Tartalmi kivonat
NEMZETI KÖZSZOLGÁLATI EGYETEM KÖZIGAZGATÁS-TUDOMÁNYI KAR E-közszolgálati Fejlesztési Intézet Információbiztonsági Tanszék elektronikus információbiztonsági vezető SZAKDOLGOZAT Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere Dr. (PhD) Sebestyén Attila büntetés-végrehajtási ezredes Témavezető: Kuris Zoltán r. őrnagy BM HBF vezető 2014. Budapest Dr. (PhD) Sebestyén Attila - Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere – 2014 december 1. BEVEZETÉS . 4 2. ALAPVETÉSEK . 12 3. 4. 2.1 Terminológia . 12 2.2 Definíciók. 16 2.3 Axiómák . 19 2.4 Összeférhetetlenség . 20 IRÁNYÍTÁS . 22 3.1 Analógiák . 23 3.2 Jogszabályi elégtelenség . 24 LEHETSÉGES SZERVEZET . 27 4.1 Az információbiztonsági önálló osztály . 30 4.2 Kitekintés, más
rendvédelmi szervek . 32 4.3 Általánosítható tapasztalatok . 32 5. VÉGKÖVETKEZTETÉSEK . 34 6. ÁBRÁK ÉS TÁBLÁZATOK JEGYZÉKE . 36 7. FELHASZNÁLT IRODALOM . 37 8. 7.1 Törvények, jogszabályok:. 37 7.2 Egyéb feldolgozott irodalom jegyzéke . 37 FÜGGELÉKEK . 39 8.1 számú függelék – Összegzés (annotáció) . 39 8.2 2. számú függelék – A konzultációkon történő részvétel 40 8.3 3. számú függelék – Plágium nyilatkozat 41 3. oldal Dr. (PhD) Sebestyén Attila - Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere – 2014 december „Az egészséges emberi észjárás olyan módszer, mellyel hamis kiinduló feltevésekből képtelen gondolatmenetek révén használható következtetésekre jutunk.” Joseph Alois Schumpeter1 1. BEVEZETÉS Az informatika, az információ-technológia mindennapjaink meghatározó részesévé vált. A
„fejlett gazdaságú” társadalmakban a termelés mozgatórugója az információ A teljesítőképesség, a hatékonyság mércéje az információval való gazdálkodás képessége A „technotronikus”2 kor előtt állunk, amelynek nem csak látható jelei vannak, a köznyelvben is általánosan használt kifejezésekkel azonosítjuk úgy, mint fogyasztói társadalom, globalizálódó világ, információs társadalom, e-kormányzás, fenntartható fejlődés stb. A „mindent behálózó informatika”, az informatikai rendszerekben tárolt adat a hatékonyság mellett, eddig nem ismert, megfelelően fel nem becsült kockázatot is jelent. Kockázatot, amely a szándékaink megismeréséből, az adataink ellopásából, megváltoztatásából, a hozzáférés, rendelkezésre állás ellehetetlenítéséből fakadó károkozásból következik. Szinte nincsen olyan nap, amikor ne jelenne meg valamilyen „biztonsági riasztás”, sikeres adatlopásról szóló beszámoló,
ne értesülnénk valamilyen új technológiai újításról, amely „még kifinomultabb”, „még hatékonyabb”, „érzékenységében még aprólékosabb” eszközt biztosít a felhasználóknak és közöttük természetesen az „ártani szándékozóknak” is. Csak néhány szalagcím 2013-ból és 2014-ből: - Heti Világgazdaság (2013. június 11): Assange: a titkos adatgyűjtést leleplező Snowden egy hős (http://hvg.hu/vilag/20130611 Assange a titkos adatgyujtest leleplezo S) - Magyar Nemzet Online (2013. október 31): Beismerte az NSA, hogy lehallgatták Merkelt (http://mno.hu/hirtvarchiv/beismerte-az-nsa-hogy-lehallgattak-merkelt-1192975) - Népszabadság Online (2014. augusztus 21): Öt éve futhat magyar gépeken a mindent látó kémprogram (http://nol.hu/belfold/ot-eve-futhat-magyar-gepeken-a-mindent-lato-kemprogram-1481505) - Index.hu (2014 november 24): Rejtélyes trójai kémkedett fél évtizedeken át (http://index.hu/tech/2014/11/24/rejtelyes
trojai kemkedett fel evtizeden at/) 1 Nobel-díjas osztrák közgazdász (1883. február 8 1950 január 8) az innováció természetének alapjairól szóló munkájában többek között kifejti, hogy a technológiai kutatás-fejlesztéssel termelt új javak rövidtávon monopolhelyzetet teremtenek, amely elméletet jól igazol az információ-technológiai verseny, az eszközalapú rendszerintegrációs törekvések (ld. mobiltelefónia) 2 Alvin Toffler: A harmadik hullám. Typotex Kft – 2001 ISBN: 978-963-9326-21-7 4. oldal Dr. (PhD) Sebestyén Attila - Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere – 2014 december Az emberiség „új korszaki hódításai” nem jöhettek volna létre a számítógépek hiányában. Fontos lépcső volt a fejlődésben az integrált áramkör (1958), majd a mikroprocesszor megjelenése (1971). A fejlődés hihetetlen dinamizmust mutatott, az új
technológiai megoldások soha nem látott gyorsasággal hoztak új és újabb eredményeket. Gordon Moore 1965-ben lejegyzett jóslata lassan ötven éve beigazolódik „Moore-törvénynek nevezzük azt a tapasztalati megfigyelést a technológiai fejlődésben, mely szerint az integrált áramkörök összetettsége – a legalacsonyabb árú ilyen komponenst figyelembe véve – körülbelül 18 hónaponként megduplázódik.”3 A jóslat eredetileg az integrált áramkörökre vonatkozott, de azóta az adattárolásban, a memória kapacitásban is hasonlóan fennmaradó fejlődési tendencia figyelhető meg. A technológiai fejlődés hova tovább elősegítette a „dipólusos világrend” felbomlását Elegendő említeni a COCOM4 lista, vagy a „csillagháborús törekvések” kulcsszavakat A „szocialista tábortól” elzárt csúcstechnológia végül is gazdasági-, és a jólétből következő társadalmi előnyöket jelentett a fejlett nyugati országok számára A
gazdasági versenyt a „keleti-blokk” elveszítette, a társadalmi elégtelenség az 1980-90-es évek fordulójára az addigi világrend felbomlását okozta. Európai Unióhoz történő csatlakozásunkat követően már nem is lehet kérdéses, hogy hazánk az információ-technológia területén is a felzárkózás pályájára lépett. A felzárkózás sok esetben példa értékűen sikerült, így a schengeni határellenőrző rendszer 2007-es kifejlesztése is a legjobb gyakorlat – „best practice” – példájává vált az Európai közösség külső határral rendelkező tagállamai számára. A szakdolgozatom szempontjából a kutatás-fejlesztés gyorsasága mellett, lényegi tulajdonsága az informatikai fejlődésnek az eszközök fejlesztési, előállítási- és működtetési költségeinek csökkentése, amely velejárója volt a méretcsökkentés igénye is. Ez vezetett a napjainkban is zajló miniatürizáláshoz és a funkcionális integráláshoz.
Visszautalva Schumpeter innovációra vonatkozó megállapítására, amely szerint a kutatásfejlesztésből kvázi monopolhelyzet következik, amely rövidtávon, az adott termék, vagy 3 A Moore-törvény szócikk – Wikipédia (http://hu.wikipediaorg/wiki/Moore-t%C3%B6rv%C3%A9ny) 4 ”A COCOM-lista egy, a keleti blokk országait sújtó, multilaterális kereskedelmi embargó volt. A lista az embargót koordináló 1947-ben alapított bizottság, a Coordinating Committee for Multilateral Export Controls első két szavának rövidítéséből kapta nevét. A COCOM-lista egy csúcstechnológiai termékeket tartalmazó feketelista volt, melyeket nem volt szabad az embargó alatt álló országokba (KGST, Kína) exportálni, hogy azok így egyre inkább lemaradjanak a fegyverkezési versenyben. A COCOM-listát ezért a gazdasági hadviselés egyik formájának is lehet tekinteni” Forrás: Wikipedia (http://huwikipediaorg/wiki/COCOM-lista) 5. oldal Dr. (PhD) Sebestyén Attila -
Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere – 2014 december szolgáltatás „lemásolásáig” extraprofitot termel a gyártónak, egyértelműsíthető az a gyártói szándék, hogy termékeiket mindig új és újabb tulajdonságokkal vértezzék fel, ettől várva a piac kedvező fogadtatását. Gondoljunk csak bele az elmúlt évtized „okos telefon” fejlesztéseibe, a telefonálástól idegen szolgáltatások integrálásába, a telefonban elhelyezett fényképezőképek felbontásának dinamikus növekedésére és itt állunk az „okos óra” térhódítása előtt, ami mind a miniatürizálás, mind a szolgáltatás integráció példája lehet. A kutatás-fejlesztés és az ebből következő kvázi piaci monopolhelyzetű megjelenés óhatatlanul magában hordozza annak lehetőségét, hogy a gyártók a terméket korábban bocsássák piacra, mint hogy egy kiérlelt,
minden komponensében kitesztelt, bevizsgált termék állna elő. A kutatás-fejlesztés és a gyártás során az extraprofit szempontjából majdnem olyan fontos követelmény a gyorsaság, az első megjelenés, mint maga a fejlesztési ötlet és annak ipari szintű megvalósítása. Az extraprofit és a befektetett tőke vesztesége erősen függ az ötlet és a piaci megjelenés között idő rövidségétől. Ebből azonban szükségszerűen következik, hogy a termék önmagában hordozhat (és hordoz) alapvető működési rendellenességeket, hibákat, a jövőben kihasználható biztonsági hiányosságokat. Nem véletlen, hogy a korábban „nyílt platformú” telefonalkalmazások, egyre inkább „zárt” rendszerekké válnak, ahol a felhasználói állományok kezelése, elválik az operációs rendszer programozhatóságától a „felhasználói tömegek számára”. Nem ritka ma már az sem, hogy a telefon állományrendszerét kizárólag gyártói speciális
alkalmazásokkal lehet menedzselni (ld: Zune) Természetesen ebből a piaci magatartásból szintén versenyhelyzet képződik, hiszen a „zárt” és a „nyílt” rendszerű megvalósítás a felhasználók „korlátozásával”, „szabadságfokával” jár, amely tulajdonságot a piac az eladások számának változásával értékel. Nem véletlen, hogy a Microsoft Mobile operációs rendszerek v7.x vagy azt követő generációja (zárt rendszerű kialakítás) elvesztette korábban jelentős piaci részesedését Természetesen ugyanez a piaci versenyhez igazodó magatartás az asztali számítógépek, a szerverek operációs rendszereinek és az eszközök versenyében is megfigyelhető. Elegendő lehet csak a Microsoft Windows XP harmadik service pack-jára gondolni, amely igazolja, hogy a termék gyorsabban került piacra, mint hogy annak valamennyi komponense „megérett” volna erre. 6. oldal Dr. (PhD) Sebestyén Attila - Az információbiztonsági felügyelet
aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere – 2014 december Ha elfogadjuk tényként, hogy az informatikai eszközök és szolgáltatások a fejlesztési versenyből következően önmagukban hordozzák a biztonsági kockázatot, akkor fontos az informatikai üzemeltetési és fenntartási tevékenységet tervszerűen, a kockázatokkal arányos módon szervezni olyan módon, hogy a kockázatok csökkenthetőek, az incidensek megelőzhetőek legyenek. (A kockázatok értékelésekor fikciókkal is érdemes számot vetni, amely elsősorban a hírszerzés, az államok közötti kémkedés – ide értve az ipari kémkedést is – tárgykörébe tartozik. Ennek a fikciónak azért vannak valóságon alapuló elemei, gondoljunk csak a Wikileaks, vagy a Finfisher „botrányra”, de említhetnénk a Huawei és az LG-vel kapcsolatos kémkedési vádakat is) Az informatikai rendszerben tárolt adatok minősége (tulajdonsága)
alapján a jogszabályi környezet több féle adattípust különböztet meg (továbbiakban: adattípus). Ilyen adattípusok az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII törvényben (továbbiakban: Infotv) definiált: 3.§ 2 személyes adat: az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés; 3. különleges adat: a) a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, b) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat; 4. bűnügyi
személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat; 7. oldal Dr. (PhD) Sebestyén Attila - Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere – 2014 december 5. közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy
ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat; 6. közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli. Ugyancsak adattípust definiál a minősített adat védelméről szóló 2009. évi CLV törvény (továbbiakban: Mavtv) a 3§ 1 pontjában, minősített adat: a) nemzeti minősített adat: a minősítéssel védhető közérdekek körébe tartozó, a minősítési jelölést az e törvényben, valamint az e törvény felhatalmazása alapján kiadott
jogszabályokban meghatározott formai követelményeknek megfelelően tartalmazó olyan adat, amelyről - a megjelenési formájától függetlenül - a minősítő a minősítési eljárás során megállapította, hogy az érvényességi időn belüli nyilvánosságra hozatala, jogosulatlan megszerzése, módosítása vagy felhasználása, illetéktelen személy részére hozzáférhetővé, valamint az arra jogosult részére hozzáférhetetlenné tétele a minősítéssel védhető közérdekek közül bármelyiket közvetlenül sérti vagy veszélyezteti (a továbbiakban együtt: károsítja), és tartalmára tekintettel annak nyilvánosságát és megismerhetőségét a minősítés keretében korlátozza; b) külföldi minősített adat: az Európai Unió valamennyi intézménye és szerve, továbbá az Európai Unió képviseletében eljáró tagállam, a külföldi részes fél vagy nemzetközi szervezet által készített és törvényben kihirdetett nemzetközi szerződés
vagy megállapodás alapján átadott olyan adat, amelyhez történő hozzáférést az Európai Unió intézményei és szervei, az Európai Unió képviseletében eljáró tagállam, más állam vagy külföldi részes fél, illetve nemzetközi szervezet minősítés keretében korlátozza. Természetesen az állam működésében, az állampolgárokkal, piaci szereplőkkel, ügyfelekkel történő kapcsolattartásban számos egyéb adattípust definiálnak jogszabályok, amelyeket az 8. oldal Dr. (PhD) Sebestyén Attila - Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere – 2014 december Informatikai Tárcaközi Bizottság annak idején (1996.) érzékeny5 adatként definiált Az informatikai rendszer szempontjából fontos még rögzíteni, hogy a rendszer (infrastruktúra) működése önmagában is adatok gyűjtését, értelmezését, feldolgozását, tárolását, továbbítását
jelenti, azaz nemcsak a felhasználó „kiszolgálása”, hanem a rendszer működése is egy adatkezelő rendszer, ideértve az adatbeviteli, kiviteli és tároló perifériák vezérlésétől kezdve, a hálózati csomagok forgalmazásán keresztül, a képernyő jobb felső sarkának képpontjában megjelenő szín kódjáig bezárva. Ezt külön fontosnak tartom hangsúlyozni, amikor általánosságban adatkezelést definiálunk, hogy az informatikai rendszerben az adatkezelés nem értelmezhető a felhasználói adatok körén. (A terminológiai hiányosságokról később lesz szó, így ehelyütt ezt a gondolatmenetet elhagyom) Visszatérve az adattípusokra, jogszabályi definíciójuk nem öncélú, a jogszabályok az adatok körének és tartalmi tulajdonságainak meghatározása mellett eljárásrendeket, védelmi és biztonsági megoldásokat (ide értve a nyilvántartásra való kötelezést, belső normatív működési környezet kialakítását, vagy például a
felügyeleti szerepkör meghatározását) határoz meg. Ebbe a körbe illik az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L törvény (továbbiakban: Ibtv) is, amely preambulumában rögzíti, hogy „A nemzet érdekében kiemelten fontos - napjaink információs társadalmát érő fenyegetések miatt - a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága. Társadalmi elvárás az állam és polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme.” 5 Érzékeny
adat: érzékeny, de nem minősített adatok körébe tartoznak a jogszabályok által védendő adatok (személyes, illetve különleges adatok, az üzleti titkot, a banktitkot képező adatok, az orvosi, az ügyvédi és egyéb szakmai titkok, a posta és a távközlési törvény által védett adatok stb.) és az egyes szervezetek, intézmények illetékesei által, belső szabályozás alapján védendő adatok (ITB 12 sz 51 pont) 9. oldal Dr. (PhD) Sebestyén Attila - Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere – 2014 december A biztonság megteremtésének egyik lépéseként szintén megalkotja a felügyeleti tevékenységet, többek között a hatósági felügyeleti rendszert, illetve az állami és önkormányzati szervek esetében elrendeli az elektronikus információs rendszer biztonságáért felelős személy (továbbiakban: kiberbiztos) kijelölését vagy
megbízását (11.§ (1) c) pont) Az adattípushoz tartozó „felelős személyt” (felügyeleti szerepkört) az Infotv. 24§ (1) „ belső adatvédelmi felelőst kell kinevezni, vagy megbízni.”, és a Mavtv is 23§ (2) „ a minősített adatot kezelő szerv vezetője által kinevezett biztonsági vezető ” kijelölni rendeli A biztonsági vezető felügyelete mellett a minősített adat elektronikus biztonságának, valamint a rejtjeltevékenység engedélyezésének és hatósági felügyeletének részletes szabályairól szóló 161/2010. (V6) Korm rendelet (továbbiakban: Elektronikus r) 11§ (1) alapján „Rejtjeltevékenységet folytató szerv vezetője rejtjelfelügyelőt jelöl ki vagy ” újabb az információbiztonsággal kapcsolatos felügyeleti szerepkört definiál a jogszabály abban az esetben, ha a minősített adat elektronikus úton is feldolgozásra kerül Szintén ebben a jogszabályban kerül definiálásra a „rejtjelző”, „rendszerbiztonsági
felügyelő” és a „rendszeradminisztrátor” szerepkör is, amelyek később a „Definíciók” pontban bemutatásra kerülnek. A szakdolgozatom témája, az egyes információbiztonsági felügyeleti tevékenységben megjelenő szereplők viszonya; feladataik, tevékenységük egymásra utaltsága; az elektronikus információs rendszerben (továbbiakban: informatikai rendszer) komplex módon együtt megjelenő adatok és az azokhoz való differenciált hozzáférést biztosító eljárások, módszerek viszonyrendszere. A vizsgálatot abból az alaphelyzetből kiindulva tervezem bemutatni, hogy álláspontom szerint, az egyes felügyeleti szerepköröket definiáló jogszabályok „szigetszerű” működést írnak le az egyes adattípusokra vonatkozó „elszigetelt” rendszerszemlélet alapján. Teszem ezt azért, mert meggyőződésem szerint az informatikai rendszerben sohasem fordul elő szeparált módon az egyes adattípusnak önállóan megfelelő informatikai
alrendszer, rendszerelem, azaz mindig jelen van több adattípus, így szükséges a rendszer felügyeletének összehangolása is. Dolgozatom célja így, áttekintést adni az informatikai rendszerről, mint egy komplex egészről. Bemutatását tervezem egy entitásnak (az informatikai rendszernek), így a működési környezetnek, amelyben a megjelent adatok és az adatok kezelésével, az adatok kezelésének fel10 oldal Dr. (PhD) Sebestyén Attila - Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere – 2014 december ügyeletével, az informatikai működés biztosításával kapcsolatos kérdések – véleményem szerint – nem vizsgálhatóak érdemben önállóan. Szükséges az informatikai rendszert a legfelsőbb szintű komplexitásában is áttekinteni, mert az organikus egész alrendszerei, vagy elemei, amelyek „elszigetelt”, ha tetszik „ideál tipikusan szeparált”
részei, nem képesek összességükben az egészet kiadni. A „gondolatkísérlet” eredményeként szervezeti javaslatot teszek az információbiztonsági szervezet megalkotására a büntetés-végrehajtási szervezet számára, amely adoptálható a feladatrendszerből következően a rendészeti szervek részére. Tervezem felvetni, mindazokat a döntési pontokat (pl.: volumen elv, szervezeti és feladat tagoltság, hatáskör és felelősségi párhuzam stb),a melyek lehetővé tehetik más szervezetek számára, hogy saját információbiztonsági szervük létrehozásakor egyszerű kérdések mentén, megfelelő apparátust alakíthassanak ki. Nem titkolt szándékom, olyan témák felvetése, amely a szakmai közösség számára vitaalapot teremt annak érdekében, hogy az informatikai rendszerben felügyeleti szerepkörrel rendelkező, jogszabály által kötelezően megjelenő személyek (szerepkörök) összehangolt módon, a feladatrendszerhez optimalizált
erőforrással legyenek képesek biztosítani az informatikai rendszer kockázatokkal arányos védelmi megoldásokkal kialakított működését. 11. oldal Dr. (PhD) Sebestyén Attila - Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere – 2014 december „Nem kérem, hogy az újjal tagadd meg a régit – mondta egy szerzetes -, de hogyan fogadod el az újat, ha nem veted el a régit?” Baracskai Zoltán – Velencei Jolán6 2. ALAPVETÉSEK A szakdolgozat keretein belül szükségesnek tartom definiálni azokat a kifejezéseket, amelyek alapját képezik jelen gondolatkísérlet ok-okozati rendszerének. Fontosnak tartom ezt azért, mert véleményem szerint a hazai informatikai terminológia hiányos, sok esetben „pongyola”, esetenként hibás szakszavak jellemzik. 2.1 Terminológia A terminológiai hiányosság több tőről fakad, egyik legjelentősebb ilyen ok talán az angol
szakmai nyelvben meglévő jelentésbeli különbözőségek (például: „A biztonság és védelem fogalmak a nemzetközi szakirodalomban leggyakrabban használt nyelv, az angol esetében több kifejezés formájában is előfordulnak. Ezek közé tartozik: a security (biztonság, valaminek a biztos jellege), a safety (biztonság, veszélytelenség), a protection (védelem, megvédelmezés), a defence (védelem, védekezés) és a jelen előadás témaköréhez kapcsolódóan legújabban az assurance (biztosítás, biztossá tétel).”) 7 Ilyen ok lehet továbbá a fordítás során alkalmazott stílusbeli különbségek megjelenése, szóhasználati egyediségek, különböző szinonimák, vagy a nyelvi környezetből következő eltérő fordítási megoldások, hiszen nincsen kialakult fordítási megfeleltetés. Legalább ilyen, a terminológia kialakulását nehezítő hiányosságnak tartom, a jogszabályi környezetben fellelhető ellentmondások, hibás meghatározások
jelenlétét, ami arra utal, hogy a jogszabályalkotó nem rendelkezik megfelelő informatikai ismerettel (és a törvényjavaslat szakértői szintű felülvizsgálatát sem végzi el), nem helyezi bele egy meglévő jogszabályi környezetbe, terminológiai rendszerbe. Ennek egyik eklatáns példája az „adatvédelem”, mint kifejezés, amely szótani értékelése esetén jelenti az adat védelmét, függetlenül annak előfordulásától, tartalmától, ha tetszik adattípusától. 6 Baracskai Zoltán – Velencei Jolán: Követő nélkül nincs vezető. Mirror, Budapest – 2004 ISBN: 963 212 979 2 (5 oldal) 7 Munk Sándor: Információbiztonság vs. informatikai biztonság Robothadviselés 7 - 2007 ISSN 1788-1919 12. oldal Dr. (PhD) Sebestyén Attila - Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere – 2014 december Az adatvédelem, mint kifejezés („belső adatvédelmi
felelős”) meghatározóan van jelen az Infotv-ben, amely preambuluma szerint adatvédelem „ az információs önrendelkezési jog és az információszabadság biztosítása érdekében, a személyes adatok védelmét, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez való jog érvényesülését szolgáló alapvető szabályok”. Felvetődik a kérdés, hogy a személyes adatok (ideértve a bűnügyi személyes adatokat és a különleges adatokat is), valamint a közérdekű adatokat (és ezek közül a közérdekből nyilvános adatokat is), léteznek-e egyéb adatok? A válasz, ha csak az informatikai rendszerben kezelt adatok körét vizsgáljuk egyértelműen igen a monitor bal felső sarkának színkódja értelmében. Újabb kérdésként vetődik így fel, hogy a „belső adatvédelmi felelős” felelősségi köre túlmutat-e a jogszabályban feladatköréül meghatározott kereteken, illetve hogy a nem személyes
és közérdekű adatokon kívül lehet-e védendő adat az informatikai rendszerben? Szakdolgozatomnak nem célja vizsgálni, felderíteni a szélesebb körű adatkezelés problémakörét, ahogyan terminológiai lexikont sem készít, de felvetem ennek szükségszerűségét, egy ilyen mű megalkotását. Vélelmezem, hogy az adatvédelem kifejezés „foglaltsága” is közrejátszott az információvédelem, információbiztonság kifejezésnek az „adatok” megvédésére irányuló megnevezésében, amelyet hovatovább a köznyelv és a szaknyelv eltérő szóhasználata is tovább nehezít, gondoljunk csak a „titok” és a „minősített adat”, vagy a „titkosítás”, „rejtjelzett védelem” gondolatkörre. Informatikai tárgyú képzéseim során az adat és az információ viszonyát mindhárom értelmezési körben tanultam, használtam. Az 1990’-es években a közkeletű nézet szerint információként értelmeztünk minden hírt, értesülést, új
ismeretet, amellyel korábbi „nem tudásunk”, bizonytalanságunk megszűnik, függetlenül annak megjelenési formájától (jel, jelkészlet, kód stb.) Az értelmezett információt, vagy tényt, neveztük adatnak A számítógépek térhódításával jelentésmódosulás figyelhető meg. A „tágabb” halmaz az adat, hiszen mindenhez adatbázisokat használunk, a hálózaton adatokat továbbítunk, és az ebben a „kaotikus” állapotban megjelenő új ismeret, tudás, tény (ha tetszik felhasznált adat) az információ. 13. oldal Dr. (PhD) Sebestyén Attila - Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere – 2014 december Mikor a jelentésmódosulás végbement, volt bennem némi bizonytalanság. Emlékszem mikor a szaktanáromtól megkérdeztem, hogy „- Melyik kategória a nagyobb az adat, vagy az információ?” – azt mondta: „- Szerinte nincsen faj és nem béli
viszony a kettő között.” Jelenleg az elfogadott nézet szerint az adat az elemi ismeret, tények, fogalmak olyan megjelenési formája, amely alkalmas emberi eszközökkel történő értelmezésre, feldolgozásra, továbbításra. Az adatokból gondolkodás vagy gépi feldolgozás útján információkat, azaz új ismereteket nyerünk. Ennek megfelelően az információ olyan új ismeret, amely megszerzője számára szükséges, és korábbi tudása alapján értelmezhető Az információ olyan tény, amelynek megismerésekor olyan tudásra teszünk szert, ami addig nem volt a birtokunkban Az Ibtv. az adatot az alábbiak szerint értelmezi (1§ (1)): „adat: az információ hordozója, a tények, fogalmak vagy utasítások formalizált ábrázolása, amely az emberek vagy automatikus eszközök számára közlésre, megjelenítésre vagy feldolgozásra alkalmas;” Ugyanit az 1.§ (1) 25 pontjában definiálásra kerül az információ is: „információ: bizonyos tényekről,
tárgyakról vagy jelenségekről hozzáférhető formában megadott megfigyelés, tapasztalat vagy ismeret, amely valakinek a tudását, ismeretkészletét, annak rendezettségét megváltoztatja, átalakítja, alapvetően befolyásolja, bizonytalanságát csökkenti vagy megszünteti;” A jogszabály az adat definíciójával, amely szerint az „adat az információ hordozója”, arra utal(hat), hogy az informatikai rendszerben a tárolt adatokban jelenik meg az információ. 1. számú ábra: adat 14. oldal Dr. (PhD) Sebestyén Attila - Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere – 2014 december Magam is osztom ezt a nézetet még akkor is, ha az „adatvédelem” és az „információvédelem” kifejezések értelmében az informatikai rendszerben kezelt adatok körét így egyik kifejezés sem érinti teljes körűen (és annak ellenére is, hogy az „adat” és
„információ” a jogszabályban definiált értelemben még az Ibtv. sem kerül következetes használatra) Szintén többféle módon értelmezzük magát az informatikát is, gondoljunk csak az „infokommunikáció”, vagy „hír és informatikai” kifejezésekre. Ezek értelmében az informatika valószínű a számítástechnikát helyettesíti, ahogyan a „hír”, vagy „kommunikáció” kifejezés a hírközlés, vagy inkább a távközlést jelenti. Álláspontom szerint ezek a kifejezések a legkevésbé indokolhatóak, hiszen az informatika, mint tudomány megfogalmazásában közmegegyezés van Az informatika „az interdiszciplináris tudomány területet, amely az információ tudatos szerzésével, átalakításával, feldolgozásával, továbbításával, felhasználásával, valamint az ezekhez szükséges eszközökkel és módszerekkel foglalkozik”8 azonosítja a híradó (mai értelemben távközlési) szakterületi feladatokat is. Így az informatika
értelmezése, mint a számítástechnikát jelölő terminológiai kifejezés hibás, gátolja a terminológia megfelelő használatát, így a párbeszédet A hírközlés, vagy távközlés közel 100 éves múltra tekint vissza, mikor a számítástechnikai a mindennapok részévé válik. A „computer technology” és az „information technology” jellemzően azonos gondolatkörben és időben válik a szóhasználat részévé A korábban már tradíciókat kialakító, hagyományosan a telefon, a rádió és az átviteltechnikai megoldásokat alkalmazó távközlés számára, újdonságként hat a processzor alapú világ, határozott és következetes elhatárolódás figyelhető meg az új szakterülettől. Valószínűsítem, ennek köszönhető a mai napig tartó hibás „informatika” definiálás a köznyelvben. A számítástechnika fejlődésével és a két szakterület konvergálásával erősödik a megkülönböztetési igény. A híradó szakterület
megkülönböztetési vágyában gyökerező terminológiai tévedés a mai napig ható faj-nem jellegű problémát jelent. Ezek a példák elegendőek, hogy bemutassák a terminológiai hiányosságokat, a jogszabályokban használt eltérő definíciók pedig felhívják a figyelmet arra, hogy szükséges a teljes informatikai környezet következetes terminológia megfeleltetése, az összhang megteremtése érdekében. 8 Szücs László – Informatikai tankönyv – Agárd, 2000. augusztus (magánkiadás) 15. oldal Dr. (PhD) Sebestyén Attila - Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere – 2014 december 2.2 Definíciók Szakdolgozatomban az informatikát, mint az adatok keletkezésével, gyűjtésével, feldolgozásával, tárolásával, hasznosításával, továbbításával foglalkozó tudományt értelmezem. Ennek megfelelően „Az információrendszert az információ
megszerzésével, rögzítésével, generálásával, létrehozásával, tárolásával, kikeresésével, feldolgozásával, átalakításával, csoportosításával, továbbításával, vételével, megjelenítésével, megsemmisítésével foglalkozó rendszer” 9 – ként alkalmazom. Az informatika és az információrendszer fogalmi körének megfelelően informatikai rendszert értelmezek az elektronikus információs rendszer kifejezésen (ahogyan ezt az összeegyeztetést a 10. oldalon már elvégeztem) Felhasználón, az informatikai szolgáltatást igénybe vevőt értem (amely nem azonos a Mavtv. 3.§ 5 pontjában rögzített meghatározással) Az adatok kezeléséért felelős (adatkezelő), aki számára a jogszabály (ide értve a belső normában rendezett, átadott hatáskört is) adatkezelést határoz meg, és köteles az adatok kezelésére vonatkozó szervezési, szervezeti intézkedéseket megtenni, az adatok kezelésére vonatkozó módszereket, hatásköröket
stb. meghatározni, egyedi döntéseket meghozni (pl: személyre, szerepkörre szabott hozzáférések). Ez az értelmezés részben – a döntési kompetencia vonatkozásában – megfelel az Infotv 3§ 9 pontjában rögzített meghatározásnak (adatkezelő: „ aki az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja.”) A büntetés-végrehajtási szervezet Informatikai Biztonsági Szabályzata10 az adatkezelő szinonimájaként, ténylegesen a szakrendszerekre vonatkozóan kiterjesztően, bevezeti a rendszerirányító szerepkört. Rendszerirányító: „Az a személy, aki jogszabály, az államigazgatás egyéb jogi eszközei, vagy belső normatív szabályozás szerint meghatározott felelősségi körében kötelezett a számára meghatározott, feladat és hatáskörébe utalt adatkezelések dokumentációjának elkészítésére,
jogosultsági rendszerének kialakítására és irányítására, rendeltetésszerű működtetésére. 9 Dr. Detrekői Ákos – Szabó György: Bevezetés a térinformatikába, Nemzeti Tankönyvkiadó – Budapest 1995 ISBN 963 18 6419 7 244o 10 A büntetés-végrehajtási szervezet informatikai biztonsági szabályainak kiadásáról szóló 1-1/13/2011. OP intézkedés (http://www.bvophu/hopi/fullhtml) 16. oldal Dr. (PhD) Sebestyén Attila - Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere – 2014 december Felelős az irányított információs rendszer tekintetében, a biztonsági fokozatnak megfelelő védelmi és biztonsági szabályok gyakorlati érvényesüléséért. A rendszerirányító szerepkör összeférhetetlen a rendszergazda szervezet és biztonsági vezető szerepkörrel” (BvIBSZ. 18 pont). A rendszerüzemeltető szervezeti egység (vezetője), aki az adatkezelő
döntése szerint, rendszertechnológiai szinten végrehajtja (érvényesíti) a döntést (pl.: hozzáférések beállítása) A rendszerüzemeltető minimálisan két irányban tagolhat úgy, mint infrastruktúraüzemeltető és szakrendszer (alrendszer) üzemeltető. Ennek megfelelően elkülöníthető az infrastruktúra rendszergazdaság, és az alkalmazás rendszergazdaság szerepkör. A büntetés-végrehajtási szervezet Informatikai Biztonsági Szabályzata a rendszerüzemeltető szinonimájaként, ténylegesen az informatikai infrastruktúraüzemeltetésre vonatkozóan, bevezeti a rendszergazda szervezet szerepkört. Rendszergazda szervezet: „Az informatikai rendszer rendelkezésre állásáért és működő képességéért felelős szervezet. A rendszergazda szervezet szerepkör összeférhetetlen a rendszerirányító és a biztonsági vezető szerepkörrel” (BvIBSZ 18 pont) Felügyelő (mérettől függően felügyelet), aki a jogszabályban meghatározott
feladatkörében eljárva, az adattípustól (pl.: személyes adat, minősített adat, elektronikus minősített adat stb) függő módon ellenőrzi az adatkezelő és a rendszerüzemeltető tevékenységét. Közreműködik a normatív környezet kialakításában és végzi a szabályoknak megfelelő működés szakirányítói, szakfelügyeleti tevékenységét. Releváns felügyeleti szerepkörök: 1. belső adatvédelmi felelős: „Az adatkezelő, illetve az adatfeldolgozó szervezetén belül, közvetlenül a szerv vezetőjének felügyelete alá tartozó - jogi, közigazgatási, informatikai vagy ezeknek megfelelő, felsőfokú végzettséggel rendelkező - belső adatvédelmi felelőst kell kinevezni vagy megbízni ” (Infotv. 24 § (1) bekezdés) 2. biztonsági vezető: „A minősített adatot kezelő szervnél a minősített adat védelmével kapcsolatos feladatok végrehajtását és koordinálását a minősített adatot kezelő szerv vezetője által kinevezett
biztonsági vezető végzi.” (Mavtv 23 § (2) bekezdés) 17. oldal Dr. (PhD) Sebestyén Attila - Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere – 2014 december 3. Elektronikus információs rendszer biztonságáért felelős személy: „A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről a következők szerint: az elektronikus információs rendszer biztonsági osztálya és a szervezet biztonsági szintje alapján előírt követelményeknek megfelelően az elektronikus információs rendszer biztonságáért felelős személyt nevez ki vagy bíz meg, aki azonos lehet a minősített adat védelméről szóló 2009. évi CLV törvény szerinti biztonsági vezetővel” (Ibtv 11§ (1) c) pontja) 4. Rejtjelfelügyelő: „a biztonsági vezető felügyelete mellett a rejtjeltevékenység alkalmazási területén a rejtjeltevékenység
személyi, fizikai, adminisztratív, valamint a rejtjelbiztonsági követelményeinek érvényesüléséért felelős személy” (Elektronikus r. 1§ 10 pont) 5. rendszerbiztonsági felügyelő: ”a rendszer alkalmazási területén a rendszer személyi, fizikai, adminisztratív, valamint rendszerbiztonsági feltételeinek érvényesüléséért felelős személy” (Elektronikus r 1§ 17 pont) Érdemes még megemlíteni az informatikai rendszer, alrendszerei működésében megjelenő üzemeltetői és fenntartási tevékenységet ellátó szerepköröket úgy, mint: 1. rejtjelző: „a rejtjelfelügyelő irányítása mellett a rejtjeltevékenység végrehajtásáért felelős személy”(Elektronikus r. 1§ 15 pont) 2. rendszeradminisztrátor: „a rendszerbiztonsági felügyelő irányítása mellett a rendszer üzemeltetéséért, karbantartásáért felelős személy” (Elektronikus r. 1§ 16 pont) 3. Infrastruktúra rendszergazda: „az informatikai rendszerek működésében
privilegizált jogosultsággal rendelkező személy (admin, root, supervisor, rendszergazda stb), akit a rendszerelem, vagy alrendszer beállításával, felügyeletével, működtetésével megbíztak Feladatának ellátása során személyes adatkezelést nem végez” (BvIBSZ 18 pont) 4. Alkalmazás rendszergazda: „az a személy, aki az adatfeldolgozás érdekében működtetett számítógépeket és/vagy a számítógéprendszereket, valamint kommunikációs hálózatot és eszközöket használatra alkalmas állapotban tartja, és a működésükért felelős. Minden tevékenységet a rendszerirányító megbízása alapján végez” (BvIBSZ 18 pont) 18. oldal Dr. (PhD) Sebestyén Attila - Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere – 2014 december 2.3 Axiómák Áttanulmányozva az alapvető információbiztonsági jogszabályokat, valamint végrehajtási rendeleteiket az
adat-, információvédelemmel kapcsolatos járulékos jogszabályokat, álláspontom szerint egyértelmű a jogszabályalkotó azon törekvése, hogy a közigazgatási szervek adatkezelését az adat tartalmától, minőségétől és megjelenési formájától függő módon, az adat minőségéhez – azaz az adattípushoz – rendelt védelmi megoldások érvényesítésével biztosítsa, a feldolgozás teljes szakaszában, az adatok komplex, kockázatokkal és kárértékkel arányos védelme mellett. A jogszabályok közös jellemzője, hogy az adattípus meghatározásával taxatíve rögzíti az adatkezelők, a felügyeleti tevékenységet ellátók (belső adatvédelmi felelős, biztonsági vezető, vagy például a kiberbiztos) feladatait. Az adatkezelő és a felügyeletet ellátók mellett megjelenik a rendszerüzemeltető, amely a papír alapú adatkezelés esetében jellemzően az ügyiratkezelésért felelős vezető, míg az elektronikus rendszerek esetében jellemzően
az informatikai rendszer üzemeltetéséért felelős vezető. (A Bv.IBSZ a szerepkörök fenti működtetési logikának megfelelően választja szét az adatkezelői, felügyeleti és üzemeltetői szerepköröket, rögzíti az összeférhetetlenségi szabályokat.) A BvIBSZ a jogszabályi következetlenség okán vezetett be új szerepköröket, a rendszerirányítót, a rendszergazda szervezetet, illetve a jogszabálynak megfelelően rögzíti a felügyeleti szerepkörök esetében a biztonsági vezetőt és az adatvédelmi felelőst is. (A kiberbiztos szerepkör illesztése a BvIBSZ-hez jelenleg zajlik) Az érintett jogszabályok nem határoznak meg összeférhetetlenségi szabályokat a belső adatvédelmi felelős, a biztonsági vezető és a kiberbiztos között, sőt a biztonsági vezető és a kiberbiztos azonos személlyel történő ellátása is megengedett. Közvetett módon összeférhetetlen a jogszabály szerint a biztonsági vezető és a rejtjelfelügyelő szerepkör
azért, mert a jogszabály úgy fogalmaz, hogy a rejtjelfelügyelő „ a biztonsági vezető felügyelete mellett” végzi feladatát. 19. oldal Dr. (PhD) Sebestyén Attila - Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere – 2014 december 2.4 Összeférhetetlenség A jogszabály kizárólag a belső adatvédelmi felelős esetében rögzíti (24.§ (1)), hogy „ közvetlenül a szerv vezetőjének felügyelete alá tartozó felelőst kell kinevezni”, de a biztonsági vezető, illetve a kiberbiztos esetében ez kizárólag a szerv vezetőjének átruházott hatásköréből következtethető. Álláspontom szerint fentiek alapján alapvetően célszerűségi okok állíthatóak az információ védelmi tevékenység szerepköri összeférhetetlensége és alárendeltsége indokolására. Az információbiztonság szempontjából ki kell alakítani a „fékek és ellensúlyok”
rendszerét, amely egyik fontos pillére a szerepkörök és az összeférhetetlenségének szabályozása. Célszerűség okán el kell különíteni az adatkezelői, az üzemeltetői és a felügyeleti szerepköröket, és a jogszabályi normatíva hiányában a belső szabályozásban célszerű rögzíteni e három szerepkör összeférhetetlenségét annak érdekében, hogy a feladatok és felelősségek (kompetencia) Adatkezelő (szakma) összeférhetetlen megfelelően elkülöníthetőek legyenek. Információbiztonság (felügyelet) Üzemeltető (informatika, ügykezelés) 2. sz ábra: információbiztonsági szerepkörök A jogszabályok (Infotv., Mavtv, és a Ibtv is) közös ismérve, hogy az adatot kezelő szerv vezetőjének felelősségét rögzítik, aki feladatkörében eljárva alakítja ki az adat védelmével kapcsolatos feltételeket, illetve nevezi ki az adat tulajdonsága szerint nevesített felelőst, a fel20. oldal Dr. (PhD) Sebestyén Attila - Az
információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere – 2014 december ügyeletet ellátó személyeket. Ezen túlmenően gondoskodni köteles, hogy a szerv(ezet) számára belső normában meghatározásra kerüljenek a védelem tárgyai, módszerei, a védelemben résztvevők feladatai, felelősségük. Ezek a normák az adatvédelmi-, a minősített adatok védelméről szóló- és az informatikai biztonsági szabályzatban kerülnek meghatározásra A szerv vezetője, a felügyeleti szerepkörnek megfelelő végzettséggel, szakértelemmel és gyakorlattal rendelkező személyeket nevez ki a védelmi tevékenység megszervezésére és ellátására (belső adatvédelmi felelős, biztonsági vezető, kiberbiztos, rejtjelfelügyelő, rendszerbiztonsági felügyelő – továbbiakban együtt: felügyeletet ellátók), illetve a szervezeti törvényből, az alap- és szaktevékenységeket
meghatározó egyéb jogszabályokból következően a szervezeti és működési szabályzatban meghatározza az adatkezelők és az üzemeltetők feladatait, hatáskörét. Végső soron az adatkezelés szempontjából zárt és komplex rendszert alakít ki, a szerepkörök egyensúlyi helyzetének kialakításával. A felügyeletet ellátók jogszabályi feladatai az adattípustól eltekintve közel azonosak, amelyek a szakértelmüknek megfelelő döntés előkészítést, jogszerű működést, a rendelkezések betartottságának ellenőrzését, a jogosulatlan hozzáférés, felhasználás megelőzését, megakadályozását, megtörténte esetén kivizsgálását, a szabályzat kidolgozását, az érintettek oktatást és a kapcsolódó nyilvántartások, adatszolgáltatások teljesítését, ellenőrzést, a felsőbb szervek, hatóságokkal való együttműködést jelentik. A jogszabályi környezet a felügyeletet ellátók tevékenységét „szigetszerű” működéssel
írja le, azaz nem értékeli, nem ad konkrét értelmezést azokra az átfedésekre, amelyek az adatok minősége szerint előfordulnak (például minősítés alatt álló személyes adatok). Ebből következik, hogy a jogszabály által az adott szerepkörre egyedileg meghatározott feladat és hatáskört, a jogszabályalkotó vélelmezett szándékára, a jogszabályokban az adatok biztonságával kapcsolatosan megfogalmazott követelményekre figyelemmel lehet értékelni 21. oldal Dr. (PhD) Sebestyén Attila - Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere – 2014 december 3. IRÁNYÍTÁS A büntetés-végrehajtási szervezet, országos hatáskörű, kétszintű irányítással működő fegyveres, rendvédelmi szervezet, melynek alapfeladatát a büntetés-végrehajtási szervezetről szóló 1995. évi CVII törvény határozza meg (1§ (1)): „A büntetés-végrehajtási
szervezet (a továbbiakban: bv. szervezet) a külön törvényben meghatározott szabadság-elvonással járó büntetéseket, intézkedéseket, büntetőeljárási kény-szerintézkedéseket, a szabálysértési elzárást, a szabadságvesztésből szabadultak utógondozásával, az utógondozás keretében végzett börtönpártfogolási tevékenységgel és a feltételes szabadságra bocsátással összefüggésben elrendelt pártfogó felügyelői vélemény elkészítésével, valamint a feltételes szabadság tartamára törvény alapján fennálló vagy elrendelt pártfogó felügyelettel kapcsolatos pártfogó felügyelői feladatokat végrehajtó állami, fegyveres rendvédelmi szerv.” A bv. szervezetet a Belügyminiszter irányítja és az országos parancsnok vezeti A Büntetésvégrehajtás Országos Parancsnoksága (továbbiakban: BVOP), mint középirányító szerv, szakirányítói és szakfelügyeleti tevékenységet lát el az irányítása alatt működő 28 db
büntetésvégrehajtási intézet, 5 db egészségügyi és oktatási intézmény, valamint 11 db gazdasági társaság felett Az informatikai rendszer vonatkozásában a kormányzati célú hálózatokról szóló 346/2010. (XII.28) Korm rendeletnek megfelelően a Nemzeti Távközlési Gerinchálózat alkotja az országos táv-adatátviteli rendszert az intézetek és az intézmények esetében A gazdasági társaságok önálló – nem költségvetési, hanem gazdasági társaságokra jellemző – informatikai rendszereket üzemeltetnek, önálló Internet összeköttetéssel rendelkező helyi hálózataikban. A büntetés-végrehajtási szervezet (intézetei és intézményei) az alap- és szaktevékenységet, az informatikai és ügykezelési rendszerek működtetését elosztott rendszerként valósítja meg, amelyben a BVOP kettős feladatkörben jelenik meg. Egyrészt, mint középirányító szerv – szakirányító, másrészt, mint szervezet – önmaga végrehajtó
feladatait is ellátja. Jelenleg az adatkezelői és az üzemeltetői feladatok is megjelennek az intézetek és intézmények működésében – illeszkedve az intézet/intézmény jogi státuszához (pl.: munkáltató, költségvetési szerv, fogvatartotti panasz, kérelem elbírálása stb.) 22. oldal Dr. (PhD) Sebestyén Attila - Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere – 2014 december 3.1 Analógiák A felügyeleti szerepkörök közül az adatkezeléshez rendelt módon meg kell jelennie az adatvédelmi-, illetve a biztonsági vezetői szerepkörnek is, hiszen az intézet/intézmény vezetője munkáltató, az általa irányított szervezet önálló adatkezelést végez, minősíthet. A felügyeleti tevékenységek közül a kiberbiztos analóg módon szintén megjelenhetne az intézeti/intézményi körben, de a büntetés-végrehajtási szervezet zárt célú
hálózatának architektúrájából fakadó korlátai miatt (fa struktúra a BVOP központi kijáratával az Internet irányába), valamint a bv.hu tartományi rendszer központosított menedzsment szolgáltatásaira tekintettel a felügyelet megvalósítható úgy is, hogy az intézetek/intézmények szintjén a szerepkör ne jelenjen meg. Ez utóbbi működési logikának felel meg bv. szervezet rejtjelrendszerének a felépítése is A központi irányítás szintjén jelenik meg a rejtjelfelügyelő és rendszerbiztonsági felügyelő, akik irányítják az országos parancsnokság és az érintett intézetek rejtjelzett hálózatának üzemeltetését végző rejtjelzőket, illetve a rejtjelzett védelemmel ellátott elektronikus (számítógépes) rendszert üzemeltetőket, azaz a rendszeradminisztrátorokat. A felügyeleti tevékenység ilyen kialakításnak köszönhetően nem intézetenként 1-1 fő kiberbiztos, 1-1 fő rejtjelfelelős, 1-1 fő rendszerbiztonsági felügyelő
került kijelölésre, hanem országosan 1 fő kiberbiztos, 1 fő rejtjelfelügyelő, illetve 1 fő rendszerbiztonsági felügyelő. Az intézet/intézmény vezetőinek, mint adatkezelőknek, minősítőknek közvetlen alárendeltségében működnek a belső adatvédelmi felelősök és a biztonsági vezetők, akiknek a kinevezése egységes elvek alapján történik. A BVOP belső adatvédelmi felelőse és biztonsági vezetője, azon túlmenően, hogy a BVOP, mint szervezet egység felügyeleti tevékenységét ellátják, mint szakirányítók is végzik az intézetek/intézmények hasonló szerepköreit ellátók szakfelügyeletét is. Az egységesség kialakítását a konkrét beosztások meghatározásával érjük el (pl.: adatvédelmi felelős mindenhol csatolt munkakörben az ügykezelésért felelős vezető, biztonsági vezető pedig szintén csatolt munkakörben a jogtanácsos), de ilyen szabály az összeférhetetlenségi és célszerűtlenségi elvek meghatározása is
(szerepkörök összeférhetetlensége, beosztások kizárása, vagy szakmai ismeretek, végzettség hiánya). 23. oldal Dr. (PhD) Sebestyén Attila - Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere – 2014 december 3.2 Jogszabályi elégtelenség A felügyeleti szerepkörök feladat és hatáskörét rögzítő jogszabályok közül kizárólag a belső adatvédelmi felelős esetében jelenik meg a szerv vezetőjének való közvetlen alárendeltség (Infotv. 24§(1)), a biztonsági vezető és a kiberbiztos esetében ez az átruházott hatáskörből közvetett módon származtatható A kiberbiztos megjelenéséig mind az adatvédelmi felelős, mind a biztonsági vezető a Titkársági és Jogi Főosztály vezetőjének alárendeltségében látta el feladatát, amely az információvédelem feladataiban, a kockázatok csökkentésének módszereiben alkalmanként disszonanciát
okozott (például az adatvédelmi szabályzat nem koherens az informatikai biztonsági szabályzattal). A kiberbiztos szerepkör megjelenése tovább nehezíti az eddig sem egyértelmű kompetencia határok kijelölését. Gondolom ezt azért, mert az elektronikus információs rendszer biztonságáért felelős személy az elektronikus rendszerben kezelt adat tartalmi, minőségi tulajdonságától függetlenül felel a bizalmasság, hitelesség és rendelkezésre állás követelményeiért akkor is, ha az személyes adat, akkor is, ha az minősített adat. Álláspontom szerint az elektronikus rendszer bizalmassága, hitelessége, rendelkezésre állása szempontjából értékelhető felelőssége esetében nem lehet figyelmen kívül hagyni az informatikai üzemeltető felelősségét, mint ahogy a logikai, fizikai és adminisztratív védelmi megoldások sem nélkülözhetik az ügykezelésért, vagy például a biztonsági vezető feladat és felelősségi körét. Ahhoz, hogy
értékelni lehessen a felügyeletet ellátók jogszabályban rögzített – vagy éppen hiányzó – működési elveit, nyolc alapvető kérdésre érdemes választ keresni a jogszabályban: 1. Jogszabály előírja-e a felügyeleti szerepkör létrehozását? 2. A működési feltételek kialakításáért a szerv vezetője felelős-e? 3. A felügyeleti szerepkört ellátó közvetlenül a szerv vezetőjének van-e alárendelve? 4. A felügyeleti szerepkört ellátó esetében vannak-e a képzettségre, végzettségre, tapasztalatra vonatkozó követelmények? 5. A jogszabály meghatároz-e összeférhetetlenségi elveket? 6. A jogszabály rögzíti-e a felügyeleti szerepkört ellátó feladatait? 7. A szerepkört ellátó személy vezető-e? 8. A szerepkört ellátót – ha nem vezető – megilleti-e hatáskörében az azonnali intézkedési jogosultság, vagy a kiadmányozási jog? 24. oldal 3. sz ábra: felügyeleti szerepkörök Az összesítésből látható, hogy
a felügyeletet ellátók, a feladatuk és hatáskörük ellátásához nem rendelkeznek megfelelő hatáskörrel (kiadmányozási jogosultság), nincsen érdemi eszközük az azonnali intézkedést igénylő feladataik ellátásához (hierarchia szintjén nem közvetlen az irányítás a szerv vezetője által – bürokratikus akadály). Megállapítható az is, hogy a szervezeti működést alapvetően befolyásoló eszközök (kiadmányozás, azonnali intézkedési jogosultság, közvetlen irányítás és jelentés stb.), valamint az összeférhetetlenségi szabályok nagy többségében nem jelennek meg a jogszabályban, így a jogszabályban feladatként meghatározottak végrehajtása, a végrehajtás megkövetelése esetleges, a „bürokrácia útvesztőin” és a szervezet informatikai kultúráján (információbiztonsági tudatosságának) keresztül jut, vagy nem juthat érvényre. Problémát okozhat még, hogy az egyes felügyeleti szerepkörök, mivel nem
szükségszerű a szerv vezetőjének való közvetlen alárendeltség, a szervezeti hierarchia különböző szintjein, és más-más irányítás alatt dolgoznak. Ennek következményeként nehéz (ha nem lehetetlen) öszszehangolni az adatvédelmi és a minősített adatvédelmi szabályozást az IBSZ-el, és még nehezebb koherens belső normatív környezetet kialakítani A diszharmónia felszámolása, a szerepkörök közötti illetékességi és hatásköri átfedések kiküszöbölése, a szerepkörök közötti egyensúlyi helyzet kialakítása érdekében célszerű a szerepköröket közös irányítás alá vonni. Figyelemmel az adatkezelőtől és az üzemeltetőtől elkülönített szerepkörökre, illetve az első számú vezető átruházott hatáskörére, illetve a végrehajtó és vezető-irányító szerepkörök elválasztására, célszerű „információbiztonsági” szervet (osztály(?), főosztály(?)) létrehozni, amelyik közvetlen vezetői
alárendeltségben működik, így megteremtve valamennyi felügyeleti szerepkör megfelelő működési szabadságát, kompetenciáját. Az Infotv előírásainak megfelelően a szervet az adatvédelmi felelős vezet(het)i 26. oldal Dr. (PhD) Sebestyén Attila – Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere (2014 november) 4. LEHETSÉGES SZERVEZET A BVOP információbiztonsági szerve (továbbiakban: Osztály) esetében vizsgálni érdemes a feladatkörökből következő munkaterhelést, amely során az Osztály az országos parancsnokság mint önálló jogi személy feladatainak ellátásán túl nem elhanyagolhatóan a 28 db intézet és az 5 db intézmény szakfelügyeletét, incidenskezelését, megelőző feladatokat (ide értve az oktatást, továbbképzést, állásfoglalásokat) és helyszíni ellenőrzéseket is végez. Az évi 52 hétre vetített ellenőrzés vagy a minden
második héten való utazást, vagy az éves visszatérő ellenőrzési ciklus több évre való elnyújtását jelenti A felügyeletet ellátó személyek azonban rendszeresen jelentkező feladatokat, illetve incidensekre történő reagálásokat hajtanak végre (példálódzó jelleggel): - évente több alkalommal összesítetten adatszolgáltatást kell végezniük a felügyeleti szerv részére (NAIH, NEIH, NBF) az adatkezelésekről, adattovábbításokról, - részvétel a felügyeleti hatóságok által központilag rendezett szakmai továbbképzéseken, - évente legalább egy alkalommal továbbképzést kell tartani az intézeti felelősök részére, - eseti adatszolgáltatás a személyes és közérdekű adatokra, a minősített adatokra, vagy informatikai biztonsági eseményekre képviselői, vagy állampolgári megkeresések esetén, - eseti szakmai véleményt kell adniuk a személyes és közérdekű adatok vonatkozásában, a minősített adatokat
érintően, vagy informatikai biztonsági eseményre vonatkozóan az együttműködési megállapodások, szerződések, fejlesztések, egyéb bővítések során, - jogszabályi véleményezésben közre kell működniük, - adatsértés esetén, incidens alapon ellenőrizniük szükséges az eseményt, a kármegelőzés, lokalizálás, kárenyhítés és működés helyreállítás érdekében, - szakmai ellenőrzéseket kell végezniük az intézeti/intézményi feladat végrehajtásokra vonatkozóan, annak előkészítése, lebonyolítása, jelentéskészítése feladataival, - elemző, értékelő munkát végeznek a megalapozott döntés előkészítés érdekében, - naprakészen tartják a belső normatív környezetet a változó jogi környezethez, technológiai fejlődéshez illeszkedő módon, - végzik a szakterületüknek megfelelő alapokmányok vezetését, nyilvántartását és karbantartását (Személyi Biztonsági Tanúsítvány, felhasználói
engedélyek, rejtjel-hozzáférési engedély, titoktartási nyilatkozatok, egyéb nyilvántartások) - kapcsolattartás a társszervekkel, együttműködőkkel, hatósággal, konzultáció végzése, - kérelmek, engedélyek benyújtása a hatóság felé (adatkezelési engedély, rendszerengedély) 27. oldal Dr. (PhD) Sebestyén Attila – Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere (2014 november) Általános tapasztalat szerint a napi 8 órás folyamatos megterhelés a felügyeleti rendszerek kialakítása, és a rutinszerű működés begyakorlását követő időszakban nem valószínű (leszámítva az incidens bekövetkezését, illetve a megelőző és értékelő időszakát, az ellenőrzésre való felkészülés, lebonyolítás és jelentéskészítés időpontját; rejtjelfelügyelő esetében a féléves kulcs cserét, ami helyszíni telepítéssel jár). Szintén
tapasztalat, hogy a napi, heti megterhelés lehetővé teszi a felügyeleti tevékenységet ellátók más, a végzettségüknek, képességüknek, munkatapasztalatuknak megfelelő terhelését (amennyiben nem látnak el, több szerepkörnek megfelelő feladatot is). Ebből a megfontolásból a BVOP felügyeleti szerepköreit jogi-, közigazgatási-, vagy informatikai felsőfokú végzettséggel rendelkező személyekkel javasolt feltölteni, akik jogtanácsosi, közbeszerzési, informatikai stratégia, vagy egyéb koordinációs, ellenőrzési feladatokba is bevonhatóak (Az adatvédelmi felelős és a biztonsági vezető esetében célszerű a jogi, a kiberbiztos, a rejtjelfelügyelő és a rendszerbiztonsági felügyelő esetében az informatikai alapképzettséget előnyben részesíteni). A felügyeleti szerepkörök esetében mellérendeltségi viszony állapítható meg, az mellett hogy a jogszabályok nem rögzítenek összeférhetetlenségi okokat közöttük. A felügyeleti
szerepkörök „összevonása” felveti az információbiztonsági osztály vezetésének kérdését is a közvetlen irányítás szempontjából – elfogadva mindhárom szerepkörre, hogy átruházott hatáskörben kell ellátni a feladatokat, a szerv vezetőjének közvetlen alárendeltségében. A BVOP felügyeleti szerepköreiben alkalmazott személyek önálló munkakörben dolgoznak a volumen elv alapján (28 db intézet, 5 db intézmény). Az SZMSZ-ben rögzítésre került, hogy a szervezet vezetője átruházott hatáskörben járnak el, ez alapján hatáskörükben önálló kiadmányozási és képviseleti jogosultsággal rendelkeznek. A hatáskör biztosítása mellett az „információbiztonsági osztály vezetésének kérdése másodlagos, hiszen egymás kompetenciáiban nem ténykedhetnek, feladatkörükben közvetlen irányítás alatt állnak. Az egymásmellé rendelés és a közvetlen irányítás követelménye az önálló beosztásban való feladatellátás
és a munkaterhelés jobb kihasználásának elvárása a szerepkörök összevonását indokolják Azaz önálló beosztásban, átruházott hatáskörben, de egy személy több szerepkörben ténykedjen. Ennek megfelelően célszerű az adatvédelmi és a biztonsági vezetői feladatköröket egy személy feladatául megjelölni, aki egyben vezeti az információbiztonsági osztályt, illetve a kiberbiztos, rejtjelfelügyelő és rendszerbiztonsági felügyelő szerepkört is azonos személlyel ellátni. 28. oldal Dr. (PhD) Sebestyén Attila – Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere (2014 november) Figyelemmel arra, hogy a Rejtjel Szabályzatban a rendszer kialakítása során az érintett intézetek rejtjelzőinek és rendszeradminisztrátorainak helyettesítési rendjében a BVOP-t jelöltük meg, mint helyettesítőt, így ebben az osztályban 1 fő rejtjelzőnek (aki egyben a
rendszeradminisztrátor is) és 2 fő titkos ügykezelőnek is meg kell jelennie. Ezzel a megoldással az adatvédelmi felelős közvetlen parancsnoki irányítás alatt ténykedik, mint az „információbiztonsági osztály vezetője és érvényesül a szerv vezetőjének közvetlen irányítása (infotv.24§(1)) A biztonsági vezetői szerepkör nem összeférhetetlen az adatvédelmi felelőssel, a minősített adatok kezelése során megjelennek személyes adatok is, így célszerű a kettő szerepkört az osztályvezetői feladatokkal megbízott személy részére meghatározni. Ebben az esetben a biztonsági vezető is közvetlen a szerv vezetőjének irányítása alatt ténykedik. A kiberbiztos esetében a jogszabály (Ibtv.13§ (1)) kizárólag annyit rögzít, hogy a kiberbiztos a szerv vezetőjének közvetlenül adhat tájékoztatást, jelentést. Szintén a jogszabályból következően a rejtjelfelügyelő a biztonsági vezető mellett végzi feladatait, így ezek
összeférhetetlenek, de az informatikai végzettség alapján és az összeférhetetlenség hiányában a kiberbiztos lehet rejtjelfelügyelő és rendszerbiztonsági felügyelő is. Ez a megoldás létszám takarékos és a hatályos rejtjelszabályzatnak is megfelel. Szükséges azonban a rejtjelfelügyelői feladatkörben helyettest is kijelölni, amely esetében célszerű az osztályt 1 fő rejtjelzővel megerősíteni, aki egyben a rejtjelfelügyelő-helyettes is. Ezzel egyrészt a helyettesítésen túl biztosítható a BVOP rejtjelző feladatainak ellátása, másrészt összhangban a hatályos rejtjelszabályzatunkkal, biztosítható bármely érintett végponton a rejtjelző szükség szerinti helyettesítése (szolgálati autó 24 órás készenléti rendelkezésre állása esetén). Szintén a biztonsági vezetői és a rejtjel feladatokból következően szükséges az osztály állományát 2 fő titkos ügykezelővel megerősíteni, akik egymást helyettesítik,
alapfeladataikban pedig a minősített adatok iktatását, illetve a rejtjel anyagok iktatását végzik. 29. oldal Dr. (PhD) Sebestyén Attila – Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere (2014 november) 4.1 Az információbiztonsági önálló osztály Az információbiztonsági osztály létrehozása mellett javasolt, hogy az intézetek, intézmények szintjén a jelenleg kialakított rendnek megfelelően belső adatvédelmi felelős és biztonsági vezető kerüljön kijelölésre, akikre vonatkozó feladatszabás központi egységes irányelvek szerint valósuljon meg. A BVOP-n az országos parancsnok közvetlen irányítása alatt létrehozott információbiztonsági önálló osztályt osztályvezető vezeti, aki ellátja az adatvédelmi felelősi és biztonsági vezetői feladatokat átruházott hatáskörben a BVOP vonatkozásában Ez mellett szakirányítóként végzi
feladatát az intézetek/intézmények vonatkozásában. Az osztályon 1 fő végzi a kiberbiztosi feladatokat, aki egyben a rejtjelfelügyelő és a rendszerbiztonsági felügyelő is. A jogszabály szerinti helyettesítést a rejtjelfelügyelő és a rendszerbiztonsági felügyelő esetében 1 fő rejtjelző látja el, ki egyben a BVOP rendszeradminisztrátora is. Az osztályon a jogszabálynak megfelelően továbbá 2 fő titkos ügykezelő dolgozik, akik Információbiztonsági osztály végzik a minősített adatok és a rejtjel anyagok iktatását, nyilvántartását. osztályvezető (adatvédelmi felelős és biztonsági vezető) kiemelt főreferens (kiberbiztos és rejtjelfelügyelő és rendszerbiztonsági felügyelő) kiemelt főreferens, vagy főelőadó (rejtjelző és rendszeradminisztrátor) titkos ügykezelő több munkafolyamatot ellátó ügyviteli alkalmazott vagy titkos ügyekezlő 4. sz ábra: információbiztonsági önálló osztály Vizsgálni lehet az
információbiztonsági osztály közös alárendeltségbe való összevonását az ügykezeléssel, vagy alárendelését az ellenőrzési szakterülettel, de ez fenti feladatvégzést, illetve a mellé, vagy fölérendelt szervek eredeti működését nem befolyásolja. 30. oldal Dr. (PhD) Sebestyén Attila – Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere (2014 november) Az ügykezelési szakterülettel való összevonás egy irányítás alá helyezi a papír alapú és az elektronikusan megjelenő adatok védelmi tevékenységét. Az összeférhetetlenségi elvek mentén elválasztható az „üzemeltetés” és a „felügyelet” olyan módon, hogy az ügykezelésért felelős vezető adatvédelmi szerepkört és/vagy biztonsági vezetői beosztás lát el, az információbiztonsági osztály állományában pedig 1 fő az adminisztratív biztonságért, dokumentum védelemért
felelős felügyelő, így felügyeleti hatásköre az ügykezelésre is kiterjed Az információbiztonsági osztály vezetője ebben az esetben a biztonsági vezetői feladatokat látja el, így az összevont főosztály szintű szervezet vezetését a kiberbiztos végzi. Az önálló információbiztonsági osztállyal összevetve lényegi létszámváltozást ez a szervezeti megosztás sem tartalmaz, mindemellett az összeférhetetlenségi szabályok a nagyobb létszám és irányítási szintnek megfelelően könnyebben érvényesíthető. Természetesen az adatvédelmi felelős közvetlen irányítása érekében egyrészt a főosztályvezető is elláthatja ezt a szerepkört, másrészt, amennyiben az adatvédelmi felelős a hierarchia más szintjén helyezkedik el, szervezeti és szervezési intézkedésekkel ebben a feladatkörében közvetlenül is irányítható marad. főosztályvezető (kiberbiztos és/vagy adatvédelmi felelős) több munkafolyamatot ellátó ügyviteli
alkalmazott (vagy titkos ügykezelő) Információvédelmi Főosztály osztályvezető (adatvédelmi felelős) kiemelt főreferens (osztályvezetőt helyettesítő) Adatvédelmi és Ügykezelési Osztály főelőadó ügykezelő (6 fő) osztályvezető (biztonsági vezető) kiemelt főreferens (rejtjelfelügyelő és rendszerbiztonsági felügyelő) Információbiztonsági Osztály kiemelt főreferens vagy főelőadó (rejtjelző és rendszeradminisztrátor) adminisztratív biztonsági felelős titkos ügykezelő 5. sz ábra: információvédelmi főosztály 31. oldal Dr. (PhD) Sebestyén Attila – Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere (2014 november) Meggyőződésem, hogy az informatikai szolgáltatások még szélesebb körű használata mellett az elektronikus információbiztonság egyre nagyobb hangsúlyt kap, így várhatóan tovább erősödik a kiberbiztosi
szerepkör meghatározó jelenléte, esetlegesen az informatikai alapú adatvédelmi szervezet jogszabályi korlátok közötti megjelenésével is számolni érdemes. 4.2 Kitekintés, más rendvédelmi szervek A rendvédelmi szervek esetében ágazati szintű jogszabály nem határoz meg egységes direktívákat, így nincsen egységes gyakorlatot sem. Az ORFK-n a hivatalvezető a biztonsági vezető és az adatvédelmi felelős is, illetve ehhez a szervhez tartozik az ügykezelési szakterület. A kiberbiztosi és az elektronikus minősített adatok kezelésével kapcsolatos feladatokat az Informatikai Főosztály E-biztonság Felügyeleti Osztálya látja el, amely jelenleg 5 fővel működik (jelenleg 1 fővel való bővítése van folyamatban). Az osztály látja el a rejtjelző rendszer működtetését is A BÁH és a katasztrófavédelem esetében szintén a hivatal/titkárság/ügykezelés végzi az adatvédelmi és biztonsági vezetői feladatokat, a kiberbiztosságot
pedig csatolt feladatkörben az informatikai szakterület. Tudomásom szerint a Belügyminisztériumban az Ibtv. megjelenését követően tervezték az Információbiztonsági Főosztály létrehozását az Adatvédelmi és Ügykezelés Főosztályból, illetve az Informatikai Főosztályból, valamint a miniszteri Kabinetből képzett állománnyal, de később ez elvetésre került. Jelenleg a Kabinetben került kinevezésre a kiberbiztos, az adatvédelmi és a biztonsági vezetői, rejtjelfelügyeleti feladatokat az Adatvédelmi és Ügykezelési Főosztályon látják el. 4.3 Általánosítható tapasztalatok A BVOP információbiztonsági szerve megalkotásához szükséges döntés előkészítést az adatvédelmi felelős és a biztonsági vezetővel közösen a kiberbiztos összesítette. Tapasztalat volt, hogy a kidolgozó munkában résztvevők között nem alakult ki egységes álláspont, tekintve a jogszabályi környezet elégtelenségét, közös alapok sem álltak
rendelkezésre. Természetesen nem sikerült elszakadni a jelenlegi feladat ellátási tapasztalatoktól, a javasolt állomány32 oldal Dr. (PhD) Sebestyén Attila – Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere (2014 november) tábla lehetséges megszemélyesítésétől, a döntéshozó előzetes direktíváinak figyelembevételétől. Közös álláspont volt azonban abban, hogy a felügyeleti szerepkörök központosítása kívánatos egy irányítási rendszerben, mert az alapvető szerepkörök önálló személyekkel történő ellátása is csökkenti az incidensek kockázatát, javítja a megelőzés, megakadályozás, lokalizálás, kárenyhítés, javítás és helyreállítás tevékenységét. Szintén közös álláspont volt, hogy a felügyeleti szerepköröket vezetői beosztásokhoz célszerű rendelni, olyan számban, hogy ne legyen szükséges több felügyeleti
szerepkört egy személynek ellátnia, mert az tervezhetetlen terhelést, incidens bekövetkezésekor előre nem látható erőforrás problémákat, így felelősségi, hatékonysági anomáliákat okozhat. Ennek megfelelően célszerű az információbiztonsági osztályt a hierarchia főosztályi szintjére emelni olyan módon, hogy a főosztályvezetője és a másik osztály vezetője végezze a másik kettő felügyeleti szerepkör feladatait. Felvetődött, hogy a biztonsági vezető legyen összeférhetetlen az adatvédelmi felelősi feladatokkal. Ezt támasztaná alá az a körülmény is, hogy az adatvédelmi felelős személyes adatok kezelésére való kompetenciája kiterjed(het) a minősített adatok kezelésére is. Ebből azonban vagy az következik, hogy az adatvédelmi felelős nem vesz részt a felügyeleti szervezet munkájában (különállóan marad), vagy azt hogy a kiberbiztossal, vagy a rejtjelfelügyelővel közös szerepkört lát el. Mindkettő éppen úgy
nem támogatható, ahogyan az adatvédelmi felelős esetében ez kifogásolt Problémaként látszik, hogy egy elektronikus információs rendszert működtető szervezet, amelyik ebben a rendszerében személyes adatokat, minősített adatokat használ fel, kénytelen a jogszabálynak megfelelő módon mind az öt felügyeleti szerepkört és a rejtjelzés vonatkozásában további 4 fő üzemeltetőt (rejtjelző, rendszeradminisztrátor, titkos ügykezelők) alkalmazni akkor is, ha egyébként a szervezet mérete ezt nem teszi lehetővé. Vegyünk például egy önkormányzatot, amelynek „hivatali” személyzete a 10 főt sem éri el Persze a jogszabály szerint egyes felügyeleti szerepkörök megbízással is elláthatóak, de lehet a volumen elv alapján célszerű lenne maximálni, vagy összeférhetetlenségi (összeegyeztethetőségi) elvek mentén meghatározni az információbiztonsági személyzetet. 33. oldal Dr. (PhD) Sebestyén Attila – Az információbiztonsági
felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere (2014 november) „Csendben tudomásul veszem a megfogalmazhatatlant, amit látok ugyan, értek, de szavakba önteni nem tudok.” Robert Fulghum37 5. VÉGKÖVETKEZTETÉSEK Szakdolgozatomban kísérletet tettem az információbiztonsági szerepkörök áttekintésére abból a célból, hogy értékeljem az egyes felügyeleti szerepkörök jogszabályi környezetét. Bemutassam az adatvédelem, minősített adatvédelem és az elektronikus információs rendszerek biztonságára vonatkozó „szigetszerű” szabályozást, a felügyeleti szerepkörök elégtelen jogszabályi direktíváját abból a szempontból, hogy egy működő informatikai rendszerbe illesztett módon, a szervezeti bürokráciában megfelelő hatékonysággal, képesek-e tevékenységüket ellátni. Megállapítottam, hogy a jogszabályok nem értékelik az egyes felügyeleti szerepkörökhöz való
viszonyt. Nem állapítanak meg összeférhetetlenségi szabályokat – összeegyeztethetőeket sem. Nem adnak támpontot sem a vezetés-irányítás rendszerében való hely és szerep kérdésében, és nem biztosítanak a feladatkörhöz tartozóan hatásköri felhatalmazásokat sem, amellyel álláspontom szerint a döntési szabadságot és képességet veszélyeztetik (kiadmányozás, azonnali intézkedési jogosultság). Az tapasztaltam, hogy a felügyeleti tevékenységet meghatározó jogszabályok a „szigetszerű” működési modell mellett az ideál tipikus működéshez készültek, azaz nem vették figyelembe, hogy a szervezet, milyen apparátussal, milyen méretben és milyen diszlokáció mellett lát el feladatokat, így azonos felügyeletet kell létrehoznia a 36 ezer fős rendőrségnek és a 10 fős önkormányzatnak is. Az Ibtv. esetében hiányosságként állapítottam meg, hogy a jogszabály bár „elektronikus információs rendszer” szóhasználattal
él, de ezen első sorban számítástechnikai hálózati rendszereket ért, nem értékeli a vezetékes, vagy vezeték nélküli távközlési rendszereket (rádió, távbeszélő stb.) 34. oldal Dr. (PhD) Sebestyén Attila – Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere (2014 november) Általánosságban megállapítható, hogy az informatikai rendszerekre vonatkozó jogszabályok nélkülözik az egységes informatikai terminológiát, nem üzemeltetési és fenntartási szemléletű megközelítéssel határozzák meg az adatkezelő és az üzemeltető tevékenységét felügyelő információbiztonsági szerepköröket. Sok esetben a jogszabály hibás terminológiai kifejezése akadálya a helyes szaknyelvi megközelítésnek (lásd: adatvédelem), így szükséges az informatikai jogszabályok tételes felülvizsgálata és terminológiai megfeleltetése Általánosságban
megállapítottam, hogy célszerű az egyes felügyeleti szerepköröket közös irányítás alá vonni a helyettesíthetőség és a hatékonyság érdekében. Szükségesnek látszik a cselekvőképesség és kompetencia megteremtése érdekében a felügyeleti szerepkörben dolgozók kiadmányozási és azonnali intézkedési jogosultsággal való ellátása már a jogszabályban biztosított módon, ahogyan szükséges az elvárt szakirányú végzettség, képzettség és tapasztalat meghatározása is. Gondolatkísérletet tettem a büntetés-végrehajtási szervezet információbiztonsági felügyeleti tevékenységének megszervezésére, szervezeti felépítésére, amely során felhasználtam az adatvédelmi felelőssel és a biztonsági vezetővel korábban ebben a tárgyban végzett konzultációm eredményeit. Meggyőződésem, hogy a szervezeti működésben tovább erősödnek az informatikai megoldások, így a kibertér védelme, az egyes információbiztonsági
szerepkörök egymást segítő tevékenysége nélkülözhetetlen a szervezet kockázatokkal arányos védelmi megoldásainak kialakításához. 35. oldal Dr. (PhD) Sebestyén Attila – Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere (2014 november) 6. ÁBRÁK ÉS TÁBLÁZATOK JEGYZÉKE 1. számú ábra – adat (az adatok halmaza) – 14 oldal 2. számú ábra – információbiztonsági szerepkörök – 20 oldal 3. számú ábra – felügyeleti szerepkörök – 25 oldal 4. számú ábra – információbiztonsági önálló osztály – 30 oldal 5. számú ábra – információvédelmi főosztály – 31 oldal 36. oldal Dr. (PhD) Sebestyén Attila – Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere (2014 november) 7. FELHASZNÁLT IRODALOM 7.1 Törvények, jogszabályok: 1. Az
információs önrendelkezési jogról és az információszabadságról szóló 2011 évi CXII törvény 2. A minősített adat védelméről szóló 2009 évi CLV törvény 3. Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013 évi L. törvény 4. A büntetés-végrehajtási szervezetről szóló 1995 évi CVII Törvény 5. A 161/2010 (V 6) Korm rendelet a minősített adat elektronikus biztonságának, valamint a rejtjeltevékenység engedélyezésének és hatósági felügyeletének részletes szabályairól 6. 90/2010 (III 26) Korm rendelet a Nemzeti Biztonsági Felügyelet működésének, valamint a minősített adat kezelésének rendjéről 7. 346/2010 (XII28) Korm rendelet kormányzati célú hálózatokról 8. A büntetés-végrehajtási szervezet informatikai biztonsági szabályainak kiadásáról szóló 11/13/2011 (III 22) OP intézkedés 9. Egyéb az informatikai környezet működését befolyásoló hazai- és nemzetközi
szabványok és ajánlások rendszere (ITB, KIETB, MSZ ISO, ISO/IEC, COBIT, ITIL stb.) 7.2 1. Egyéb feldolgozott irodalom jegyzéke Baracskai Zoltán: A profi vezető nem használ szakácskönyvet. Szabolcs-Szatmár-Bereg megyei Könyvtárak Egyesülés Nyíregyháza – 1999. ISBN 963 04 8203 7 2. Racskó Péter: Bevezetés a számítástechnikába. Számítástechnika-Alkalmazási Vállalat, Budapest – 1989. ISBN: 963 577 118 5 3. O. Nagy Gábor – Ruzsiczky Éva: Magyar szinonimaszótár Akadémiai Kiadó, Budapest – 1989. ISBN 963 05 5531 X 37. oldal Dr. (PhD) Sebestyén Attila – Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere (2014 november) 4. Zsigovits László: A Határőrség informatikai rendszere. ZMNE Egyetemi jegyzet, Budapest – 2000 5. Bokor József: Informatika jogi szabályozása. Livermore, Budapest – 2005 ISBN: 963 219 74 02 6. Ila László:
Angol-magyar informatikai értelmező szótár. Panem, Budapest – 2004 ISBN 978 963 545 396 2 7. Fekete Károly – Pándi Erik: A kormányzati tevékenységet kiszolgáló kommunikációs hálózatok jövőképe. Zrínyi Miklós Nemzetvédelmi Egyetem honlap, Budapest, 8 oldal, 2000. (http://wwwzmnehu/tanszekek/ vegyi/docs/fiatkut/KF 1html) 8. Sebestyén Attila: Az informatikai fejlődés stációi és determinánsai az üzemeltetés szemszögéből. Zrínyi Miklós Nemzetvédelmi Egyetem Kommunikáció 2008 Nemzetközi Szakmai Konferencia előadás 9. Munk Sándor: Információbiztonság vs. Informatikai biztonság Robothadviselés 7 Tudományos Szakmai Konferencia – 2007 38. oldal Dr. (PhD) Sebestyén Attila – Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere (2014 november) 8. FÜGGELÉKEK 8.1 számú függelék – Összegzés (annotáció) 39. oldal Dr. (PhD) Sebestyén
Attila – Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere (2014 november) 8.2 2. számú függelék – A konzultációkon történő részvétel A hallgató neve (Neptun kódja): Dr. Sebestyén Attila (DHTYJ9) A belső konzulens neve: Dr. Leitold Ferenc, tanszékvezető, egyetemi docens A témát kiadó önálló oktatási szervezeti egység neve: Közigazgatás-tudományi Kar, Eközszolgálati Fejlesztési Intézet, Információbiztonsági Tanszék Nevezett hallgató a 2013/2015. tanév 2014/2015 szemeszterében a szakdolgozat készítésével kapcsolatos konzultációkon rendszeresen részt vett 2014. november 8 2014. november 15 2014. november 19 2014. november 21 2014. november 28 Az elkészített dolgozatot „Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere” címmel bemutatta, a dolgozat
saját szellemi termék, plágium gyanúja nem merült fel. Dolgozatnak a Záróvizsgához kapcsolódó bírálati eljárásra történő beadásával egyetértek. Budapest, 2014. december 01 Kuris Zoltán r. őrnagy BM HBF vezető 40. oldal Dr. (PhD) Sebestyén Attila – Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere (2014 november) 8.3 3. számú függelék – Plágium nyilatkozat Nyilatkozat Alulírott, Dr. Sebestyén Attila, a Nemzeti Közszolgálati Egyetem, Elektronikus Információbiztonsági Vezető szakirány hallgatója (NEPTUN-kód: DHTYJ9), büntetőjogi felelősségem tudatában kijelentem, hogy a „Az információbiztonsági felügyelet aktuális kérdései, az egyes szereplők (adatkezelő, üzemeltető, felügyelők) viszonyrendszere” című, a Nemzeti Közszolgálati Egyetem, Közigazgatás-tudományi Kar, E-közszolgálati Fejlesztési Intézet,
Információbiztonsági Tanszéken benyújtott jelen szakdolgozat, saját szellemi tevékenységem eredménye, a benne foglaltak más személyek jogszabályban rögzített jogait nem sértik. Ezennel hozzájárulok ahhoz, hogy a Nemzeti Közszolgálati Egyetem a szakdolgozatom egy példányát a könyvtárban tárolja (elektronikus adathordozón rögzítse), azt mások számára hozzáférhetővé tegye. Hozzájárulok ahhoz is, hogy más személyek a szakdolgozatomban foglaltakat tanulmányaik, kutatásaik során – a hivatkozási előírások betartásával – felhasználják. Budapest, 2014. december 01 Dr. Sebestyén Attila 41. oldal