Az elektronikus közigazgatási szolgáltatások számának fokozatos növekedése egyre inkább előtérbe helyezi azok biztonságos megvalósításának kérdéseit. A korábbi években az informatikai biztonság feltételeinek megteremtése, és az ehhez kapcsolódó fejlesztések a legtöbb esetben – a rendelkezésre álló források szűkössége miatt – háttérbe szorultak vagy teljesen elmaradtak.

Sok helyen az informatikai biztonság problémáját elintézve látták azzal, hogy vírusellenőrzőket telepítettek a számítógépekre, illetve elvégezték az adatok rendszeres mentését. Az informatika technikai-technológiai fejlettségének korábbi szakaszaiban, amikor az alkalmazások „házon belül” maradtak, azaz legfeljebb csak belső – épületen belüli – hálózatok működtek, még valóban kevésbé volt szükség a tárolt adatok támadások elleni védelmére.
Az állampolgárok és a vállalkozások szélesebb köre számára nyújtott elektronikus szolgáltatások megjelenésével minőségileg új helyzet állt elő. Ma már az adatok nyilvános csatornákon, az interneten közlekednek, és ezek az adatok gyakran tartalmaznak olyan információkat, amelyek a személyiségi jogok körébe tartoznak, ezért az illetéktelen hozzáférés elleni védelmük, valamint hitelességük és megváltoztathatatlanságuk biztosítása elsőrendű fontosságúvá vált. Ezek a feladatok különösen azon kisebb és közepes nagyságú önkormányzatok számára jelentenek komoly kihívást, akik elektronikus szolgáltatások bevezetésével kívánják korszerűsíteni munkájukat, és erre forrást is tudnak biztosítani, de nem rendelkeznek kellő információval arról, hogy pontosan milyen feladataik vannak e téren.
Jelenleg két olyan jogszabály van hatályban, amelyek az e-szolgáltatást nyújtó önkormányzatok számára is kötelező érvényű előírásokat tartalmaznak: a 195/2005. (IX.22.) és a 84/2007. (IV. 25.) Korm. rendeletek. Az előbbi a hatósági feladatot ellátó közigazgatási szervekre, az utóbbi a Központi Elektronikus Szolgáltató Rendszer azonosítási eljárását igénybe vevő szervekre és szervezetekre vonatkozik. E jogszabályok meghatározzák, hogy milyen dokumentumokkal kell rendelkezni (például informatikai biztonsági szabályzat, katasztrófa-elhárítási terv stb.), illetve milyen feladatai vannak a központi rendszerhez csatlakozni kívánó szervezeteknek, de nem nyújtanak semmilyen fogódzkodót arra nézve, hogy mit kell tartalmaznia az egyes dokumentumoknak, és milyen módon lehet az előírt követelményeknek megfelelni.
A dokumentumok tartalmának összeállításához nyújtanak segítséget a Közigazgatási Informatikai Bizottság (KIB) közeljövőben megjelenő ajánlásai. A Magyar Informatikai Biztonsági Ajánlások (MIBA) összefoglaló címen megjelenő kötetek közül is külön említést érdemel a kis szervezetek és önkormányzatok számára készített összefoglaló. A külön kötetben megjelenő összefoglaló nem azért készült, mert az informatikai biztonság terén az önkormányzatokra valamilyen speciális szabályok lennének érvényesek, hanem azért, hogy az e téren kevesebb tapasztalattal rendelkező munkatársak számára tömör, közérthető formában foglalja össze a lehetőségeket és a követelményeket. Tartalmazza a menedzsment biztonsági intézkedések körében ellátandó feladatokat (kockázatfelmérés, tervezés, beszerzés, audit) és ezek megvalósításának módjait; ismerteti, hogy az üzemeltetési biztonsági intézkedések körében mikre kell figyelni és hogyan lehet ezeket megvalósítani. Ezen belül foglalkozik a fizikai és környezeti védelem, a személyzettel kapcsolatos biztonság (kiválasztás, oktatás), a konfiguráció-kezelés, adathordozó védelem, karbantartás, valamint az üzletmenet-folytonosság kérdéseivel. Ismerteti továbbá a műszaki biztonság körében ellátandó intézkedéseket az azonosítás, a hitelesítés, a hozzáférés-ellenőrzés, a naplózás, az elszámoltathatóság, a rendszer- és információ-sértetlenség, a rendszer- és kommunikáció-védelem terén, valamint a biztonsági eseményekre történő reagálás módjait.
A rendszerek felügyelete és működtetése mellett az informatikai biztonsági dokumentumok és eljárásrendek kialakítása, folyamatos karbantartása, az adatok biztonságos (sérülésmentes és megváltoztathatatlan) továbbításának biztosítása, a támadások megelőzése érdekében folyamatosan szükséges feladatok meghaladhatják a rendelkezésre álló informatikai személyzet kapacitását, és esetenként kompetenciáját is. Ezért e feladatok ellátására – megfelelő kompetenciával rendelkező – külső személy vagy szervezet kapacitása is igénybe vehető. Ez a megoldás abból a szempontból is előnyös lehet, hogy a fejlesztésért és a biztonságért felelős személye különválik, így kisebb valószínűséggel marad el a kockázattal arányos biztonsági fejlesztések megvalósítása. Nem szabad azonban megfeledkezni arról, hogy a szolgáltató szervezet felelőssége e téren nem áthárítható!
A központi rendszeren keresztül szolgáltatást nyújtó, vagy annak azonosítási szolgáltatását igénybe vevő szervezeteknek a 84/2007-es kormányrendelet szerint 2008. június 30-ig kell dokumentumaikat a jogszabály rendelkezéseivel összhangba hozni. Ez nem jelenti azt, hogy azoknak az önkormányzatoknak, amelyek nem esnek a jogszabály hatálya alá, mert azonosítást nem igénylő, de kétirányú adatforgalommal járó elektronikus szolgáltatásokat nyújtanak, nem kell erősíteniük informatikai biztonsági megoldásaikon. Elegendő csupán egy vagy néhány adatvesztés vagy illetéktelen személy által történő hozzáférés, és a teljes elektronikus közigazgatásba vetett hit rendül meg, és ezzel az országosan már több milliárdos nagyságrendű fejlesztések vesznek kárba.