott szerepb l a szolgáltató állam egyenrangú partnerévé emelni.
80. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
MAGYAR INFORMATIKAI BIZTONSÁGI STRATÉGIA (II. FEJEZET)
81. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
1. A HAZAI JÖV,KÉP Az információs társadalommal kapcsolatos jöv!kép a gazdaság teljesít!képességének növekedésével, a demokratikus berendezkedés kibontakozásával, az egyének életmin5ségének javulásával, s nem utolsó sorban az információs iparág húzó szerepével számol és arra épít. A stratégia célkit-zése („vízió”) olyan biztonságos információs társadalom létrehozása és m-ködése, • amely biztonságával hatékonyan segíti a társadalom gazdasági, politikai fejl!dését, • amely minimalizálja a kockázatokat és azok hatásait, • amelyben minden résztvev! megbízik. A fenti általános elvek eléréséhez szükséges, hogy a jöv! informatikai társadalma • korszer- jogi szabályrendszerrel, szervezeti infrastruktúrával, biztonságos technikai rendszerekkel rendelkezzen, • hatékonyan alkalmazza a nemzetközi tapasztalatokat, intézményei vegyenek részt a nemzetközi együttm-ködésben,
módszereket,
• hatékony nemzeti koordináció, együttm-ködés legyen az érdekelt felek között, • er5södjön az egyértelm- szabályozáson, tudáson, a demokratikus intézményrendszer m-ködésén és a biztonságos technológiákon alapuló bizalom és • érvényesüljenek a résztvev!k demokratikus jogai. A jöv képet (az állam szerepét tekintve) négy elv vezeti: • állampolgár- és nem bürokrácia centrikus, • eredmény-orientált, • piac-alapú és ösztönzi az innovációt, • közösségi-alapú és – ahol szükséges – korrigálja a piacot. A jöv!képnek az ország fejlettségének, várható fejl!dési pályájának, a nemzetközi környezetnek a figyelembevételével kell kialakulni. A jöv kép megvalósítását befolyásoló tényez5k a következ!k: • a gazdasági körülmények, • a kormányzati intézményekt!l kapott támogatás és prioritások,
82. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
• a nemzetközi szervezetekbe történ! bekapcsolódás el!nyeinek kihasználása, • a szakma-politikai nemzeti konszenzus kialakítása a célokat illet!en, • a technikai fejl5dés, • a biztonsággal kapcsolatos tudatosság, a tudás-menedzsment fejl!dése. A jöv kép az alábbi elvekre támaszkodik: 1.
Az informatikai biztonság versenyképesség növeléséhez.
2.
A hatékony nemzetközi és nemzeti együttmUködés kialakítása. Hatékony nemzetközi együttm-ködés szükséges a követelmények, el!írások, eredmények átvételében és a nemzetközi szervezetek munkájában való részvétel tekintetében. Nemzeti együttm-ködésre és központi koordinálásra van szükség az ágazatok közötti feladatokban, továbbá fokozott együttm-ködést igényelnek a kiemelt informatikai biztonsági fejlesztések, a kockázatkezelés, az államigazgatás, a szakmai szervezetek és a civil szféra együttm-ködése.
3.
Az elvárásoknak megfelel! jogi és szervezeti intézményrendszer m-ködik, mely a szakmai, szakma-politikai és általános demokratikus elveknek megfelel!en az informatikai biztonsági szabályozáshoz szükséges konzisztens és teljes kör- és rendeleti hátteret biztosít egyértelm-en meghatározott felel5sségi és hatáskörökkel. Hatékony felhasználóvédelmet biztosítanak az informatikai rendszerekkel kapcsolatban.
4.
Biztonságos és hatékony információs társadalom. Az államigazgatás, a nemzeti informatikai infrastruktúra, a civil szféra rendszereinek magas fokú védelme, a technikai infrastruktúra stabilitása; védett eljárások, termékek, szolgáltatások és informatikai infrastruktúrák kialakítása, hatékony kockázatkezelés, a kritikus infrastruktúra kiemelt védelme. A védett eljárások, termékek, szolgáltatások és struktúrák széles körben rendelkezésre állnak, mert az információbiztonság a felhasználónak nyújtott szolgáltatások alapvet! eleme. A biztonságos IT-környezet és információ-feldolgozás alapvet5 biztonsági követelményeinek az érvényesülése. Ennek elemei: az IT-biztonsági intézkedések; az ágazatok közötti tevékenységekhez szükséges átfogó szemlélet kialakítása; a biztonság-tudatosság alaptényez!vé emelése; az emberekre, szabályokra, technológiára és szervezetekre épül! biztonsági szabványok kialakítása és bevezetése.
5.
6.
hozzájárul
a
társadalmi
fejl!dés
és
A IT-termékek biztonsági tanúsítási rendszerének mUködtetése, amely a biztonság er!sítéséhez szükséges. Az információtechnológiai biztonság Közös követelményrendszere (CC) szerinti értékelések elfogadása (az „IT-
83. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
biztonsági tanúsítványok nemzetközi elismerésér!l szóló megállapodás” aláírása) és a hazai tanúsítási rendszer továbbfejlesztése. 7.
Kormányzati vonatkozásban kötelez!en, a gazdálkodó szervezetek, civil szervezetek és a lakosság vonatkozásában lehetséges módon számítógépes vészhelyzeteket kezel5 sürg5sségi csoport(ok) segíti(k) a rendkívüli helyzetek megel!zését és a bekövetkez! károk minimalizálását. Az ilyen szervezetek rendelkeznek olyan szakmai, személyi és pénzügyi háttérrel, hogy a vészhelyzetet megel!z! és kezel! feladatokat (megfigyelés, adatgy-jtés, elemzés, statisztika, válaszlépések megtétele a fenyeget! informatikai m-veletekre stb.) országos szinten is el tudják látni, képesek egy tudásbázist m-ködtetni, és lehet!ségük van az IT-biztonság országonként sajátos részterületeivel is foglalkozni.
8.
Az informatikai rendszerekbe, hálózatokba és alkalmazásokba vetett bizalom megléte.
9.
Az informatikai biztonsági tudatosság és ismeretek folyamatos fejlesztése. Az egyes résztvev!k tisztában vannak az informatikai biztonság fontosságával, a várható kockázatokkal valamint a védett termékek és szolgáltatások használatával.
10. Az egyén (és más résztvev5k) alapvet5 jogainak védelme. Információbiztonságot és titokvédelmet biztosító m-ködési környezet kialakítása az állampolgárok számára. Megfelel! mérték- és felhasználóbarát információvédelem minden szerepl! valamennyi kommunikációjában és tranzakciójában. Az információs jogok közé az alábbiak tartoznak: • jog (és eszközrendszer) a biztonságos használatra és a saját adatok védelmére; • jog a felhasználói védelemre és jog arra vonatkozóan, hogy mások bizalmasan kezelik az adatainkat; • annak joga, hogy biztonságban élhessünk és mások se élhessenek vissza az információbiztonsággal.
84. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
2. STRATÉGIAI CÉLOK ÉS PRIORITÁSOK Az átfogó célok az el!z!ekben vázolt jöv!kép elérését segítik. A célkit-zés figyelembe veszi az informatikai fejl5dés alábbi várható tendenciáit: • a globalizáció és globális verseny, az integráció és az átláthatóság növekedése (pl. EU szinten), • a hálózatok és interakciók b!vül! alkalmazása, • nagyobb hangsúlyt kap az információ, mint termelési tényez!, a technikai infrastruktúra stabilitásának igénye, • a technika gyors fejl!dése és a társadalom, állam és közigazgatás egyre nagyobb technika-függ!sége, • a szabványosítás és a harmonizálás szabályozásának egyre hangsúlyosabb igénye, • az életmód (munkakörülmények) megváltozása. A célokat összefoglalva, az alábbi f!bb pontokat emeljük ki: • a társadalmi fejl5dés és a gazdaság versenyképesség támogatása, • hatékony nemzetközi és nemzeti együttmUködés kialakítása, • biztonságos, hatékony kormányzati információs rendszerek m-ködése, • a kritikus infrastruktúrák kiemelt védelme, • az informatikai rendszerekbe és hálózatokba vetett bizalom er5sítése, az információbiztonsági tudatosság és ismeretek fejlesztése és • az informatikai rendszerek alanyainak tájékoztatása és a rájuk vonatkozó alapjogok védelme. A célok megvalósításához az alábbiak szükségesek: • er5síteni kell a jogi, pénzügyi és kooperációs lehet5ségeket, mint a stratégia megvalósításának eszközeit, valamint hatékony „önszabályozó” megoldásokat kell keresni; • törekedni kell a takarékosság és a hatékonyság szem el!tt tartásával a lehet! legkisebb mérték- állami beavatkozásra; • ki kell használni az együttmUködésben rejl5 lehet5ségeket a lehet! legnagyobb mértékben, akár a bels! piaci szerepl!kr!l, akár a külpiaci kapcsolatokról (EU) legyen szó.
85. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
A stratégiai célok részletesen az alábbiak: WC1
A társadalmi fejl5dés és a gazdaság versenyképességének támogatása
Az informatika a modern gazdaságok egyik húzóágazata. Az információtechnológia által létrehozott eszközökkel, módszerekkel a korábban nagyobb emberi munkaer! ráfordításával végzett (vagy gyakorlatilag nem is megvalósítható) feladatok gyorsabban, hatékonyabban megoldhatók. A fejl!déssel együtt n! az információs társadalom függ!sége az informatikai rendszerek hatékony, hibátlan és rosszindulatú támadásoktól védett m-ködését!l. A társadalmi fejl!dés és a gazdaság versenyképességének növelése csak fejlett informatika-biztonsági eszközrendszer és tudásbázis alkalmazásával érhet! el. Az informatikai rendszereknek biztonságosnak, megbízhatóaknak, szabályozottaknak, menedzselhet!eknek kell lenniük, így tudják szolgálni a fejl!désre, versenyképességre vonatkozó célokat. Hozzá kell járulni olyan biztonságos információs társadalom kialakulásához, melyben mindenki megbízhat, és amely minden résztvev!nek lehet!vé teszi a biztonságos információ-kezelést és kommunikációt WC2
Hatékony nemzetközi és nemzeti együttmUködés kialakítása
Hatékony nemzetközi együttm-ködés szükséges a követelmények, el!írások, eredmények átvételében, a nemzetközi szervezetek munkájában való részvételben. Emellett fontos cél, hogy a nemzetközi szervezetek elismerjék a magyar innovációk színvonalát, a kialakítandó magyar min!sít! és értékel! intézményrendszert azért, hogy a magyar informatika-biztonsági fejlesztések hazai értékelése is eredményezhessen nemzetközileg elismert min!sítést. Magyarország megjelenése ezekben a szervezetekben lehet!vé teszi, hogy véleményünk kifejezésével, a hazai eredmények ismertetésével er!sítsük az ország szerepét, elismertségét. Az így kialakuló kapcsolatok lehet!vé teszik a magyar kutatási-fejlesztési potenciál bevonását a nemzetközi projektekbe. Ez javítja a hazai informatikai biztonsági munka színvonalát is. A nemzetközi együttm-ködés tehát el!segíti, orientálja a szakma fejl!dését, emellett visszahat a magyar intézményrendszerre is. Végül lehet!vé teszi a konkrét szakmai eredményekhez való hozzájutást is, azaz az együttm-ködés komplex hatásai révén rendkívül el!nyös az IT biztonság szinte minden területén. Az informatikai biztonság er!sítése közös nemzeti ügyünk, fontos minden résztvev! (állampolgár, gazdasági szervezetek, intézmények, kormányzat) együttm-ködése a biztonságos információs társadalom megteremtéséhez, az információs rendszerekbe vetett bizalom kialakításához, fenntartásához. Az együttm-ködés hozzájárulhat a demokratikus intézményrendszer er!sítéséhez is, ezért kiemelten fontos az országon
86. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
belüli, ágazatok közötti együttm-ködés és koordinálás. Fokozott együttm-ködés szükséges a kiemelt információbiztonsági fejlesztésekben, kockázatkezelésben, az állam- és közigazgatás, szakmai szervezetek, civil szféra együttm-ködésével. WC3
Hatékony és biztonságos kormányzati információs rendszerek kialakítása és mUködtetése
Stratégiai cél, hogy hatékony informatikai rendszereinket a tervezés, megvalósítás, m-ködtetés és megszüntetés (felújítás) szakaszaiban egyaránt úgy kezeljük, hogy a rendszer biztonsága indokolt prioritást élvezzen. Az informatikai rendszer csak akkor töltheti be alapfunkcióját, ha biztonságos. A nagy megbízhatóságú és biztonságú informatikai rendszerek alkalmazhatók a kritikus területeken és az általános szolgáltatásban egyaránt. A biztonságos informatikai rendszerek léte ma már egy ország fejlettségének, versenyképességi szintjének megbízható fokmér!je. A biztonságos infrastruktúra alapot képez a további gazdasági fejl!déshez. WC4
A kritikus informatikai infrastruktúrák kiemelt védelme
A hatékony informatikai rendszerek az államigazgatáson kívüli területeken, különösen a gazdasági élet egyes olyan területein is alkalmazásra kerültek, amelyek m-köd!képességének meg!rzése közérdek. Az ilyen rendszerek m-ködési zavarai nagy tömegeket érintenek, a társadalom alaprendszereinek m-köd!képességét befolyásolják, a m-ködési zavarok súlyos kárt okozhatnak, vagy veszélyt jelenthetnek. Az itt m-köd! informatikai rendszerek biztonságára kiemelt figyelmet kell fordítani. Az ezen a területen jellemz!, alapvet!en zárt, menedzselt rendszerek biztonságossá tételéhez olyan speciális biztonsági módszerek, technológiák is alkalmazhatók és alkalmazandók, amelyeket széles körben a magas költségek miatt nem lehetséges alkalmazni. WC5
A bizalom er5sítése, az információbiztonsági tudatosság és ismeretek fejlesztése
Az egyes résztvev!k legyenek tisztában az információvédelem fontosságával, az információs rendszerek és hálózatok biztonságának szükségességével, felel!sségükkel, kötelezettségeikkel, a lehetséges kockázatokkal, valamint azzal, hogy mit tudnak tenni a biztonság fokozása érdekében a védett termékek és szolgáltatások használatával. Ez segíti az információs rendszerekbe vetett bizalom megteremtését, mely nélkülözhetetlen az informatikai alkalmazások széles kör- terjedéséhez.
87. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
WC6
Az informatikai rendszerek felhasználóinak tájékoztatása és a rájuk vonatkozó alapjogok védelme
Az informatikai rendszerek felhasználói jogosultak arra, hogy megismerjék: • az informatikai rendszerek kockázatait általában, illetve • az aktuális biztonsági kockázatokat (pl. vírus-támadások, hacker-verseny, a rendszerösszeomlások esetei stb.), • annak módszereit, hogyan képesek saját felhasználásra biztonságos informatikai rendszert kialakítani, • azon termékek, szolgáltatások, hálózatok körét, melyeket a hatóságok, illetve tanúsító szervezetek biztonságosnak ismernek el, • a kormányzati, illetve kritikus infrastruktúrához tartozó szervezetek informatikai biztonsága érdekében tett intézkedéseket. Az informatikai rendszereknek biztosítaniuk kell továbbá az információhoz való jutás jogát, valamint a jogállamiságból adódó követelményeket: az információval való önrendelkezést, az esélyegyenl!ség biztosítását a biztonságos információhoz jutásban, valamint a biztonságos, b-nözést!l mentes élethez való alapjogot. Az informatikai rendszereknek biztosítani kell az általuk nyújtott szolgáltatás rendelkezésre állását, a kezelt adatok, információk bizalmasságát és integritását is. Sokszor azonban ezeket a garanciákat csak a kívülr!l érkez! támadás ellen biztosítják. A rendszer jogos felhasználója sokszor nem kap biztosítékokat arra, hogy a t!le származó (pl. egészségügyi) adatok megfelel! védelemben részesülnek-e, s ki, milyen jogosultságokkal férhet hozzá az adatokhoz. Az e területen észlelhet! hiányosságok kiküszöbölése fontos cél, mert a felhasználók bizalma elengedhetetlen a rendszerek megfelel!, hatékony m-ködéséhez. Ugyanennek a problémakörnek másik aspektusa annak biztosítása, hogy legyenek jogszer-en elérhet!k a felhasználók számára azok a modern, f!leg titkosítási technológiák, amelyek magas szinten és kényelmesen biztosítják az adatok bizalmasságát, integritását. Az állam által megtestesített közösség ugyanakkor jogot formálhat arra, hogy a közösség ellen elkövetett b-ncselekmények felderítését ne akadályozzák a b-nöz!k által használt adatvédelmi eszközök, módszerek. Hasonló ütközés fordul el! a munkavállaló-munkaadó kapcsolatban is. Fontos stratégiai cél, hogy a szerepl!k alapjogait biztosítsa a jogi környezet, a résztvev!k jogainak konfliktusa esetén pedig világos viszonyok megteremtésével tegye lehet!vé az informatikai rendszerek elvárásoknak megfelel! m-ködését.
88. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
A MITS el!készít! tanulmány céljaihoz az Informatikai biztonsági részstratégia az alábbi kapcsolódási pontokat tartalmazza:
A MITS El5készít5 tanulmány átfogó céljai
Az IBRS stratégiai céljai
A humán er forrás fejlesztése és felkészítése az információs társadalomban való életre
A bizalom er!sítése, az információbiztonsági tudatosság és ismeretek fejlesztése (C5); Hatékony nemzetközi és nemzeti együttm-ködés kialakítása (C2).
A versenyképességet biztosító elektronikus gazdaság kialakulásának ösztönzése
A társadalmi fejl!dés és a gazdaság versenyképességének támogatása (C1)
A közszféra további demokratizálása és hatékonyságának javítása
Az informatikai rendszerek felhasználóira vonatkozó alapjogok védelme (C6)
Az információs társadalom infrastrukturális alapjainak megteremtése
Hatékony és biztonságos információs rendszerek kialakítása és m-ködtetése (C3); A kritikus informatikai infrastruktúrák kiemelt védelme (C4)
89. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
3. VÁRHATÓ HATÁSOK A stratégia pontosítása, elfogadása, a cselekvési terv végrehajtása alapján várható hatásokat az alábbiakban foglaljuk össze: 1) Elvárható biztonsági szint- informatikai rendszerek m-ködése; 2) A gazdasági fejl!dés el!remozdítása; 3) Konkrét költségvetési megtakarítások: • A biztonságra fordított összegek várhatóan kisebbek, mint a nem biztonságos rendszerekkel kapcsolatban felmerül! károk. • A biztonsági követelmények és azoknak megfelel! megoldások beépítése (ha ismertek) a fejlesztés el!tt olcsóbb, mint utólag. Az ICT szektor dinamikus fejl!dés el!tt áll hazánkban, ezért kedvez! id!ben vagyunk. • Reális, kockázattal arányos védelem kiépítése olcsóbb, mint a követelmények ismerete nélkül a maximális biztonságra törekvés (pl. a többfokozatú min!sítés, az ehhez kapcsolódó védelmi fokozatok bevezetésével egy "skálázható" védelem alakulhat ki). A felhasználói jogok érvényesülésével növekedhet a bizalom az informatikai rendszerekben, mely hozzájárulhat az információs alkalmazások terjedéséhez, ezzel az információs, tudásalapú társadalom fejl!déséhez. Meg kell azonban jegyeznünk, hogy a szokásos költség-haszon elemzést ebben az esetben nem tartjuk követend nek. Az informatika fejl désének el mozdítása, az informatikai módszerek egyre mélyebb integrálása a gazdaságba a társadalom napi m!ködésébe stratégiai kérdés, a fejlett világba való integrálódásunk feltétele, jöv nk egyik alapja. Az informatikai biztonság pedig ezen informatikai rendszerek m!ködésének el feltétele.
90. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
4. HOSSZÚ TÁVÚ FELADATOK Az információs társadalom feltételeinek kialakításához, mint alapvet! stratégiai célnak a megvalósításához hosszú távú biztonsági feladatok kit-zése szükséges az alábbi területeken: • az infrastrukturális feltételek célterületein (pl. biztonságos informatikai rendszerek és távközlési hálózatok), • a környezeti feltételek között (pl. a jogi és szabályozási terület), • a tudásbeli feltételek megteremtésénél. A stratégiai célok megvalósítását segít! feladatcsoportok (FCs): A stratégiai célok megvalósításához szükséges, hogy az azok megvalósításához szükséges feladatokat nagyobb, szakmailag-logikailag egységet képez! feladatcsoportokká (eszközökké) rendezzük. A stratégiai célok eléréséhez a legtöbbször több különböz! részterülethez kapcsolódó, különböz! jellegfeladatcsoport végrehajtására van szükség. WFCs1 A jogszabályi környezet biztosítása A jogszabályi környezet feladata, hogy: • kiépítse azt az intézményrendszert, amely a megoldandó állami feladatokhoz felel!sségeket rendel, és amely lehet!vé teszi a feladatok megoldásának koordinálását, az IT biztonság er!sítésében érdekelt felek orientálását, az IT termékek biztonságának értékelélését, tanúsítását. Ebbe beleértend! a tanúsítást végz! szervezetek létrehozásának támogatása, illetve akkreditálása éppúgy, mint a biztonsági vizsgálatokat ellen!rzött körülmények között, garantált szaktudással és módszertannal végz! laboratóriumok létrehozásának segítése, majd akkreditálása, • meghatározza azokat a speciális szabályokat, amelyek a kormányzati és a kritikus infrastruktúrák informatikai rendszereinek m-ködésére, m-ködtetésére vonatkoznak, szabályozza az informatikai rendszerek egyéni felhasználóinak jogait és kötelezettségeit, szabályozza a hálózatokat m-ködtet! szolgáltatók (távközlési szolgáltató, internet-szolgáltatók, információs társadalommal összefügg! szolgáltatást nyújtók) jogait, kötelezettségeit, • kedvezményekkel, a piacra jutás feltételeinek javításával ösztönözze a fejlett biztonsági megoldások alkalmazását azokon a részterületeken, ahol a közvetlen szabályozás nem megfelel! eszköz,
91. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
• építse be a magyar jogrendszerbe a fejl!dést el!segít! nemzetközi szabványokat. A feladatcsoport sikeres végrehajtása mindegyik stratégiai célt támogatja
WFCs2 Részvétel a nemzetközi IT biztonsági szervezetek munkájában Az információ biztonsága kiemelt kérdés a fejlett országokban. Több nemzetközi szervezet is foglalkozik IT biztonsági kezdeményezések gondozásával. Magyarország bekapcsolódása ebbe a munkában több szempontból is kiemelten fontos. Ki kell emelni a Common Criteria rendszeréhez való kapcsolódást, az ETSI (European Telecommunications Standards Institute) és az European Network and Information Security Agency munkájának fontosságát. A nemzetközi szervezetek által kidolgozott szabványok, standardok átvétele által a nemzetközi szinten kidolgozott és használt informatika-biztonsági értékelési, min!sítési rendszerek bekerülhetnek a magyar IT biztonsági szabályozás rendszerébe. Ezáltal az IT termékek külföldön elvégzett értékelése, min!sítése értelmezhet!, alkalmazható lesz Magyarországon is. A min!sítéssel rendelkez! eszközök szélesebb választéka el!nyösen hat az IT biztonságra. A feladatcsoport sikeres végrehajtása közvetlenül az C2, de áttételesen mindegyik stratégiai célt támogatja.
WFCs3 Biztonsági követelmények kidolgozása, nemzetközi szabványok honosítása Biztonsági követelmény-rendszerek megfogalmazására van szükség ahhoz, hogy a felhasználók világosan megfogalmazhassák az elvárásaikat a fejlesztés, üzemeltetés során. A nemzetközi együttm-ködés egyik vetülete a biztonsággal kapcsolatos szabványok átvétele, honosítása. E többszint- munka minden alábbi eleme fontos feladat: • Az informatika-biztonsági termékek, eszközök fejlesztése során nemzetközileg elfogadott és a gyakorlatban is bizonyított módszertant szükséges használni. • Az alkalmazott biztonsági megoldások, algoritmusok, protokollok, generálási módszerek, adatkezelési formátumok kapcsán szintén igazodni kell a nemzetközi szabványokban megadott módszerekhez. Ennek hiányában RFCleírásokban megadott elveket, ‘best practice’ leírásokat szükséges követni. Az IT biztonság területén alapelvként kell követni, hogy csak kiérlelt módszereket szabad alkalmazni. • Az IT termékek fejlesztése során külön figyelmet kell fordítani az inputoutput interfészek felépítésére, ezek szabványosságára, hiszen egy tagolt,
92. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
széles spektrumot lefed! piacon a különböz! interoperabilitás szükséglet, piaci követelmény.
termékek
közötti
• Az IT termékek tesztelése értékelése során szintén támaszkodni kell a nemzetközi módszertani segítségre, összeállított, verifikált követelményrendszerekre (Common Criteria, FIPS-140, stb.). A feladatcsoport sikeres végrehajtása mindegyik stratégiai célt támogatja.
WFCs4 Biztonságos informatikai rendszerek kialakítása a kormányzatban és ilyenek kialakításának támogatása a kritikus infrastruktúráknál, illetve más közérdekU informatikai rendszerekben FCs4(a) Azonosítás, hitelesítés, felel5sség és elszámoltathatóság A megbízható azonosítási és hitelesítési módszerek rendkívül fontos feladatcsoportot alkotnak, ez az információbiztonság egyik kulcskérdése. Kiemelését az is indokolja, hogy a feladatcsoport céljainak megvalósítása rendkívül komplex és szerteágazó munkát jelent. A feladatcsoport keretében kezelni kell a nyilvános kulcsú infrastruktúra gyakorlati problémáit éppúgy, mint a birtoklás alapján történ! azonosítás vagy a biometrikus azonosítás technológiáit, az ezek megbízható m-ködtetéséhez szükséges hátteret. Az operációs rendszerek hitelesítési módszerein keresztül megjelennek a más feladatcsoportokhoz (pl. szoftvermin!ség) tartozó munkák is. A felel!sség és elszámoltathatóság kérdésköre közvetlenül kapcsolódik az el!bbiekhez, hiszen ennek elvi lehet!sége az azonosítás és hitelesítés módszerein keresztül teremt!dik meg. A gyakorlatban sokszor el!fordul, hogy az informatikai rendszer elleni támadási lehet!ségek teljes kizárása a magas költségek miatt megvalósíthatatlan, ugyanakkor egy hiteles adatokkal dolgozó naplózó rendszer lehet!vé teszi a támadás, a szabálytalan viselkedés adatainak rögzítését, így jelent!sen növelve a támadó kockázatát. A megbízható naplózó rendszer tehát önmagában jelent!s fegyelmez!, visszatartó er!. A kormányzati és a kritikus infrastruktúrához tartozó szervezetek informatikai rendszereinél biztonsági alapcél, hogy a rendszerben zajló folyamatok teljes mértékben követhet!k legyenek, az azokat kiváltó, azokért felel!s entitások azonosíthatóak legyenek. A feladatcsoport sikeres végrehajtása az C3, C4, C5, C6 stratégiai célokat támogatja.
FCs4(b) Az informatikai biztonságot segít5 alaptechnológiák terjedésének támogatása
93. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Az információbiztonság a felhasználónak nyújtott szolgáltatás alapvet! eleme. Az IT biztonság alaptechnológiái közé soroljuk az egyszer- rejtjelez! programokat, PKI eszközöket, személyes t-zfalakat, azaz mindazokat a biztonságnövel! eszközöket, amelyek viszonylag széles körben hozzáférhet!ek. Az informatikai biztonság alaptechnológiáinak elterjedése, elterjesztése két ok miatt is fontos. Az eszközökkel való megismerkedés ismeretek megszerzésével is jár, és e megszerzett ismeretek segítik a felhasználót a veszélyek felismerésében (pl. a PKI alapfogalmai nélkül nem lehet elmagyarázni, hogy miért fontos ellen!rizni a tanúsítvány tartalmát SSL kapcsolatfelvétel esetén). Másrészt ezen alaptechnológiák hozzáférhet!sége nemcsak a felhasználók, de a fejleszt!k számára is hasznos. A feldolgozott technológiai ismeretek elérhet!sége, esetleg bizonyos modulok, forráskódok elérhet!sége, felgyorsíthatja a fejlesztések folyamatát. Az IT biztonság egyes részterületeihez (pl. rejtjeles kapcsolatfelvétel, integritásellen!rzés, védett naplózás, archiválás stb.) kapcsolódó információk feldolgozása a fentiek mellett pozitívan hat a biztonsági tudatosságra, a biztonsági ismeretek általános szintjére is. A feladatcsoport sikeres végrehajtása az C3, C4 és (kiemelten) a C6 stratégiai célokat támogatja.
WFCs5 Az IT termékek min5ségbiztosítása A biztonsági hibák jelent!s része szoftverhibára vezethet! vissza. Ezek a hibák sokszor nem érintik a m-köd!képességet, viszont egy támadó számára lehet!vé tehetik az IT rendszer biztonságának kompromittálását. Ez éppúgy igaz a leggyakrabban használt operációs rendszerekre, mint a népszer- alkalmazásokra. Ezért fontos feladat a széles körben használt operációs rendszerek és alkalmazások biztonságának javítása, a szoftverek min!ségének emelése. A feladat része a szoftver fejlesztése során használt programozási technikák kontrollálása, szoftverfejlesztési módszertanok betartása. A szoftverek min!ségi javulását jelent!sen el!segítené a jogi környezet vagy gyakorlat olyan módosulása, amely a jelenleginél hatékonyabban szankcionálná a szoftverrendszerekben fellelt hibákat. A szoftverfejlesztésre vonatkozó min!ségbiztosítási rendszer általánossá tétele ezért fontos biztonsági feladat. Olyan IT rendszerek esetén, amelyek biztonsága kiemelten fontos, el! kell segíteni, hogy értékelt, megfelel! tanúsítással rendelkez! rendszerek kerüljenek alkalmazásra. Kritikus infrastruktúrák esetén ezt kötelez! alapelvként szükséges elfogadtatni. A feladatcsoport megvalósítását segíti a nemzetközi szervezetekben elérhet! információk népszer-sítése és oktatása. Kiemelt szerepe van ezen a területen a Common Criteria, valamint a szoftver min!ségbiztosítás eszközrendszerének.
94. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
A feladatcsoport sikeres végrehajtása az C3, C4 és (kiemelten) az C5 stratégiai célokat támogatja.
WFCs6 A kockázatkezelési módszerek fejlesztése A kockázatkezelési módszerek az informatikai rendszerek biztonsági problémáinak, a problémák elkerülésének, felismerésének, részleges vagy teljes megoldásának alapeszközei. A kockázatkezelési módszerek végigkísérik az informatikai rendszerek életciklusát. Hasznos a segédeszközök alkalmazása az informatikai rendszerek sebezhet!ségének vizsgálata során is. Ezért a kockázatkezeléssel kapcsolatos ismeretek fejlesztése, ezen ismeretek egyre szélesebb körben való alkalmazása fontos feladat, jelent!sen javítja a biztonságot. Ennek a feladatcsoportnak részei: • felkészülés és megel!zés, • észlelés és reagálás, • er!s alapok (tudatosság, szervezeti segítség) biztosítása az el!z! két cél eléréséhez. A feladatcsoport sikeres végrehajtása az C3, C4 és C5 stratégiai célokat támogatja.
WFCs7 Az IT biztonsági veszélyek tudatosítása, felkészítés a védekezésre, felhasználó-védelem az információs társadalomban A biztonsági problémák túlnyomó többsége emberi hibára vezethet! vissza. Az emberi hibák egyik csoportját alkotják a rendszer létrehozásakor elkövetett hibák. Az informatikai rendszerek fejlesztésénél a biztonsági szempontok sokszor háttérbe szorulnak a funkcionalitás szempontjai mellett. S!t a biztonsági szempontok sokszor meg sem jelennek a rendszer fejlesztésének id!szakában. A rendszerfejleszt!k, programozók számára is szükséges, hogy tudatában legyenek a tevékenységükkel kapcsolatos biztonsági veszélyeknek. A veszélyek másik f! csoportja az IT rendszerek felhasználóihoz köthet!. A beépített biztonsági mechanizmusok egy része sajnos csak akkor hatékony, ha a rendszer felhasználója is együttm-ködik. Ezért az egyik fontos cél az, hogy minden szerepl!ben tudatosuljanak az IT rendszerekre leselked! veszélyek, a támadások korán felismerhet! jelei és az eredményes támadások súlyossága. E feladatcsoport végrehajtása során tehát a cél a sz-kebb körben már létez! általános és a rendszerekre jellemz! sajátos biztonsági ismeretek átadása, a széles kör számára történ! elérhet!ség megszervezése, ezek oktatása.
95. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
A feladatcsoport sikeres végrehajtása kiemelten az C5 stratégiai célt támogatja.
WFCs8 A források megteremtése, a biztonsági szempontok érvényesítése a fejlesztés, tervezés során A biztonság megteremtése költségekkel is jár, melyre áldozni kell. A kormányzatnak a tervezés során figyelembe kell venni a biztonsággal járó költségeket, valamint a segítség felel!sségét a kis- és középvállalkozások, továbbá a civil szféra biztonságának megteremtéséhez, mely össztársadalmi feladat. Sokkal hatékonyabb, kisebb költség-, ha megfelel! tervezéssel, el!készítéssel a biztonsági szempontokat érvényesíteni lehet a beszerzéseknél, kormányzati szinten a tenderkiírásokban, pályáztatások során. A feladatcsoport sikeres végrehajtása az C3 és C4 stratégiai célokat támogatja.
Minden feladatcsoportról elmondható, hogy (közvetlenül vagy közvetetten) mindegyike stratégiai célt támogat. Ugyanakkor, mint ahogy azt kiemeltük, bizonyos feladatcsoportok szorosabban köthet!k egyes stratégiai célokhoz. Az alábbi táblázat mutatja a stratégiai célokhoz tartozó feladatcsoportokat. Egy célhoz több feladatcsoport is tartozik, ugyanakkor minden feladatcsoport szükséges valamelyik stratégiai cél végrehajtásához. A stratégiai célok
A feladatcsoportok
C1: A társadalmi fejl5dés és a gazdaság
FCs1, FCs3, FCs4/b, FCs8
versenyképességének támogatása
C2: Hatékony nemzetközi és nemzeti együttmUködés
FCs1, FCs2, FCs3
kialakítása
C3: Hatékony és biztonságos kormányzati információs rendszerek kialakítása és mUködtetése
C4: A kritikus informatikai infrastruktúrák kiemelt védelme
C5: A bizalom er5sítése, az információbiztonsági tudatosság és ismeretek fejlesztése
C6: Az informatikai rendszerek felhasználóinak tájékoztatása és a rájuk vonatkozó alapjogok védelme
96. oldal
FCs1, FCs3, FCs4/a, FCs4/b, FCs5, FCs6, FCs8 FCs1, FCs3, FCs4/a, FCs4/b, FCs5, FCs6, FCs8 FCs1, FCs3, FCs4/a, FCs5, FCs6, FCs7 FCs1, FCs3, FCs4/a, FCs4/b
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
5. KÖZÉPTÁVÚ FELADATOK 2006-IG ÉS A 2004 VÉGÉIG SZÜKSÉGES INTÉZKEDÉSEK A stratégiai célok megvalósítása érdekében az állam számára alapvet!en négy eszköz áll rendelkezésre: • jogszabályalkotás, szabályozás és koordináció; • támogatás (a kormányzati szférában a források biztosítása, társadalmi szinten a motiválás, els!sorban anyagi érdekeltséggel); • a nemzetközi együttm!ködés el!nyeihez (tudás, eszközök, támogatás) való hozzájutás feltételeinek biztosítása; • az oktatás/képzés révén felkészítés a biztonsági megoldások tudatos alkalmazására, mely segíti az informatikai rendszerekbe vetett bizalom er!sítését, az információs társadalomban a jogok érvényesítését. Mindezeket hatékonyan kell felhasználni a kit-zött célok eléréséhez és a feladatok végrehajtásához. A következ! négy oldalon a 3. táblázat látható, amely a legfontosabb feladatcsoportokra vonatkozóan bemutatja a MITS-sel összefügg! különböz! célok, sikerkritériumok, prioritások, a feladatcsoportok végrehajtásához (ütemezéssel) javasolt források stb. kapcsolatát. Azt követ!en, a fent említett 3. táblázat rövidítéseinek megértését segítend!, külön táblázatokban szerepelnek az IBRS célok (4. táblázat), az NFT célok (5. táblázat), az e-Európa célok (6. táblázat) és a Prioritások (7. táblázat). A fejezet további részében pedig a középtávú stratégiai feladatok részletes ismertetése látható a prioritás, felel5sök és a forrásigények megjelölésével.
97. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Befejezés
Kezdés
A feladat prioritása
S
X
2003
2004
eEU-10
FCs1
Szabályozott szolgáltatások biztosítása
S
X
2003
2004
eEU-3, eEU-10
FCs2
Nemzetközi tapasztalatok átvétele
K
X,M
2003
2006
eEU-10
F1.b
NFT-3, Jogszabályi környezet biztosítása C1, C5 NFT-5, - ICT szolgáltatók NFT-6
Részvétel az IT biztonsággal foglalkozó nemzetközi szervezetek munkájában
NFT-2, NFT-3
szöveges
FCs1
F1.a
C2
értékek
ID,IGÉNY
EU+NATO kompatibilitás, kockázattal arányos védelmi megoldások
Jogszabályi környezet biztosítása NFT-3, C2, C4 NFT-4 - informatikai felhasználók
F2
hosszú távú feladatok
Indikátorok
SIKERKRITÉRIUMOK
e--Európa célok
FELADAT MEGNEVEZÉSE
NFT célok
Feladatazonosító
IBrS célok
CÉLOK
A feladat jellege
Informatikai biztonsági részstratégia
98. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
F3
FELADAT MEGNEVEZÉSE
Informatikai biztonsági követelmények kidolgozása
CÉLOK
hosszú távú feladatok
SIKERKRITÉRIUMOK
FCs3, FCs8
Biztonság, megalapozott, egységes gyakorlata
C3, C4, NFT-5, NFT-1 C5
eEU-3, eEU-10
C3, C4, NFT-3, NFT-5, C5 NFT-6
eEU-3, eEU-5, eEU-8, eEU-10
FCs5
NFT-1, NFT-3, NFT-5, NFT-6
eEU-3, eEU-5, eEU-10
FCs4(A), FCs4(B)
NFT-2,
eEU-1, eEU-3
FCs6, FCs7
F4
IT termékek min!ségbiztosítása
F5
Kiemelt szakmai projektek indítása és a meglév!k támogatása
C1, C4
F6
A tudásbázis növelése, oktatási, képzési és ismeretterjesztési feladatok az IT biztonság területén
C5, C6 NFT-4
Elvárható biztonsági szintU informatikai rendszerek mUködése
Akkreditált vizsgát tett személyek száma
99. oldal
A feladat prioritás a
Feladatazonosító
A feladat jellege
Informatikai biztonsági részstratégia
K, T, S
M
2003
2006
K, T, S
X
2003
2006
K,T
X
2003
2006
K,T
M
2003
2006
ID,IGÉNY
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
F1.b
nincs
Szabályozott szolgáltatások biztosítása
F1.a
Nemzetközi tapasztalatok átvétele
F1.a, F2
Biztonság, megalapozott, egységes gyakorlata
F2
F3
90
293
325
510
280
50
70
100
130
100. oldal
Finanszírozás
Forrásigényel5irányzat 2004-re (mFt)
IHM
IHM
IM
100
IHM, HÍF, MeH, IM
IHM
IM
110
IHM, NHH, MeH, NBF, OR
IHM
200
IHM, NHH, MeH, NBF, OR
IHM
Végrehajtás
Lakossági ráfordítás
Vállalkozói t5ke EU forrás NFT-n keresztül külföldi forrás (EU, egyéb, nem NFT)
Más fejezet, más költségvetés
IHM fejezet 205
Ellen5rzés
nincs
FELEL,SÖK Koordináció
F1.a
Származó el5nyök EU+NATO kompatibilitás, kockázattal arányos védelmi megoldások, jogbiztonság növelése
FORRÁSIGÉNY (mFt) Saját ágazat
Függ5ségek, veszélyek
Feladatazonosító
Forrásigény összesen (mFt)
Informatikai biztonsági részstratégia
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Származó el5nyök F1.a, F2
Biztonság, megalapozott, egységes gyakorlata
510
F4
F1.a, F3
Növekedhet a bizalom az informatikai rendszerekben, mely hozzájárulhat az információs alkalmazások terjedéséhez, ezzel az információs, tudásalapú társadalom fejl!déséhez
345
F5
F4, F6
A gazdasági fejl!dés el!remozdítása
556
300
100
70
86
380
F1.a
A felhasználók, a gazdaság szerepl!i, az állam- és közigazgatás rendszereinek tudatosabb, biztosnságosabb m-ködtetése
246
110
50
20
66
130
F3
F6
280
100
130
200
IHM, NHH, MeH, NBF, OR
IHM
IHM
101. oldal
oldalak száma: 155
Ellen5rzés
Koordináció
Finanszírozás
FELEL,SÖK Végrehajtás
Forrásigényel5irányzat 2004-re (mFt)
Lakossági ráfordítás
Vállalkozói t5ke EU forrás NFT-n keresztül forrás (EU, egyéb, nem NFT)
Más fejezet, más költségvetés
IHM fejezet
FORRÁSIGÉNY (mFt) Saját ágazat
Függ5ségek, veszélyek
Feladatazonosító
Forrásigény összesen (mFt)
Informatikai biztonsági részstratégia
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
Jel
Cél
Jelleg
Átfogó cél Prioritás
C1
a társadalmi fejl!dés és a gazdaság versenyképességének támogatása
érték
III
kiemelt
C2
hatékony nemzeti és nemzetközi együttm-ködés kialakítása
érték
Á
magas
C3
hatékony és biztonságos kormányzati információs rendszerek kialakítása, m-ködtetése
érték
III
magas
C4
a kritikus informatikai infrastruktúrák kiemelt védelme
érték
III
magas
C5
a bizalom er!sítése, az információbiztonsági tudatosság és ismeretek fejlesztése
érték
II
közepes
C6
az informatikai rendszerek felhasználóinak tájékoztatása és alapjogaik védelme
érték
IV
közepes
4. táblázat: IBRS célok
Kód
MITS átfogó CÉL
NFT-1-esély
esélyegyenl!ség biztosítása
NFT-2-humán
humán (emberi) er!forrás fejlesztése
NFT-3-e-gazdasag
elektronikus gazdaság fejlesztése
NFT-4-közszféra
közszféra demokratizálása, hatékonyság fejlesztése
NFT-5-infrastruktúra
infrastrukturális alapok fejlesztése
NFT-6-innováció
innováció ösztönzése
5. táblázat: NFT célok
102. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
Kód
Object
Cél
eEU-01
European youth into the Digital Age
az európai ifjúság a digitális korban
eEU-02
Cheaper Internet access
eEU-03
Accelerating e-Commerce
eEU-04
Fast Internet for researchers and students
gyors internetelérés kutatóknak és tanulóknak
eEU-05
Smart cards for secure electronic access
intelligens kártyák a biztonságos elektronikus hozzáférésért
eEU-06
Risk capital for high-tech SMEs
kockázati t!ke a csúcstechnológiai kis- és középvállalkozások számára
eEU-07
e-Participation for the disabled
a fogyatékkal él!k e-részvétele
eEU-08
Healthcare online
online egészségügy
eEU-09
Intelligent transport
intelligens szállítás
eEU-10
Government online
online kormányzat
olcsóbb internet-hozzáférés az e-gazdaság el!segítése
6. táblázat: e-Európa célok
Cél
A feladat prioritása
Megjegyzés
X
kiemelt prioritás
M
magas prioritás
EU csatlakozáshoz, magas prioritású célhoz tartozó és folyamatban lév!, régóta teljesítend! feladat
K
közepes prioritás
EU átlaghoz történ! felzárkózást segít! feladat és ágazati m-ködést javító feladat
A
alacsony prioritás
hasznos, de rövid- és középtávon nem feltétlenül szükséges feladat
kiemelt cél teljesítésének feltételeit biztosító feladat
7. táblázat: Prioritások
103. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
5.1 A középtávú stratégiai feladatok A következ! táblázatokban - az egyes feladatokhoz rendelve - közelít5 értékek szerepelnek a tervezhet!ség érdekében. A stratégiai célok eléréséhez, illetve a feladatcsoportok megoldásához középtávon (2006 közepéig) a következ! átfogó jelleg- feladatok megoldására célszerkoncentrálni.
Feladat azonosító: A feladat jellege: A feladat megnevezése: Célcsoport:
F1/a szabályozás a jogszabályi környezet biztosítása informatikai felhasználók
Megjegyzés: A táblázatban szerepl Forrásigény a bels költségét és küls megbízási díjakat egyaránt tartalmazza. Azonosító
Feladatleírás
Prioritás
Felel5s
F1.a.1.
A többszint- min!sítési rendszer jogi kereteinek kiemelt és rész szabályainak kidolgozása.23
1. IHM 2. MeH, BM, IM
F1.a.2.
A min!sített, a személyes adatot, a speciális kiemelt titkot, továbbá a szellemi alkotást tartalmazó dokumentumok elektronikus kezelésének és továbbításának részletszabályait tartalmazó IHM rendelet kiadása. Az elektronikus ügyfélszolgálatok (az állam-és magas közigazgatásban, továbbá a gazdálkodó szervezeteknél), az elektronikus ügyintézés és elektronikus szerz déskötések biztonságos és folyamatos m-ködésének részletszabályait tartalmazó IHM rendelet kiadása.
1. IHM 2. MeH /OR, BM, IM
F1.a.3.
1. IHM 2. BM 3. PM
munkaer
Forrásigény a törvénymódosítás részletszabályozásainak kidolgozása az illetékes ágazatok feladata 25 mFt (IHM forrás)
10 mFt (IHM forrás)
23
A 2003. évi LIII. (VI.23.) törvény az államtitokról és a szolgálati titokról szóló 1995. évi LXV. törvény, valamint az azzal összefüggésben más törvények módosításáról törvény az általános jogi kereteket meghatározta, de hiányoznak még a részletszabályozások, els!sorban az elektronikusan kezelt adatok min!sítésével kapcsolatban.
104. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Azonosító F1.a.4.
F1.a.5.
F1.a.6.
F1.a.7.
Feladatleírás
A központi állami és közigazgatási szervezetek, a magas helyi állami és közigazgatási szervezetek, a tartósan állami kezelésben m-köd! gazdálkodó szervezetek informatikai biztonsági mintaszabályzatainak kidolgozása és a megfelel! IHM rendeletek kiadása. Az informatikai biztonsági fejlesztések és magas programok támogatásának megalapozása a belföldi és európai uniós támogatásokról szóló jogszabályokban, ezek eljárási szabályozása és a biztonság szempontok kötelez! érvényesítése a támogatások során. A foglalkoztató (állami és közigazgatási vagy közepes gazdálkodó szervezet) által a foglalkoztatottaknak biztosított, az informatikai rendszerek és eszközök biztonságával kapcsolatos jogainak és kötelezettségeinek kidolgozása. Annak biztosítása, hogy kormányzati magas informatikai rendszerek beszerzése esetén el!nyt élvezzenek a min!sítéssel rendelkez! termékeket tartalmazó ajánlatok.
Feladat azonosító: A feladat jellege: A feladat megnevezése: Célcsoport: Azonosító F1.b.1.
F1.b.2.
Prioritás
Felel5s
Forrásigény
1. IHM 2. MeH, BM, IM
30 mFt (IHM forrás)
1. IHM 2. MeH, PM, más, támogatást kezel! minisztériumok 1. IHM 2. MeH, IM
15 mFt (IHM forrás)
1. IHM 2. MeH, IM
10 mFt (IHM forrás)
a bels! munkaer! feladata
F1/b szabályozás a jogszabályi környezet biztosítása ICT szolgáltatók
Feladatleírás
Prioritás
A távközlési szolgáltatókra vonatkozó informatikai m-ködtetési el5írások és magatartási szabályok megalkotása, amelyek betartása kizárja vagy jelent!sen korlátozza a felhasználók és a szolgáltatók adataihoz való jogosulatlan hozzáférést, azok jogosulatlan módosítását, továbbá biztosítja a hálózatok m-ködésének folytonosságát. Az internet-szolgáltatókra vonatkozó olyan mUszaki el5írások és magatartási szabályok megalkotása, amelyek betartása kizárja vagy jelent!sen korlátozza az adatokhoz való jogosulatlan hozzáférést, azok jogosulatlan módosítását, továbbá biztosítja a hálózatok m-ködésének folytonosságát.
kiemelt
1. IHM 2. MeH, BM
140 mFt (IHM forrás)
kiemelt
1. IHM 2. MeH / OR, BM
5 mFt (IHM forrás)
105. oldal
Felel5s
Forrásigény
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Azonosító F1.b.3.
F1.b.4.
F1.b.5.
F1.b.6.
F1.b.7. F1.b.8.
Feladatleírás
Prioritás
Az információs társadalommal összefügg! szolgáltatást nyújtókra (pl. tartalom-szolgáltatók) vonatkozó m-szaki el!írások és magatartási szabályok megalkotása, amelyek betartása kizárja vagy jelent!sen korlátozza az adatokhoz való jogosulatlan hozzáférést, azok jogosulatlan módosítását, továbbá biztosítja a hálózatok m-ködésének folytonosságát. A hitelesítés-szolgáltatókra vonatkozó részletszabályok teljes kör- megalkotása (pl. a min!sített hitelesítés-szolgáltatók tekintetében a jelenlegi szabályozás általánosságban megfelel!, de az informatikai rendszerekre vonatkozóan is szükséges lenne a biztonsági követelmények megalkotása). A felhasználók támogatása az ICT szolgáltatókra vonatkozó biztonsági követelmények érvényesítésében (pl. a fogyasztóvédelem sajátos formája). Az informatikai biztonsággal kapcsolatos hatósági feladatokat ellátó szervezet(ek) kijelölése, feladat-és hatáskörükr!l szóló jogszabály megalkotása. Az informatikai biztonsággal kapcsolatos hatósági feladatokat ellátó szervezet(ek) részére pótlólagos forrás biztosítása. A kormányzati informatikai biztonsági szakmai hálózat létrehozatala, az ebben feladattal rendelkez!k képzése.
magas
1. IHM 2. BM
10 mFt (IHM forrás)
közepes
1. IHM, HÍF 2. MeH, IM
40 mFt (IHM/HÍF forrás)
magas
1. IHM 2. MeH, IM
30 mFt (IHM forrás)
magas
IHM, 3 mFt MeH, BM
magas
IHM, MeH, BM, PM IHM, MeH, BM, minden miniszter
közepe
Felel5s
Forrásigény
45 mFt 20 mFt
Feladat azonosító: F2 A feladat jellege: koordináció (ágazaton belül elvégezhet!) A feladat megnevezése: Részvétel az IT biztonsággal foglalkozó nemzetközi szervezetek munkájában Azonosító F2.1.
Feladatleírás
Prioritás
Csatlakozás a CCRA megállapodáshoz kiemelt [Megállapodás a Közös Követelményrendszer szerinti tanúsítványok elfogadásáról a Common Criteria-t elfogadó országokkal].
106. oldal
Felel5s IHM
Forrásigény 5 mFt (IHM forrás)
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Azonosító F2.2.
F2.3.
Feladatleírás
Prioritás
Állami és közigazgatási szakemberek kiemelt felkészítése szakmai szervezetek (pl. az Informatikai és Hálózatbiztonsági Ügynökség, CC stb.) együttm-ködésére, a nemzetközi módszertanok, szakanyagok megismerésével. Magyar tanúsító testület (Hungarian magas Certification Body, CB) felállításának el!készítése, felkészülés a CB hazai akkreditálására az ISO/IEC 45011 szabvány szerint.
Felel5s
Forrásigény
IHM
30mFt
IHM
200 mFt, 10 évre elosztva (IHM forrás)
F2.4
A nemzetközi szabványosítási folyamatok magas folyamatos követése és érdemi változások (új, az informatikai biztonság területére hatást gyakorló szabványok megjelenése) esetén, a szabványok honosítása.
IHM, Magyar Szabvány ügyi Testület
10 mFt /év
F2.5
Aktív részvétel (együttm-köd! félként) a kiemelt nemzetközi szabványügyi testületeknek - az informatikai biztonsággal foglalkozó szabványosítási munkájában.
IHM, MEH, BM
20 mFt/év
Feladat azonosító: F3 A feladat jellege: szabályozás és koordináció A feladat megnevezése: az informatikai biztonsági követelmények kidolgozása Azonosító F3.1.
F3.2.
F3.3.
Feladatleírás
Prioritás
Felméréseket, elemzéseket kell végezni az kiemelt informatikai biztonsággal kapcsolatos nemzetközi szabványok, ajánlások, követelmények feltérképezéséhez. Biztonsági és garanciális (fejleszt!i, magas dokumentációs stb.) követelményrendszercsoportok meghatározása a különböz! veszélyeztetettség- informatikai rendszerekre, különös tekintettel a titokvédelmi törvény szerinti, különböz! fokozatú titkokat kezel! rendszerekre. A kormányzati rendszerek, ezen belül a kiemelt min!sített információkat feldolgozó rendszerek informatikai biztonsági követelményeinek kidolgozása.
107. oldal
Felel5s
Forrásigény
IHM
15 mFt (IHM forrás)
IHM
30 mFt
IHM, 100 mFt MeH, BM
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Azonosító F3.4.
F3.4.
F3.5
Feladatleírás
Prioritás
A magyar távközlési és informatikai kiemelt infrastruktúra azon elemeinek felmérése, amelyek (szándékos károkozás vagy véletlen meghibásodás következtében fellép!) zavarai országos szint- bajokat idézhetnek el! az internet-elérésben. Ezek védelmére ajánlható követelményrendszereket kell kidolgozni, a jogszabályokat folyamatosan aktualizálni kell, a technikai és a támadási módszerek fejl!désének megfelel!en. A központosított közbeszerzés szabályainak magas módosítása annak érdekében, hogy a kormányzat informatikai tenderekben vegyék figyelembe az informatika-biztonsági szempontokat (l. még F1.a.7).
Felel5s
Forrásigény
IHM, GM 35 mFt
IHM
Koordináció annak érdekében, hogy a magas tanúsított informatikai termékek és rendszerek beszerzésére kell! pénzügyi forrásokat biztosítson a kormányzat az amortizációval párhuzamosan.
30 mFt
100 mFt / év
Feladat azonosító: F4 A feladat jellege: koordináció, szabályozás és támogatás A feladat megnevezése: IT termékek minEségbiztosítása Azonosító F4.1.
F4.2.
F4.3. F4.4.
Feladatleírás
Prioritás
Az informatikai alkalmazások biztonságának hiteles tanúsítását szolgáló, a termékek és rendszerek tanúsítását végz! szervezetek követelményeit, m-ködési szabályait tartalmazó jogszabálytervezet kidolgozása. Az informatikai termékek és rendszerek biztonsági tanúsításának felügyeletét ellátó szerv meghatározása, a tanúsítási eljárás meghatározása. Az informatikai termékek és rendszerek tanúsítását végz5 szervezetek kijelölése. Az informatikai termékek és rendszerek biztonsági vizsgálatát végz! szervezetek (vizsgáló laboratóriumok) követelményeinek és m-ködési szabályainak kidolgozása.
Felel5s
Forrásigény
kiemelt
IHM
10 mFt (IHM forrás)
magas
IHM
5 mFt
kiemelt
IHM
5 mFt
magas
IHM
25 mFt
108. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Azonosító F4.5.
F4.6
Feladatleírás
Prioritás
Az informatikai termékek és rendszerek magas biztonsági vizsgálatát végz! szervezetek (vizsgáló laboratóriumok) felállításának és m-ködtetésének támogatása. Kutatási projektek indítása (nemzetközi kiemelt kooperációval) azért, hogy kormányzati felhasználásra csak olyan informatikai termékek kerüljenek, amelyek biztonságára, hibamentes m-ködésére a szállító garanciát vállal.
Felel5s
Forrásigény
IHM
120 mFt + évi 30 mFt
IHM
30 mFt + évi 20 mFt
Feladat azonosító: F5 A feladat jellege: A feladat megnevezése: kiemelt szakmai projektek indítása és a meglévEk támogatása Azonosító F5.1.
F5.2.
F5.3. F5.4. F5.5.
F5.6
Feladatleírás
Prioritás
Országos háttéradatbázist m-ködtet! és a helyi CERT-eket segít! szervezeti háttér kialakítása. Ennek kézenfekv! módja a jelenlegi SZTAKI-CERT és az IMH közötti együttm-ködési megállapodás kib!vítése, a CERT tevékenységek anyagi támogatása. A kritikus informatikai infrastruktúrák veszélyeztetettségének és a biztonsági elvárásoknak a felmérése, majd az adatok folyamatos aktualizálása. A kritikus infrastruktúrák védelmi fejlesztéseinek támogatása nemzetközi eredmények alapján. Szükséges támogatni a szabadon hozzáférhet! szoftverek adaptálását a magyar környezethez. Web-alapú informatikai biztonsági háttér támogatás létrehozása a CERT adatbázis(ok) mellett, amely elméleti és gyakorlati szakmai információt szolgáltat a használatos technológiákról. A hiteles elektronikus archiválási szolgáltatás támogatása (az infrastruktúra és szabályozási környezet kialakítása, a szolgáltatók akkreditálása stb.).
Felel5s
Forrásigény
magas
IHM
30 mFt (IHM forrás)
kiemelt
IHM, GM, PM
30 mFt + évi 5 mFt
magas
IHM
30 mFt
magas
IHM
15 mFt
magas
IHM
10 mFt + évi 2 mFt
magas
IHM
50 mFt
109. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Azonosító
Feladatleírás
Prioritás
Felel5s
Forrásigény
F5.7.
A nyilvános kulcsú infrastruktúra titkosításra magas való felhasználásának el!segítése (az elektronikus aláírásra vonatkozó szabályozási környezet és infrastruktúra kialakításával, a szolgáltatók ilyen szempontú akkreditálásával stb.).
IHM
20 mFt
F5.8
Létre kell hozni egy országos központi inf. magas bizt. felügyeleti elemz!, értékel! központot, ami az igazgatás és esetleg a magánszféra területén megtörtént inf. bizt. események értékelését végezné és kapcsolatban lenne a nagy fejleszt! cégekkel, illetve a védelmi eszközöket (hw, sw) gyártó világcégekkel.
IHM
150-200 mFt (indulásnál) + évi 50 mFt
Feladat azonosító: F6 A feladat jellege: koordináció, támogatás A feladat megnevezése: a tudásbázis növelése, oktatási, képzési és ismeretterjesztési feladatok az IT biztonság területén Azonosító F6.1.
F6.2 F6.3.
F6.4.
Feladatleírás
Prioritás
Az informatikai oktatási területek felmérése (az Oktatási Minisztériummal közösen) és az (alap, közép és fels!fokú) szakirányú képzések kib!vítése informatikai biztonsági szakmai ismeretekkel. A kapcsolódó oktatási szabályozási rendszer áttekintése. Informatikai biztonsági oktatási segédanyagok kidolgozása és vizsgakövetelmények kialakítása. Az államigazgatásban alkalmazott informatikusok, rendszergazdák rendszeres és kötelez5 biztonsági kiképzése. Az ilyen munkakörök betöltéséhez. szükséges szakmai min!sítési el!írások kidolgozása. A köztisztvisel!i továbbképzésr!l szóló 199/1998. kormányrendelet kiegészítése az informatikai, ezen belül informatikai biztonsági képzéssel tananyagot kell kidolgozni.
Felel5s
Forrásigény
kiemelt
IHM, OM 20 mFt (OM, IHM)
magas
IHM, OM 120 mFt+ évi 20 mFt
kiemelt
IHM 20 mFt irányítás, összkormányzati feladat IHM, BM, 10 mFt MeH
magas
110. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
Azonosító F6.5.
Feladatleírás
Prioritás
A Common Criteria elterjedésének magas el!segítésére szükséges létrehozni egy webalapú háttérbázist, amely az alapinformációk, módszertani leírások, esetleg esettanulmányok mellett tartalmazza az elérhet! védelmi profilokat is. Gondoskodni kell az adatbázis rendszeres karbantartásáról is.
Felel5s IHM
Forrásigény 10 mFt + évi 2 mFt
5.2 A 2004 végéig tartó középtávú feladatok beindításához szükséges intézkedések A legfontosabb feladatok címszavakban az alábbiakban foglalhatók össze: • Országos szint- felmérés a reális helyzetképhez, a feladatok pontosításához; • A nemzetközi szervezetekhez csatlakozás kezdeményezése, a kötelezettségek teljesítése, a nemzetközi tudás, szervezetek el!nyeinek kihasználása, felkészülés a nemzetközi szervezetekben való részvételre; • A szabályozási feladatok elindítása; • A hazai informatikai kidolgozásának beindítása;
biztonsági
módszertanok,
követelmények
• Az informatikai biztonsággal kapcsolatos szervezeti rendszer kialakításának kezdeményezése (a felügyeleti funkciók ellátása az eddigi felhatalmazások alapján, informatikai rendszerek biztonságát tanúsító szervezetek kijelölése, értékel!/vizsgáló laboratóriumok létrehozásának segítése); • A kockázatkezelés magasabb szintre emelése, együttm-ködés koordinálása az informatikai biztonság er!sítésében érdekelt, tapasztalatokkal rendelkez! szervezetekkel. Az alábbiakban áttekintjük a rövidtávon szükséges intézkedéseket. Az itt jelzett feladatok és összegek a középtávú feladatoknál szerepelnek, azok els! ütemezését jelentik. 1.
A jogszabályi és intézményi feltételek harmonizációja Ezt a feladatot minél el!bb meg kell kezdeni a technikai fejl!dés, nemzetközi elvárások, hazai infrastruktúra figyelembevételével, a stratégiai célok megvalósítása érdekében.
111. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
1.1. Szabályozni kell a min!sített adatot kezel! rendszerek létesítésének és m-ködtetésének rendjét, továbbá a termékekre, hálózatokra, szolgáltatásokra és szolgáltatókra, ezek tanúsítására vonatkozó mindazon követelményeket, melyek ennek a szabálynak az alapját képezik. Már az 1995. évi, az államtitokról és szolgálati titokról szóló LXV. törvény 30. § (2) pontja alapján a Kormánynak 1995. december 31-ig szabályoznia kellett volna a min sített adatot kezel rendszerek létesítésének és m!ködtetésének rendjét. E a szabályozás a mai napig nem született meg. Mindez akadályozza, hogy a számítástechnikai rendszerekkel készített, tárolt, továbbított min sített adatok a titokvédelmi törvény el írásainak megfelel en legyenek kezelve (pl. nincs egységes értelmezés a 11.§ (2) pontjában szerepl megismerésre vonatkozó engedély számítástechnikai környezetben történ eljárásaira, a számítástechnikai eszközökön tárolt adatok TÜK kellékeire, a mentések kezelésére stb. vonatkozóan).
Határid!: 2004 vége........................forrásigény: 50 mFt 1.2. Dönteni kell az informatikai biztonsággal kapcsolatos hatósági feladatot ellátó szervezetekr!l, forrásaikat ki kell egészíteni az új feladatok ellátásához szükséges szervezeti (és személyi) feltételek fedezetével. Határid!: 2003. december 31. .......forrásigény: 35 mFt 1.3. Az informatikai biztonsági szabályzatok (IBSz) mintáinak kidolgozása. Els! ütemben az államigazgatás, valamint a kritikus infrastruktúrák különböz! területein. A feladat els! lépése a meglév! (nem min!sített) IBSz-ekkel kapcsolatos tapasztalatok összegzése. Határid!: 2004. június 30. .............forrásigény: nincs Második lépésben az informatikai rendszerek veszélyeztetettségei alapján differenciált minta-szabályzatok kidolgoz(tat)ása szükséges. Határid!: 2004. december 31. .......forrásigény: 30 mFt 1.4. A hitelesítés-szolgáltatókra vonatkozó részletszabályok megalkotása (a min sített hitelesítés-szolgáltatók tekintetében általános szinten megfelel!, de az informatikai rendszerre vonatkozó biztonsági követelmények megalkotása, illetve a fokozott biztonságú hitelesítésszolgáltatókra vonatkozóan ajánlatok kidolgozására lenne szükség). Határid!: 2004. december 31. .......forrásigény: 20 mFt 1.5. A kormányzati informatikai biztonsági szakmai hálózat létrehozatala, az ebben feladattal rendelkez!k képzése. Határid!: 2003. december 31. .......forrásigény: 20 mFt
112. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
2.
Részvétel a nemzetközi IT biztonsági szervezetek munkájában 2.1. Csatlakozás a Common Criteriá-t elfogadó országokhoz. Határid!: 2003. december 31. .......forrásigény: 3 mFt 2.2. Kapcsolatfelvétel, közrem-ködés a várhatóan 2004 elején megalakuló Európai Hálózati és Informatikai Biztonsági Ügynökséggel (ENISA). Határid!: 2004. december 31. .......forrásigény: 10 mFt 2.3. Az apparátus felkészítése a nemzetközi együttm-ködésb!l adódó feladatokra az együttm-ködésben rejl! lehet!ségek kihasználásához. Határid!: 2004. december 31. .......forrásigény: 7 mFt 2.4. Részletes tanulmány kidolgozása (ütemtervvel és feladat összeállítással) a csatlakozás rövid (2003. évi) és középtávú (3-4 évre vonatkozó) feladatairól. Határid!: 2003. október vége ........forrásigény: 10 mFt
3. Biztonsági követelmények kidolgozása, nemzetközi szabványok honosítása 3.1. Felmérések készítése a nemzetközi és hazai IT-biztonsággal kapcsolatos szabványokról. Határid!: 2003. december 31. .......forrásigény: 10 mFt 3.2. Ki kell dolgozni a kormányzati rendszerek, ezen belül a min!sített információkat feldolgozó rendszerek - a többfokozatú min!sítési skálának megfelel! - kockázatarányos követelmény rendszereit. Határid!: 2004. december 31. .......forrásigény: 100 mFt 3.3. Minta szabályzatok, szemléltet! példák és gyakorlati útmutatók készítése az MSZ ISO/IEC 17799 szabvány „Az informatikai biztonság menedzselésének eljárásrendje” el!írásainak jobb megértése és alkalmazhatóságának segítése érdekében, továbbá a szabad elérhet!ség biztosítása, a szabvány f! szempontjainak részletes (pályázati kiírással elnyerhet!) feldolgozása. (Az így kidolgozandó anyagok oktatási segédanyag szerepét is betölthetnék.) Határid!: 2003. december 31. .......forrásigény: 30 mFt
113. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
4.
IT termékek min5ségbiztosítása 4.1. Rendelettervezet kidolgozása az IT termékek értékelését és tanúsítását végz! szervezetekr!l, eljárásrendr!l. Határid!: 2003. december 31. .......forrásigény: 20 mFt 4.2. Az informatika termékek és rendszerek biztonsági értékelése és tanúsítása hazai rendszerének kialakítása. Részfeladatok: (1) Módszertan kidolgozása, adaptálása az informatikai biztonsági kiértékelés eljárásaihoz (források: CC: CEM, UK: SYS, különböz! szoftver min!ségre vonatkozó szabványok és modellek) Határid!: 2003. december 31. .......forrásigény: 25 mFt (2) Vizsgáló laboratóriumok felállításának szabályzatok megvalósítása, szakemberképzés, eszközbeszerzés)
támogatása (bels! dokumentáció- és
Határid!: 2003. december 31. .......forrásigény: 100 mFt (3) Tanúsító szervezetek felállításának támogatása (bels! szabályzatok megvalósítása, szakemberképzés, dokumentáció- és eszközbeszerzés) Határid!: 2003. december 31. .......forrásigény: 15 mFt 5.
Az IT biztonságot er5sít5, kiemelt szakmai projektek indítása és a meglév5k támogatása 5.1. Felül kell vizsgálni a nemzeti intézkedéseknek a hatékonyságát a számítógépes vész-reakciók vonatkozásában, amelyek magukban foglalhatják a vírus-riadóztatási rendszereket is, annak érdekében, hogy er!sítsék meg a védelmeket azért, hogy a hálózatokkal és információs rendszerekkel szembeni támadásokat, illetve a rendszerek összeomlását megel!zzék, detektálják, továbbá hatékonyan reagáljanak ezekre nemzeti és nemzetközi szinten egyaránt. Az államigazgatás együttm-ködési megállapodásokkal, anyagi támogatással segítse a vészhelyzet-kezel! központ(ok) (CERT-ek) fejl!dését, eredményeinek hasznosulását. Határid!: 2003. december 31. .......forrásigény: státusra)
114. oldal
15
mFt
(3
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
5.2. A kormányzat indítson átfogó felmérést az államigazgatási szektor, a gazdasági szektor és a magánszféra biztonsági helyzetének felmérésére. A felmérés tartalmazza az ismeretek, tudatosság, szabályozottság, rendkívüli események területeit is. Határid!: 2004. június 30. .............forrásigény: 20 mFt 5.3. A kormányzat indítson átfogó felmérést a kritikus infrastruktúrákról, informatikai veszélyeztetettségükr!l, IT biztonsági elvárásaikról. Határid!: 2004. június 30. .............forrásigény: 30 mFt 5.4. A fentiek mellett át kell tekinteni az e-kormányzati, e-közigazgatási projekteket a biztonsági szempontok érvényesülése szempontjából. Határid!: 2004. június 30. .............forrásigény: nincs, kormányzati feladat 5.5. Segíteni kell a piaci szerepl!ket a döntésekben, megoldásokban ajánlásokkal, követelmények megfogalmazásával és az ún. "best practices" ismertetésekkel. Határid!: folyamatos .....................forrásigény: nincs, kormányzati feladat 6.
Tudásbázis növelése, ismeretb5vítés 6.1. IHM és OM közös felmérése azon oktatási területekr!l, amelyekben az IT biztonsági ismeretek szervezett oktatását er!síteni kell, az ehhez szükséges szabályzatok módosításának el!készítése. Határid!: 2004. június 30. .............forrásigény: 20 mFt 6.2. Ismeretb!vítés a Common Criteria elterjesztésére: • tudásbázis kialakítása az értékeléssel/tanúsítással kapcsolatos módszertani anyagok adaptálása, esettanulmányok kidolgozása, • tanúsított termékek adatbázisának kialakítása a hazai séma keretén belül értékelt/tanúsított informatikai termékek adatbázisának létrehozása és nyilvánosan elérhet!vé tétele, • értelmez!, magyarázó, ismeretterjeszt! anyagok kiadása (els!sorban a kormányzatban és a vállalati szektorban dolgozó informatikai biztonságért felel!sséggel tartozó vezet!k, szakemberek részére (pl. a számítógépes hálózatok és az információ védelmének ismereteir!l,).
115. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Határid!: 2004. december 31. .......forrásigény: 50 mFt 6.3. Honlap-tervezés és kivitelezés az informatikai biztonsági tájékoztatás, segítségnyújtás céljából (mely a kormányzati portálról elérhet!, s mely szabadon elérhet!vé tesz minden ismeretterjeszt! anyagot). Határid!: 2004. június 30. .............forrásigény: 20 mFt 6.4. Továbbképzések, konferenciák rendezése a CC alapjainak szemléltetésére, a csatlakozásból adódó lehet!ségek és kötelezettségek ismertetésére: • CC alapelvei, alapfogalmai, • CEM módszertan lényege, elemei, • szoftver termékek és folyamatok min!ségének ellen!rzésére és tanúsításra alkalmazható módszerek alapjainak ismertetése (benne: CMMI és SPICE). Határid!: 2004. december 31. .......forrásigény: 50 mFt 6.6. Nemzetközileg értékelt védelmi adatbázisának létrehozása.
profilok,
termékek
naprakész
Határid!: 2004. június 30. .............forrásigény: 20 mFt (majd folyamatos karbantartásra évenként 3 mFt) 6.7. 2003 végéig információs és oktatási kampányokat kell indítani azért, hogy • a számítógépes hálózatok és az információ védelmének ismereteit növeljék, • ezeket a kérdéseket kiemelten kezeljék a vállalatok, az egyéni felhasználók és a nagyközönséget szolgáló ügykezel!k körében, • növeljék a tudatosságot a magánszektorra nézve, beleértve az internet-szolgáltatókat is és • ösztönözzék a magánszektor melletti kezdeményezéseket is.
116. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
5.3 Feladatlapok néhány kiemelt prioritású intézkedéshez
Megjegyzés: A Feladatlapokat a középtávú feladatok beindításához szükséges 2004. végéig javasolt intézkedések közül – a prioritások alapján- kiválasztott néhány feladatra készítettük el. A teljes leírást - az ágazati egyeztetéseket követ en - a stratégia és a javasolt középtávú feladatok és intézkedések véglegesítése után kell elkészíteni.
117. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
Feladat jele: . F5.2
Azonosítója: ... 5.2, 5.3, 5.4 intézkedés.
Jellege:.......... [K] koordinációs feladat
Prioritása: ...... [X] kiemelt.
Megnevezése (címe): biztonsági felmérés. A feladat leírása (tartalma): A kormányzat indítson átfogó felmérést az államigazgatási szektor, a gazdasági szektor és a magánszféra biztonsági helyzetének felmérésére. Támogatott IBRS célok: C1, C3, C5. A teljesítés feltétele: nincs. NFT és e-Európa kapcsolódások: NFT-3, NFT-5, e-EU-03, e-EU-10. Származó el5nyök, várható eredmények: A felmérés tartalmazza az ismeretek, tudatosság, szabályozottság, rendkívüli események területeit is, valamint adatokat a kritikus infrastruktúrákról, informatikai veszélyeztetettségükr!l, továbbá az IT biztonsági elvárásokról az e-kormányzati, e-közigazgatási projektekr!l a biztonsági szempontok érvényesülése szempontjából. Sikerkritériumok (indikátorok, értékek): A siker feltétele: a felmérés elegend!en széleskör- legyen, a résztvev!k aktív tevékenysége és bizalma a projekttel szemben. Várható kockázatok (kockázat, valószín-ség, hatás): nem kell!en reprezentatív minta, vagy nem kell!en hiteles adatok. Id5zítés: Javasolt kezdés: 2003. 12. 01.
Javasolt befejezés: 2004. 06. 30.
A téma teljes forrásigénye: 50 mFt. Forrásmegosztás: Költségvetés saját ágazati fejezet: nincs. IHM fejezet: 10 mFt. Más ágazat fejezete, más ktg.vetés (alapok, önkormányzat): 40 mFt. Külföldi forrás, EU alap (NFT-n keresztül, ill. egyéb külföldi): nincs. Vállalkozói t5ke: nincs. Felel5s: ágazatok. Finanszírozás: IHM + ágazatok. Koordináció: IHM. Végrehajtás: ágazatok. Ellen5rzés: IHM.
118. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
Feladat jele: . F2.1
Azonosítója: ... 2.1 intézkedés.
Jellege:.......... [K] koordinációs feladat
Prioritása: ...... [X] kiemelt.
Megnevezése (címe): Csatlakozás a Common Criteriá-t elfogadó országokhoz. A feladat leírása (tartalma): kapcsolatfelvétel és Megállapodás miniszteri szintaláírása a Common Criteria-t elfogadó fejlett országokhoz még 2003-ban, majd a kötelezettségekb!l adódó feladatok elvégzésének megkezdése. Támogatott IBRS célok: C2, C3, C4. A teljesítés feltétele: a kijelölt szakemberek felkészítése. NFT és e-Európa kapcsolódások: NFT-2, NFT-5, e-EU-03. Származó el5nyök, várható eredmények: a nemzetközi informatikai biztonsági követelmények átvétele, érvényesítése a hazai informatikai rendszerekben, a hazai fejlesztések segítése, mellyel nemzetközi szinten versenyképes termékek forgalmazását segítheti a kormányzat. Sikerkritériumok (indikátorok, értékek): A nemzetközi szervezetben résztvev! országok befogadási nyilatkozata. Várható kockázatok (kockázat, valószín-ség, hatás): a trendként érvényesítend! követelmények túl gyors bevezetése negatív visszahatással járhat (költségek, hazai fogadó infrastruktúra és szabályozási környezet elégtelensége). Id5zítés: Javasolt kezdés: 2003. 09. 01.
Javasolt befejezés: 2003. 12. 31.
A téma teljes forrásigénye: 3 mFt. Forrásmegosztás: Költségvetés saját ágazati fejezet: nincs. IHM fejezet: 3 mFt. Más ágazat fejezete, más ktg.vetés (alapok, önkormányzat): nincs. Külföldi forrás, EU alap (NFT-n keresztül, ill. egyéb külföldi): nincs. Vállalkozói t5ke: nincs. Felel5s: IHM. Finanszírozás: IHM. Koordináció: IHM. Végrehajtás: IHM. Ellen5rzés: IHM.
119. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
Feladat jele: . F2.2
Azonosítója: ... 2.2 intézkedés.
Jellege:.......... [K] koordinációs feladat
Prioritása: ...... [X] kiemelt.
Megnevezése (címe): kapcsolatfelvétel az Európai Hálózati és Informatikai Biztonsági Ügynökséggel. A feladat leírása (tartalma): kapcsolatfelvétel és közrem-ködés a várhatóan 2004 elején megalakuló Európai Hálózati és Informatikai Biztonsági Ügynökséggel (ENISA), továbbá az apparátus felkészítése a nemzetközi együttm-ködésb!l adódó feladatokra az együttm-ködésben rejl! lehet!ségek kihasználásához. Támogatott IBRS célok: C2, C3, C4. A teljesítés feltétele: a kijelölt szakemberek felkészítése. NFT és e-Európa kapcsolódások: NFT-2, NFT-5, e-EU-03. Származó el5nyök, várható eredmények: a nemzetközi trendek megismerése és a tapasztalatok átvétele. Sikerkritériumok (indikátorok, értékek): akkreditált részvétel. Várható kockázatok (kockázat, valószín-ség, hatás): a hazai fogadó infrastruktúra és szabályozási környezet elégtelensége. Id5zítés: Javasolt kezdés: 2003. 10. 20.
Javasolt befejezés: 2004. 12. 31.
A téma teljes forrásigénye: 10 mFt. Forrásmegosztás: Költségvetés saját ágazati fejezet: nincs. IHM fejezet: 10 mFt. Más ágazat fejezete, más ktg.vetés (alapok, önkormányzat): nincs. Külföldi forrás, EU alap (NFT-n keresztül, ill. egyéb külföldi): nincs. Vállalkozói t5ke: nincs. Felel5s: IHM. Finanszírozás: IHM. Koordináció: IHM. Végrehajtás: IHM. Ellen5rzés: IHM.
120. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
Feladat jele: . F3.3
Azonosítója: ... 3.2 intézkedés.
Jellege:.......... [K] koordinációs feladat
Prioritása: ...... [X] kiemelt.
Megnevezése (címe): az informatikai biztonsággal kapcsolatos követelményrendszer elkészítése. A feladat leírása (tartalma): a kormányzati rendszerek - ezen belül a min!sített információkat feldolgozó rendszerek - a többfokozatú min!sítési skálának megfelel!, kockázatarányos követelmény-rendszereinek kidolgozása. Támogatott IBRS célok: C3, C4. A teljesítés feltétele: jogi és intézményi háttér megteremtése. NFT és e-Európa kapcsolódások: NFT-4, e-EU-03, e-EU-10. Származó el5nyök, várható eredmények: az informatikai biztonsági szempontok érvényesítése a kormányzati rendszerek fejlesztésében. Sikerkritériumok (indikátorok, értékek): fokozatosan növekv! biztonságú informatikai rendszerek. A sikert a CC által értékelt termékek kormányzati szektorban történ! alkalmazásának száma jelzi (indikátor). Várható kockázatok (kockázat, valószín-ség, hatás): jelent!s költségvetési növekedés a nem kockázattal arányos, reális biztonsági követelmények állítása miatt. Id5zítés: Javasolt kezdés: 2004. 01. 01.
Javasolt befejezés: 2004. 12. 31.
A téma teljes forrásigénye: 100 mFt. Forrásmegosztás: Költségvetés saját ágazati fejezet: nincs. IHM fejezet: 30 mFt. Más ágazat fejezete, más ktg.vetés (alapok, önkormányzat): 40 mFt. Külföldi forrás, EU alap (NFT-n keresztül, ill. egyéb külföldi): 30 mFt. Vállalkozói t5ke: nincs. Felel5s: IHM. Finanszírozás: IHM és más ágazatok (BM, MeH). Koordináció: IHM. Végrehajtás: IHM és más ágazatok, hatóságok (BM, NBF, OR, NHH). Ellen5rzés: IHM.
121. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
Feladat jele: . F5.1
Azonosítója: ... 5.1 intézkedés.
Jellege: [K, T] koordinációs és támogatási feladat Prioritása: ...... [M] magas. Megnevezése (címe): a vészhelyzet-kezel! központ(ok) (CERT-ek) fejl!désének, eredményeinek hasznosulásának támogatása. A feladat leírása (tartalma): Felül kell vizsgálni a nemzeti intézkedéseknek a hatékonyságát a számítógépes vész-reakciók vonatkozásában, amelyek magukban foglalhatják a vírus-riadóztatási rendszereket is, annak érdekében, hogy er!sítsék meg a védelmeket azért, hogy a hálózatokkal és információs rendszerekkel szembeni támadásokat, illetve a rendszerek összeomlását megel!zzék, detektálják és hatékonyan reagáljanak ezekre nemzeti és nemzetközi szinten egyaránt. Támogatott IBRS célok: C1, C4, C5. A teljesítés feltétele: nincs. NFT és e-Európa kapcsolódások: NFT-2, NFT-4, NFT-6, e-EU-03, e-EU-10. Származó el5nyök, várható eredmények: a vészhelyzetek gyorsabb kezelése, a keletkezett kár csökkentése. Sikerkritériumok (indikátorok, értékek): széleskör- társadalmi együttm-ködés, információcsere és az ICT szolgáltatók megnyerése, meggy!zése arról, hogy a CERT-ek támogatása olyan érdekük, amelynek hatására a szolgáltatásaik biztonsága növekedhet. Várható kockázatok (kockázat, valószín-ség, hatás): a CERT-ek elégtelen együttm-ködése, nem kell! szakmai felkészültsége. Id5zítés: Javasolt kezdés: 2003. 09. 01.
Javasolt befejezés: 2003. 12. 31.
A téma teljes forrásigénye: 15 mFt. Forrásmegosztás: Költségvetés saját ágazati fejezet: nincs. IHM fejezet: 5 mFt. Más ágazat fejezete, más ktg.vetés (alapok, önkormányzat): 5 mFt. Külföldi forrás, EU alap (NFT-n keresztül, ill. egyéb külföldi): nincs. Vállalkozói t5ke: 5 mFt. Felel5s: IHM. Finanszírozás: IHM és vállalkozói t!ke. Koordináció: IHM. Végrehajtás: kutató intézetek. Ellen5rzés: IHM.
122. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
MELLÉKLETEK
123. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
1. A LEGFONTOSABB TÖRVÉNYEK ÉS RENDELETEK (1. melléklet) Törvények és Kormányrendeletek • 1992. évi LXIII. törvény a személyes adatok védelmér5l és a közérdekU adatok nyilvánosságáról, • 43/1994. (III.29.) Kormányrendelet a rejtjeltevékenység szakirányításának, hatósági engedélyezésének és felügyeletének részletes szabályairól, • 1995. évi LXV. törvény az államtitokról és a szolgálati titokról, • 1995. évi CXXV. törvény a nemzetbiztonsági szolgálatokról, • 1997. évi CLV. törvény a fogyasztóvédelemr5l, • 1998. évi LXXXV. törvény a Nemzeti Biztonsági Felügyeletr5l, • 199/1998. kormányrendelet a köztisztvisel5i továbbképzésr5l, • 2001. évi XL törvény a hírközlésr5l, • 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefügg5 szolgáltatások egyes kérdéseir!l, • 2001. évi XXXV. törvény az elektronikus aláírásról, • 248/2001. (XII. 18.) Korm. rendelet A Hírközlési Felügyeletr5l és a Hírközlési Felügyelet szervei által kiszabható bírságokról, • 2003. évi LIII. (VI.23.) törvény az államtitokról és a szolgálati titokról szóló 1995. évi LXV. törvény, valamint az azzal összefüggésben más törvények módosításáról.
Egyéb rendeletek és szabályzók: • 15/2001. (VIII. 27.) MeHVM rendelet az elektronikus aláírási termékek tanúsítását végz! szervezetekr!l, illetve a kijelölésükre vonatkozó szabályokról, • 16/2001. (IX.1.) MeHVM rendelet az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekr!l, • 23/2001. (XII. 22.) MeHVM rendelet az egyetemes szolgáltatás részletes mUszaki követelményeir5l,
124. oldal
távközlési
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
• 2/2002. (IV.26.) MeHVM irányelv a min5sített elektronikus aláírásokkal kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó biztonsági követelményekr!l, • a távközlési és informatikai tanúsító szervezetekre vonatkozó további szabályozás a 22/1999. KHVM rendelet és a 15/2001. MeHVM rendelet, • A jogszabályokon túl egyéb, nemzetközi kötelezettségekb!l adódó követelményeket is figyelembe kellett vennünk, pl. a Számítástechnikai bUnözésr5l szóló egyezményt, melyben meghatározásra kerülnek a számítástechnikai rendszer és a számítástechnikai adatok hozzáférhet!sége, sértetlensége és titkossága elleni b-ncselekmények.
125. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
2. A LEGFONTOSABB NEMZETKÖZI IT BIZTONSÁGI MÓDSZERTANOK (2. melléklet) Az információs rendszerekkel szemben támasztott részletes informatikai biztonsági követelményeket legjobban a nemzetközi biztonsági módszertanok figyelembevételével határozhatjuk meg. Ezek segítségével állapíthatjuk meg, hogy a javasolt informatikai megoldások (operációs és alkalmazói rendszerek, speciális adatvédelmi kiegészít!k) megfelelnek-e az elvárásoknak. Az értékeléshez felhasználjuk a kiválasztott rendszerekre vonatkozó, hozzáférhet!, nemzetközi hatóságok által elfogadott informatikai biztonsági kiértékelések eredményeit. TCSEC Az 1980-as évek elején dolgozták ki az USA-ban a TCSEC (Trusted Computer Systems Evaluation Criteria24), közismert nevén az „Orange Book” követelményeit. Ez a követelményrendszer általánosan ismertté és elfogadottá vált az informatikai biztonság szakterületén. ITSEC Amikor különböz! országok saját kiértékelési kritériumok kidolgozásába kezdtek, ezekben már a TCSEC fogalmait használták. Az újabb követelmények – az informatikai ipar rohamos fejl!dését követve – egyre rugalmasabbak és alkalmazhatóbbak voltak. Európában az ITSEC (Information Technology Security Evaluation Criteria25) 1.2. verzióját 1991-ben publikálta az Európai Közösség, miután egyesítették Franciaország, Németország, Hollandia és az Egyesült Királyság fejlesztési eredményeit. Common Criteria Az er!feszítések egyesítésére általánosan elfogadott kritérium-rendszer kifejlesztésére 1993 júniusában a TCSEC és az ITSEC szerz!i egyéb követelményrendszerek (FC, CTCPEC) szerz!ivel közösen létrehoztak egy projektet a Common Criteria (Common Criteria for Information Technology Security Evaluation26) kidolgozására. A Common Criteria (röviden: CC) 1.0 verziója 1996-ban került a nyilvánosság elé, melyet követett a 2. verzió27, majd 1999-ben ISO szabványként28 került elfogadásra, melyet az európai országok és a NATO is alkalmaznak. A Miniszterelnöki Hivatal Informatikai Tárcaközi Bizottsága a módszertan terjesztése érdekében informatikai
24 25 26 27 28
DoD. 5200.28 SRD. Department of Defense, USA, 1985. Office for Official Publications of the European Communities, Luxemburg, 1991. CCEB-96/011-014, 1996. http://www.csrc.nist.gov ISO-IRC 15408. 1999.
126. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
biztonsági ajánlásai között29 ismerteti a CC magyar értelmezését, magyar terminológiáját és bemutat néhány védelmi profilt is. ISO/IEC 15408 Az ISO/IEC 15408: Információtechnika – Biztonságtechnika - Az informatikai biztonságértékelés közös követelményrendszere az alábbi részekb!l áll: 1. rész: Bevezetés és általános modell, 2. rész: A biztonság funkcionális követelményei, 3. rész: A biztonság garanciális követelményei.
Az ISO/IEC 15408 szabvány a Common Criteria (röviden: CC) IT-biztonsági követelményrendszer és módszertan alapján készült. A CC lényege: az IT termékek és a rendszerek biztonsági tulajdonságainak értékeléséhez alapul szolgáló követelményrendszert határoz meg. A CC információ védelmi célja: védekezés a biztonság három klasszikus sérülésmódja (jogosulatlan felfedés, jogosulatlan módosítás, illetve a használat elvesztése) ellen, másképpen fogalmazva: a bizalmasság, a sértetlenség és a rendelkezésre állás meg!rzése, biztosítása. A CC alkalmazhatósága: • f!leg az emberi használatból származó, az információt érint! fenyegetésekre összpontosít, függetlenül attól, hogy azok szándékosak vagy sem, • egyaránt alkalmazható hardver, förmver és/vagy szoftver eszközökkel megvalósított informatikai biztonsági termékekre és rendszerekre. MSZ ISO/IEC 15408-1:2002=Common Criteria Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai. 1. rész: Bevezetés és általános modell (idt ISO/IEC 15408-1:1999) MSZ ISO/IEC 15408-2:2003 Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai. 2. rész: A biztonság funkcionális követelményei (idt ISO/IEC 154082:1999) MSZ ISO/IEC 15408-3:2003 Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai. 3. rész: A biztonság garanciális követelményei (idt ISO/IEC 154083:1999)
29
MEH ITB 16. sz. Ajánlás:
http://www.itb.hu/ajanlasok
127. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
CEM A Közös értékelési módszertan (CEM) a Közös követelményrendszer (CC) társdokumentuma. Célja, hogy leírja azokat a tevékenységeket, melyeket egy értékel! elvégez egy CC szerinti értékelés folyamán (Common Methodology for Information Technology Security Evaluation, CEM-97 Part 1: Introduction and general model, CEM-97 Part 2: Evaluation Methodology). MeH-ITB 8. sz. ajánlás A Miniszterelnöki Hivatal Informatikai Tárcaközi Bizottsága (MeH-ITB) „Informatikai biztonsági módszertani kézikönyv” címet visel!, 1994-ben kiadott MeH-ITB 8. számú ajánlása30 a brit kormány Központi Számítógép és Távközlési Ügynökség (Central Computer and Telecommunications Agency) „CCTA Risk Analysis and Management Method” és az északrajna-vesztfáliai kormány „Informationtechnik Sicherheitshandbuch” felhasználásával, valamint az EU informatikai ajánlásai és a hazai jogszabályok alapján készült. A kézikönyv tájékoztatja az intézmény-szervezet vezet!ségét az informatikai biztonság megteremtésének legfontosabb elemeir!l, és célja pedig felkészíteni a szervezetet az informatikai biztonsági koncepciójának kialakítására. A biztonsággal kapcsolatos legfontosabb tudnivalók, valamint az informatikai biztonság és a szervezet együttes biztonsága közötti összefüggések meghatározó elemei a kézikönyvhöz csatolt mellékletekben találhatók meg. A MeH-ITB 8. számú ajánlását mint az informatikai biztonság – CRAMM alapú – kockázatelemzési módszertanát az állam- és közigazgatás területén kívül is elterjedten használják. MeH-ITB 12. sz. ajánlás A Miniszterelnöki Hivatal Informatikai Koordinációs Irodája 1996-ban adta ki az “Informatikai rendszer Biztonsági Követelményei” cím- 12. számú ajánlását31, amelynek célja az informatika rendszerek biztonságának megteremtéséhez szükséges, egységes elveken nyugvó, az akkori európai ajánlásokhoz igazodó hazai el!írások létrehozása volt. A 12. sz. ajánlás nem csak a logikai védelem el!írásait tartalmazza, hanem megjelennek benne az adminisztratív és a fizikai védelem követelményei is. A logikai védelem területén els!sorban az ITSEC-re épül, de figyelembe vesz egyéb szabványokat és ajánlásokat is.
30 31
MEH ITB 8. sz. Ajánlá: MEH ITB12. sz. Ajánlás:
http://www.itb.hu/ajanlasok/a8/ http://www.itb.hu/ajanlasok
128. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
COBIT Control Objectives for Information and Related Technology: az ISACA (Information Systems Audit and Control Association) által kidolgozott módszertan, amely az informatikai rendszerek fejlesztéséhez és biztonsági ellen!rzéséhez nyújt átfogó segítséget. A COBIT-ot az Amerikai Egyesült Államokban dolgozták ki els!sorban pénzügyi szervezetek (bankok, hitelintézetek, biztosítók) informatikai biztonsági átvilágítására. Ezért a COBIT els!sorban gazdasági/pénzügyi oldalról közelíti meg az informatikai rendszereket, nem annyira informatikai oldalról. A módszertan részletesen foglalkozik az üzleti kockázatok felmérésével, a szükséges kontrollok megteremtésével, az ehhez szükséges technikai követelményekkel. A COBIT informatikai kontroll eljárásoknak és céloknak az informatikai biztonsági ellen!rzés és szabályozás területén általánosan alkalmazható gy-jteménye. Segítségével szabályozási modellek állíthatók fel az informatikához kapcsolódó kockázatok csökkentésére, kezelésére. NIST 800-30 Ez az amerikai kormányzati támogatással készült kockázatelemzési útmutató a legfrissebben (2001. július) publikált, mérvadó módszertani segítség az adott témában. Módszertana, megközelítése nagyon hasonló az ITB 8-as ajánláséhoz, de a megvalósítás részletei különböznek. MSZ ISO/IEC 17799 Ez a szabvány, amely „Az informatikai biztonság menedzselésének eljárásrendje”, azoknak ad ajánlásokat, akik a saját szervezetük körében a biztonság kezdeményezéséért, megvalósításáért és megtartásáért felelnek. Arra tervezték, hogy közös alapot szolgáltasson a szervezetek hatékony biztonságmenedzselési gyakorlatához és átfogja az informatikai biztonság minden területét. Az MSZ ISO/IEC 17799 szabvány el!írásainak való megfelel!ség vizsgálatakor az alábbi 10 területet kell felmérni, továbbá az eredményeket dokumentálni és értékelni szükséges: • biztonsági szabályzat, • szervezetbiztonság, • a vagyon osztályozása és ellen!rzése, • a személyzet biztonsága, • a fizikai és a környezeti biztonság, • a kommunikáció és az üzemeltetés menedzselése,
129. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
• hozzáférés-ellen!rzés, • rendszerfejlesztések és azok karbantartása, • az üzletmenet folyamatosságának menedzselése és • megfelel!ség. Az ETSI és CEN dokumentumok A biztonsági aspektusok között - a szervezet m-köd!képességének informatikai rendszert!l függ!ségének növekedése függvényében - a m-ködés-biztonságon, rendelkezésre álláson kívül a hitelesség kérdéseinek is megnövekedett a szerepe. Tovább növeli a hitelesség kérdéseinek ezt a súlyát a megjelent, érvénybe lépett magyar elektronikus aláírási törvény. A törvény elnevezésében fokozott, illetve min!sített aláírásokkal kapcsolatos funkcionális és biztonsági követelményeket a XXXV. törvény, a 93/99 EU Irányelv elvárásai, valamint az EESSI (European Electronic Signature Standardization Initiative, Európai Elektronikus Szabványosítási Kezdeményezés) keretén belül tevékenyked! két szervezet (az ETSI és CEN) munkacsoportjai által kidolgozott dokumentumok és követelmények határozzák meg (ezeket veszi át a HÍF is vizsgálatai során). Az elektronikus aláírási rendszerekben a biztonsági követelmények egy részének garanciáit az informatikai környezet általános biztonságát fenntartó rendszerekre kell bízni, így a min!sített aláírási rendszerek megbízhatóságához nagyon fontos az általános informatikai biztonság megfelel! szintje. Csak példaként megemlítjük az elektronikus aláírási rendszer mértékadó nemzetközi dokumentumai közül az alábbiakat, melyek (funkcionális, szervezési, biztonsági) követelményeit aláírás alkalmazásakor figyelembe kell venni: • CWA 14167-1: Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures - Part 1: System Security Requirements • CWA 14167-2: Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures - Part 2 Cryptographic Module for CSP Signing Operations - Protection Profile (MCSO-PP) • CWA 14168: Secure Signature Creation Device, version "EAL4" • CWA 14169: Secure SIgnature Creation Device, version "EAL4+" • CWA 14170: Security Requirements for Signature Creation Systems • CWA 14171: Procedures for Electronic Signature Verification • CWA 14172-1: EESSI Conformity Assessment Guidance - Part:1: General • CWA 14172-2: EESSI Conformity Assessment Guidance - Part 2: Certification Authority services and processes • CWA 14172-3: EESSI Conformity Assessment Guidance - Part 3: Trustworthy systems managing certificates for electronic signatures
130. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
• CWA 14172-4: EESSI Conformity Assessment Guidance - Part 4: Signature Creation Applications and Procedures for Electronic Signature Verification • CWA 14172-5: EESSI Conformity Assessment Guidance - Part 5: Secure Signature Creation Devices FIPS PUB 140-2 A National Institute of Standards and Technology (NIST) hivatalos kiadványsorozata, mely az 1987-es Informatikai Biztonsági Törvény (USA - Computer Security Act of 1987) és az 1996-os Információtechnológia kezelési reform törvény (USA - Information Technology Management Reform Act of 1996) 5131. szakaszában adoptált és törvénybe foglalt szabványokhoz és útmutatókhoz kapcsolódik. Ezek a rendelkezések a kereskedelmi minisztert és a NIST-et fontos felel!sségekkel látta el, hogy javítsák az állami (USA) számítógépes és a kapcsolódó telekommunikációs rendszerek kihasználását és menedzsmentjét. Ebben vezet! szerepet vállal (információtechnológiai laborja segítségével) a NIST, továbbá technikai útmutatást nyújt és koordinálja - az erre a területre tartozó - állami szabványok és útmutatók kifejlesztését. A NIST FIPS (Federal Information Processing Standard) kiadványai közül a FIPS-140-2 kiadvány határozza meg azt a szabványt, amelyet állami szerveknek kell az Egyesült Államokban felhasználniuk, ha kriptográfia alapú biztonsági rendszereket akarnak használni érzékeny, vagy értékes adatok védelmére. Egy biztonsági rendszeren belüli kriptográfiai modult védeni kell, ha az általa védett információ bizalmasságát és sértetlenségét meg akarja !rizni. A szabvány négy növekv! er!sségbiztonsági szintet határoz meg, melyek széles alkalmazási kört és változatos üzemeltetési környezetet szándékoznak lefedni. A biztonsági követelmények a kriptográfiai modulok biztonságos tervezésével és megvalósításával foglalkozó területeket fedik le. Ide tartozik a kriptográfiai modul meghatározása; a modul interfészei; szerepe, szolgáltatásai, az általa megvalósított hitelesítési folyamat; véges állapotú gép modell; fizikai biztonság; a modul operációs rendszerének biztonsága; kriptográfiai kulcskezelés; elektromágneses interferencia/elektromágneses összeegyeztethet!ség (EMI/EMC); ön-tesztek; tervezési garanciák; és egyéb támadások mérséklése. ISO/IEC 9126:1991 /MSZ ISO 9126/ Magyarul “Információtechnika. Szoftvertermékek értékelése. Min!ségi jellemz!k és használatuk irányelvei” címmel jelent meg. A szabvány egy hierarchikus szempontrendszert határoz meg, amelynek legfels! szintje a következ! elemeket tartalmazza: • funkcionalitás,
131. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
• • • • •
megbízhatóság, használhatóság, hatékonyság, karbantarthatóság, hordozhatóság.
ISO/IEC 14598 Az ISO/IEC 14598 “Információ technológia – Szoftvertermék kiértékelése” címszabvány az értékelési folyamat szabályozásáról szól. Egyik alapgondolata szerint a kiválasztott értékelési szint nemcsak a termékt!l, hanem annak felhasználási módjától és a felhasználás környezetét!l is függ. Ezek együttesen meghatározzák az értékelés mélységét és szigorúságát is. A szabvány a következ! hat részb!l áll: ISO/IEC 14598-1-2: Információ technológia – Szoftvertermék kiértékelése: • 1. rész: Általános áttekintés, • 2. rész: Tervezés és menedzselés, • 3. rész: A fejleszt!i folyamat, • 4. rész: A beszerzési folyamat, • 5. rész: Az értékelési folyamat, • 6. rész: Az értékelési modulok dokumentálása. ISO 9000 Az ISO 9000 Min!ségirányítási és min!ségbiztosítási szabványok szabványsorozatban a hangsúly a termék helyett a folyamatra helyez!dik. Egy szempontrendszer van, amelynek egy szervezet vagy megfelel, vagy nem. Egy ISO 9000 tanúsítványt nem elég megszerezni, annak érvényességét fenn is kell tartani. Mivel a szoftvertermékek speciális jellegzetességgel bírnak, ezért ezekre külön szabványokat fogalmaznak meg: az ISO 9001 Min!ségrendszerek. A fejlesztés, a tervezés, a gyártás, a telepítés és a vev!szolgálat min!ségbiztosítási modellje annak érdekében, hogy termékek vagy szolgáltatások a piaci versenyben jó min!ségükkel és megbízhatóságukkal bizalmat ébresszenek a megrendel!iben, illetve ISO 9004. A min!ségirányítás és a min!ségügyi rendszer elemeire vonatkozó irányelvek az ISO 9000-3 szabványban találhatók, amelyek a vásárlót/megrendel!t a szoftverek teljes életciklusában (a termékek fejlesztési folyamata, az ellen!rzési és átvételi eljárások stb. alkalmával követend! követelmények és eljárások meghatározásával) támogatják. ISO/IEC 12207 Az ISO/IEC 12207:1995. magyarul az MSZ ISO/IEC 12207:1999 hivatkozási szám alatt “Informatika. Szoftver életciklus-folyamatok.” címmel jelent meg.
132. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
3. INFORMATIKAI BIZTONSÁGI KÖVETELMÉNYEK A KÖZPONTOSÍTOTT KÖZBESZERZÉSBEN (3. melléklet) 1054/2000. (VI. 30.) Korm. határozat az országosan kiemelt termékekre vonatkozó állami normatívákról A Kormány elrendeli, hogy 1. valamennyi, az R. 1. számú mellékletében meghatározott, országosan kiemelt termék és szolgáltatás központosított közbeszerzési eljárásai során, a Miniszterelnökség Közbeszerzési és Gazdasági Igazgatósága (a továbbiakban: Beszerz!) a jelen határozat mellékletét képez! normatívák szerint járjon el; II/1. M!szaki követelmények a GSM hálózatra A rádiócsatorna és a hálózat biztonságos m-ködése feleljen meg a GSM 02.09 és GSM 03.20 m-szaki el!írásoknak. II/2. M!szaki követelmények a mobil állomásra III. Gazdasági követelmények 4. A szolgáltatástartalom min!ségét, teljesítményét, értékállóságát és biztonságát a szolgáltató legalább három év id!tartamra garantálja. A felülr!l kompatibilis követési rendszer pedig további három évre, illetve amennyiben a koncessziós szerz!dés el!bb érvényét veszti, akkor annak végéig tegye lehet!vé a szolgáltatás igénybevételét. IV. Egyéb követelmények 4. A szolgáltatónak fokozott gondot kell fordítania a kiemelt ügyfelekkel kapcsolatos ügyfélszolgálati infrastruktúra (számlareklamációk, m-szaki-technikai támogatás, biztonsági kérdések megoldása stb.) kialakítására, illetve fejlesztésére. Kiemelt termék megnevezése: internet-szolgáltatás 2.3. Az internet-szolgáltatás min!ségi jellemz!i • A szolgáltatás elvárt éves rendelkezésre állása 99,5%. II. M!szaki követelmények 1. Átviteli protokoll Az internet-szolgáltató az internet-hozzáférés céljára a TCP/IP hálózati protokollkészlet elemeit alkalmazza. 10. Az internet-gerinchálózati csatlakozás jellemz!i: • A szolgáltató internet-gerinchálózati csatlakozásainak forgalmas órai átlagos kihasználtsága ne haladja meg a 80%-ot.
133. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
• Az IP csomagtovábbítás sikeressége átlagosan legalább 99% legyen. IV. Egyéb követelmények 1. A vállalt szolgáltatás jó min!ségét (forgalomtorlódás, hívásvesztés, bithiba-arány, átlagos átviteli sebesség, rendelkezésre állás, az ügyfélszolgálat min!sége stb.) a szolgáltatónak a vonatkozó jogszabályoknak és hatósági el!írásoknak, valamint szerz!désben vállalt kötelezettségének megfelel!en biztosítania kell. 2. A szolgáltató m-szaki, szolgáltatási és gazdasági teljesít!képességének meg kell felelnie a beszerzend! szolgáltatás mennyiségi, min!ségi és földrajzi területi eloszlása követelményeinek. 4. A szolgáltatónak kötelezettséget kell vállalnia, hogy a szolgáltatásnyújtás során tudomására jutott információkat bizalmasan kezeli, a személyes adatok védelmér!l és a közérdek- adatok nyilvánosságáról szóló 1992. évi LXIII. törvény el!írásainak betartásával adatokat - az igénybe vev! hozzájárulása nélkül - csak a mindenkor hatályos jogszabályoknak megfelel!en és az azokban kifejezetten megjelölt szerveknek adhat ki. 5. A szolgáltatónak kötelezettséget kell vállalnia - a viszonteladóira és szervizszolgáltatásra is kiterjed!en -, hogy a tudomására jutó adatokat nem használja fel, illetve ezeket illetéktelen harmadik félnek nem szolgáltatja ki. 6. A szolgáltatónak fokozott gondot kell fordítania az ügyfelekkel kapcsolatos ügyfélszolgálati infrastruktúra (számlareklamációk, m-szaki-technikai támogatás, biztonsági kérdések megoldása stb.) kialakítására, illetve fejlesztésére. 8. A szolgáltatónak az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefügg! szolgáltatások egyes kérdéseir!l szóló 2001. évi CVIII. törvénynek a szolgáltató felel!sségér!l, valamint az értesítés a jogsért! információs társadalommal összefügg! szolgáltatásról szóló rendelkezéseit betartva kell a szolgáltatást nyújtania. 9. Ezt a normatívát akkor is alkalmazni kell, ha az internet-szolgáltatást más szolgáltatásokkal kapcsoltan veszik igénybe, figyelembe véve a területeken meglév! eltér! m-szaki vagy szolgáltatási sajátosságokat is. Kiemelt termékcsoport megnevezése: személyi számítógép rendszerek, azok fE egységei - számítógép konfigurációk, illetve annak egységei - és azok alap és általánosan használt felhasználói szoftver eszközei A szervezetek ma nagy számban alkalmaznak különböz! számítógép rendszereket és alkalmazásokat. A meglév! rendszerekkel való kompatibilitás mindig el!feltétele egy újabb elektronikus szolgáltatás igénybevételének. Hangsúlyozni kell a tényleges igények által kiváltott szolgáltatások fejlesztésének fontosságát. A szükségleteknek és nem a technológiai fejl!désnek kell meghatároznia a követés gyorsaságát. Ebben a
134. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
tekintetben figyelembe kell venni a biztonsági igényeket és a beruházások értékállóságát. Az információtechnológiai platform az információ kereséséhez, vételéhez és továbbításához szükséges információtechnikai berendezések összessége, mely a következ! komponensekb!l áll: • a felhasználó berendezései - pl. személyi számítógép, telefon, • az információ átadásának módszere - kommunikációs protokollok stb., • az információ formátuma - fájlformátum stb., • biztonsági funkciók. A komponensek tekintetében az Informatikai Tárcaközi Bizottság vonatkozó ajánlásait kell figyelembe venni. Jelenleg az informatikai architektúrára vonatkozó érvényes ajánlás hiányában olyan eszközök kiválasztását javasoljuk, amelyek biztosítják az alábbi paraméterek alkalmazásának lehet!ségét: • TCP/IP kommunikációs protokoll használata, • WWW adatbázisok használata az általános információk továbbítására, • HTML és PDF formátum használata a WWW adatbázisokhoz történ! adatátadásra, RTF formátum használata az intézményen belüli adatátadásra, • SMTP/MIME és X. 400 szerinti e-mail használata. Kiemelt termék megnevezése: Szoftver alrendszerek és elemeik II. M!szaki követelmények Általános követelmények: A központosított közbeszerzés hatálya alá tartozó intézmények átlagos hardver er!forrásai által biztosított környezetben és platformokon legyenek képesek biztosítani a koncentrált, kiszolgálói, valamint csoportos és egyedi felhasználói alkalmazási igényeket. Min ségtanúsítás: A szoftvertermék alkalmazásával elérhet! min!sített biztonsági szint. Kiemelt termék megnevezése: Személyi számítógép rendszerek II. M!szaki követelmények B-02-03-400
Nagy megbízhatóságú adatbázis-kezel! (csoportos, megosztott biztonsági funkciókkal m-köd!, hálózati) szerver
135. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
4. A KRITIKUS INFRASTRUKTÚRÁVAL KAPCSOLATOS NÉHÁNY SZABÁLYOZÁS (4. melléklet) A kritikus infrastruktúrához tartozó szervezetek informatikai biztonságára vonatkozó hatályos szabályok
2001. évi CX. Törvény a villamos energiáról, egységes szerkezetben a végrehajtásáról szóló 180/2002. (VIII. 23.) Korm. rendelettel Villamosenergia-rendszer irányítására vonatkozó m6ködési engedély Vhr. 57. § (1) Villamosenergia-rendszer országos szint- irányítására vonatkozó m-ködési engedélyt az állam által erre a célra létrehozott, az állam kizárólagos tulajdonában álló részvénytársaság kaphat, ha megfelel a VET-ben és e rendeletben meghatározott feltételeknek, és alapt!kéje legalább 500 millió forint, amelyet teljes egészében befizettek vagy rendelkezésre bocsátottak. (2) A kérelmez!nek rendelkeznie kell: a) a VET-ben, más jogszabályban, a villamosenergia-ellátási szabályzatban, üzletszabályzatban el!írt feladatai ellátásához szükséges informatikai, adatátviteli, folyamatszabályozási távközlési, mérési rendszerek és egyéb szükséges eszközök, rendszerek és eljárások megfelel! m-ködtetését biztosító jogokkal (tulajdonjog vagy egyéb használati jog), 27. számú melléklet a 180/2002. (VIII. 23.) Korm. rendelethez Szervezett villamosenergia-piac m6ködtetésére vonatkozó engedély kötelezE tartalmi elemei 10. A szükséges informatikai eszközök fenntartása és az azokkal való rendelkezés
2001. évi CXX. Törvény a t5kepiacról 37. § (1) A nyilvános ajánlattételt a kibocsátó és a forgalmazó együttesen, hirdetményben hozza nyilvánosságra.
136. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
(5) A közzététel helye: b) egy, a Felügyelet által m-ködtetett, vagy a Felügyelet által ilyennek elismert, a t!kepiac szerepl!it!l származó hivatalos információk megjelentetését végz! nyilvános elektronikus adattovábbítási és tárolási rendszer, vagy (6) Az elektronikus úton történ! közzététel esetében biztosítani kell, hogy a tájékoztató mindaddig könnyen hozzáférhet! legyen, amíg az értékpapír forgalomban van. 44. § (1) A feltételhez kötött forgalomba hozatal semmis. A forgalomba hozatal során a befektet! értékpapír megszerzésére vonatkozó nyilatkozata csak írásban, nyomtatott vagy min!sített elektronikus aláírással ellátott elektronikus okirat formájában, illet!leg a Felügyelet által jóváhagyott kereskedési rendszeren keresztül érvényes. A nyilatkozatban fel kell tüntetni azt, hogy a befektet! a nyilatkozatát a tájékoztatóban (egyszer-sített tájékoztatóban, ismertet!ben) foglaltak ismeretében tette meg. 49. § (4) Az aukciós ajánlat és annak elfogadása írásban vagy min!sített elektronikus aláírással ellátott elektronikus okirat formájában, illetve a Felügyelet által jóváhagyott kereskedési rendszeren keresztül érvényes. 92. § (1) A befektetési szolgáltatási tevékenység, illet!leg árut!zsdei szolgáltatási tevékenység csak az e törvényben és külön jogszabályban el!írt követelményeknek megfelel! b) m-szaki, technikai, informatikai, biztonsági felszereltség; (4) A befektetési szolgáltató és az árut!zsdei szolgáltató számviteli, nyilvántartási, informatikai rendszereinek alkalmasnak kell lenniük a) a mindenkori pénzügyi helyzetének megállapítására, b) az ügyfelek szolgáltatóra bízott pénz- és befektetési eszközeinek, valamint t!zsdei termékeinek minden id!pontban történ! megállapítására, valamint c) jogszabályban el!írt adatszolgáltatási kötelezettségének teljesítésére. 115. § (1) A befektetési szolgáltató, illet!leg az árut!zsdei szolgáltató tevékenységhez kapcsolódó szerz!dés megkötését megel!z!en köteles tájékoztatni az ügyfelet a befektetési eszköz, illet!leg a t!zsdei termék árfolyamáról, az ügyletkötést megel!z! id!szak árfolyam-alakulásáról, piaci helyzetér!l, a nyilvános információkról, az ügylet kockázatáról, az ügyfél rendelkezésére álló esetleges befektet!-védelmi rendszerr!l és minden olyan egyéb információról, amely a szerz!dés megkötése és teljesítése esetén lényeges lehet. A befektetési szolgáltató, illet!leg az árut!zsdei szolgáltató a tájékoztatás megtörténtét köteles belefoglalni a szerz!désbe. (6) Ha a befektetési szolgáltató, illet!leg az árut!zsdei szolgáltató és az ügyfél közötti kapcsolat kizárólag elektronikus úton jön létre, a befektetési szolgáltató, illet!leg az árut!zsdei szolgáltató köteles olyan információs rendszert m-ködtetni vagy igénybe venni, amely biztosítja azt, hogy az ügyfél az (1)-(2) és (4) bekezdésben meghatározott információkhoz hozzájuthasson.
137. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
117. § (1) A befektetési szolgáltató, illet!leg az árut!zsdei szolgáltató megbízást kizárólag az üzletszabályzatában rögzített módon vehet fel. (2) A befektetési szolgáltató, illet!leg az árut!zsdei szolgáltató az általa kötött szerz!dést üzletszabályzata által el!írt módon írásban vagy - írásban megkötött keretszerz!dés alapján - elektronikus úton rögzíti. 128. § (1) A portfólió-kezelési tevékenységre vonatkozó megbízást írásban vagy min!sített elektronikus aláírással ellátott elektronikus okirat formájában kötött szerz!désben kell rögzíteni. 208. § (1) A befektetési szolgáltató, illet!leg az árut!zsdei szolgáltató köteles üzletszabályzatát az ügyfélforgalom számára rendelkezésre álló helyiségeiben kifüggeszteni, illetve azt az ügyfélnek kérésre átadni, továbbá elektronikus kereskedelmi szolgáltatás nyújtása esetén azt az ügyfél számára folyamatosan és könnyen elérhet! módon elektronikus úton is elérhet!vé tenni. (2) Az ügynök igénybevételéb!l ered!, az ügyfelet érint! esetleges következményekr!l, így különösen a hosszabb átfutási id!r!l, magasabb díjtételekr!l az ügynök az értékpapírügylet, illet!leg az áruügylet megkötése el!tt köteles tájékoztatást adni. Az ügynök az ügyfélforgalom számára rendelkezésre álló irodájában jól látható módon köteles kifüggeszteni, elektronikus kereskedelmi szolgáltatás nyújtása esetén pedig folyamatosan és könnyen elérhet! módon elektronikus úton is köteles elérhet!vé tenni a vele ügynöki szerz!déses kapcsolatban álló befektetési szolgáltató, illet!leg árut!zsdei szolgáltató nevét, valamint biztosítani, hogy az ügyfelek a befektetési szolgáltató, illet!leg az árut!zsdei szolgáltató üzletszabályzatát megtekinthessék. A befektetési szolgáltató esetében a tevékenységi engedély kiadásához szükséges kérelem mellékletei 1. Tevékenységi engedély iránti kérelemhez az alábbi okiratokat kell mellékelni: i) a könyvvizsgáló igazolását arra vonatkozóan, hogy a szolgáltató informatikai rendszere alkalmas a 92. § (4) bekezdésében meghatározott követelmények teljesítésére;
284/2001. (XII. 26.) Korm. Rendelet a dematerializált értékpapír el5állításának és továbbításának módjáról és biztonsági szabályairól, valamint az értékpapírszámla, központi értékpapírszámla és az ügyfélszámla megnyitásának és vezetésének szabályairól 2. § A dematerializált értékpapír el!állítása, nyilvántartása, továbbítása és az ezekkel kapcsolatos adatkezelés csak olyan - a Pénzügyi Szervezetek Állami Felügyelete (a
138. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
továbbiakban: Felügyelet) által jóváhagyott, az 5. §-ban meghatározott szabályzat (a továbbiakban: szabályzat) alapján és olyan jóváhagyott számítógépprogram, valamint adathordozó felhasználásával történhet, amely biztosítja: a) a központi értéktár [Tpt. 336. §] nyilvántartási rendszerével az adatkapcsolatot, b) az adatok biztonságos tárolását, továbbítását, c) az adatok adatvédelmi jogszabályoknak megfelel! felhasználását, d) a dematerializált értékpapírba foglalt jogok és kötelezettségek (osztalék, kamat, törlesztés) mindenkori megállapíthatóságát, e) a dematerializált értékpapír jogosultjának, tulajdonosának, illetve ezen személy megváltozásának mindenkori megállapíthatóságát és f) a dematerializált értékpapír összes kötelez! tartalmi elemének a számítógép képerny!jén és nyomtatás útján történ! megjelenítését. 3. § (1) A számítógépprogramot és -hálózatot adatvesztés, illetéktelen hozzáférés, illetve más adatbázisokkal, nyilvántartásokkal való illetéktelen összekapcsolás elleni védelemmel kell ellátni. (2) A dematerializált értékpapír el!állításával, nyilvántartásával, továbbításával kapcsolatos adatkezelésre, adatváltoztatásra jogosult személyt egyedi azonosító kóddal kell ellátni. A kódnak, illetve a számítógépprogramnak biztosítania kell a személy, valamint az általa elvégzett m-velet azonosíthatóságát. 4. § (1) A központi értéktár, az értékpapír-számlavezet! köteles a) a dematerializált értékpapírral kapcsolatos, teljes nyilvántartását naponta a rendszerét!l függetleníthet! adathordozóra átmásolni, b) ellen!rizni az eredeti és a másolatot tartalmazó adathordozón lév! adatok egyez!ségét, illetve az adathordozó m-köd!képességét, c) a másolatot tartalmazó adathordozó biztonságos, a rendszerét!l fizikailag elkülönített tárolását. (2) A központi értéktár, az értékpapír-számlavezet! haladéktalanul bejelenti a Felügyeletnek, ha valamely nyilvántartása megsérült vagy megsemmisült, illetve ha illetéktelen hozzáférést vagy ennek kísérletére utaló jelet észlelt. (3) A (2) bekezdésben meghatározottak esetén a központi értéktár, az értékpapírszámlavezet! köteles a nyilvántartásáról másolatot készíteni és - az (1) bekezdés szerinti másolat, valamint a rendelkezésre álló bizonylatok alapján - haladéktalanul helyreállítani a valós állapotot. Ha a valós állapotot az adott napon belül nem lehet helyreállítani, a központi értéktár, az értékpapír-számlavezet! kezdeményezi a Felügyeletnél az érintett dematerializált értékpapírok kereskedésének felfüggesztését. (4) A 2-3. §-ban és az (1) bekezdésben meghatározott feltételek fennállásának ellen!rzésére a Felügyelet jogosult szakért!t igénybe venni.
139. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
5. § A központi értéktár, az értékpapír-számlavezet! nem nyilvános szabályzatban határozza meg a) a dematerializált értékpapír el!állításának, nyilvántartásának, törlésének és továbbításának technikai szabályait; b) azon személyek körét, akik az értékpapír-el!állítást, -törlést végrehajtják és akik a központi értékpapírszámlán, értékpapírszámlán adatváltozást jogosultak végrehajtani; c) a 3. § (2) bekezdésében meghatározott kód képzésének és nyilvántartásának szabályait; d) az adatkezel! adatkezelési, adatváltoztatási és adattörlési jogosultságának nyilvántartását; e) az adatkezelési rendszer ügykezelésének szabályait; f) az adatok eredetének azonosíthatóságát; g) az adatkezelési rendszer fenntartásának m-szaki szabályait; h) az adatállományról készített másolat adategyez!ségének igazolási rendjét; i) az adatkezelési rendszer sérülése, illetve illetéktelen hozzáférés esetén követend! intézkedéseket és j) az adatállományt tartalmazó másolat tárolásának helyét. 11. § (1) A számlatulajdonos, illetve a számlatulajdonos szervezetnek a szervezet jogi formáját szabályozó jogszabályban a szervezet képviseletére jogszabály erejénél fogva jogosultként meghatározott személy (a továbbiakban: vezet!) írásban köteles bejelenteni a számlavezet!nek a számla felett rendelkezni jogosult személyeket, ideértve az értékpapírszámla felett rendelkezni jogosult közös képvisel!t is. (3) Ha a számlatulajdonos és a számlavezet! elektronikus adatátviteli kapcsolatban áll egymással, az aláírást - külön megállapodás alapján - fokozott biztonságú elektronikus aláírással lehet helyettesíteni. Két személy együttes aláírási kötelezettsége esetén az elektronikus aláírásnak biztosítania kell a két személy együttes rendelkezési kötelezettségét.
283/2001. (XII. 26.) Korm. Rendelet a befektetési és az árut5zsdei szolgáltatási tevékenység, az értékpapír letéti 5rzés, az értékpapír letétkezelés, valamint az elszámolóházi tevékenység végzéséhez szükséges személyi, tárgyi, technikai és biztonsági feltételekr5l 5. § (1) A szolgáltató vagy az elszámolóházi tevékenységet végz! szervezet m-ködését biztosító, a napi teend!k ellátásához már nem szükséges iratokat, adathordozókat (számítógépes programok biztonsági másolata, archivált adatok,
140. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
biztonsági mentések stb.) és a tartalék berendezéseket zárható és legalább 30 perces t-zállóságú elkülönített helyiségben kell tárolni. (2) Az archivált adatok és a biztonsági mentések egy példányát zárható és legalább 30 perces t-zállóságú helyiségben, a másik példánytól fizikailag elkülönített helyen kell tárolni. Ha a szolgáltató vagy az elszámolóházi tevékenységet végz! szervezet egy telephellyel rendelkezik, akkor ezeknek az adathordozóknak a biztonságos tárolását valamely más olyan, fizikailag elkülönített helyen kell megoldani, amely megfelel az e rendeletben meghatározott biztonsági követelményeknek. Elektronikai védelem 6. § (1) A védend! helyiségeket a mechanikai védelmen túlmen!en a Magyar Szabvány, valamint a Magyar Biztosítók Szövetsége el!írásainak megfelel! elektronikus vagyonvédelmi jelz!rendszerrel is el kell látni. (2) A védend! helyiségek elektronikus védelmi rendszereit a Magyar Biztosítók Szövetsége által közzétett "Betöréses lopás- és rablás biztosítás-technikai feltételei" cím- ajánlásában megfogalmazott teljes kör- elektronikai jelz!rendszerre vonatkozó el!írások alapján szükséges elkészíteni. (3) Elektronikus védelmi rendszereket csak a külön jogszabályban el!írt szakvizsgával rendelkez! és titoktartási kötelezettséget vállaló személy, illetve szervezet tervezhet, telepíthet és tarthat karban. (4) Az elektronikus védelmi rendszerek programozásához és kezel!i jogosultság kiadásához szükséges kódoknak rendelkezésre kell állnia. (5) Távjelzés továbbítására alkalmas összeköttetés kiépítése szükséges a vagyonvédelmi rendszer központja és a rend!rség vagy a - rend!rséggel szerz!déses viszonyban álló - távfelügyeleti, illetve egyéb, hasonló szolgáltatást nyújtó vagyonvédelmi cég fogadó központjával. Informatikai rendszer védelme 7. § (1) A szolgáltatónak és az elszámolóházi tevékenységet végz! szervezetnek tevékenysége ellátásához, nyilvántartásai naprakész és biztonságos vezetéséhez rendelkeznie kell a következ!kkel: a) üzleti folyamatainak ellátásához szükséges számítógéppel, valamint az üzleti szolgáltatások folytonosságát biztosító tartalék berendezésekkel, b) auditált üzleti számítógépes programokkal, amelyeket használatba vétel el!tt leteszteltek, a tesztelés eredményességét dokumentálták, amelyet a programot szállító cég képvisel!je, illet!leg a szolgáltató vagy az elszámolóházi tevékenységet végz! szervezet programfejleszt!je, továbbá a vezet! aláírt,
141. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
c) az informatikai rendszer szoftver elemeir!l olyan biztonsági mentésekkel és mentési renddel, melyek az adott rendszer helyreállíthatóságát a rendszer által nyújtott szolgáltatás kritikus helyreállítási idején belül lehet!vé teszik. Ezen mentéseket kockázati szempontból elkülönítetten és t-zbiztos módon kell tárolni, valamint gondoskodni kell a mentések forrásrendszerrel azonos szinthozzáférés-védelmér!l. A mentéseket jogszabályban meghatározott ideig, de legalább a mentést követ! naptári évt!l számított hat évig, bármikor visszakereshet!en, helyreállíthatóan kell meg!rizni, d) a jogszabályokban el!írt nyilvántartások ismételt el!hívására alkalmas adattároló rendszerrel, e) minden olyan eszközzel és dokumentációval, amely az üzleti tevékenységet közvetlenül vagy közvetve támogató informatikai rendszerek folyamatos és biztonságos m-ködését - még a szállító (rendszerfejleszt!) tevékenységének megsz-nése után is - biztosítja, f) üzleti szolgáltatásai folyamatosságát akadályozó rendkívüli események kezelésére vonatkozó intézkedési tervvel, g) olyan tesztkörnyezettel, amely lehet!vé teszi az alkalmazási és fejlesztési környezet biztonságos elkülönítését, a megfelel! változáskövetés és változáskezelés fenntartását. (2) A biztonsági kockázattal arányos módon gondoskodni kell: a) a rendszer legfontosabb elemeinek (eszközök, folyamatok, személyek) egyértelm- és visszakereshet! azonosításáról, b) az informatikai biztonsági rendszer önvédelmét, kritikus elemei védelmének zártságát és teljes kör-ségét biztosító ellen!rzésekr!l, eljárásokról, c) a rendszer szabályozott, ellen!rizhet! és rendszeresen ellen!rzött felhasználói adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felel!sségi körök, hozzáférés naplózás, rendkívüli események), d) olyan biztonsági vezetési, irányítási környezetr!l, mely a rendszer m-ködése szempontjából kritikus folyamatok eseményeit naplózza és alkalmas e naplózás rendszeres és érdemi értékelésére, illetve lehet!séget nyújt a nem rendszeres események kezelésére, e) a távadatátvitel bizalmasságáról, sértetlenségér!l és hitelességér!l, f) az adathordozók szabályozott és biztonságos kezelésér!l, g) a rendszer biztonsági kockázattal arányos vírusvédelmér!l, (3) a számítógépes programoknak együttesen alkalmasnak kell lenni, a) a m-ködéshez szükséges és jogszabályban el!írt adatok nyilvántartására, b) az adatvédelmi el!írások betartására,
142. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
c) a befektetési eszközök, illetve az árut!zsdei szolgáltatások tárgyának ügyfelenkénti és összesített naprakész nyilvántartására, illetve elszámolóházi tevékenységet végz! szervezet esetén arra, hogy forgalmazónként elkülönítve tartsa nyilván a forgalmazó, illetve a forgalmazó ügyfele tulajdonába tartozó befektetési eszközöket és az árut!zsdei szolgáltatások tárgyát, d) a tevékenységgel összefügg! országos informatikai rendszerekhez történ! közvetlen vagy közvetett csatlakozásra, e) a tárolt adatok ellen!rzéshez való felhasználására, f) a biztonsági kockázattal arányos logikai védelemre és a sértetlenség védelmére, g) a Felügyelet, illet!leg jogszabály által el!írt adatszolgáltatási kötelezettség teljesítésére. (4) Az értékpapírszámlát vezet! szolgáltató számlavezetést szolgáló számítógépes programjának alkalmasnak kell lennie a központi értéktári rendszerhez történ! csatlakozásra is. (5) A szolgáltató és az elszámolóházi tevékenységet végz! szervezet által kialakítandó adatfeldolgozási és nyilvántartási rendnek alkalmasnak kell lenni az egyes befektetési eszközök és az árut!zsdei szolgáltatások tárgyának naprakész ügyfelenkénti és összesített nyilvántartására. Az elszámolóházi tevékenységet végz! szervezet adatfeldolgozási és nyilvántartási rendjének alkalmasnak kell lenni, továbbá arra is, hogy forgalmazónként elkülönítve tartsa nyilván és kezelje a forgalmazó, illetve a forgalmazó ügyfele tulajdonába tartozó befektetési eszközöket és az árut!zsdei szolgáltatások tárgyát. rzés-védelem 8. § (1) A szolgáltató és az elszámolóházi tevékenységet végz! szervezet üzleti célú létesítményeiben !rzés-védelmet köteles biztosítani. A megfelel! !rzés-védelmet a vezet! a) a tárolt érték, b) a napi ügyfél- és értékforgalom, valamint c) az intézmények egyéb sajátosságai figyelembevételével határozza meg. (2) Az épületen belüli !rzés-védelmet a következ!k szerint kell megoldani: a) üzemi id! alatt !rszolgálatról kell gondoskodni ott, ahol a készpénz vagy a nyomdai úton el!állított értékpapírok napi átlagos forgalma a húszmillió forintot meghaladja; b) huszonnégy-órás !rszolgálatot kell biztosítani a m-ködés szempontjából a vezet! által stratégiai fontosságúnak ítélt épületben vagy épületrészben.
143. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
(3) Az !rszolgálatot az a külön jogszabályban el!írt szakvizsgával rendelkez!, büntetlen el!élet- személy- és vagyon!r láthatja el, aki írásos nyilatkozatban titoktartási kötelezettséget vállal. (4) Nem kötelez! az !rszolgálat m-ködtetése olyan vagyonvédelmi biztosítás fennállása esetén, amely biztosítja, hogy az okozható kár megtérül. Melléklet a 283/2001. (XII. 26.) Korm. rendelethez ÉrtelmezE rendelkezések 5. logikai védelem: azon védelmi eljárások és intézkedések összessége, amely egy adott informatikai rendszer irányításának, bizalmasságának, hitelességének, sértetlenségének és rendelkezésre állásának védelmét biztosítja az illetéktelen hozzáférés ellen; 6. mechanikai-fizikai védelem: a védend! objektum illetéktelen behatolás elleni fokozott védelmére szolgáló építészeti-m-szaki követelmények és eszközök, valamint a szolgáltató és az elszámolóházi tevékenységet végz! szervezet m-ködéséhez szükséges berendezések, az információk tárolására, továbbítására szolgáló eszközök és az értékek biztonságos tárolását szolgáló berendezések alkalmazása; 7. rendelkezésre állás: az er!forrás folyamatos és rendeltetésszer- biztosítása; 12. üzleti számítógépes program: a befektetési szolgáltatási tevékenységet, a letéti !rzést, a letétkezelést, valamint az elszámolóházi tevékenységet végz! szervezet tevékenységét támogató számítógépes program;
1996. évi CXII. Törvény a hitelintézetekr5l és a pénzügyi vállalkozásokról 210. § (1) A pénzügyi intézmény pénzügyi és kiegészít! pénzügyi szolgáltatásra irányuló szerz!dést csak írásban vagy min!sített elektronikus aláírással ellátott elektronikus okirat formájában köthet. Az írásban kötött szerz!dés egy eredeti példányát a pénzügyi intézmény köteles az ügyfélnek átadni. (4) Az üzletszabályzat kamatot, díjat vagy egyéb feltételeket érint! - az ügyfél számára kedvez!tlen - módosítását a módosítás hatálybalépését tizenöt nappal megel!z!en, hirdetményben közzé kell tenni, elektronikus kereskedelmi szolgáltatás nyújtása esetén az ügyfelek számára folyamatosan és könnyen hozzáférhet! módon, elektronikus úton is elérhet!vé kell tenni.
144. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
1997. évi LXXXII. Törvény a magánnyugdíjról és a magán-nyugdíjpénztárakról 44. § (1) A pénztár a pénztártevékenységet csak a szolgáltatás nyújtásához, illetve a gazdálkodási, tagfelvételi tevékenység megkezdéséhez szükséges személyi feltételek, technikai, informatikai, m-szaki felszereltség és a tevékenység végzésére alkalmas helyiségek birtokában kezdheti meg, továbbá rendelkeznie kell a jogszabályoknak megfelel! számviteli renddel és a biztonságos m-ködéshez szükséges bels! szabályzatokkal, valamint az egyes tevékenységek végzésében el!írt pénzügyi követelmények teljesítéséhez szükséges pénzeszközökkel, tartalékokkal.
145. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
5. A KONZULTÁCIÓKON ELHANGZOTT GONDOLATOK ÖSSZEFOGLALÁSA (5. melléklet) A konzultációkhoz el!zetesen készített Tájékoztató néhány fontos szempontra hívta fel a figyelmet. Az alábbiakból (e kérdések szerinti csoportosításban) megismerhet!k a - sokszor összecseng!, de néha egymásnak ellentmondó - vélemények: (1) Jogi, szabályozási területek Nagyon sok interjúban felmerült a többfokozatú titokvédelmi min!sítés (EU, NATO konform) szükségessége. Javaslatok hangzottak el a számítástechnikai eszközökkel kapcsolatos részletszabályozások kidolgozására, amelyeken min!sített vagy egyéb, védend! adatokat kezelnek. Általában egyetértenek a négyfokozatú titokvédelmi min!sítési skála használatával, de van olyan, aki (technikai okok miatt) nagyon költségesnek tartja a bevezetését. Kormányrendeletet kell alkotni (Ez a titokvédelmi törvényben 1995. december 31-ig el!írt rendelkezés) az informatikai rendszerekkel kapcsolatos elvárásokra, melyek a kormányzati rendszerekben kötelez!ek, más rendszerekben ajánlottak. Jogi, szabályozási területen lefedetlen területek vannak: a min!sített információkon kívül a nem nyilvános, üzleti, személyes titkok védelménél. A kritikus infrastruktúrák informatikai védelmére külön részletszabályozások kellenének. Az aláírás-törvényhez hasonlóan kezelni kellene az informatikai biztonság infrastruktúráját: felügyelet, tanúsító szervezetek jogállását. A jogi szabályozottság hiányosságai nem mentesítik az alkalmazókat a titokvédelmi felel!sség alól. Summás vélemény: er!s emberi er!források vannak, er!s szervezetlenséggel. Ennek rendbetételére kellene a szabályozás. A szabályozások két szintje jelenjen meg: • közvetlen szabályozás (kormányzati rendszerek, min!sített adatok, stratégiai ágazatok), illetve • közvetett szabályozás: ahol közérdek jogosítja fel az államot a szabályozásra. Ami nem kapcsolódik az állami védelemszervezéshez, ott ösztönözni kell a biztonsági tudatosság terjedését. Elhangzott, hogy a kriptográfiai eszközök és módszerek elterjedését el! kell segíteni, de ugyanakkor (angol mintára) szabályozni is kell: minden kódolás legyen
146. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
megengedett, de bizonyos esetekre vonatkozóan (pl. b-ncselekmény gyanúja) biztosítani kell a kódolt adatok (hatóság által történ!) visszafejthet5ségét. A kritikus infrastruktúra fogalmát meg kell tartani az államigazgatásra, a többire pl. "érzékeny" infrastruktúra fogalmat lehet használni. (2) Egyetértenek-e a vázolt elvekkel, célokkal és az átfogó cselekvési tervvel, valamint azzal, hogy ezek irányítására, koordinálására, magvalósítására szükséges az INFOSEC hatóság (Informatikai Biztonsági Hatóság/Felügyelet) létrehozása a vázolt feladatokkal? Sz-kítenék vagy kiegészítenék azokat? Meggondolandó, hogy Informatikai Biztonsági Felügyelet új szervezetként való létrehozása helyett, nem lenne célszer-bb az ilyen jelleg- meglev! szervezetek közül egyet kiválasztani, meger!síteni, a többinél pedig "profiltisztítást" végrehajtani. A biztonsági felügyelettel kapcsolatban a min5sített adatkezelést külön kell szabályozni (nagyjából adott), ezen kívül jelenleg nincs gazdája. A „polgári”-„nem polgári” INFOSEC hatóságról ellentétes vélemények hangoztak el: többen külön hatóságot látnának szívesen, a „polgári” felügyelet minél távolabb legyen (szervezetileg a nemzetbiztonsági szolgálatoktól, mert ez kell a bizalom növeléséhez). Más vélemények szerint egyetlen felügyelet kell, ha az EDR megvalósul, már a frekvencia-gazdálkodás területén sem lesz külön hatóság. Nagy szükség van az adatkezelés biztonságáról szóló közérthet!, rövid segédletekre, szabályzat-mintákra; a szabványokat az "átlagember" nehezen emészti. A szabályzatok dzsungelében alig lehet eligazodni; túl sokféle szabályzat van, sokszor azonos cím- szabályzatok tartalma egészen más különböz! szervezeteknél (pl. titokvédelmi szabályzat, ügyviteli szabályzat, adatvédelmi szabályzat, vagyonvédelmi szabályzat, !rzésvédelmi szabályzat, informatikai biztonsági szabályzat, üzemeltetési szabályzat). Meg kell teremteni az informatikai termékek és rendszerek értékelésének és tanúsításának intézményi rendszerét. Els!sorban szakmai, másodsorban EU és egyéb (CC) küls! elvárások (Unió által elvárt nemzeti keret) miatt van szükség felügyeleti szervezetre. A NATO biztonsági stratégiájának egyes elemeit és az IT biztonsági követelmények egyes csoportjait bizonyos szakért!i körben hozzáférhet!vé lehetne tenni, mint az egyik legmagasabb szint- ilyen tudást. Ez az állami szint- biztonsági feladatok ellátásában lenne hasznosítható. Jelenleg káosz van az IT bizt. területén (párhuzamosságok, szétaprózottság és lyukak). Az IT bizt-on belül 3 szintet érdemes megkülönböztetni: • állami titok,
147. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
• nem állami titok, de védend! adat és • egyéb (üzleti, magán titok), ahol el!ször (magasabb prioritással) az 1. problémáit kellene megoldani! A kormányzati szervek informatikai és adatátviteli rendszereire vonatkozó jelenlegi el!írások szerint (a szolgálati titokkörbe es! adatok miatt) ebb!l az adatkörb!l semmi adatot nem lehet publikálni, de az EU csatlakozás után ezeket a rendszereket is össze kell majd kapcsolni más (országhatáron kívüli) rendszerekkel. Ehhez megfelel! védelmi pontokat kell kialakítani, és a jelenlegi rendszerek biztonsági vizsgálatára is szükség lesz az összekapcsolás el!tt. IT biztonság felosztása: • INFOSEC, • COMSEC (TRANSEC, CRYPTOSEC, TEMPEST), • COMPUSEC, • dokumentum-védelem, • humán (személyi védelem). A vélemény szerint ez a (NATO, EU) felosztás se teljesen logikus, a TEMPEST igazi helye a COMPUSEC! INFOSEC hatóság kell, de ennek két alternatívája van: • központi, totális (sok embert igényel, drága) és • többszintU (középs!, s!t alsó szint is kell), ahol a fels! szint csak összefogja, irányítja az ágazati (tárca) irányító szervezeteket (amelyek felel!sek a saját policy kidolgozásáért), illetve titokvédelmi felügyel!ket (akik a végrehajtást ellen!rzik). Az INFOSEC hatóságnak a nem polgári szférára hatóságként, a polgári szférára ajánlattev!, segít! szervezetként kell m-ködnie. A f!hatóságon belül külön csoport lehetne a min!sített információkért felel!s részleg. A hatóságon belül nem lehet a minden informatikai területhez ért! szakgárdát létrehozni, akkreditált szakért!i bázis kell. A távközlés és az informatika közeledik, szó volt a távközlési törvény módosításakor, hogy legyen egységes elektronikus kommunikációs törvény, de még nem készültünk fel erre. Fontos, hogy kormányzati CERT felel!s jöjjön létre, mely stabilitást adhat a védekezésben, ügyfélszolgálati oldalról segítheti a privát CERT-ek munkáját. A feladatok és felel!sségek felosztásánál tekintettel kell lenni azokra az esetekre, amelyek gyakran elhúzódó jogi és gazdasági következményekkel járnak, ezért pl. az Igazságügyi Minisztérium szerepe is fontos.
148. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Elhangzott vélemény: nincs szükség önálló hatóságra (az információs társadalomra ültetni), evolúciós fejl!dés szükséges, szabályozásokkal, önszabályozó mechanizmusokkal. Els!dleges cél az államtitkok védelme: az állami felügyelet (MeH alatt) is segíteni tudná, els!sorban az állami megrendelések útján magához kötött üzleti szférára kiadott elvárásokon keresztül. Organikus (lassú, fokozatos) fejl!dés kell: az organikus fejl!dés lehetséges motorjai: kamarák, szakmai szervezetek (Magyar Adatbázis Szövetség, IVSZ). Nem állami titokvédelem min!sítésére talán el lehetne fogadni más EU ország vizsgálati eredményét is. Ez elvenné a hazai hivatalok kizárólagos jogait. A nemzetit amúgy is állami szinten ellen!rzik. (3) Milyen nemzetközi példákat ismer, melyeket hazai viszonylatra adoptálni lehetne? Melyek azok a legfontosabb nemzetközi szervezetek, egyezmények, amelyekhez csatlakozni, munkájában részt venni kellene? A német példa számunkra a legfontosabb, mert a német törvényi szabályozás közel áll a miénkhez. Integrált hatóság kell, erre legjobb a BSI példája. A nemzetközi példákból a finnek szabályozása a szimpatikus, figyelembe veend!. A csatlakozó országok közül az Észt modell a legjobb. Kanada is fontos szerepet játszik az informatikai biztonságban. Emergency team, CERT, figyel!-beavatkozó központ, tanácsadás, szakért!i bázis fenyegetések, veszélyeztetések (terror, számítógépek, internet). Belga példa. NATO kérésére üzemeltetnek Response team-et. A CERT támogatását fel kell venni a legfontosabb feladatok közé. A HÍF és az IHM külön megállapodást kötött a magyar CERT szervezettel (Internet Szolgáltatók Tanácsa). A NATO informatikai infrastruktúrája (els!sorban városi környezetben) is keveredhet a polgári infrastruktúrával, ez meger!síti, hogy az internet – mint infrastruktúra – a kritikus infrastruktúra része. A NATO biztonsági IT biztonsági követelményeinek (államigazgatásban vagy polgári környezetben) hasznosítható részei nem épültek be egységesen az EU és más biztonsági irányelvekbe; ebben a tekintetben országonként eltér! képet láthatunk. Ugyanakkor, természetesen minden NATO országban vannak olyan szervezetek és szakemberek, amelyek (megfelel! ismeretek és felhatalmazás alapján) ellátják a NATO részér!l elvárt IT biztonsági feladatokat.
149. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
2010-re prognosztizálják, hogy minden (informatikai) vezet! mellett lesz egy security officer. (4) Milyen módon vállaljanak (központi) szerepet az állami szervek az informatikai biztonság területén? Milyen tevékenységekre (szabályozás, irányítás, felügyelet, szabványosítás, irányelvek, ajánlások, egységesítés, koordináció, tudatosítás, ösztönzés, támogatás, beruházás, infrastruktúra, alkalmazások, szolgáltatás stb.) és milyen felhasználói körre (állami, kormányzati szervek, gazdasági szervezetek, kritikus infrastruktúrák, magánszemélyek stb.) terjedjen ki az állami szerepvállalás az informatikai biztonság területén? Az állam védje meg az állami titkokat, a nemzet biztonságát. Vannak rendszerek, amelyeket az államnak kell megvédeni, és vannak olyanok, amelyeket (segítségnyújtás mellett) rá kell bízni a felhasználókra. Felmérés alapján kellene az állami szerepvállalást meghatározni. Pontosabban meg kellene határozni: • mit kell védeni, • hogyan kell védeni. Állami szerepvállalásban meg kell határozni: • ahol kötelez! az államnak védeni, • ahol lehet!séget biztosít. Beszerzés-politika jelenleg: a m-ködtetés az els!dleges cél, a biztonságra maradék elv érvényesül (és általában nem marad). Ha nincs törvényi kötelezettség, ez így is marad! Az archiválásról: Hármas feladat: !rzés, konverzió, hitelesség biztosítása. Jöv!re követelmények egy archiváló-szolgáltatóval szemben (ETSI 101456-hoz hasonlóan). Jelenleg még a technológia kialakulatlan. Min!ségi követelményeket kellene felállítani a szolgáltatókkal szemben, nem kötelezni kell, hanem a szabad piaci választás rákényszeríti a szolgáltatókat a biztonságra. Mutassa fel a szolgáltató, hogy biztonságos, átlátható szabályozásai, auditált rendszerei vannak. A min!sített (NATO) beszállítók mintájára a kormányzat befolyásolhatja a szolgáltatói piacot, hogy attól rendel szolgáltatást, aki nagyobb biztonságot garantál. (Saját rendszereire el!írhatja, hogy „min!sített” szolgáltatótól rendelhetnek szolgáltatást a kormányszervek.)
150. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
A kis- és középvállalatokat közvetett módon, pl. a biztonsági feladatok allokálásával, akkreditív jogosultságok engedélyezésével kellene támogatni. Minimális biztonsági szinteket kellene meghatározni a szolgáltatókkal szemben is, mivel a rosszindulatú végfelhasználók veszélyt jelenthetnek a többi felhasználóra. Az utolsó kisz-rési pont az internet-szolgáltató ebben a tekintetben. A szolgáltatók kötelezése a biztonsági elvárások betartatására nem m-ködik, a piac majd szabályoz, amelyik szolgáltató nagyobb biztonsági szintet tud garantálni, attól rendelnek szolgáltatást. Ezt olyan keretszabályozás segítheti, amely átláthatóvá teszi a biztonsági szintet. Jó lenne, ha a szolgáltatók segítenének a számítástechnikai betörések megakadályozásában, a vírus és SPAM sz-résben, egyes lapok tiltásában. (A vírussz-résben nagyobb egyetértés volt, de a szolgáltatói SPAM sz-rést nem tartották többen reálisnak, a felhasználók esetleg nem kapnának meg fontos üzeneteket.) Lehetne ún. SPAM fekete listákat alkalmazni a sz-réshez. Megoldás: szolgáltatói csomagokat támogatni kellene (ne jelenjen meg nagy költségként, ehhez állami segítség is kellene, mivel nagyon drága, nagy kapacitású szerverek kellenek). Az internet-szolgáltatói csomagok közül a felhasználó választhat, milyen sz-réseket szeretne igénybe venni. A felhasználók egy része tiltakozna a szolgáltatói tartalomsz-rés ellen. A veszélyek dönt! része nem hálózati, hanem operációs rendszer szint-, vagy alkalmazói szoftver szint-. (Nagyon sokszor jött el! a konzultációkon.) az operációs rendszerek védelmének er!sítése központi kérdés. Nem lehet az internet-szolgáltatókat biztonsági szempontból felügyelni, mivel 100200 között van a számuk. A követelmények megfogalmazásánál differenciált követelmények kellenek, ezzel lehet a költséghatékonyságot biztosítani. Követelményeket kell megfogalmazni az állami szerveknek, mert csak így lehet a szükséges pénzt biztosítani. Az IT biztonsággal kapcsolatos információ megosztását állami szinten is támogatni kell. Van olyan vélemény, amely szerint a koncepció közös kialakítását követ!en ezt kormányhatározat-szint- dokumentummal is alá kell támasztani. Az EU-ban is külön kiemelik a hálózati biztonság fontosságát, az INFOSEC funkciók határokon átnyúló veszélyek kiküszöbölését igénylik, határokon átnyúló védelemmel. A titokvédelem ne akadályozza a munkát, mert akkor nem használják: „felhasználóbarát” legyen. Olyan rövidtávú feladatokat kell megfogalmazni, amelyek végrehajthatók, különben nem történik semmi. Az állami szerepvállalás fontos területe a nemzetközi szervezetekben való részvétel, pl. NISA.
151. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Az internet is egy közm- (mint az áramellátás), így a kritikus infrastruktúra része. A kritikus infrastruktúra része a gerinchálózat, mely egyes kormányzati szegmensekben kiváltja az internetet. A Közháló tenderekben el! kell írni a biztonsági követelmények elvárásait. (5) Hogyan látja az IT biztonság területén Magyarországon reálisan végrehajtható rövid- közép- és hosszú-távú cselekvési terveket és elérend! célokat? A kormányzati szint- biztonsági igényeket reálisan kell felmérni. Prioritása van a titokvédelemmel foglalkozó törvények, rendeletek egységesítésének. Feladat: oktatás – felvilágosítás – ellen!rzés. Az új technikát csak az amortizációval párhuzamosan lehet bevezetni (javaslat: állítsunk fel különböz! listákat tanúsított termékekre (OS, hw, sfw stb.), cserélni már csak ezekb!l lehessen, az amortizáció pótlásakor (rész)rendszereket lehessen csak cserélni, elszigetelve a régit!l) Jogszabály kell a kritikus infrastruktúrák védelmére. Meg kell határozni, mi a kritikus infrastruktúra. Az elektronikus kommunikációs hálózatok biztonságát fel kell venni a legfontosabb témák közé, az EU is külön kiemeli a hálózati biztonságot. A piaci tapasztalatok azt mutatják, hogy az IT-biztonság ma már divatos téma. A döntéshozók többsége ezt még mindig egy, a m-szaki igazgatónak továbbpasszolandó témának látja. A tényleges ismeretek tudományos ismeretterjeszt! szinten hiányoznak. Ez az egyik legnagyobb probléma. Az általános felfogás – talán nem is alaptalanul -, hogy ami gépen van, az már nincs biztonságban. Legjobb IT biztonság a papír vagy az sem. Mivel nagy z-rzavar van az egyes szavak, fogalmak értelmezésében, fontos feladat a vonatkozó jogi és m-szaki el!írások áttekintése, az egységes magyar szóhasználat, fogalomértelmezés megteremtése. Minél el!bb Magyarországnak csatlakoznia kell a CC-t hivatalosan elfogadó országokhoz. Szükséges a Common Criteria mellett a biztonságot átfogóan értelmez! szabvány – pl. ISO/IEC 17799 – terjesztését, használhatóbbá tételét (útmutatók, szabályzat-minták stb. kidolgozását a szabvány szerint), felhasználva a hazai ajánlásokat és gyakorlati tapasztalatainkat is. Hangsúlyozni kell a szabványok szerepét, ehhez támogatást kell adni a felhasználóknak. A szoftvermin!ség szerepe hihetetlenül nagy, nem megbízható operációs rendszerek mellett nem lehet biztonságos alkalmazói rendszereket üzemeltetni. (Többször el!jött a német (bajor) példa a LINUX-os operációs rendszer támogatásáról, a Microsoft
152. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
visszaszorításáról.) Ebben az állami szektor szerepe (súlyából adódóan is) nagyon nagy! (6) Egyebek A biztonság sok pénzbe kerül, de amit megtakaríthatunk vele, sokkal nagyobb érték (potenciális megtakarítás). Van ami pénzbe kerül, van ami nem, csak figyelem és szabályozás szükséges hozzá. Tudatosságot er!síteni kell. A biztonsági kritériumok beépítése a rendszertervezés folyamatába sokat spórol, mert az utólagos beépítés sokkal többe kerül. Figyelni kell a biztonsági mechanizmusok sokrét-ségére, pl. ha az embernek sok jelszava van, azt összekeveri (felírja). Fontos az SSO (Single-Sign-On) használata a legfontosabb alkalmazásokra. A felmérések szerint a betörések 80%-a belülr!l történik, ezért fontos az emberi tényez!, az ellen!rzés. Bonyolult a log-file-ok ellen!rzése. Betörés helyett nagyobb veszély a „kitörés”, amikor belülr!l juttatnak ki információt, ezeket kevésbé védik a t-zfalak. Nem minden az informatikai biztonság: jogosult felhasználó ellen nem lehet informatikai eszközökkel védekezni, nagyon fontos a személyi biztonság is. Fontos a „Best Practices” terjesztése. Pl. az ún. „számhordozhatósági adatbázis”, amely a telefonszámokat rögzíti és a rendszerek ellen!rzik a kommunikáció jogosultságát. Fontosak az ügyiratkezel! rendszerek, az elektronikus iratokat és a papíriratokat egységesen kell kezelni. A hazai CERT 1998-ban jött létre, a legnagyobb felhasználói kör a HUNGARNET volt. Kell hazai CERT, s!t több CERT is lehet, els!sorban a hazai internetszolgáltatóknál kellene m-ködni. A CERT funkciói: • incidens-kezelés, • általános tájékoztatások. Csak ajánlatok fogadhatók el az internet-szolgáltatóknak, követelmények nem. A szolgáltatók nem er!ltethetnek a felhasználókra követelményeket, csak kizárhatják a rosszindulatú felhasználókat, ezzel segítve a hálózat biztonságát. Ebben az IszT koordinál.
153. oldal
oldalak száma: 155
IHM
Magyar információs társadalom stratégia
2003. június
Informatikai biztonsági részstratégia
Konvergencia látszik a távközlés, hírközlés, számítástechnika, a távközlés biztonsága és az informatikai biztonság között (pl. a telefonközpontok biztonsága ma nagyrészt informatikai biztonsági kérdés). Nagy elvárások voltak az elektronikus aláírásokkal szemben, mégsem terjedtek el kell!képpen a meghozott törvények ellenére. Komoly felmérés kell a szabályozások el!tt, mire van szüksége a társadalomnak, mit tud elfogadni. Vegyük figyelembe az adatvédelmi biztos ajánlásait az emberi jogok védelmében. Nagyon fontos a tudományos világ állásfoglalása: a védelem nem korlátozhatja a szabadságjogokat (titkosítás terén). Az informatikai biztonság része az adatok elérhet!sége is. Biztosítani kell az állampolgárok (azonosított) hozzáférését a nagy adatbázisokhoz. Fontos lenne az egy ember-egy azonosító adat újbóli bevezetése, mert ma nagy népességek t-nnek el az adatbázisokból. A biztonságos informatikai rendszerek hozzájárulhatnának az egyetlen személyi szám emberi jogokat nem sért! használhatóságához. Tisztázni kell az alapfogalmakat, keveredés van: más az adatvédelem és más az adatbiztonság. Fontos lenne, hogy a biztonsági szoftvereknek magyar, közérthet! kezel5-felülete legyen. Nagyon fontos a tudatosság az informatikai biztonságban: demokratikus társadalmi rendszerekben is vannak rosszindulatú résztvev!k, érdekellentét országok, gazdasági szervezetek között, tudatosítani kell, hogy a rendszerek támadhatók, és a támadásokat érdekek is gerjesztik. A tudatosság mellett veszély a hamis biztonságtudat kialakulása is (ha nem megalapozottan bízunk rendszereink védelmében). Ennek kivédésére szakért!k által értékelt rendszerek kellenek, szabványok használata. Fontos, hogy a stratégia ne csak az állami szférát és a gazdasági szférát célozza meg, hanem jusson el a civil szférához a hatása.
154. oldal
oldalak száma: 155
Magyar információs társadalom stratégia
IHM
2003. június
Informatikai biztonsági részstratégia
6. FOGALMAK ÉS JELÖLÉSEK (6. melléklet) Rövidítés APEC BSI CC CCRA CEO CERT CESG COBIT DDSI EEJ-Net EESSI ENISA EU FIBS ICA ICT IDA IRG ITU LVD NII NIST NRA OAS OECD PECA PPP SSO TABD
Teljes megnevezés (angolul) [Ázsiai Országok Szervezete] Bundesamt für Sicherheit in der Informationstechnik Common Criteria Common Criteria Recognition Arrengement Chief Executive Officer Computer Emergency Response Team Communications-Electronics Security Group Control Objectives for Information and Related Technology Dependability Development Support Initiative European Extra Judicial Network European Electronic Signature Standardization Initiative European Network and Information Security Agency European Union Federal Information Processing Standard International Council for Information Technology in Government Administration Information and Communication Technology Interchange od Data between Administration Program Independent Regulators’ Group (Magyarorszgá is tagja, IT bizt. albizottsága van) International Telecommunications Union Low Voltage Device National Information Infrastructure National Institute of Standards and Technology National Regulatory Authority [Amerikai Államok Szervezete] Organisation for Economic Co-operation and Development [Gazdasági Együttm-ködési és Fejlesztési Szervezet] Protocol on European Conformity Assessment Public Private Partnership Single-Sign-On Transatlantic Business Dialogue
155. oldal
oldalak száma: 155