Az elmúlt néhány évben kiemelt hangsúlyt helyeztek a közigazgatást támogató szoftverek követelményeire, így az iratkezelési szoftverekre (továbbiakban: ISZ) is. Meghatározásra kerültek a beépítendő funkciók, valamint az elvárt biztonsági szintek, amelyek kötelező érvényűek a szoftverekkel kapcsolatosan.

2006. április 9-én hatályba lépett a 16/2006. (IV. 6.) BM rendelet, mely a közfeladatot ellátó szerveknél alkalmazható iratkezelési szoftverek megfelelőségét tanúsító szervezetek kijelölésének részletes szabályairól szól.

A rendelet alapján 2006. május 17-től – a belügyminiszter kijelölési okirata alapján – elsőként a CERTOP Termék- és Rendszertanúsító Ház Kft. kezdhette meg ezen tevékenységek ellátását. Az egységes követelmények teljesítését csak egy egységes elvek alapján végrehajtott informatikai terméktanúsítás biztosíthatja, amelyet mind a leendő alkalmazók (vevők), mind a hatóságok elvárnak.

Az iratkezelési szoftverek tanúsítása

A független fél által történő tanúsítási eljárás biztosítja, hogy az ISZ megfelel a működési területéhez kapcsolódó összes kötelező érvényű jogszabálynak, rendeletnek, előírásnak, az elektronikus közigazgatás eljárásainak és követelményeinek.

A tanúsítási eljárás magába foglalja az igények előzetes felmérését, az esetleges konzultációkat, valamint az ISZ és a dokumentumok előírásoknak való megfelelőségvizsgálatát.

Az iratkezelési szoftverek – felügyeleti szervek által jóváhagyott – minősítési eljárása két fő lépésben valósul meg.

Az első lépés az előaudit, ahol az auditorok, szakértők megismerik, feltérképezik a rendszert, valamint teljeskörűen áttekintik a kapcsolódó dokumentációkat, hogy megfelelnek-e a vonatkozó jogszabályoknak, azaz a kötelező érvényű normatíváknak. Eredményeképpen egy úgynevezett „vizsgálati jelentés” készül, amely tartalmazza a vizsgált szoftverrel kapcsolatos tapasztalatokat.

A második lépésben, a minősítő auditon már ténylegesen tesztelésre kerül a rendszer valamennyi – a rendeletekben előírt – funkciója, biztonsági követelménye, valamint a kapcsolódó dokumentációk teljes körű vizsgálata zajlik. A funkciók teljes körű, sikeres tesztelését követően kerül sor a záró tesztelésre, ahol a kialakított szoftvert működési környezetében vizsgálják át a tanúsító szervezet auditorai, szakértői. Az eljárás segítséget nyújt a szervezeteknek a rejtett hibák, eltérések kiküszöbölésére. A sikeres minősítő eljárás után kerül kiállításra a tanúsítvány.

A szervezeteknek lehetőségük van 3 fajta tanúsítvány megszerzésére:

• Szűkített: az ISZ nem rendelkezik elektronikus aláírással, valamint a szorosan összefüggő elektronikus iratkezeléssel kapcsolatos követelményekkel;

• Teljes körű: az együttes rendelet valamennyi követelményét maradéktalanul kielégíti az ISZ;

• Kibővített: az ISZ teljeskörűen kielégíti az együttes rendelet követelményeit, emellett további, speciális szolgáltatásokkal kerül kibővítésre és vizsgálatra, ilyen például az ügyfélkapuval való kapcsolattartás.

A tanúsítvány fenntarthatósága

A tanúsítvány 3 évig érvényes, ez alatt az időszak alatt éves felülvizsgálatokra kerül sor, az ezeken való megfelelés követelménye a tanúsítvány fenntarthatóságának. A 3 év elteltével a tanúsítványt meg kell újítani.

A tanúsítvány érvényességi ideje alatt a szervezeteknek lehetőségük van a tanúsítási szintek között feljebb lépni, úgynevezett rendkívüli audit keretében, azaz magasabb szintű tanúsítvány követelményeit teljesíteni.

A követelmények rendszere

A kijelölési okirat alapján három kötelező érvényű normatíva határozza meg a követelményrendszert:

• A 24/2006. (IV. 29.) BM-IHM-NKÖM együttes rendelet: amely egyértelműen definiálja az ISZ-el szemben támasztott alapvető követelményeket. Összefoglalja az elvárt biztonsági, funkcionális, közigazgatási, valamint az elektronikus megoldásokkal kapcsolatos feltételeket.

• A 335/2005. (XII. 29.) kormányrendelet: amely a közfeladatot ellátó szervekhez beérkező, valamint az ott keletkezett papíralapú és elektronikus iratok kezelésének, és az iratkezelési szabályzatok rendjéhez kapcsolódó követelményeit írja le.

• Az 1995. évi LXVI. törvény: amely a köziratok, a közlevéltárak, és a magánlevéltári anyag védelmének előírásait mutatja be.

Az együttes rendelet kitér az ISZ általános előírásaira, amely általános informatikai felhasználói ismereteket követel meg, és figyelembe kell vennie a mindenkori informatikai lehetőségeket. Megfogalmazza az iktatókönyvekkel, irattári tervekkel, iratok iktatásával, ügyiratok, iratok kezelésével kapcsolatos követelményeket, amely tartalmazza az azonosítási, elnevezési módszerekre, létrehozásra, megnyitásra, kezelésére, mentésre, lezárásra, valamint a metaadatok körére vonatkozó alapvető kritériumokat. Például:

• Bármilyen egyedi iratkezelési szabályzat előírásait ki kell elégíteni a tanúsított szoftvernek;

• Iktatókönyvrendszerek létrehozásának lehetősége, a szervezet bármilyen szintjére – akár személyekhez rendelve – lebontva;

• Ügyiratdarabok egyszerű kezelése, valamint átlátható megjelenítése;

• Metaadatok széles körben lefedik az iratkezelési folyamatokban előforduló információk nyilvántartását;

• Tárolt adatok alapján a már felhasznált és ismétlődő definíciók könnyen előkereshetők;

• Statisztikák, kimutatások naprakész, egyszerű és gyors előállítását biztosítják;

• A felhasználó szerveknél keletkező iratok hatékony és naprakész nyilvántartását lehet megvalósítani,

• Megkönnyíti a határidők figyelését, ügyiratok és irat fellelési helyének pontos követését. A rendelet néhány kiemelt követelménye, példákkal szemléltetve a gyakorlati tapasztalatok alapján: A jogosultságok, adatbiztonság, adatvédelemmel kapcsolatos feltételek rendszerét. Például:

• az iratok megismerése, tartalmukhoz történő hozzáférés csak a megfelelő szerepkörű és jogosultságú személyeknek lehetséges;

• a helyettesítések bonyolult útvesztője leegyszerűsödik a tanúsított ISZ-ben;

• a rendszerbe kívülről érkező elektronikus iratok esetében is biztonságos működést tud biztosítani a különböző ellenőrzési megoldások segítségével.

Az átadás, exportálás, selejtezés, iratátvétel, importálás eljárásaival kapcsolatos előírásokat, ezek felülvizsgálatát. Például:

• különböző tanúsított ISZ között egyszerű átadást/átvételt biztosítanak;

• felülvizsgálatok teljes körű megoldását biztosítják, valamennyi végkimenetelével együtt.

Az ISZ megjelenítési (nyomtatási, keresési) és eseménynaplózás követelményeit. Például:

• eseménynapló segítségével a szoftverben elvégzett tevékenységeket rögzíti (akár illetéktelen hozzáférést kezdeményeztek, akár lekérdezés történt), minden egyes tevékenység nyomon követhető, az összegyűjtött információkat a naplóban nem lehet megváltoztatni, de független ellenőrzést végző személynek átlátható és egyértelmű adatokat kell szolgáltatnia;

• minden fontos rögzített adatra keresési lehetőséget kell biztosítania a felhasználók számára;

• leegyszerűsödik a tanúsított rendszerekben az előzménykezelés.

A műszaki és teljesítmény követelményeit, a hálózati üzemeltethetőség feltételeit, a műszaki szabványoknak való megfelelést, valamint az elektronikus aláírás lehetőségét. Például:

• a teljesítményi követelményeknek gyors iratmegnyitási és keresési időket kell eredményezniük;

• teljes körű tanúsítás esetében az elektronikus aláírás alkalmazáshoz kapcsolódó megoldások beépülnek az ISZ-be, minden esetben az egyszerű és gyors ügyintézést támogatva.

Általában a tanúsítási eljárásokat a szoftverfejlesztők kezdeményezték, azonban vannak olyan eddig használt szoftverek, amelyek tanúsítását maguk a közfeladatot ellátó szervek kérelmezték és kezdték meg.

A tanúsított ISZ biztosítja, hogy az informatikai termék megfelel a működési területéhez kapcsolódó összes vonatkozó jogszabálynak, rendeleteknek, előírásoknak, az elektronikus közigazgatás eljárásainak és követelményeinek, emellett elismertséget jelent a fejlesztő cégeknek, az együttműködők bizalma megerősödhet, a piaci kapcsolataik javulhatnak és csökkenthetik az érdekelt felek kockázatát. A végfelhasználók, döntéshozók számára lehetőség nyílik az egyszerű, érzékelhető és összehasonlítható választásokra. Természetesen a tanúsító szervezetnél is lehet információt szerezni a tanúsított termékekről, viszont nem adható ki olyan információ, amely a döntéshozókat bármilyen módon is befolyásolhatja, egyik vagy másik szoftverfejlesztő céget előtérbe helyezhetné. ■