A különböző szervezetek információs rendszerei és hálózatai egyre inkább szembekerülnek a biztonságukat fenyegető veszélyek széles skálájával. A potenciális veszteségek iparáganként, szervezetenként nagyon eltérőek. Magyarországon azonban még napjainkban sem állnak rendelkezésre olyan szisztematikus tervezési és szabályozási módszertanok, amelyek egy-egy specifikus szakterület számára – az elérhető ajánlások, szabványok felhasználásával – képesek egyedi, testre szabott, garantált minőségű információbiztonságot eredményező megoldásokat nyújtani.
A megvalósított kutatás-fejlesztési tevékenységünk eredményeként a gyakorlatban is használható, testre szabott biztonsági kritériumrendszerek, módszertanok, eszközök és szabályozások jöttek létre az infokommunikációs rendszerek biztonságával összefüggő veszélyek, kockázatok feltérképezésére, értékelésére és kezelésére, elsősorban azokon a területeken, ahol a várható veszteségek nagysága vagy a veszteségek bekövetkezésének nagy valószínűsége miatt erre a leginkább szükség van. Kutatásaink egyrészt a hiányos vagy hibás információkezelésből és információvédelemből eredő veszteségek megelőzését, másrészt azok minimalizálását és kezelését célozzák. A kutatási program keretében olyan átfogó és homogén módszertanokat dolgoztunk ki, amelyek alapján az infokommunikációs rendszerek fenyegetettségeinek és kockázatainak felmérése, elemzése és kezelése hatékonyan és eredményesen távolról, webes felületen keresztül is megvalósítható.
A kidolgozott módszertanokra építve, a Complex Kiadó Kft.-vel együttműködve, 2008 szeptemberében elindítottuk a címen elérhető Iparági információbiztonsági portál-t, amelynek segítségével a legkülönbözőbb iparágakban, szakterületeken működő cégek, szervezetek folyamatosan nyomon tudják követni az informatikai és információs rendszereikre vonatkozó hatályos jogszabályi előírásokat, követelményeket. A portál lehetőséget teremt a cégek, szervezetek számára, hogy – különböző részletezettségben és mélységben – áttekintő képet kapjanak infokommunikációs rendszereik biztonsági fejlettségéről, fenyegetettségeiről és kockázatairól, valamint az információbiztonsági szintjük növeléséhez javasolt megvalósítandó intézkedésekről.
A létrejövő portál hasznosítója, felhasználója lehet minden olyan szakterület vagy iparág, ahol a működési és adminisztratív folyamatok jellege, az alkalmazott egyedi informatikai megoldások (hardver illetve szoftver), az informatika és a telekommunikáció szervezeten belüli szerepe és súlya, illetve a szervezetek nemzetgazdasági és/vagy nemzetbiztonsági jelentősége szükségessé teszi speciális, testre szabott információbiztonsági megoldások alkalmazását.
Fejlesztésünk eredményeként lehetővé válik az információbiztonság kiterjesztése új (eddig nem ismert) területekre. Hosszabb távon a kutatás-fejlesztési tevékenységek kibővíthetők az infokommunikációs rendszerek minden területére, és az eredmények gyakorlati hasznosítása a régión, illetve az országhatárokon kívül is lehetővé válik.
Napjainkra szinte minden szervezet – legyen akár állami vagy piaci – működésében jelentős szerepet játszik a különböző informatikai eszközök használata, üzemeltetése, akár főtevékenységként, akár a működést segítő eszközként. Ennek ellenére az alkalmazott informatikai eszközökkel, szoftverekkel, szervezeti megoldásokkal szemben támasztott biztonsági kritériumokkal átfogóan viszonylag kevés magyar jogszabály foglalkozik. Uniós irányelv vagy rendelet sem született még ezzel az igénnyel, annak ellenére, hogy az informatikai biztonsággal kapcsolatos felhasználói tudatosság növelését, az ezzel kapcsolatos legjobb gyakorlatok, és know-how terjesztését célul kitűző közösségi intézmény, az ENISA 2004 óta működik.
Szűkebb területekre vonatkozó részletszabályozást azonban már számos norma tartalmaz. Kutatásunk célja elsősorban az volt, hogy erről a meglehetősen mostohán kezelt jogterületről készítsünk áttekintést. Feladatunknak tekintettük, hogy ismertessük az informatikai biztonság megteremtését célzó, már létező jogintézményeket, és megteremtsük egy olyan tanácsadó szolgáltatás hátterét, amely a jogi kérdésekben nyújt segítséget az érdeklődőknek.
A kutatás során az összegyűjtött joganyagot több nagyobb részre bontottuk. Az első rész azokat az általános jogszabályi előírásokat foglalta össze, amelyek minden komolyabb (személyes) adatkezeléssel foglalkozó piaci szereplőre vonatkoznak. A lehető legteljesebb kép biztosítása érdekében röviden kitértünk az informatikával kapcsolatos büntetőjogi szabályozásra is. Ezt követően sorra vettük és röviden elemeztük a gazdasági szférára, illetve a közigazgatási szervezetekre vonatkozó különös szabályozásokat. Ez utóbbiak végül nem kerültek implementálásra, abból a feltételezésből kiindulva, hogy ezen szervezetek jellemzően a működésükről megalkotott jogszabályi keretek között folyamatos felügyelet mellett működnek, és sokkal kevésbé várható, hogy egy piaci alapú szolgáltatást igénybe vennének.
Szintén széles körben szabályozott, hogy egyes szervezetek, adatkezelők bizonyos adatokat milyen időintervallumban kötelesek megőrizni (számviteli adatok, hírközlési szolgáltatók esetén forgalmi adatok stb.). Az egyre szélesebb körben használt informatikai megoldásoknak köszönhetően egyre több adatbázis, információ már csak elektronikus formában létezik. Mivel ezek megőrzése adott esetben nem csupán az ügyvitelhez elengedhetetlen, de törvényi kötelezettség is, ezért fontos olyan megoldási javaslatok kidolgozása, melyeket követve az érintettek jó eséllyel megfelelnek a követelményeknek. Itt is igaz, hogy a megőrzési kötelezés generális jellegű, azonban informatikai közegben nincs meghatározva annak minimálisan elvárt biztonsági szintje. Ez a gazdasági szférában – különösen az üzlet szempontjából kiemelten óvandó adatok esetén – még nem is mindig jelent problémát, azonban állami szervezeteknél az egyébként nem kötelező feladatok elvégzése gyakran háttérbe szorulhat, ami utólag visszaszerezhetetlen és értékes információk elveszítéséhez vezethet.
Nyomtatható oldal
