Az információbiztonság nem egyszerűen informatikai vagy jogi kérdés. Annak érdekében, hogy a számunkra (vagy éppen közösségünk számára) fontos információkat meg tudjuk védeni, a kérdés komplex, jogi, informatikai, szervezési, biztonságtechnikai, sőt szociológiai elemeket egyidejűleg érvényesítő megközelítése szükséges.
Az információbiztonság fajsúlyos területe a fizikai vagy környezeti biztonság. A komplex biztonságfelfogás ezen eleme - legyen bár szó elektronikus formátumú, vagy papír alapú hordozóról - a minősített adatok hordozóinak, illetve az adatok "manifesztációjának", megjelenésének[2] védelmét szolgálja. A valamennyi rendszerelemre - a rendszer fizikai környezetétől és infrastruktúrájától, a hardver elemeken és a szoftvereken át, a hálózatokig, valamint az adathordozókig - kiterjedő fizikai biztonság tervezése és megvalósítása széles területet ölel fel. E körbe tartozik a minősített adatok kezelési helyének megtervezése, a területrendezési elgondolásoktól egészen az épületek belső elrendezéséig, biztonságtechnikai eszközökkel való felszereléséig, illetve élőerős őrzéséig. A fizikai védelmet biztosítani hivatott intézkedéseknek a minősített adatot a külső és belső fizikai behatásoktól, természeti veszélytényezőktől, illetéktelen behatolástól, lehallgatástól kell megóvnia. A védelmi megfontolásokat már a titkok elhelyezésére hivatott ingatlanok kiválasztásakor, az épületek és helyiségek tervezésekor és kialakításakor, közművesítésekor figyelembe kell venni. Az épületek falvastagságát, a nyílászárók elhelyezkedését, méretét és biztonságtechnikai eszközökkel - rácsokkal, fóliákkal, kép és hangrögzítő eszközökkel stb. - való felszerelését úgy kell kialakítani, hogy megakadályozza a minősített adatokhoz való illetéktelen hozzáférést, illetve lehetővé tegye a hozzáférési kísérletek dokumentálását. A fizikai biztonság kiterjed a védelmi előírásokat magában foglaló rezsimintézkedések kialakítására is, az épületekbe való be- és kiléptetés
- 193/194 -
ellenőrzésének rendjétől a dokumentumok és adathordozók tárolási előírásaiig.
A minősített adatok tárolására szolgáló helyiségekbe csak az annak üzemeltetéséhez elengedhetetlenül szükséges közműhálózat csatlakozhat. A határoló falfelületeken nyomó és ejtőcsövek, gázvezetékek nem haladhatnak át. Az elektronikus hálózat magját képező, áramellátást igénylő hálózati eszközöket, szervereket kettős betáplálású helyiségekben kell elhelyezni, biztosítandó az eszközök folyamatos működését, rendelkezésre állását, az üzembiztonságot. A kábelezést, illetve az egyes hardver elemeket a passzív és aktív lehallgatástól, zavarástól, adatcsapolásoktól is védeni kell. Ugyancsak védekezni kell a másodlagos jelkibocsátás lehallgatása ellen. Ez utóbbit nevezzük TEMPEST[3]-védelemnek.
A technikai védekezést kiegészítő rezsimintézkedések alapvető szabálya, hogy a minősített adatok tárolására, illetve az adatokhoz való hozzáférésre szolgáló helyiségekben kizárólag az adatokhoz kapcsolódó munkavégzés céljából, a feladat ellátásához szükséges ideig lehet tartózkodni. A helyiségek takarítása, az abban található eszközök karbantartása csak felügyelet alatt, a minősített adatok elzárása mellett történhet.
A fizikai biztonság fontos része az informatikai eszközök mozgatása során az adatok és az adathordozók biztonsága.
Az adatok és adathordozók biztonságának kérdése átvezet az informatikai és logikai biztonság területére. Az információs társadalom korában egyre nagyobb szerepet játszó infokommunikációs eszközök megjelenése, elterjedése a titokvédelmi gondolkodás újragondolását, új elemekkel való kibővítését tette szükségessé. Amint azt már említettük, az informatikai biztonság az adatok által hordozott információk sértetlensége, hitelessége és bizalmassága elvesztésének megakadályozását, valamint az adatok rendelkezésre állását és a hozzájuk kapcsolódó alkalmazói rendszerek, hálózatok funkcionalitását hivatott biztosítani.
Az informatikai biztonság az adatok által hordozott információk sértetlensége, hitelessége és bizalmassága elvesztésének megakadályozását, valamint az adatok rendelkezésre állását és a hozzájuk kapcsolódó alkalmazói rendszerek, hálózatok funkcionalitását hivatott biztosítani.
Az informatikai biztonság az elektronikus formában tárolt adatok elérhetőségére és tárolására (beleértve az archiválás szabályait is), a számítógép- és hálózatbiztonságra (hardver, szoftver és firmver biztonság), a kommunikáció biztonságára (rejtjel- és átvitelbiztonság, kompromittáló kisugárzás elleni védelem, authentikáció), az üzembiztonságra, valamint a személyi-, fizikai- és dokumentumbiztonságnak az elektronikus rendszerekre vonatkozó különös szabályaira terjed ki.
Az adatok tárolása és elérhetősége az információbiztonság központi eleme. A minősített adatok illetéktelen megismerése, nyilvánosságra hozatala mellett a titokbirtokosok hozzáférésének akadályozása, lehetetlenné tétele is megvalósítja a titoksértést. Az adatok természetszerűleg nem csak szándékos vagy gondatlan titoksértés miatt válhatnak hozzáférhetetlenné, ezt az állapotot rendkívüli események, veszélyhelyzetek, rendszerhibák, illetőleg egyéb meghibásodások is előidézhetik. Az információvédelemben valamennyi intézkedés az adatok biztonságát hivatott szolgálni, egyes aspektusok, így például az üzembiztonság minden rendszer esetében, mások, mint a rejtjelezés csak speciális rendszereknél bírnak relevanciával.
Az információk megóvásának egyik speciális módja a biztonsági másolatok készítése. Természetesen ez nem azonos az egyes operációs rendszerek, illetve felhasználói programok által készített biztonsági mentésekkel,[4] hanem a titokbirtokosok tudatos tevékenységét jelenti. A titokbirtokosoknak ugyanis elemi érdeke és egyben kötelessége, hogy tudjanak a minősített adat valamennyi másolatának hollétéről. A minősített adatok másolatainak megóvására az "eredeti adat" védelmére előírt szabályok és intézkedések irányadóak. Szükségtelen hangsúlyoznunk, hogy minden titokvédelmi intézkedés, illetve minden védelemre fordított erőforrás felesleges ráfordításnak minősül, ha az adat másolatai bárki számára korlátlanul hozzáférhetőek. A másolatok szükségességét, az adatok elérhetősége érdekében teendő intézkedéseket a már felvázolt kockázatelemzés eredménye határozza meg. Minősített adatokat tároló, illetve az ilyen adatok elérését biztosító rendszerek esetében az adatokat megfelelő másolatok készítésével (tükrözés stb.), illetve a gyors elérést, hibavédelmet és tartós működőképességet biztosító, ciklikus adatírással ún. RAID[5]-mentéssel kell védeni. Egyben biztosítani kell a rendszer és az alkalmazások által készített másolatok automatikus törlését, a gyorsítótárak ürítését. Ugyancsak gondoskodni kell a rendszerhibák, rendkívüli események bekövetkezését követő rendszer visszaállítás titokvédelmi megfelelősségéről, vagyis arról, hogy az adathoz a visszaállítás folyamata alatt és után is csak az arra jogosult férhessen hozzá. A másolatokat az eredeti adatoktól területileg elkülönítetten kell elhelyezni.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
