A Kari Tanács 2007. március 21-i ülésén hozott határozatok 2. sz. melléklete.

 

Kari vélemény az ELTE Információbiztonsági és Információtechnológiai szabályzatáról

 

Általános megjegyzések

1. Szakmai szempontból egyetértünk azzal, hogy az informatikai terület szabályozása nagyon időszerű, és szükséges. A szabályzatok nyelvezete ugyanakkor igen nehézkes, szakzsargonnal teletűzdelt, számos feloldatlan rövidítés szerepel benne. A közérthetőségen mindenképpen javítani kell, különösen az Információbiztonsági szabályzat (IBSZ) esetében.

2. Nem teljesen világos, hogy pontosan mit takarnak az IBSZ által különböző kategóriákba besorolt rendszerek. Sokkal pontosabban le kell írni ezeket a kategóriákat, esetleg példákkal illusztrálva, különösen a C kategória esetében.

3. A definíciókból úgy tűnik, hogy az A és B kategóriák üzemeltetése az Informatikai Igazgatóság feladata. Megfontolandó ezért, hogy az ezekkel a kategóriákkal kapcsolatos rendelkezéseket az Információs Igazgatóság belső szabályzata, előírásai tartalmazzák, ne a most tárgyalt szabályzatokban szerepeljenek. Így az átlagos oktató-kutató számára frusztráló, nehezen érthető és éppen ezért kevéssé hatékony szabályzat jöhetne létre.

4. Ha a szabályzatok a mindennapi felhasználókra vonatkozó, nehezen betartható szabályozásokat is tartalmaznak, akkor az előírások betartásához a megfelelő műszaki/szakértői segítséget, vagyis a feltételeket is biztosítani kellene. A jelenlegi gyakorlat szerint vannak ugyan az intézetekben, tanszékeken információtechnológiai felelősök, ezek azonban olyan oktatók-kutatók, akik megfelelő szakképzettség nélkül, önerőből tanultak bele a számítógépek használatával kapcsolatos problémák megoldásába, és ezt a tevékenységüket szívességből végzik.

 

 

Részletes megjegyzések

Információbiztonsági szabályzat

 

1. Csak a szöveg legvégén szerepel az igen gyakran előforduló IIG feloldása – célszerű lenne első előforduláskor megadni, akkor is, ha az anyag végig olvasása után megtaláljuk az értelmezését.

 

2. Az Informatikai Szabályzatban használt írásmódot kellene használni és szolgáltatásmenedzsert írni.

 

3. Az 5.1. pont írja le az IT rendszerek besorolásait. Nem érthető a 5.1.2. pontban a kiemelt rendszerek felsorolásánál a „Technológiai (environment, middleware) rendszerek” kifejezés, illetve hogy mit takar a „Kommunikációs rendszerek” kifejezés. Ugyancsak magyarázatra szorul az ’Interaktív kiszolgáló szerverek”, „Kutatói rendszerek” és „HPC” felsorolás az 5.1.3. alatt.

 

4. Az 5.1.4. pont 4. alpontjában javasoljuk a „...folytonosan biztosítani...” kifejezés helyett „...folyamatosan biztosítani...”megfogalmazást, a szóismétlés elkerülése céljából.

 

5. Az 5.1.4. pontban a „További céljaink és elveink” címet viselő rész első bekezdésében javasoljuk az „...és ezzel összefüggésben a maradvány kockázatokat tudatosan vállaljuk.” félmondat elhagyását, mert ez a felelősség elhárítását sugallja.

 

5. A 9.1.3. pont második mondatát össze kellene vonni a 9.1.1. ponttal. A bekezdés utolsó mondatában az „...átalakítás ás...” nyilvánvaló elírás, javítandó.

 

6. A 10.5. pont 3. és 4. alpontja esetében nem világos, hogy ez vonatkozik-e a D típusú rendszerekre is. Ha igen, akkor ez feleslegesnek és kivihetetlennek tűnik. Javasoljuk a második bekezdésben a következő módosítást: „...C és D osztályú rendszerek esetén...”

 

7. A 11.7. pont szerint az A osztályú rendszerekhez történő tetszőleges hozzáférés csak az intranetből lehetséges. Ha a tetszőleges hozzáférés a felhasználói hozzáférést is magában foglalja, akkor ez igencsak problematikus, hiszen ide tartozik a levelező és a tanulmányi rendszer. Ugyanitt a VPN önerős megvalósításának tilalma is szerepel, anélkül, hogy ennek mibenlétére magyarázatot tartalmazna a szabályzat. Pontosítani kell mindkét korlátozást.

 

8. A 12.6. pont. Nem világos, mit takar az „észlelés” kifejezés. A „letöltés” mellett az installálás is kötelezettségének is szerepelnie kellene. Ha mindez a C és D kategóriában is érvényes, akkor az előírás kicsit túl szigorúnak tűnik.

 

9. A 3. melléklet hibásan sorol fel néhány adatot. A második pontban téves a törvényi hivatkozás, mert az 1992. évi LXVI tv.-t az CXXIII. számú módosította. A 10. pontban szereplő ÉVM rendelet már hatályon kívül van helyezve. A 11., 13. és 15. pont alatt szereplő szabványok kötelező alkalmazása megszűnt, ezeket beépítették a tűzvédelem és a polgári védelem műszaki követelményeiről szóló 2/2002. (I.23.) BM rendeletbe. Erre a rendeletre kellene tehát hivatkozni.

 

 

 

Budapest, 2007. március 21.

 

 

 

Dr. Michaletzky György s.k.

dékán