A nemzetközi ajánlások közös jellemzői: Egyensúly biztosítása a személyes adatok védelme és az információ szabad áramlása között A nemzetközi törvényhozásokban érvényesüljenek az ajánlások Azonos adatvédelmi normák érvényesüljenek mind az állami, mind a magánszektorban A 70-es évek elején az addigi megfogalmazott polgárjogi egyezmények nem bizonyultak elegendőnek a kérdés szabályozására az Internet megjelenésével.
A nemzetközi ajánlások a következő alapelveket fogadták el: Meg kell határozni az adatgyűjtés célját és azt ismertetni az adatszolgáltatóval. Korlátokat kell felállítani, pontosan meghatározva az adatok körét, amire az adatgyűjtés kiterjedhet. Az adatok meghatározott csoportjához kell az adatvédelmi rendszert felépíteni. Az állampolgárral ismertetni kell, hogy kik jutnak hozzá az adataihoz. Biztosítani kell, hogy mindenki hozzáférjen a róla szóló adatokhoz, és az esetleges hibák kijavítása megtörténjék. Meg kell határozni azokat az adatcsoportokat, amelyek csak az érintett külön engedélyével tárolhatók. Az adatkezelő köteles az általa tárolt adatok védelmét biztosítani Gondoskodni kell az adatvédelemre vonatkozó előírások betartásának ellenőrzéséről.
A szerzői jogok valamely mű szerzőjének azon jogát jelenti, hogy műve felhasználásának bizonyos módját engedélyezze vagy megtiltsa. A szerzői jogokat Mo.-n a évi LXXVI-os tv. Szabályozza. 33§ (1) A szabad felhasználás körében a felhasználás díjtalan, és ahhoz a szerző engedélye nem szükséges. Csak a nyilvánosságra hozott művek használhatók fel szabadon szerzői jogi tv. Rendelkezéseinek megfelelően. … 35§ (1) Magáncélra bárki készíthet a műről másolatot, ha az jövedelemszerzés vagy jövedelemfokozás célját közvetve sem szolgálja. E rendelkezés nem vonatkozik az építészeti műre, a műszaki létesítményre, a szoftverre, és a számítástechnikai eszközzel működtetett adattára, valamint a mű nyilvános előadásának kép- vagy hanghordozóra való rögzítésére.
Értelmező rendelkezések: Személyes adat: A meghatározott természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Különleges adat: a faji eredetre, a nemzeti, nemzetiségi és etnikai hovatartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más meggyőződésre, Az egészségi állapotra, kóros szenvedélyre, a szexuális életre, valamint büntetett előéletre vonatkozó személyes adatok
Közérdekű adat: Az állami vagy helyi önkormányzati feladatot, valamint a jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő, a személyes adat fogalma alá nem eső adat Adatkezelés: Az alkalmazott eljárástól függetlenül a személyes adatok felvétele és tárolása, feldolgozása, hasznosítása, adatkezelésnek számít az adatok megváltozatása és további felhasználásuk megakadályozása is Adattovábbítás: Ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik Nyilvánosságra hozatal: Ha az adatot bárki számára hozzáférhetővé teszik
Adatkezelő: Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely a személyes adatok kezelésének célját meghatározza, az adatkezelésre vonatkozó döntéseket meghozza és végrehajtja, illetőleg a végrehajtással adatfeldolgozót bízhat meg. Adatfeldolgozó: Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelő megbízásából személyes adatok feldolgozását végzi.
Személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárul, vagy azt törvény vagy - tv. felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete elrendeli.
Az az adat, amely: A tv. által meghatározott adatkörbe tartozik. És A minősítési eljárásban a minősítő kétséget kizáróan megállapította, hogy az érvényességi idő lejárta előtti Nyilvánosságra hozatala, jogosulatlan megszerzése vagy felhasználása, illetéktelen személy tudomására hozása, továbbá az arra jogosult részére hozzáférhetetlenné tétele Sérti vagy veszélyezteti a Magyar Köztársaság honvédelmi, nemzetbiztonsági, bűnüldözési vagy bűnmegelőzési, központi pénzügyi vagy devizapolitikai, külügyi vagy nemzetközi kapcsolataival összefüggő, valamint igazságszolgáltatási érdekeit.
A minősítésre felhatalmazott által meghatározott adatkörbe tartozó adat, amelynek az érvényességi idő lejárta előtti Nyilvánosságra hozatala, jogosulatlan megszerzése vagy felhasználása, illetéktelen személy részére hozzáférhetővé tétele Sérti az állami vagy közfeladatot ellátó szerv működésének rendjét, akadályozza a feladat- és hatáskörének illetéktelen befolyástól mentes gyakorlását.
Az adatbiztonság – az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere
Az adatok a megfelelő helyen és időben rendelkezésre álljanak az arra jogosult számára Csak a tulajdonos engedélyével lehessen megváltoztatni, vagyis sértetlenek legyenek. Ha szükséges, akkor bizalmasan kezeljék őket Hitelesek legyenek Feldolgozásuk zavartalan legyen
TCSEC – Trusted Computer System Evaluation Criteria – Narancs könyv ITSEC – Information Technology Security Evaluation Criteria – Fehér könyv
A biztonsági alapkövetelmények a következők: Rendelkezésre állás Sértetlenség Bizalmasság Hitelesség Működőképesség
Fenyegető tényezők: A biztonsági alapkövetelmények teljesítését zavaró körülmények vagy események: IT rendszer elleni támadások, véletlen események (tűz, áramkimaradás), adatbeviteli hiba, hardver meghibásodás, vírusok, programhibák
Alapfunkciók: Azonosítás Hitelesítés Jogosultság kiosztás Jogosultság ellenőrzés Bizonyíték biztosítás Újraindítási képesség Hibaáthidalás, a rendeltetésszerű működés biztosítása Átviteli biztonság
Bizonyíték biztosítás Arra szolgál, hogy a ráruházott jogokkal való visszaélést ki lehessen mutatni, vagy a nem megengedett jogok alkalmazásának kísérletét fel lehessen tárni.
Alapvetően 4 csoportra osztja a biztonsági osztályokat D – minimális védelem C – szelektív és ellenőrzött védelem B – kötelező és ellenőrzött védelem A – bizonyított védelem
Egy ilyen rendszerben bárki elérhet, módosíthat és törölhet bármilyen adatot és módosíthatja a rendszer erőforrásait. Pl.: MS- DOS
Minden felhasználó névvel és jelszóval azonosítja magát, amivel kétséget kizárólag meg lehet őket különböztetni. A felhasználó csak a jogosultsági köréhez tartozó műveleteket végezhet. Pl.: UNIX
A felhasználó azonosításhoz egy fokozott ellenőrzés társul. Lényeges eleme a részletekbe menő rendszer-adminisztráció és pontos személyazonosítás. A hozzáférési jogok odaítélése az egyes felhasználók vagy felhasználói csoportok számára lehetséges. Pl.: Windows NT 4.x től és a Novell NetWare 4.x től
Itt már az is követelmény, hogy a rendszer objektumai olyan címkét kaphassanak, amelyek szabályozhatják a hozzáférési mechanizmusokat. Pl.: System V/MLS, Unisys OS 1100
Itt a strukturált hozzáférés védelem eszközeit alkalmazzák, vagyis az objektumok azonosítása és hozzáférés ellenőrzése szigorúan elkülönített referenciamonitor használatával történik. Honeywell Multics
Az ide tartozó rendszerek az egyes védelmi területeket elkülönítve kezelik, vagyis fizikailag és logikailag is elválasztják egymástól. A biztonsági felügyelő, a rendszeradminisztrátor és a felhasználók biztonsági funkciói és jogosultságai is elkülönítettek. Honeywell XTS-200 rendszere
Ez az osztály az előzőn túl megköveteli a biztonsági rendszer eredményes működésének matematikai úton való bizonyítását. A rendszer biztonsági vizsgálatát a tervezésnél kezdi, és az ellenőrzés végigköveti a bevezetés és az üzemeltetés összes lépését. Honeywell SCOMP, Boeing Arepspace SNS rendszer