"A t "
Akutagava Rjunoszuke
A titok az emberi természet velejárója. Mindig is voltak olyan információk amelyek bizalmasságának megtartása, a többi embertől való elzárása az egyén érdekében állt. Az államok esetében sem volt és ma sincs ez másként. Amióta az ember kisebb-nagyobb csoportokba, közösségekbe szervezi életét, léteznek a közösség titkai, melyek megőrzése az egész csoport elemi érdeke, fennmaradásának egyik kulcsa.
A közösség - és annak egyik, sajátos ismérvek szerinti szerveződése, az állam - titkai számos jellegzetességet hordoznak. Ezek közül az egyik legfontosabb, hogy a közösség titkainak megőrzéséhez az információkat sokszor a közösség tagjai előtt is titokban kell tartani. További ismérv a titkok sajátos tárgya, illetve a titkok iránt "érdeklődők" igen széles köre. Ahhoz, hogy egy állam a nemzetközi környezet sikeres szereplője legyen, hogy más államokkal történő interakciói során - sokszor éppen ezen más államok rovására - érvényesíthesse érdekeit, segíthesse állampolgárait, gazdasági, politikai, katonai, tudományos ismereteinek megóvása és a többi állam ismereteinek "kifürkészése" egyaránt szükséges.
A XXI. század az információ korszaka. Korunk egyik legfontosabb erőforrásának birtoklása az egyéni és a közösségi élet valamennyi területén kiemelkedő jelentőségű. Az információk megszerzése, birtoklása és megőrzése természetesen a korábbi korszakokban is alapvető fontossággal bírt. Sun Tzu főművében, "A hadviselés művészetében" már az i. e. V. században rámutatott a hírszerzés jelentőségére.[1] A technikai-társadalmi fejlődéssel azonban az információ is jelentős mennyiségi és minőségi változáson ment keresztül. Az információk száma, értéke, megbízhatósága jelentősen megnőtt, ugyanakkor "hasznosítási idejük", "élettartamuk" - még ha nem is valamennyi információ esetében -lecsökkent. Új információs csatornák jelentek meg, az információtovábbítás felgyorsult, a hozzáférők köre kibővült. Az információs lánc meghosszabbodása, bonyolultabbá válása a "szivárgási pontok" számát is megnövelte. Ez új védelmi módszerek kialakításának, a létező megoldások finomításának igényét is magával hozta. Ma már általánosságban elmondható,
- 118/119 -
hogy az államok a titkok valamennyi megjelenési formáját védelemben részesítik. Legyen bár szó magán-, üzleti-, foglalkozási-, adó-, vagy éppen államtitokról, az állam biztosítja - legalábbis megpróbálja biztosítani - a védelemhez szükséges jogi eszközöket és személyi feltételeket.[2]
A titokvédelem nem csupán az információ illetéktelen megismeréstől való megóvását jelenti. E körbe tartozik a jogosulatlan megszerzéstől, nyilvánosságra hozataltól, módosítástól, törléstől, továbbítástól, jogosulatlan személyek részére való hozzáférhetővé tételtől, a jogosult hozzáférésének lehetetlenné tételétől, vagy éppen a hozzáférés akadályozásától való védelem is. A titokvédelem alapelvei valamennyi titokkategória esetében azonosak, sőt, elviekben a védelmi módszerek is egybeeshetnek. A titkok között a védendő érdek, pontosabban - szűk értelemben - a védendő információ illetéktelen megismerésével okozható kár nagysága alapján tehető különbség.
Ez az elv képezi a minősített adatok ún. káralapú minősítésének kiindulópontját. A kár mértéke természetesen kihat a védelmi ráfordítások mértékére is. Elviekben - legalábbis az elektronikus formában létező titkok esetében - beszélhetünk a védelem abszolút szintjéről, azaz a biztonság olyan fokáról, amely a jelenlegi technológiai fejlettségi szinten megakadályozhatja[3]a titkok illetéktelen megismerését, az adatok megváltoztatását, vagy törlését. A biztonságnak azonban ára van. A titokvédelemben ezért kulcsfontosságú a megfelelő kockázatelemzés, amely a reális veszélyek számbavételével, a támadási irányok meghatározásával biztosítja a védelmi megoldások gazdaságosságát. Tapasztalható, hogy a titokbirtokosok nem fordítanak többet titkaik védelemre, mint amennyit a védendő információ valójában ér. Minősített adatok esetében a szükséges védelmi ráfordítások mértékének meghatározásában a minősítési jelölések nyújtanak segítséget. Az "abszolút biztonsági szint" és a választott megoldások nyújtotta "tényleges védelem" szintje közötti különbséget maradványkockázatnak nevezzük. A legmagasabb minősítési jelölés - NATO titkoknál a COSMIC TOP SECRET - alkalmazása során a gazdasági megfontolások másodlagosak. Ez esetben a lehető legnagyobb biztonságra kell törekedni, azaz nem lehet szó maradványkockázatról.
A kockázatelemzés fontossága - más dimenzióban - azonban a minősített adatok esetében sem becsülendő le. Mint arra a biztonságpolitikai szakember is rámutat: "A biztonsággal kapcsolatban alapvető kérdés, hogy mikor válik aktuálissá a védelmére rendelt eszközök és módszerek aktivizálása. A biztonság mindig valamilyen fenyegetés, veszély vagy kockázat megjelenése kapcsán felmerülő igény."[4]
A következőkben az elektronikus környezetben keletkezett, rögzített, feldolgozott, tárolt, illetve továbbított nemzetközi minősítési jelölésű adatok védelmének kérdéskörét tekintjük át. Példáként a NATO titokvédelmi rendszerét, illetve annak az informatikai környezetre összpontosító részterületét, az INFOSEC-et[5] vizsgáljuk meg.
Mielőtt érdemben áttekintenénk az elektronikus formában létező, nemzetközi minősítési jelölésű titkokra vonatkozó részletszabályokat, mindenképpen meg kell határoznunk néhány - a téma szempontjából - alapvető fogalmat. E meghatározások, illetve elhatárolások szükségességét a terület interdiszciplináris, keresztülfekvő jellege okán tapasztalható fogalmi keveredések indokolják. A szakirodalomban felelhető meghatározásokat leginkább a téma megközelítése, a szerző nézőpontja határozza meg. Gyakran tapasztalható a műszaki, informatikai és a jogi definíciók vegyes, olykor ellentmondásos használata. Természetesen az egyes fogalomkörök és megközelítések között nem húzható éles határvonal. A magunk részéről jelen tanulmány meghatározásaiban - a kérdés jogi aspektusainak vizsgálatáról lévén szó - a jogászi szemlélet érvényesítésére törekszünk. Hangsúlyoznunk kell ugyanakkor, hogy a titokvédelem, illetve az informatikai biztonság komplex jellege a műszaki, informatikai, szervezési és jogi megoldások együttes, egyidejű érvényesülését követeli meg, bármely elem elmaradása csak látszólagos biztonságot eredményezhet.
Az információs társadalom titokvédelmi szegmensével foglalkozó szakirodalomban szinte kivétel nélkül az adatvédelmi szabályozás képezi a kiindulópontot. Az adatvédelem azonban - noha kétségkívül szerves kapcsolatban áll a titokvédelemmel - elsődlegesen az egyén önrendelkezésének tárgyát képező személyes adatok[6] megóvását szolgálja, azaz a személyhez fűződő adatok gyűjtésének, feldolgozásának és felhasználásának korlátait, valamint az érintett személyek védelmét biztosító alapelvek, szabályok, eljárások, adatkezelési eszközök és módszerek összességét tartalmazza.[7] Jelen tanulmány az informatikai környezetben "létező" minősített adatok védelmét tárgyalja, így - terjedelmi korlátokra tekintettel - nem foglalkozik a személyes adatok kezelésének szabályaival. Megjegyzendő ugyanakkor, hogy a gyakorlatban személyes adat is minősülhet minősített adatnak, illetve az informatikai környezetben kezelt személyes adatok védelmének elvei egybeesnek a minősített adatok védelmét meghatározó elvekkel.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
