Általános megjegyzések
1. Szakmai szempontból egyetértünk azzal, hogy az informatikai terület szabályozása nagyon időszerű, és szükséges. A szabályzatok nyelvezete ugyanakkor igen nehézkes, szakzsargonnal teletűzdelt, számos feloldatlan rövidítés szerepel benne. A közérthetőségen mindenképpen javítani kell, különösen az Információbiztonsági szabályzat (IBSZ) esetében.
2. Nem
teljesen világos, hogy pontosan mit takarnak az IBSZ által különböző
kategóriákba besorolt rendszerek. Sokkal pontosabban le kell írni ezeket a
kategóriákat, esetleg példákkal illusztrálva, különösen a C kategória esetében.
Részletes megjegyzések
Információbiztonsági
szabályzat
1. Csak a szöveg legvégén szerepel az igen
gyakran előforduló IIG feloldása – célszerű lenne első előforduláskor megadni,
akkor is, ha az anyag végig olvasása után megtaláljuk az értelmezését.
2. Az Informatikai Szabályzatban használt
írásmódot kellene használni és szolgáltatásmenedzsert írni.
3. Az 5.1. pont
írja le az IT rendszerek besorolásait. Nem érthető a 5.1.2.
pontban a kiemelt rendszerek felsorolásánál a „Technológiai (environment, middleware)
rendszerek” kifejezés, illetve hogy mit takar a „Kommunikációs rendszerek”
kifejezés. Ugyancsak magyarázatra szorul az ’Interaktív
kiszolgáló szerverek”, „Kutatói rendszerek” és „HPC” felsorolás az 5.1.3. alatt.
4. Az 5.1.4. pont
4. alpontjában javasoljuk a „...folytonosan biztosítani...” kifejezés helyett
„...folyamatosan biztosítani...”megfogalmazást, a szóismétlés elkerülése
céljából.
5. Az 5.1.4. pontban
a „További céljaink és elveink” címet viselő rész első bekezdésében javasoljuk
az „...és ezzel összefüggésben a maradvány kockázatokat tudatosan vállaljuk.”
félmondat elhagyását, mert ez a felelősség elhárítását sugallja.
5. A 9.1.3. pont
második mondatát össze kellene vonni a 9.1.1. ponttal. A bekezdés utolsó
mondatában az „...átalakítás ás...” nyilvánvaló
elírás, javítandó.
6. A 10.5. pont 3.
és 4. alpontja esetében nem világos, hogy ez vonatkozik-e a D típusú
rendszerekre is. Ha igen, akkor ez feleslegesnek és kivihetetlennek tűnik.
Javasoljuk a második bekezdésben a következő módosítást: „...C
és D osztályú rendszerek esetén...”
7. A 11.7. pont szerint az A osztályú rendszerekhez történő tetszőleges hozzáférés csak
az intranetből lehetséges. Ha a tetszőleges hozzáférés a felhasználói
hozzáférést is magában foglalja, akkor ez igencsak problematikus, hiszen ide
tartozik a levelező és a tanulmányi rendszer. Ugyanitt a VPN önerős
megvalósításának tilalma is szerepel, anélkül, hogy ennek mibenlétére
magyarázatot tartalmazna a szabályzat. Pontosítani kell mindkét korlátozást.
8. A 12.6. pont.
Nem világos, mit takar az „észlelés” kifejezés. A „letöltés” mellett az
installálás is kötelezettségének is szerepelnie
kellene. Ha mindez a C és D kategóriában is érvényes, akkor az előírás kicsit túl
szigorúnak tűnik.
Budapest, 2007. március 21.
Dr. Michaletzky György s.k.
dékán