Emlékeztetı a Közigazgatási Informatikai Bizottság (KIB) Jogi és Mőszaki Szabályozási Albizottságának ülésérıl (2008. március 18. 10:00 EKK 1024 Szilágyi E. fasor 11/b. I. emeleti konferenciaterem)
Jelenlévık: a mellékelt jelenléti ív szerint Napirend: 1. Napirend elfogadása 2. A „Magyar Informatikai Biztonsági Ajánlások” címő ajánlás-sorozat szakmai megvitatása és elfogadása 3. A Magyarországon elektronikus azonosításra, hitelesítésre, aláírásra és elektronikus azonosítók hordozására alkalmas eszközök követelményei (HUNEID követelmények) címő KIB ajánlás-tervezet szakmai megvitatása 4. Az Ügyfélkapu és Hivatali kapu kapcsolódás mőszaki specifikációja címő KIB 21. számú Ajánlás módosított (2.0 verzió) változatának szakmai megvitatása
1. Szittner Károly elnök rövid megnyitó beszédét követıen az Albizottság egyhangúan elfogadta a javasolt napirendet. Egyéb napirendi javaslat nem volt.
2. Dr. Dedinszky Ferenc (MeH EKK) röviden ismertette a „Magyar Informatikai Biztonsági Ajánlások” jelenleg érvényben lévı tartalmi struktúráját: ITB 8., 12., 16. ajánlása (1994-96.) Azóta a technika/technológia jelentıs változása miatt az ajánlások korszerősítése vált szükségessé. A biztonsági ajánlások korszerősítése, átdolgozása érdekében történt felkérés célja egy átfogó szabályozási anyag elkészítése volt. Muha Lajos (GDF), mint a „Magyar Informatikai Biztonsági Ajánlások” címő ajánlássorozat szakmai kidolgozására felkért szervezet képviselıje, ismertette a kidolgozott ajánlások tartalmi elemeit. Az ajánlás-csomag a nemzetközi szabványokkal összhangban alkalmas megteremteni az informatikai biztonsági irányítási rendszert, amely egyben a belsı ellenırzéshez és a külsı tanúsítási rendszerhez is segítséget nyújt. A kidolgozók javaslata továbbá, hogy az elkészített ajánlás-csomag frissítése a jövıben folyamatosan megtörténjen. Ezt a célt szolgálja az elektronikus formában történı megjelenése is. Ugyanakkor felhívta a jelenlévık figyelmét, hogy az ajánlások egyes részei más-más szakértıknek szól. •
•
Dr. Dedinszky Ferenc (MeH EKK) jelezte, hogy a korábban írásban megküldött észrevételek alapján az ajánlás-csomag átdolgozása megtörtént, amely dokumentumok a CIRCA belsı kommunikációs rendszerben érhetık el. Az észrevételek, vélemények lényegi módosítást nem eredményeztek a dokumentumokban. További észrevételek megtételére szóban a jelen ülésen is lehetıség nyílik. Weninger Zoltán (FÖMI) észrevételében kiemelte, hogy a Földmérési és Távérzékelési Intézetben integrált minıségügyi és informatikabiztonsági rendszer mőködik. Amelynek az a lényege, hogy a minıségirányítási rendszerre vonatkozó auditok és szabályozások együttesen kerültek kidolgozásra. Ennek egyik oka, hogy a minıség kifejezés tágabb értelmezésébe belefér a biztonsági kérdések megfogalmazása, továbbá költség hatékonyabb is. Kérdésként fogalmazta meg, hogy 1
egy ilyen nagy terjedelmő, alapos munka kidolgozása esetén nem lenne-e célszerő egy külön minıségbiztosításra vonatkozó fejezet kidolgozása. Dr. Dedinszky Ferenc (MeH EKK) válaszában kiemelte, hogy a megbízás kizárólag az informatikai biztonság területére szólt. Kétségtelenül egyetért azzal a megfogalmazással, hogy a minıségbiztosítás területével léteznek átfedések. Ugyanakkor a minıségbiztonság területére vonatkozó ajánlás már létezik (KIETB 24. ajánlás), továbbá elıkészületben van az elektronikus szolgáltatásokra vonatkozó minıségbiztosítási ajánlás. Ennek tükrében született meg a felkérés. Természetesen a meglévı ajánlások közötti kapcsolódási pontok megteremtése elengedhetetlen a továbbiakban is, hogy az ajánlások szerves egész egységet tudjanak alkotni. Muha Lajos (GDF) válaszában kiegészítette, hogy az irányítási rendszerrel foglalkozó kötetben megemlítésre kerültek a minıségbiztosításra vonatkozó ajánlások, az irányítási rendszerek kapcsolódási pontjai. Az integrált rendszer jelenlegi problémája, hogy nemzetközi szinten is még vitatott, képlékeny témaként fogalmazódik meg, sok auditor nem fogadja el. Véleménye szerint a jövıben az integrált rendszerek megerısödése várható. • Dr. Iszály Mihály (KEKKH) gyakorlati szempontból nagyon fontosnak értékelte, hogy az ajánlás-csomag elválasztja egymástól a különbözı közigazgatási szervezeteket. Ennek jelentısségét abban látja, hogy nem lehet azonos mércét, követelményrendszert állítani az államigazgatás és közigazgatás különbözı szereplıi számára (pl. országos hatáskörő államigazgatási szerv és kisebb önkormányzat közigazgatási szerve közti különbség). Továbbá a témakörök szétválasztását is fontosnak tartotta, hogy az egyes szakemberek részére vonatkozó információk az anyagban külön szétválasztásra kerültek. A nemzetközi szabványok adottságából kifolyólag szakmai vonatkozású észrevételt nem kíván tenni. Felhívta a tagok figyelmét, hogy az albizottság feladatai közé nem csak mőszaki, hanem szabályozási kérdések is tartoznak. Így kérdésként fogalmazta meg, hogy milyen személyi szervezetrendszer szükséges a leírtak megvalósításához. Ennek definiálása azért fontos véleménye szerint, mert így látja elképzelhetınek a leírtak tényleges megvalósulását, beépülését az egyes szervezetek rendszerébe anélkül, hogy az adott szervezet alaptevékenységét mindez veszélyeztetné. Hozzászólásában megfogalmazta, hogy véleménye szerint a leírtak szervezetrendszere jelenleg nincs meg. Ezért tartaná fontosnak a szervezetrendszer jogi szabályozással való megteremtését. A jogi szabályozás hiányából adódóan, az ajánlás nem kötelezı voltát szem elıtt tartva a megvalósulás így önkéntes, bizonytalan lesz. További problémaként fogalmazta meg, hogy a kisebb szervezetek esetében nem jelenik meg az informatikai veszélyérzet, fenyegetettség érzése, amely a munkafolyamat károsodásának lehetıségét hordozza magában. Az ajánlás nem kötelezı voltát ismét hangsúlyozva rávilágított, hogy nem fog elég jelentıs súlyt kapni ez a terület. Ahhoz, hogy az ajánlási-csomagban leírtak megvalósulhassanak és a szerzık által kívánt célt elérhessék, mindenképp szükségesnek látja az oktatás kérdésének megválaszolását. Muha Lajos (GDF) válaszában egyetértett azzal, hogy az ajánlás gyakorlatba való bevezetése, szigorú jogi szabályozásának hiánya problémákat vethet fel. Ugyanakkor példaként említette a korábbi ITB 12-es ajánlást, amely habár a közigazgatási szervek számára készült, a civil szférában hamarabb bevezetésre került. Az ajánlásként való megjelenés fontossága tehát vitathatatlan. A közigazgatási intézet elfogadta az ebben a témában benyújtott szervezett oktatás megszervezésére irányuló jelentkezést. Így az oktatás kérdése is megoldhatóvá válik, természetesen ehhez az egyes szervezetek jelentkezése szükséges.
2
Dr. Dedinszky Ferenc (MeH EKK) egyben, mint Informatikai Biztonsági Felügyelı, tájékoztatta a jelenlévıket, hogy az informatikai biztonsági ajánlások aktualitását az adja, hogy az elektronikus szolgáltatások száma jelentısen nıtt és az elkövetkezendı években további növekedés várható. Ez a növekedés a kisebb szervezeteket is érinti, amely felhívja a figyelmet a biztonsági ajánlások voltára. Ennek érdekében is történt most meg az Informatikai Biztonsági Ajánlások korszerősítése. Továbbá a 84/2007. Korm. rendelet 2008. június 30. határidıvel szabályozza az elektronikus szolgáltatást nyújtó közigazgatási szervezetek biztonsági követelményeit, amelyek a korm. rendelet mellékletében leírtakhoz kell igazodjanak. 195/2005. Korm. rendelet, habár csak felsorolás szinten, szintén biztonsági szabályozást tartalmaz. A jelenleg elkészült ajánlási-csomag célja, hogy tartalmi hátteret szolgáljon az említett két korm. rendelet számára. A Korm. rendeletben leírtak megvalósulásának ellenırzésére auditálási folyamatra kerül sor. Ennek elıkészítése céljából már elıkészítés alatt áll egy közbeszerzési eljárás, amely kiválaszt több olyan céget, amely az auditálást végezheti. Az egységes mőködés megvalósulása érdekében a jogi szabályozás elıkészítése szintén folyamatban van, várhatóan ez év ıszére készül el. Ennek célja, hogy nyilvános elektronikus szolgáltatás csak auditálást követıen lehetséges, illetve az auditálás folyamatának részletes szabályozása. Az oktatás megszervezésének kérdése jogos igényt vet fel a közigazgatásban dolgozók szempontjából is, ennek részletes kidolgozása és a hozzá szükséges forrás megtalálása még feladatként fogalmazódik meg a jövı számára. • Pajna Sándor (Hajdú-Bihar megyei Önkormányzat) hozzászólásában kiemelte az informatikai biztonság jelentısége és az abba vetett hit az ügyfelek szempontjából milyen jelentıs, hogy az elektronikus szolgáltatásokat igénybe vegyék. Továbbá felhívta a figyelmet, hogy az államigazgatás központi szervei számára teljesen eltérı problémák fogalmazódnak meg, mint a kisebb települések számára. Oktatás és forrás biztosítása lenne szükséges, hogy számukra ne lehetetlenüljön el az informatikai biztonság megvalósítása. Ennek megfontolását javasolja a jelenlévıknek. Dr. Dedinszky Ferenc (MeH EKK) egyetért az elhangzottakkal, valószínő, hogy a gyakorlat ezt az elvet fogja követni. Ugyanakkor nagy segítség lesz a kistelepülési önkormányzatok számára az ASP kialakítása, mivel ennek megfelelıen már nem az önkormányzat, hanem az ASP-szolgáltató feladata lesz a biztonsági elıírásoknak való megfelelés biztosítása. Az elektronikus szolgáltatás részét kell képezze a biztonsági követelményeknek való megfelelés, természetesen szintenként szabályozott módon. Pajna Sándor (Hajdú-Bihar megyei Önkormányzat) egyetért az ASP által nyújtandó megoldással, ugyanakkor csak abban az esetben látja ennek a megvalósulását, ha a helyi közszolgáltatási funkciók is ebben tudnának megvalósulni, ami jelenleg távolabbi feladat. Ezért tartja fontosnak az ellehetetlenülés elkerülésének és a folyamatos építkezés lehetıségének a biztosítását. Szittner Károly elnök válaszában kérte a jelenlévıket, hogy a konkrét ajánlás megvitatása legyen most az elsıdleges feladat a biztonságpolitika általános megvitatása helyett. • Kakuk Ilona (Kopint Datorg zRT) hozzászólásában kiemelte az egységes szabályozás megteremtésének szükségességét a lakossági bizalom elnyerése szempontjából. Különösen a központi rendszert érintı elkülönült jogi szabályozás kialakítását tartja nélkülözhetetlennek. A 84/2007. korm. rendelet nem teljesen fedi le a bevizsgálási, tanúsítási, hitelesítési szabályozás rendjét. Az említett, elıkészítés alatt álló rendelet-tervezetet még nem ismeri. Szittner Károly elnök kifejtette, hogy a most készülı tervezet a korábbi korm. rendelet feltételeinek a megteremtését szolgálja. 3
•
Dr. Iszály Mihály (KEKKH) kérdésként fogalmazta meg, hogy az auditálás folyamatában a közigazgatási szervezetek birtokában lévı minısített adatok védelmének biztosítása titokvédelmi szempontból hogyan valósul majd meg. Dr. Dedinszky Ferenc (MeH EKK) válaszában kifejtette, hogy az auditor cégek kiválasztására vonatkozó eljárás a 143/2004. korm. rendelet alapján történik, amire az OGY Nemzetbiztonsági Bizottságától szükséges felhatalmazás megtörtént. A meghívásra kerülı cégek már megfelelnek ennek a feltételnek, szigorú biztonsági feltételek szerint kerülnek kiválasztásra. Muha Lajos (GDF) kiegészítette azzal, hogy a kidolgozott ajánlás-csomag követelményrendszerében a NATO-EU biztonsági elıírásai is beépítésre kerültek (4. szint-szigorúan titkos adatokra vonatkozó elıírások). Dr. Dedinszky Ferenc (MeH EKK) hozzátette, hogy a minısített információkat tartalmazó rendszerek auditjának feladatát a Nemzeti Biztonsági Felügyelet látja el. Dr. Iszály Mihály (KEKKH) pontosította kérdését, hogy valójában olyan szervezetekre gondolt, amelyek nyíltak, de érintettek. Kérdésével ezekre szerette volna a figyelmet rávilágítani. • Molnár Zoltán (MeH EKK) kérdésként fogalmazta meg, hogy nem túlzás-e, hogy minden érintett auditor cég meg kell feleljen az említett szigorú titokvédelmi követelményeknek. Szittner Károly elnök nem értett egyet a felvetéssel, mivel a bizalmat véleménye szerint csak egy egységes rendszerrel lehet megteremteni. Szittner Károly elnök indítványára a „Magyar Informatikai Biztonsági Ajánlások” címő ajánlás-sorozatot az Albizottság egyhangúan elfogadta, amelyet ezt követıen a KIB elé terjeszt elfogadásra.
3. Szittner Károly elnök a harmadik napirendi pont, a Magyarországon elektronikus azonosításra, hitelesítésre, aláírásra és elektronikus azonosítók hordozására alkalmas eszközök követelményei (HUNEID követelmények) címő KIB ajánlás-tervezet felvezetésekor kérte a jelenlévıket, hogy a kérdéskört érzékenyen kezeljék, mivel aktualitásokat közöl. Tájékoztatta az albizottság tagjait, hogy március 11-én a kormánykabinet megtárgyalta az elektronikus azonosítás koncepcióját. A tervek szerint április 10-ig kell a kormány részére kidolgozni a részletes feladat-meghatározást tartalmazó elıterjesztést. Az elektronikus azonosító rendszer egy szükséges, de természetesen nem elégséges eleme a jelenlegi napirendi pont kapcsán bemutatásra kerülı HUNEID követelményeket tartalmazó szakmai anyag. Ez adja meg azt a technikai hátteret, amely az elektronikus azonosításhoz szükséges. Tájékoztatójában megemlítésre került, hogy az Európai Unió a CEN révén kialakított egy elektronikus azonosításra alkalmas Európai Állampolgári kártya szabványt (CEN TS1580), amely a jelenlegi napirendi pont alapját is képezi. Ribárszky Tamás és Szabó Tamás (HunTrust Kft.), mint a HUNEID követelmények kidolgozására felkért szakértı cég képviselıi, részletesen ismertették a szakmai anyag tartalmát a jelenlévık számára. Elmondásuk szerint a megbízás fı célja a korábbi követelményrendszerhez képest megfogalmazásra került új szabványokból (European Citizen Card) eredı szabályozási követelményrendszer elıkészítése volt. A szakértık megfogalmazása értelmében a HUNEID fı céljai közé tartozik a biztonságos csatorna, a kártya autentikációjának meghatározása, hogy egyenszilárd biztonsági környezet alakulhasson ki a felhasználás során.
4
•
Pajna Sándor (Hajdú-Bihar megyei Önkormányzat) kérdésként fogalmazta meg, hogy a biztonsági eltérések közti árkülönbség a gyakorlatban hogyan alakul. Ribárszky Tamás és Szabó Tamás (HunTrust Kft.) válaszukban kiemelték, hogy éppen a HunTrust Kft volt Magyarországon az elsı szervezet, aki bebizonyította, hogy a minısített biztonsági szintnek megfelelı és annak nem megfelelı eszközök között nincs valódi árkülönbség. A valódi különbség a chip modulok esetében fordulhat elı. A gyártók ezt a különbséget nem szokták rávetíteni a felhasználókra. A JAVA kártyák általában drágábbak, mint az egyéb kártyák, ennek különbségét a szakmai tervezet is kiemeli. Felhívták a jelenlévık figyelmét arra, hogy a jelenlegi hazai szabályozás nem tér ki arra, hogy minısített tanúsítványt milyen eszközre lehet felhelyezni. Ennek részletes szabályozását javasolják a jövıben. Szittner Károly elnök válaszában kiegészítésként megfogalmazta, hogy a jelenlegi ajánlás-tervezetet az IVSZ képviselıival, az Elektronikus Aláírási Szövetséggel és az NJSZT Intelligens kártyafórumával egyeztetve, az általuk küldött észrevételeket az indítványba bedolgozva készült el a tervezet jelenlegi változata. Ilyen értelemben a szakmai egyeztetés megtörtént. Kakuk Ilona (Kopint Datorg zRT) kérdésként fogalmazta meg, hogy az anyagban említésre került Magyar Nemzeti Azonosítási Séma pontosan hol található, mit takar. Szittner Károly elnök rövid válaszában tájékoztatta, hogy a korábban elhangzottaknak megfelelıen ennek megalkotása egy következı részfeladat.
Szittner Károly elnök indítványára a Magyarországon elektronikus azonosításra, hitelesítésre, aláírásra és elektronikus azonosítók hordozására alkalmas eszközök követelményei (HUNEID követelmények) címő KIB ajánlás-tervezetet az Albizottság tagjai egyhangúan elfogadták.
4. Szittner Károly elnök a negyedik napirendi pont kapcsán felkérte Molnár Zoltánt (MeH EKK), hogy tartsa meg tájékoztatóját az Ügyfélkapu és Hivatali kapu kapcsolódás mőszaki specifikációja címő KIB 21. számú ajánlás módosított (2.0 verzió) változatáról. A Hálózati és Rendszerfejlesztési Fıosztály munkatársa részletes szakmai felvezetésben ismertette a korábbi KIETB 21. ajánlás módosításában bekövetkezett változásokat, korábbi fejlesztéseket. Az új ajánlás kiegészült a Biztonságos elektronikus dokumentumtovábbító szolgáltatás, off-line azonosítási részletek és továbbá a gyakorlati tapasztalatok átültetését tartalmazó részekkel. •
• •
Fekete János (MATISZ) kérdésként fogalmazta meg, hogy hogyan tudja értelmezni a rendszer a képviselık kérdéskörét. Molnár Zoltánt (MeH EKK) válaszában jelezte, hogy a jelenlegi felépítés a természetes személyeket, mint képviselık, tudja kezelni. Az elektronikus kártyával történı azonosítási rendszer bevezetését követıen lehetıség nyílhat a többszintő azonosítási rendszer megteremtésére, amely majd ezt a problémakört is meg tudja oldani. Kakuk Ilona (Kopint Datorg zRT) hozzászólásában jelezte, hogy a Kopint Datorg zRT-nél jelenleg is véleményezés alatt áll a dokumentum, amelynek megküldési határideje 2008. március 31. Dr. Tóth Zoltán (MTA SZTAKI) hozzászólásában megfogalmazta, hogy az Albizottság munkafolyamatának meghatározását tartja szükségesnek, hogy ne csak utólag értesülhessenek az Albizottság tagjai a már végbement változásokról, hanem a jövıbeni célok kitőzésében is részt tudjanak venni. A SZTAKI egy korábbi 5
kezdeményezésében már megküldte a MeH EKK-nak azt a javaslatát, amelyben kifejtette, hogy a hivatal-hivatal kapcsolatban kéne létrehozni azt az új stratégiai pontot, amely a továbbfejlesztés alapja lehet. További észrevételként emelte ki, hogy az igazgatás folyamat vége nem látható, a rendszerfejlesztésben az állampolgár áll a fókuszban és a számára ügyeket kezelı szervezet elenyészı informatikai támogatásban nem részesül. Véleménye szerint a fókuszt az ügyintézıkre kellene helyezni a jövıben. Kérte a bizottsági munka ütemezésének bemutatását, munkaterv meghatározását. A SZTAKI részérıl két javaslatot fogalmazott meg: egyik a központi rendszer bıvítése, másik az ügyintézıi kapu felállítása. Szittner Károly elnök válaszában jelezte, hogy a KIB ülést és a KIB munkaterv összeállítását követıen az Albizottság meg fogja határozni saját munkatervét, ami természetesen megvitatásra kerül. A KIB ülés várható, pontos idıpontjáról jelenleg nem tudja tájékoztatni az Albizottság megjelent tagjait. Az elméleti vitát természetesen érdekesnek tartja, de a munkatervet a rendelkezésre álló forrásokhoz tartja fontosnak igazítani.
Szittner Károly elnök a résztvevık közremőködését megköszönve lezárta az ülést.
Jóváhagyom:
Szittner Károly
Dr. Dedinszky Ferenc
elnök
titkár
Készítette: Engelleiter Éva
6