A nemzetközi ajánlások közös jellemzői: Egyensúly biztosítása a személyes adatok védelme és az információ szabad áramlása között A nemzetközi törvényhozásokban érvényesüljenek az ajánlások Azonos adatvédelmi normák érvényesüljenek mind az állami, mind a magánszektorban A 70-es évek elején az addigi megfogalmazott polgárjogi egyezmények nem bizonyultak elegendőnek a kérdés szabályozására az Internet megjelenésével.

 A nemzetközi ajánlások a következő alapelveket fogadták el:  Meg kell határozni az adatgyűjtés célját és azt ismertetni az adatszolgáltatóval.  Korlátokat kell felállítani, pontosan meghatározva az adatok körét, amire az adatgyűjtés kiterjedhet.  Az adatok meghatározott csoportjához kell az adatvédelmi rendszert felépíteni.  Az állampolgárral ismertetni kell, hogy kik jutnak hozzá az adataihoz.  Biztosítani kell, hogy mindenki hozzáférjen a róla szóló adatokhoz, és az esetleges hibák kijavítása megtörténjék.  Meg kell határozni azokat az adatcsoportokat, amelyek csak az érintett külön engedélyével tárolhatók.  Az adatkezelő köteles az általa tárolt adatok védelmét biztosítani  Gondoskodni kell az adatvédelemre vonatkozó előírások betartásának ellenőrzéséről.

 A szerzői jogok valamely mű szerzőjének azon jogát jelenti, hogy műve felhasználásának bizonyos módját engedélyezze vagy megtiltsa.  A szerzői jogokat Mo.-n a évi LXXVI-os tv. Szabályozza.  33§ (1) A szabad felhasználás körében a felhasználás díjtalan, és ahhoz a szerző engedélye nem szükséges. Csak a nyilvánosságra hozott művek használhatók fel szabadon szerzői jogi tv. Rendelkezéseinek megfelelően. …  35§ (1) Magáncélra bárki készíthet a műről másolatot, ha az jövedelemszerzés vagy jövedelemfokozás célját közvetve sem szolgálja. E rendelkezés nem vonatkozik az építészeti műre, a műszaki létesítményre, a szoftverre, és a számítástechnikai eszközzel működtetett adattára, valamint a mű nyilvános előadásának kép- vagy hanghordozóra való rögzítésére.

 Értelmező rendelkezések:  Személyes adat:  A meghatározott természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható.  Különleges adat:  a faji eredetre, a nemzeti, nemzetiségi és etnikai hovatartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más meggyőződésre,  Az egészségi állapotra, kóros szenvedélyre, a szexuális életre, valamint büntetett előéletre vonatkozó személyes adatok

 Közérdekű adat:  Az állami vagy helyi önkormányzati feladatot, valamint a jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő, a személyes adat fogalma alá nem eső adat  Adatkezelés:  Az alkalmazott eljárástól függetlenül a személyes adatok felvétele és tárolása, feldolgozása, hasznosítása, adatkezelésnek számít az adatok megváltozatása és további felhasználásuk megakadályozása is  Adattovábbítás:  Ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik  Nyilvánosságra hozatal:  Ha az adatot bárki számára hozzáférhetővé teszik

 Adatkezelő:  Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely a személyes adatok kezelésének célját meghatározza, az adatkezelésre vonatkozó döntéseket meghozza és végrehajtja, illetőleg a végrehajtással adatfeldolgozót bízhat meg.  Adatfeldolgozó:  Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelő megbízásából személyes adatok feldolgozását végzi.

 Személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárul, vagy azt törvény vagy - tv. felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete elrendeli.

 Az az adat, amely:  A tv. által meghatározott adatkörbe tartozik. És  A minősítési eljárásban a minősítő kétséget kizáróan megállapította, hogy az érvényességi idő lejárta előtti  Nyilvánosságra hozatala, jogosulatlan megszerzése vagy felhasználása, illetéktelen személy tudomására hozása, továbbá az arra jogosult részére hozzáférhetetlenné tétele  Sérti vagy veszélyezteti a Magyar Köztársaság honvédelmi, nemzetbiztonsági, bűnüldözési vagy bűnmegelőzési, központi pénzügyi vagy devizapolitikai, külügyi vagy nemzetközi kapcsolataival összefüggő, valamint igazságszolgáltatási érdekeit.

 A minősítésre felhatalmazott által meghatározott adatkörbe tartozó adat, amelynek az érvényességi idő lejárta előtti  Nyilvánosságra hozatala, jogosulatlan megszerzése vagy felhasználása, illetéktelen személy részére hozzáférhetővé tétele  Sérti az állami vagy közfeladatot ellátó szerv működésének rendjét, akadályozza a feladat- és hatáskörének illetéktelen befolyástól mentes gyakorlását.

 Az adatbiztonság – az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere

 Az adatok a megfelelő helyen és időben rendelkezésre álljanak az arra jogosult számára  Csak a tulajdonos engedélyével lehessen megváltoztatni, vagyis sértetlenek legyenek.  Ha szükséges, akkor bizalmasan kezeljék őket  Hitelesek legyenek  Feldolgozásuk zavartalan legyen

 TCSEC – Trusted Computer System Evaluation Criteria – Narancs könyv  ITSEC – Information Technology Security Evaluation Criteria – Fehér könyv

 A biztonsági alapkövetelmények a következők:  Rendelkezésre állás  Sértetlenség  Bizalmasság  Hitelesség  Működőképesség

 Fenyegető tényezők:  A biztonsági alapkövetelmények teljesítését zavaró körülmények vagy események: IT rendszer elleni támadások, véletlen események (tűz, áramkimaradás), adatbeviteli hiba, hardver meghibásodás, vírusok, programhibák

 Alapfunkciók:  Azonosítás  Hitelesítés  Jogosultság kiosztás  Jogosultság ellenőrzés  Bizonyíték biztosítás  Újraindítási képesség  Hibaáthidalás, a rendeltetésszerű működés biztosítása  Átviteli biztonság

 Bizonyíték biztosítás  Arra szolgál, hogy a ráruházott jogokkal való visszaélést ki lehessen mutatni, vagy a nem megengedett jogok alkalmazásának kísérletét fel lehessen tárni.

Alapvetően 4 csoportra osztja a biztonsági osztályokat D – minimális védelem C – szelektív és ellenőrzött védelem B – kötelező és ellenőrzött védelem A – bizonyított védelem

 Egy ilyen rendszerben bárki elérhet, módosíthat és törölhet bármilyen adatot és módosíthatja a rendszer erőforrásait. Pl.: MS- DOS

 Minden felhasználó névvel és jelszóval azonosítja magát, amivel kétséget kizárólag meg lehet őket különböztetni. A felhasználó csak a jogosultsági köréhez tartozó műveleteket végezhet. Pl.: UNIX

 A felhasználó azonosításhoz egy fokozott ellenőrzés társul. Lényeges eleme a részletekbe menő rendszer-adminisztráció és pontos személyazonosítás. A hozzáférési jogok odaítélése az egyes felhasználók vagy felhasználói csoportok számára lehetséges. Pl.: Windows NT 4.x től és a Novell NetWare 4.x től

 Itt már az is követelmény, hogy a rendszer objektumai olyan címkét kaphassanak, amelyek szabályozhatják a hozzáférési mechanizmusokat. Pl.: System V/MLS, Unisys OS 1100

 Itt a strukturált hozzáférés védelem eszközeit alkalmazzák, vagyis az objektumok azonosítása és hozzáférés ellenőrzése szigorúan elkülönített referenciamonitor használatával történik. Honeywell Multics

 Az ide tartozó rendszerek az egyes védelmi területeket elkülönítve kezelik, vagyis fizikailag és logikailag is elválasztják egymástól. A biztonsági felügyelő, a rendszeradminisztrátor és a felhasználók biztonsági funkciói és jogosultságai is elkülönítettek. Honeywell XTS-200 rendszere

 Ez az osztály az előzőn túl megköveteli a biztonsági rendszer eredményes működésének matematikai úton való bizonyítását. A rendszer biztonsági vizsgálatát a tervezésnél kezdi, és az ellenőrzés végigköveti a bevezetés és az üzemeltetés összes lépését.  Honeywell SCOMP, Boeing Arepspace SNS rendszer