IBTV törvény: 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról. Menedzsment problémák megoldásakor bevált módszer, hogy behívnak valakit az "utcáról", elmondják neki a problémát, és megkérdezik tőle, hogy hogyan oldaná meg. Azok, akik a napi munkájuk során szembesülnek a problémával, a megoldási javaslatuk sokszor a megszokott sémákon alapul, pedig nem biztos, hogy a sematikus válaszok a legjobb válaszok. A módszer sikere abban rejlik, hogy aki nem ismeri teljes összefüggésében a problémát, adhat olyat ötleteket, ami a problémához közel állóknak újabb inputot adhat a jó megoldás kialakításához. Az IBTV-hez kapcsolódó eszmefuttatásunk vállalati környezetben helytálló, államigazgatási területen fenntartásokkal kell fogadni, mert nem veszi figyelembe a szabályozási és adminisztratív korlátokat. Az IBTV törvény sok kérdést, és erőforrás aggályt vet fel. Maga a törvényalkotó is elnyújtott bevezetést ír elő, nyilvánvalóan a lehetőségek és érdekek ütköztetésekor ki kellett alakítani valamilyen kompromisszumot. Jelentős erőforrás és szakértelem szükséges ahhoz, hogy a törvény hatálya alá eső hivatal megfeleljen a követelményeknek. Minden érintett hivatalnak és szervezetnek végre kell hajtania ugyanazokat a lépéseket, be kell tartania ugyanazokat az előírásokat. Ez a tény önmagában felveti már azt a kérdést, hogy kellően hatékony lesz ez így? Erre a hatékonysági kérdésre már számos területen (az államigazgatásban is ) született jó válasz, miszerint legyenek specializált szolgáltató központok, bizonyos területet érdemes fókuszált szolgáltatókhoz kiszervezni. Miért ne lehetne ugyanezeket a válaszokat adni az információ biztonságra? Legyen az államigazgatáson belül is egy szolgáltató szervezet, aki az egységes biztonsági riportokat és szükség esetén riasztásokat szolgáltatja a hivatalok részére. A vállalati analógiát segítségül hívva az államigazgatás egy nagyvállalat, a hivatalok pedig az üzletágak, vagy divíziók. Egy nagyvállalat esetében trivialitás, hogy az üzletágak az alaptevékenységükre fókuszálnak, az informatikát és a kapcsolódó biztonságot szolgáltatásként veszik igénybe a vállalat IT szolgáltatójától és a biztonságért felelős részlegtől, mert ők értenek hozzá. Egy üzletre koncentráló egységtől nem elvárás, hogy értsen az informatikához, nem beszélve a költséghatékonyságról. Miért ne tekinthetnénk az állami hivatalokra, mint üzletágakra? Fókuszáljanak az alaptevékenységükre, és az IT biztonság kiszervezhető részét vegyék igénybe, mint szolgáltatást. Bizonyos részei az állami informatikának már így működik (NISZT, KEK KH,stb.), talán nem is olyan elrugaszkodott a felvetés... Nyilvánvaló, hogy a törvény bizonyos előírásait egy-egy hivatalnak kell elvégeznie, de talán nem vízió egy központi szervezetre ruházni a biztonság szolgáltatói szerepkört. Műszaki akadályok nincsenek. A fejlett információbiztonsági megoldásokban lehet definiálni üzleti egységeket (értsd hivatalokat), marad "csak" a szabályozási korlát és az érdekek. DE itt már átcsúsznánk a politikába. Ahhoz meg nem értünk.
IBTV törvény, ahogy az államigazgatásban látjuk…
Akinek kalapács van a kezében az minden problémát szögnek lát, szokták mondani. Ez általában rossz megközelítést eredményez. Azonban a valóság nem zárja ki, sőt kívánatos esetnek tartja, hogy egyszer-egyszer egy kalapácsos ember valóban szöggel találkozzon. Kollégánk, Cseh Zsolt, aki IT governance rendszerekkel foglalkozik elolvasva a 2013. évi L. törvényt az állami és önkormányzati szervek elektronikus információbiztonságáról (IBTV) a következő szabad gondolatokra jutott: