Professional Documents
Culture Documents
Absztrakt
Korunk információtechnológiai rendszerei szolgáltatásaik mellett új sebezhetősé-
geket hordoznak, új – elsősorban információs jellegű – veszélyeztető hatások szá-
mára teremtenek lehetőségeket. A biztonság megteremtése komplex feladat, kü-
lönböző szakterületek összehangolt tevékenységét igényli. Napjainkban ezen szak-
területek terminológiája erősen heterogén. Jelen előadás a biztonság alapfogal-
mainak összegzését követően felvázolja a biztonság/védelem alapmodelljét, majd
elemzi a biztonság alapvető kérdéseit az információs színtéren. Végül vizsgálja a
különböző megközelítésekre alapuló információ/informatikai biztonság fogalmak
lényegi elemeit, egymáshoz való viszonyát és körvonalazza a jövőben várható
terminológiai problémákat és lehetséges megoldásaikat.
BEVEZETÉS
1
A szakirodalomban, alapvetően az adott szakemberek eredeti szakterületétől függően, eltérő megnevezésekkel
találkozhatunk az információs tevékenységeket támogató technikai rendszerek és eszközök átfogó megnevezé-
sére. Ennek egyes kérdéseivel az előadás későbbi részei foglalkoznak, így a bevezetésben egyenlőre – a saját
álláspont érvényesítése nélkül – a semlegesnek szánt 'információtechnológiai' jelzőt használjuk.
-3-
A fent vázolt megközelítés nem tekinthető egyedül üdvözítőnek, egyes alkalmazási terüle-
teken csak átvitt értelemben alkalmazható. A szociális biztonság például alapvetően nem a fe-
nyegetések elleni védettség állapota, hanem a hozzáférés lehetősége alapvető szükségletek-
hez: élelem, ruházat, lakhatás, oktatás és egészségügyi ellátás. Természetesen joggal nevez-
hetjük a szociális biztonsággal szembeni fenyegetésnek az egyes szükségletek kielégítésének
akadályait, korlátozottságát, de ebben az esetben valójában a negatív környezeti hatások he-
lyett a pozitív környezeti kapcsolatok hiányáról van szó.
A biztonság alapmodellje
Bár a biztonság tartalmába gyakorlatilag minden esetben beleértjük az adott objektum létét
és működő objektum esetében működőképességét, azonban konkrét követelmények nélkül
egy adott objektum biztonsága részletesebben nem értelmezhető, nem ítélhető meg és nem
védhető. Az adott objektum biztonságának értelmezéséhez meg kell határozni annak összete-
vőit. A biztonság összetevői, aspektusai a biztonság alanyának azon tulajdonságai (statikus és
dinamikus állapotjellemzői), amelyeknek a megengedett mértéktől eltérő megváltozása a biz-
tonság sérülését, megsértését jelenti.
Egy adott objektum biztonsága összetett és más objektumokkal, azok jellemzőivel is kap-
csolatban álló fogalom. Összetett azért, mert az objektumok általában maguk is összetettek,
így egy teljes objektum biztonsága többek között összetevői biztonságára épül. Az objektum
adott követelményekkel meghatározott biztonságához szükség van arra, hogy az egyes össze-
tevői is megfeleljenek meghatározott – az átfogó követelményekből levezethető – biztonsági
követelményeknek. Másrészt egy adott objektum biztonsága függhet olyan más – általa fel-
használt, vagy vele együttműködő – objektumok biztonságától is, amelyek felett nincs rendel-
kezési joga.
A biztonság kockázatalapú megközelítése abból indul ki, hogy a biztonság egy dinamiku-
san változó, kedvező – a követelményeknek megfelelő – állapot, amelynek megváltozása nem
valószínű, de nem is lehet kizárni. Vagyis minél kisebb a változás valószínűsége, annál na-
gyobb a biztonság. A tökéletes biztonság a gyakorlatban szinte sohasem érhető el, mindig
számolni kell valamilyen kockázattal és a védelmi intézkedéseket a kockázatok elemzésére
kell építeni.
A harmadik csoportba azon fogalmak tartoznak, amelyeknél a jelző a védelem típusát (jel-
legét, módját) határozzák meg. Ilyenek többek között: a fizikai védelem, adminisztratív véde-
lem, algoritmikus védelem, vagy kriptográfiai védelem. Végül vannak olyan fogalmak, ahol a
jelző a biztonság alanyának [egyik] védendő tulajdonságát írja le (például titokvédelem), vagy
azt a folyamatot, eseményt jelöli, amelynek során a biztonságot fenn kell tartani (például
munkavédelem, vagy érintésvédelem).
egy absztrakció, amely elvonatkoztat összetevőinek számos tulajdonságától, amelyek nem lé-
nyegesek az információs folyamatok szempontjából.
Az információs színtér összetevői, illetve azok egyes részei, aspektusai három dimenzióba
sorolhatóak, amelyek a következőek: az anyagi (fizikai), az információs és a tudati (kognitív)
dimenzió. Ezt a felosztást amerikai hadtudományi kutatók egy csoportja is felhasználta az in-
formációs korszak hadviselésének elemzéséhez. [8]
2
A felsorolt tulajdonságok angol nyelvű szakkifejezései: confidentiality, integrity, availability, authenticity és
non-repudiation.
- 10 -
Az 1992. évi LXIII. törvényhez kapcsolódóan mindmáig sajátos tartalmat hordoz az adat-
védelem kifejezés is, ami lényegében a személyes információkat hordozó adatok védelmét je-
lenti. Ez a szűkebb értelmezés tehát nem minden információra, hanem csak a természetes sze-
mélyekre vonatkozó információkat hordozó adatokra vonatkozik. Ez azonban csak egy adott
alkalmazási terület értelmezése, amelyet megítélésem szerint – számos szerző véleményével
ellentétben – nem szabad kiterjesztő módon érvényesíteni. Valójában a szakterület határait
átlépő kommunikáció (információcsere) során következetesen a 'személyes adatok védelme'
kifejezést kellene használni.
Az információra, mint a biztonság alanyára épülő értelmezés az idők során egyre kevésbé
volt alkalmas alap a gyakorlati feladatok megvalósításához. A biztonság és védelem értelme-
zése fokozatosan kiterjedt az információkat kezelő, az információs tevékenységeket támogató
rendszerekre is. Ez a magyar szakirodalomban az információbiztonság kifejezés mellett az in-
formatikai biztonság kifejezés megjelenésében, az angol nyelvű szakirodalomban pedig az 'in-
formation security' kifejezés tartalmának (meghatározásának) kibővülésében öltött testet.
Tartalmi szempontból a különbség először abban lehet, hogy az érintett rendszerek közé a
csak a korszerű információtechnológiai rendszereket soroljuk, vagy a hagyományos informá-
ciófeldolgozásra épülő rendszereket is. A megnevezésben ez a különbségtétel kezdetben a ha-
gyományos és a számítógépes/számítógéppel támogatott információs rendszer, majd az infor-
mációs és az informatikai rendszer kifejezések használatában jelentkezett. Az angol termino-
- 11 -
lógiában mindez az 'information system' és az 'IT system (information technology system)' ki-
fejezésekben jelent meg. A felsoroltak közül mind az információs rendszer, mind az 'informa-
tion system' jellemzően semleges értelemben használatos, vagyis magában foglal(hat)ja mind
a hagyományos, mind a technikai eszközökkel támogatott rendszereket.
Az informatikai biztonság értelmezésében különbség van attól függően is, hogy ki mit ért
az informatikai rendszer fogalma alatt. A legszűkebb értelmezés szerint ebbe a körbe csak a
számítógépes rendszerek tartoznak, egy bővebb értelmezés szerint a számítógépes és kommu-
nikációs rendszerek, végül a legtágabb értelmezés szerint minden információs tevékenységet
támogató, vagy megvalósító információtechnológiai rendszer. E kérdések és következménye-
ik biztonsági szempontokra is kiterjedő részletesebb elemzésére a következő részben fogunk
visszatérni.
Végül megítélésem szerint napjainkban kialakulóban van, vagy kellene hogy legyen egy
olyan – a szakirodalomban még ritkán előforduló – értelmezés, amely szerint a biztonság
alanya az információ, az információs szolgáltatás és az ezeket biztosító informatikai rend-
szer. Az informatikai biztonság ugyanis az idők során – kimondatlanul, de – fokozatosan túl-
lépett az információbiztonság központú megközelítésen. Napjainkra az információ rendkívül
jelentős szerepét, értékét nem kisebbítve, számos olyan információs szolgáltatás jelent meg,
amelyek, anélkül hogy információt szolgáltatnának, maguk is jelentős értéket képviselnek a
felhasználók számára. Ilyenek például az elektronikus levelezés, az elektronikus információ-
szolgáltatás (pld. bejelentések, bevallások), amelyek esetében elsősorban a rendelkezésre ál-
lás, de a hitelesség, vagy akár a letagadhatatlanság éppolyan fontos, védendő tulajdonságok,
mint az információ megfelelő tulajdonságai.
Információbiztonság
Napjainkban már szintén egységesen elfogadott álláspont, hogy az információt, illetve an-
nak megőrzendő tulajdonságait értelemszerűen annak minden lehetséges 'előfordulási helyén',
minden megjelenési formájában (az emberek tudatában, hagyományos hordozón, vagy az in-
formációs tevékenységeket támogató eszközök által alkalmazott formákban) védeni kell. Ez
egyben szilárd alapot is teremt az információbiztonság összetevőinek egy adott szempont sze-
rinti osztályozására.
3
Ezek helyett, mellett – a 'security' kétféle lehetséges fordításából következően, illetve a tárgyalt témakörhöz
igazodóan – találkozhatunk a személyi védelem, dokumentumvédelem és elektronikus információvédelem ki-
fejezésekkel is.
- 13 -
4
Részletesebben lásd Kassai Károly PhD értekezésében [14, 40-42.o.].
- 14 -
Informatikai biztonság
5
Certified Information Security Manager, CISM.
- 15 -
Fennmarad azonban az a kérdés, hogy milyen jelző illesse a két megközelítés – az infor-
mációbiztonság és az informatikai biztonság – egészét magában foglaló, a 3. ábrán kérdőjellel
jelölt tartalmat. Javaslatom szerint jobb híján erre a szervezeti szintű (vagy átfogó) informá-
cióbiztonság kifejezés lenne a legalkalmasabb.
6
Például cellás telefon és mobiltelefon.
- 17 -
7
Ez utóbbinál megjegyzésben felsorolva egyes részterületeket, köztük a számítógépes védelmet is.
- 18 -
egy olyan PDA és mobiltelefon képességekkel rendelkező eszköz, amelybe GPS és digitális
kamera is be van építve. Az infokommunikáció szóalkotásának logikája szerint tehát az ilyen
rendszereket, eszközöket info-kommu-navi-senso-id jelző illetné meg.
ÖSSZEGZÉS, KÖVETKEZTETÉSEK
FELHASZNÁLT IRODALOM
[1] A magyar nyelv értelmező szótára. Első kötet, A-D. Hetedik kötet, U-Zs. – Akadémiai Ki-
adó, Budapest, 1966.
[2] DÉRI Zoltán-LOBOGÓS Katalin-MUHA Lajos-SNÉÉ Péter-VÁNCSA Julianna: Az informati-
kai biztonság irányításának követelményrendszere (IBIK), 0.91 verzió (Tervezet) - In-
formációs Társadalom Koordinációs Tárcaközi Bizottság, Budapest, 2004.
[3] Informatikai biztonsági rendszerek kialakítása Magyarországon. – Kürt Computer Rend-
szerház Rt., Budapest, 2002.
[4] 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvános-
ságáról.
[5] SZÉKELY Iván-VASVÁRI György: Adatvédelem és/vagy adatbiztonság? – HISEC 2003
Nemzeti adatvédelmi és adatbiztonsági konferencia elektronikus kiadványa, Budapest,
2003. október 28-29.
[www.titoktan.hu/_raktar/biztonsag/MGMAdatv_Adatb_3.0.pdf, 2008.01.25.]
[6] VERESS András: Az információbiztonság kérdései az e-közigazgatásban (A Siemens e-
Government Akadémia on-line előadása). – Siemens IT Solutions and Services, Buda-
pest, 2008.
[http://www.siemens.hu/htm/ajanlataink/sis/download/Biztonsag_kerdesei_e-
kozigazgatasban.ppt, 2008.01.25.]
[7] MUNK Sándor: Információs színtér, információs környezet, információs infrastruktúra. –
Nemzetvédelmi Egyetemi Közlemények, 2002/2. (133-154.o.)
- 21 -
[8] ALBERTS, David S.-GARSTKA, John J.-HAYES, Richard E.-SIGNORI, David A.: Understan-
ding Information Age Warfare. – CCRP Publication Series, 2001.
[9] Katonai Lexikon. – Zrínyi Katonai Kiadó, Budapest, 1985.
[10] A Magyar Honvédség Összhaderőnemi Vezetési Doktrínája (Tervezet). – HM HVK Ve-
zetési csoportfőnökség, 2003. április.
[11] Informatikai biztonsági módszertani kézikönyv (ITB 8. sz. ajánlása). – Miniszterelnöki
Hivatal Informatikai Koordinációs Iroda, Budapest, 1994.
[12] Informatikai rendszerek biztonsági követelményei (ITB 12. sz. ajánlása). – Miniszterel-
nöki Hivatal Informatikai Koordinációs Iroda, Budapest, 1994.
[13] AAP-31(A), NATO Glossary of Communication and Information Systems Terms and
Definitions. Change 2 Correction 2. – NATO Standardization Agency, 2001.
[14] KASSAI Károly: A Magyar Honvédség információvédelmének – mint a biztonság részé-
nek – feladatrendszere. PhD értekezés. – Zrínyi Miklós Nemzetvédelmi Egyetem, Bu-
dapest, 2007.
[15] CISM Review Manual 2005. – Information Systems Audit and Control Association, Rol-
ling Meadows, 2005.
[16] SZENES Katalin (szerk.): Az informatikai biztonság kézikönyve. Informatikai biztonsági
tanácsadó A-tól Z-ig. (27. aktualizálás) – Verlag-Dashöfer Szakkiadó, Budapest, 2007.
november.
[17] Common Criteria I. rész: Általános ismertető. (ITB 16. ajánlása) – HunGuard Kft., Bu-
dapest, 1977.
[18] ISO/IEC 15408, Information Technology – Security techniques – Evaluation criteria fo
IT security. (Second edition) – International Organization for Standardization/Interna-
tional Electrotechnical Comission, 2005.
[19] AAP-31 kifejezés és szógyűjtemény. – Honvéd Vezérkar Euro-atlanti Integrációs Munka-
csoport, Budapest, 1996.
[20] HAIG Zsolt: Az információbiztonság komplex értelmezése. – Robothadviselés 6 tudomá-
nyos szakmai konferencia kiadványa (Hadmérnök különszám), 2006. november 20.
[21] MUHA Lajos: A Magyar Köztársaság kritikus információs infrastruktúráinak védelme.
PhD értekezés. – Zrínyi Miklós Nemzetvédelmi Egyetem, Budapest, 2007.
[22] HAIG Zsolt: Az információs társadalmat fenyegető információalapú veszélyforrások. –
Hadtudomány, 2007/3. (37-56.o.)