• Nem Talált Eredményt

Az elektronikus információs rendszerek biztonságával kapcsolatos feladatok 75

A feladatrendszer elemzése során nem célszerű kikerülni az informatikai biztonsággal kapcsolatos feladatokat sem. Az informatikai biztonság szabályozásával kapcsolatos fel-adatok sokáig az informatikai szervezethez tartoztak, hiszen – szakmailag tévesen - ösz-szekapcsolták a technológia fejlesztésének, üzemeltetésének tevékenységével. Ha más szakterülettel próbálnék analógiát keresni, olyan ez, mintha a hivatásos gépjármű vezetők és a gépjárműszerelők feladata lenne a közlekedési szabályok megalkotása, vagy a köz-lekedés rendszerének megszervezése, majd a végrehajtás ellenőrzése. A gyakorlatban ugyanakkor a szabályokat más szakképesítéssel rendelkező szakemberek alkotják.

A terület ma már törvényi szinten szabályozott az állami és önkormányzati szervek elekt-ronikus információbiztonságáról szóló 2013. évi L. törvény [108] által. A jogszabály meghatározza a végrehajtandó feladatokat, kijelöli a hatósági jogkör gyakorlóját, előírja a tevékenység kereteit. A szervezetek vezetői részére konkrétan meghatározott feladat, hogy „az elektronikus információs rendszer biztonságáért felelős személyt125 nevez ki

124 Jogszabályban meghatározott korlátozások alapján működő nem nyilvános mobiltelefon szolgáltatás.

125 Az elektronikus információs rendszer védelméért felelős személy megnevezést gyakran a „kiberbiztos”

szóval helyettesítik, ennek oka – nyelvészeti - a hosszú megnevezés rövidítése, egyszerűsítése.

vagy bíz meg” [108 §11(1)c)], továbbá „meghatározza a szervezet elektronikus informá-ciós rendszerei védelmének felelőseire, feladataira és az ehhez szükséges hatáskörökre, felhasználókra vonatkozó szabályokat, illetve kiadja az informatikai biztonsági szabály-zatot” [108 §11(1)f)]. A jogszabály azt nem határozza meg, hogy az elektronikus infor-mációs rendszer védelméért felelős személy, vagy szervezeti egység az adott szervezet hierarchiájában hol helyezkedjen el. Mivel a jogszabály e téren megengedő, így ez a szer-vezet szer-vezetőjének döntése. Ezt állapította meg egy publikációjában Sebestyén Attila, ugyanakkor azt is megfogalmazta, hogy „Az információbiztonság szempontjából ki kell alakítani a fékek és egyensúlyok rendszerét, amely egyik fontos pillére a szerepkörök és az összeférhetetlenségének szabályozása. Célszerűség okán el kell különíteni az adatke-zelői, az üzemeltetői és a felügyeleti szerepköröket.” [109 pp. 74-75] (13. ábra).

13. ábra

Információbiztonsági szerepkörök [109 p. 75.]

Fentiek alapján az elektronikus információbiztonságért felelős tevékenységet nem cél-szerű az informatikai szakterületen végezni, hiszen ez összeférhetetlenséghez vezet. Szin-tén nem célszerű az informatikai szakterületet irányító vezető alárendeltségébe helyezni a hierarchiában.

A három vizsgált szervezet feladatrendszerét, szervezeti felépítését áttekintve az alábbi-akat állapítottam meg. Az ORFK SZMSZ alapján az elektronikus információ biztonság-gal kapcsolatos feladatokat a Gazdasági Főigazgatóság végzi [38; 39.jj.) pont]. A Gazda-sági Főigazgatóságon belül pedig az Informatikai Üzemeltetési Főosztály – 2019-től az Informatikai Főosztály - alárendeltségében működő E-biztonság Felügyeleti Osztály végzi az elektronikus információs rendszerek biztonságával kapcsolatos feladatokat.

A BM OKF szervezetében az elektronikus információs rendszerek biztonságával kapcso-latos feladatokat végző személy közvetlenül a gazdasági főigazgató irányításával végzi

tevékenységét. A tevékenység így nem az informatikai szakterületen belül történik, de azzal közös vezető általi irányítással. Értekezésem kutatási részének lezárásakor kezdő-dött meg egy olyan szervezeti átalakítás, amelynek eredményeképpen – tervezetten - a jövőben a BM OKF főigazgató közvetlen alárendeltségében működő főosztály szintű szervezeten belüli szervezeti egység126 fogja végezni ezt a tevékenyéget. A módosítással tehát eggyel magasabb vezetői szintre kerül a tevékenység irányítása.

A BVOP szervezetében az elektronikus információs rendszerek védelméért felelős sze-mély az országos parancsnok közvetlen irányítása alatt álló Hivatal szervezetében a Jogi és Adatkezelési Főosztályon végzi munkáját, tevékenységét az SZMSZ részletesen sza-bályozza [61; 2.6.3.3. pont]. Ezzel a szervezet megfelel az összeférhetetlenség célszerű-ségének.

A 2013. évi L. törvényben meghatározott célok érvényesülése érdekében célszerű az in-formatikai feladatokat végző szervezeti egység és az elektronikus információs rendszerek biztonságáért felelős személy – vagy szervezeti egység – szervezeti hierarchiában történő elkülönítése oly módon, hogy a hierarchiában a két szakterület első közös vezetője a szer-vezet első számú szer-vezetője legyen. Ennek alapján a rendvédelmi szerszer-vezetek közül a BVOP által alkalmazott, vagy a BM OKF-nál a szervezeti átalakítást követő feladatmeg-osztás ajánlott.

3.6 Informatikai irányítás

Fenti fejezetekben a rendvédelmi szervek informatikai szaktevékenységének vizsgálata során kiemelten kezeltem a központi – felső szintű – szakirányítást végző szervezeti egy-ségek feladatrendszerét. A tevékenységi háló igazolta, hogy az informatikai irányítás (szakirányítás) sok esetben erőforrás hiányban szenved, mivel az operatív – jellemzően üzemeltetési és fejlesztési – feladatok azt elvonják.

Napjanikban az informatikai irányítás valamennyi szervezet működése szempontjából kulcsfontosságú. „Az informatikai irányítás ma már önálló tudományterület a vezetés és szervezés tudományon belül, és a vállalkozás irányításának kihagyhatatlan részét al-kotja.” írja Kő Andrea tanulmányában [110 p. 5.]. „Az informatikai irányítás magában foglalja azokat a területeket – a vezetést, a szervezeti struktúrát és folyamatokat – ame-lyek biztosítják, hogy a vállalat informatikai szolgáltatásai hozzájáruljanak a szervezet stratégiáinak és célkitűzéseinek fenntartásához és kiterjesztéséhez.” [110 p. 8.]. Ennek

126 osztály vagy csoport

alapján tehát azoknál a szervezeteknél, ahol az informatika támogató, kiszolgáló szerepé-ből kilépve, stratégiai, innovatív szerepet tölt be, a releváns irányítási folyamatok, a mű-ködés alapjává, elengedhetetlen feltételévé vált, professzionális informatikai irányításra van szükség. Ennek megvalósításához célszerű informatikai irányítási és ellenőrzési ke-retrendszer bevezetése, ilyen az ISACA127 által alkotott, nemzetközileg elfogadott és al-kalmazott keretrendszer a COBIT128. A COBIT a felső vezetésnek a változó informatikai környezet kockázatkezelésében, az informatikai beruházások tervezésében, a kontrollok kialakításában nyújt támogatást. Az üzleti - közigazgatás esetében a szakmai - területek vezetése a belső és külső szolgáltatók által nyújtott informatikai szolgáltatások irányítá-sáról, kontrolljáról kap visszacsatolást. Biztosítja azokat az informatikai szolgáltatásokat, amelyekre a szakmai tevékenységnek szüksége van a stratégia támogatásához. [110 p.

8.]. Összességében egy átlátható, egységes alapot teremt az informatikai tevékenység irá-nyításához, ellenőrzéséhez, amelynek fókusza a szervezet stratégiai céljainak megvalósí-tása. A vállalatok korábban a COBIT 4.1 keretrendszert alkalmazták, napjainkban már a COBIT 5 az, amely napjaink környezetéhez illeszkedik. A COBIT 5 közelebb hozza egy-máshoz a szakmai és informatikai területet, a napjainkban alkalmazott nemzetközi szab-ványrendszerre és legjobb gyakorlatokra épül, megkülönbözteti az informatikai irányítás és menedzsment folyamatokat. A COBIT 5 irányelvek alkalmazhatók – a vállalkozási mellett – a közszférában is [110 pp. 17-18.]129.

Fentiek alapján a rendvédelmi szervezeteknél szükségesnek tartom egy informatikai irá-nyítási keretrendszer bevezetését, és ezzel együtt az informatikai irányítás stratégiai szintű megvalósítását. Ez egyben azt is jelenti, hogy az informatikai irányítást és stratégia alkotást végző szervezeti egységtől el kell választani az operatív feladatokat (üzemeltetés, fejlesztés, gazdálkodás, stb.), azokat – a szervezeten belüli - másik szervezeti egységben kell megvalósítani.