















| | | | Mottó: Bizony, a helyes nyomolvasás valóságos tudomány a vad Nyugaton. /Karl May: Winnetou aranya/ | 2012. január 22. | | | | Log-jog | | | | | Az A syslog nem naplopó című bejegyzésemben már utaltam arra az érdekes tényre, hogy a naplózást használó szervezetek 7% az alapvető biztonságtudatosság mellett egyben a jogszabályi kötelezettségeket teljesítenek. Kíváncsiságból megnéztem, hogy a hazai jogi környezetben hány előírás említi meg a naplózást. Google a barátunk, a "naplózás site:net.jogtar.hu" kifejezésre keresve többnyire e-közigazgatáshoz is kötődő jogszabályok kerültek elő.- 3/2005. (III. 18.) IHM rendelet
az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről
A "szolgáltatói magánkulcs" fogalmának kifejtésénél több tevékenységet is megjelöl a jogszabály, amelyeknél azt használni lehet (pl. tanúsítvány kibocsátása, időbélyegzés), de konkrétan szerepel a listában a naplózás is! Megemlíti, hogy a "naplózott adatállomány minden bejegyzését védeni kell a módosítástól", vagy legalábbis észlelni kell tudni, ha sérültek a naplóadatok.
- 34/2004. (XI. 19.) IM rendelet
az elektronikus dokumentumok közjegyzői archiválásának szabályairól és az elektronikus levéltárról
A naplóbejegyzések időadatának pontosságáról is szól e jogszabály: a "naplózott adatállománynak másodperc pontossággal tartalmaznia kell a naplózott esemény bekövetkeztének időpontját".
- 18/2008. (IV. 30.) GKM rendelet
a gépjárműről és annak hatósági jelzéséről felvételt készítő eszközre vonatkozó követelményekről
A naplóadatok védelméhez kapcsolódó követelményeket akár a HW eszköz szintjén is megfogalmazhatnak. "A naplózási adatokat belső adathordozóra rögzítse, és kialakítása olyan legyen, hogy a készülék felnyitása nélkül ne lehessen azokat módosítani vagy eltávolítani."
- 335/2005. (XII. 29.) Korm. rendelet
a közfeladatot ellátó szervek iratkezelésének általános követelményeiről
Az iratkezelő alkalmazásoknak is szerves része a naplózás. Az irat életciklusában bekövetkezett változásokat le kell tudni követni a naplóbejegyzések alapján, de bizonyos esetekben nemcsak az írás, módosítás, hanem már akár az olvasási hozzáférés is a naplózandó események közé sorolandó ("a jogosult felhasználók naplózás mellett tekinthetik meg az ügyiratot és annak iratait").
- 223/2009. (X. 14.) Korm. rendelet
az elektronikus közszolgáltatás biztonságáról
Az adatok hosszútávú megőrzése az informatikában nem is olyan egyszerű kérdés. Erre felhívja a jogszabály is a figyelmet, amikor kimondja követelményként, hogy a "napló tartalma a megőrzési időn belül a jogosult számára megismerhető és értelmezhető maradjon". Egy e-közigazgatási rendszernél pl. milyen formátumban lehet tárolni az elektronizált (scan) papíralapú bérkartonokat, amelyeket akár 50 év múltán (nyugdíjba menetelkor) is meg kell tudni nyitni? A JPEG szabvány 1992-ben született, a PDF v1.0 is csak 1 évvel fiatalabb nála, de ez is még csak 20 év, nem 50 vagy 100! A jogszabály másik érdekes félmondata, hogy megjelenik benne a rejtjelezés követelményként a komunikációs csatornán való átküldésnél ("a naplózott [...] üzenetet megfelelő rejtjelezési eljárással továbbítsák nyilvános adathálózaton").
- 24/2006. (IV. 29.) BM-IHM-NKÖM együttes rendelet
a közfeladatot ellátó szerveknél alkalmazható iratkezelési szoftverekkel szemben támasztott követelményekről
Az iratkezelő rendszerekre is igaz az, hogy az "eseménynapló adatok teljes vagy részleges [...] exportálását" lehetővé kell tenniük, hiszen a rendszertől függetlenül is szükséges lehet ezek harmadik fél által történő elemzése. A fenti felsorolás csak az első néhány Google találat alapján készült, de jól láttatja, hogy a naplózás annyira központi tényezővé vált az IT rendszereknél, hogy a lehető legtöbb módszerrel - sok esetben a kriptográfiát segítségül hívva - igyekeznek védeni a naplóállományok adattartalmát.
Kapcsolódó anyagok:
| | vissza | | | | |
|