RELIZACE BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI.
A - PŘIHLAŠUJÍCÍ
Jméno a příjmení: Pavel Kadlec
Titul: Mgr. et Mgr., Dis.
Funkce: projektový manažer
E-mail: pavel.kadlec@msk.cz
Telefon: 595622397
Adresa: 28. října 117, 702 18 Ostrava
Úřad/firma: Moravskoslezský kraj
Soutěžní kategorie kraje
B - PROJEKT
Název projektu: Realizace bezpečnostních opatření podle zákona o kybernetické bezpečnost
Lokalita:
Moravskoslezský kraj
Cíl:
Obecným cílem projektu je zvyšování efektivity a transparentnosti veřejné správy prostřednictvím rozvoje využití a kvality systémů IKT díky zajištění souladu s relevantními požadavky ZKB a VKB. Tento cíl byl naplněn prostřednictvím nasazení následujících bezpečnostních prvků: a) nástroj SIEM včetně funkcionality systému pro pravidelný audit logů; b) systém pro řízení přístupu ke komunikační infrastruktuře, a c) systém pro trvalou ochranu aplikací a informací dostupných z vnější sítě před neoprávněnou činností, popřením provedených činností, kompromitací nebo neautorizovanou změnou.
Cílem zajištění bezpečnostní informací Moravskoslezského kraje je zajištění důvěrnosti, integrity a dostupnosti informací, tj. že informace je dostupná v požadovaném čase, v požadovaném rozsahu a požadovaným (oprávněným) uživatelům, je chráněná před neoprávněným přístupem a je v úplné (správné), celistvé a nezměněné podobě.
Významný informační systém (VIS) má zásadní význam pro fungování veřejné správy (dle stávajícího návrhu vyhlášky např. informační systém základních registrů ISZR, samotné základní registry ROB, ROS, RÚIAN a RPP, informační systém datových schránek ISDS, editační agendové IS atd.). Určující kritéria, resp. konkrétní systémy budou definovány připravovanou vyhláškou, na které spolupracují MV a NBÚ.
Cílová skupina:
Cílovou skupinou je krajský úřad MSK včetně jeho zaměstnanců. Výsledný návrh architektury ICT kraje včetně bezpečnostních opatření nyní obsahuje služby určené pro cílové uživatelské skupiny: Krajský úřad Moravskoslezského kraje vč. zaměstnanců, Zastupitelstvo Moravskoslezského kraje, externí organizace (registrované v IDM kraje) a veřejnost (fyzické a právnické osoby).
Provozovatel:
Krajský úřad Moravskoslezského kraje
Realizátor:
Moravskslezský kraj – krajský úřad a K2 atmitec s.r.o., Vítkovice IT Soulutions a.s., K-net Technical International Group, s.r.o
C - POPIS PROJEKTU - POPIS PROVOZOVATELE
1. Prokazatelnost účinků projektu
Je sledovaný (zamýšlený) účinek projektu kvantitativně a kvalitativně prokazatelný?
Částečně. Zvýšení ochrany v rámci kybernetické bezpečnosti na úřadě. Průběh je průběžně monitorován bezpečnostním manažerem krajského úřadu.
Vnímají a uznávají uživatelé (cílová skupina) tento projekt jako prospěšný?
Částečně. Uživatelé jako takoví nikoliv, spíše ze strany správců a administrátorů-pracovníků odboru informatiky a pracovníci externího SOCu.
Jak podrobně je cílová skupina s projektem obeznámena?
Velmi dobře. V rámci jednotlivých plnění byly jednotlivé skupiny obeznámeny a absolvovali školení.
Prvořadě se tyto informace týkaly kolegů na odboru informatiky, ostatní zaměstnanci byli informování prostřednictví našich interních předpisů. Základní informace kraj zveřejnil také na svém webu pro veřejnost https://www.msk.cz/cz/dotace_eu/realizace-bezpecnostnich-opatreni-podle-zakona-o-kyberneticke-bezpecnosti-90728/
Odpovídají dosažené výsledky vynaloženým nákladům?
Převyšují. V komplexu opatření při ochraně kybernetické bezpečnosti a zákonných povinností lze usuzovat že vynaložené náklady byly přiměřené.
Jedná se o projekt krátkodobého účinku, nebo lze předpokládat dlouhodobé trvání (jakého rozsahu)?
Lze předpokládat dlouhodobé trvání a využití. Díky realizaci projektu kraj naplnil požadavky zákona o kybernetické bezpečnosti (ZKB) a souvisejících předpisů a bude i v budoucnu lépe chráněn proti případným kybernetickým útokům a dalším souvisejícím hrozbám.
2. Prokazatelnost nejlepší praxe
Může být tento projekt inspirující pro ostatní subjekty veřejné správy?
V některých oblastech, např. ochrana webových aplikací určitě.
Byly, či jsou předávány zkušenosti nabyté v souvislosti s realizací projektu ostatním subjektům veřejné správy?
Částečně, spíše jsou zkušenosti předávány v rámci našich příspěvkových organizací, kde se aplikují obdobné postupy a opatření. Realizace (implementace) projektu byla ukončena v dubnu 2019 a nyní jsou systémy úspěšně provozovány.
3. Vícekanálový přístup
Jedná se o projekt, který umožňuje přístup/využití více kanály (způsoby) současně?
Nyní ne. Parametry projektu byly nastaveny v souladu se studií proveditelnosti. Cílem projektu je zajištění bezpečnosti a této bezpečnosti je dosahováno zavedením hned několika opatření v souladu se zákonem o kybernetické bezpečnosti (ZKB).
4. Open Data
Jedná se o projekt, který využívá Open Data?
Z povahy projektu nikoliv.
5. Doplňující informace.
K realizaci byl využit projektový tým, resp. projektové řízení podle zásad IPMA. Byla zapojena také nově zavedená funkce na krajském úřadě, tj. bezpečnostní manažer, který byl hlavní postavou projektu (spolu s projektovým manažerem). Kraj na realizaci projektu čerpal dotaci z evropských zdrojů IROP. Kraj může čelit hrozbám kybernetické bezpečnosti.
D - POPIS PROJEKTU - POHLED REALIZÁTORA
V rámci realizace projektu byla provedena „Analýza a návrh řešení: Bezpečnostní opatření podle ZKB“, která měla za účel stanovit současný stav naplnění požadavků související s nasazením definovaných bezpečnostních nástrojů a systémů. V rámci této analýzy bylo zjištěno, že KÚ tyto požadavky nesplňoval, resp. zvažované nástroje a systémy nebyly dostatečně zavedeny.
V rámci realizace byly zjištěny možné problémy s začleněním do stávající infrastruktury a pak důkladné otestovaní všech potřebných procedur, které ale souvisí s kapacitami našich zaměstnanců s hlediska jejich vytížení v rámci stávajících rolí a postavení.
V čem může být vaše řešení inspirativní pro ostatní realizátory?
Co z uvedeného řešení je možné použít opakovaně a co je výjimečným specifikem tohoto nasazení?
Opakovaně lze využívat zařízení pro ochranu webových aplikací a systém 802.1x v rámci rekonfigurace infrastruktury.
Jaké další obdobné projekty jste realizovali, kde a v jakém rozsahu?
Tento projekt byl svým zaměřením (kybernetická bezpečnost) i rozsahem vůbec první. Kraj realizuje připravuje či realizuje další projekty z oblasti eGovernmentu, kde jsou nyní aplikovány další zásady bezpečnosti. Např. v případě „Digitální technická mapa Moravskoslezského kraje“, která je připravována, atp.
KONTAKTY
Pavel Kadlec, projektový manažer, pavel.kadlec@msk.cz
Pavel Žák, bezpečnostní manažer, pavel.zak@msk.cz
Tomáš Vašica, vedoucí odboru informatiky, tomas.vasica@msk.cz