Az adatvédelemről

A közigazgatás szakmai fóruma

Cikkek / Informatika

Az adatvédelemről

IX. évfolyam, 1. lapszám
Szerző(k):
Futó Iván



Az adatkezelő, illetőleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az Avtv., valamint az egyéb adatés titokvédelmi szabályok érvényre juttatásához szükségesek.

 

 

Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen.

 

Az adatvédelemmel kapcsolatos, számos más fogalom mellett, a felhasználó számára két nagyon fontos fogalom a jogosultság és a célhoz kötöttség.

 

A jogosultságot a különböző biztonsági fokozatok mellett más eljárással lehet igazolni, a legegyszerűbb és legismertebb jelszavas megoldástól kezdve a biometrikus adatokat is tartalmazó (ujjlenyomat, íriszkép) elektronikus kártyákig.

 

Amennyiben felrajzoljuk egy általános, teljes funkcionalitású közigazgatási intézmény referenciamodelljét, akkor abban három elem nyújtja közvetlenül a fenti szolgáltatásokat.

 

A referenciamodell elemei: (JOGOS) jogosultságkezelés; (KODSRV) kódok központi nyilvántartása, kezelése; (META) adatvagyon kezelésének informatikai támogatása; (KÜLKAP) külső kapcsolatok kezelése; (IFKR) informatikai keretrendszer biztosítása; (NYILVTART) nyilvántartások – adatbázisok – megvalósítása; (DOKU) dokumentumkezelés, (EBEV) elektronikus formanyomtatványok kezelése; (ELJAR) intézményi eljárások keretrendszerének megvalósítása; (NYOMDA) nagy tömegű nyomtatás előkészítése és adminisztrációja; (KSZNY) közszolgálati nyilvántartás; (SPECALK) egyedi alkalmazói rendszerek működtetése; (INFSZO) információszolgáltatás – adattárház, szakértői rendszerek; (FEJL) fejlesztést támogató alkalmazások működtetése; (ÜZEM) üzemeltetést támogató alkalmazások működtetése.

 

Az adatvédelemhez közvetlenül kapcsolhatók a JOGOS, IFKR, KSZNY elemek.

 

A jogosultságkezelő (JOGOS) feladata az intézmény dolgozóinak a különböző helyeken, esetleg különböző platformokon a különböző informatikai rendszerekhez való egységes hozzáférésének kezelése. A rendszer hatáskörébe kell tartoznia az intézmény informatikai rendszereit fejlesztő dolgozók jogainak kezelése is. Biztosítani kell az egységes munkaköri jogosultságok kezelését, a szervezeti hierarchiához kötött jogosultságokat.

 

Az informatikai keretrendszer (IFKR) alkalmazás a fejlesztésben közös, egységes felületek kialakításáért felel, és támogatja a központi, batch üzemeltetést a futtatások monitorozására, ill. fájladminisztráció lekérdezésére szolgáló funkciókon keresztül. A rendszer célja tehát egy olyan a keretrendszert nyújtani, amely közös funkciókat biztosít az alkalmazásoknak. A teljesség igénye nélkül ezek a funkciók a következők: feldolgozásadminisztráció (naplózás), egységes felhasználói felület biztosítása, közös eljárások biztosítása, modulok verzióellenőrzése, kapcsolódó technikai funkciók stb.

 

A közszolgálati nyilvántartó (KSZNY) feladata a köztisztviselők jogállásáról szóló törvényben előírt nyilvántartás vezetése. Az alapnyilvántartás adatainak körét rendeletek szabályozzák. Az adatoknak a központi közszolgálati nyilvántartás felé továbbításának rendjét is rendeletben szabályozták. A nyilvántartást az intézmény személyügyi szervezeti egysége vezeti. Az adatlapok személyügyi iratok, az alkalmazottak személyi anyagának részét képezik. Az intézmény jogosultságkezelő rendszere (JOGOS) ebből a nyilvántartásból kap adatot az új dolgozókról, a kilépő dolgozókról, a szervezeti változásokról. A jogosultságkezelő rendszerrel a kapcsolat egyirányú.

 

A fentieknek megfelelően a jogosultságot a JOGOS a KSZNY alapján kezeli, míg az IFKR a szabványos lekérdező funkciók segítségével naplózza a hozzáféréseket. A naplózás alapján ellenőrizhető a célhoz kötöttség, a naplófájlok megfelelő monitorozásával.

 

Igen gyakori, hogy egyes intézményeknél a fejlesztők szinte „korlátlan” jogosultsággal rendelkeznek. A „tisztességes”, de természetesen drága megoldás, ha az intézmény informatikai rendszere egymástól független négy szintből áll: fejlesztő rendszer, tesztelő rendszer, éles üzemi rendszer, katasztrófaközpont (normál üzemben információszolgáltatás biztosíthat). Az elkülönült rendszereket kezelő informatikusok csak a feladataik ellátásához szükséges jogosultságokkal rendelkeznek, így a fejlesztőknek nincs hozzáférésük az éles rendszerhez, de az üzemeltetők sem tudnak adatokhoz hozzáférni. Amennyiben mégis szükséges az éles rendszerbe beavatkozni valamilyen probléma miatt, akkor az csak külön engedélylyel és dokumentáltan, megfelelő eljárásokon keresztül lehetséges.

 

A tapasztalat alapján (sajnos) meg lehet fogalmazni a következő állítást: olyan területi/helyi szervekkel rendelkező intézményeknél, ahol a területi/helyi szervek saját informatikai fejlesztőkkel rendelkeznek, és azok helyi igényeket kielégítő programokat is készítenek, általában nincs megfelelően biztosítva az adatvédelem. Gondoljuk csak végig, hogy a fejlesztett programok milyen jogosultságkezeléssel és naplózással rendelkeznek!

 

A referenciamodell elemei

Kategória

Könyvajánló

Facebook Pagelike Widget

 

1037 Budapest, Montevideo utca 14.
Tel.: +36 1 340 2304
Fax: +36 1 349 7600
E-mail: info@orac.hu

Weboldal: orac.hu

Szakmai partnerek

Jegyzők Országos Szövetsége (JOSZ) – www.josz.eu

Közszolgálati Tisztviselők Szakmai Szervezeteinek Szövetsége – www.kozszov.org.hu