IMPLEMENTACE APLIKACE A METODIKY HODNOCENÍ RIZIK BEZPEČNOSTI IT PROSTŘEDNICTVÍM SYSTÉMU RISKGUIDE

A - PŘIHLAŠUJÍCÍ

Jméno a příjmení:       Miroslav Vacula

Titul:                             Ing.

Funkce:                        CIO

Odbor/oddělení:          informatika

E-mail:                          vacula.miroslav@jmk.cz

Telefon:                        541651221

Adresa:                         Brno, Žerotínovo náměstí 3

Úřad/firma:                  Jihomoravský kraj

 

Soutěžní kategorie        kraje

B - PROJEKT

Název projektu:  Implementace aplikace a metodiky hodnocení rizik bezpečnosti IT prostřednictvím systému Risk*Guide

Lokalita:  Jihomoravský kraj

Cíl:

1. Provozovat a mít k dispozici univerzální nástroj pro hodnocení rizik různých oblastí činnosti KrÚ Jihomoravského kraje v prostředí cloudu
       a. Zrychlit procesy hodnocení rizik (identifikace, analýza a vyhodnocení rizik)
       b. Mít trvalý přehled o aktuálním stavu hodnocení rizik / procesu
       c. Vybírat v čase optimální bezpečnostní opatření pro snížení rizik a minimalizovat
               dopady potenciálních hrozeb na aktiva na akceptovatelnou úroveň  
       d. Mít možnost zpracovávat a doplňovat všechna v čase aktuální rizika a mít nad nimi
               plnou kontrolu
2. Zavést aktualizovanou metodiku pro hodnocení bezpečnosti IT

Cílová skupina: 

Přímými uživateli jsou aktuálně zaměstnanci KrÚ Jihomoravského kraje, nicméně efekt risk managementu má dopad i na ostatní aktivity Jihomoravského kraje (audity, kontroly, veřejné zakázky, investiční akce) včetně současných i budoucích aktivit příspěvkových organizací Jihomoravského kraje.

Provozovatel:  KrÚ Jihomoravského kraje

Realizátor:  SIKS a.s.

 

C - POPIS PROJEKTU - POPIS PROVOZOVATELE

1. Prokazatelnost účinků projektu

 

Je sledovaný (zamýšlený) účinek projektu kvantitativně a kvalitativně prokazatelný?

Ještě ne. Projekt byl dokončen v 06/2021, nyní probíhá první fáze aplikace hodnocení rizik na oblast činností odboru Informatiky KrÚ jihomoravského kraje a kyberbezpečnosti.

Vnímají a uznávají uživatelé tento projekt jako prospěšný?
Ano. 
Aplikace Risk*Guide nahradila aktuální řešení, které bylo realizováno prostřednictvím tabulek programu MS Excel. Veškerá aktuální aktiva a předmětná rizika byla identifikována a vložena do systému tak, aby následné hodnocení a analýza rizik byly naprosto transparentní. Práce s aplikací je jednoduchá, nápravná opatření jsou provázána na bezpečnostní opatření. Systém pracuje s nejnovější metodikou identifikuje hrozby, zranitelnost a dopad včetně inheretní mír rizika a samozřejmě eviduje existující opatření. Hodnoty výsledné míry rizika a navrhovaná opatření jsou pak samozřejmou součástí implementovaného systému. Uživatelé oceňují i hostorii změn a úprav, stejně tak i výrazně vyšší uživatelský komfort.

Jak podrobně je cílová skupina s projektem obeznámena?

Velmi dobře. 

Uživatelé byli od začátku projektu zapojeni do realizace, byli proškoleni, v rámci uživatelských testů proběhlo další seznámení s aplikací. Aktuálně probíhá rutinní provoz v aplikaci, jejíž nasazení napříč všemi odbory KrÚ Jihomoravského kraje se předpokládá během následujících měsíců.

Odpovídají dosažené výsledky vynaloženým nákladům?

Odpovídají. Aplikace Risk*Guide je nasazena jako cloudové řešení a jako takové není finančně náročné a je dlouhodobě využitelná.

Jedná se o projekt krátkodobého účinku, nebo lze předpokládat dlouhodobé trvání (jakého rozsahu)?

Jedná se o dlouhodobý projekt, aplikaci je možné využít pro hodnocení rizik různých oblastí organizace nejen v rámci samotného krajského úřadu, ale pro příspěvkové organizace KrÚ Jihomoravského kraje. Cloudové řešení zajišťuje vždy aktuální verzi aplikace a komfortní a rychlý přístup k aplikaci.

 

2. Prokazatelnost nejlepší praxe

Může být tento projekt inspirující pro ostatní subjekty veřejné správy?

Rozhodně ano. Správa a analýza rizik je základní metodikou, kterou má státní správa za povinnost definovat, používat a využívat nejenom pro vlastní kontrolní činnost(pokud tuto provádí), ale tato aktivita je povinnou součástí výběrových řízení a veřejných zakázek jak interních (myšleno v úřadě), tak i externích (při posuzování a vyhodnocování existujících aktivit), nezbytnou součástí externích i interních auditů a ten to systém Risk*Guide dokáže v čase evidovat taková opatření a rizika, která nastala i v minulosti a tím poskytuje ucelený obraz na konkrétní aktivitu v čase, ve kterém byla realizována.

  

Byly, či jsou předávány zkušenosti nabyté v souvislosti s realizací projektu ostatním subjektům veřejné správy?

Připravujeme. Prozatím ne, projekt je v rutinním provozu zatím krátkou dobu. Nicméně výstupy, vstupy i analýzy jsou a budou inspirativní takřka pro všechny subjekty a úrovně veřejné správy.

 

3. Vícekanálový přístup

Jedná se o projekt, který umožňuje přístup/využití více kanály (způsoby) současně?

Ano. Systém je navržen jak on-premise, tak i pro provoz v cloudovém prostředí, je tedy platformově nezávislý.

 

4.  Open Data

Jedná se o projekt, který využívá Open Data?

Ne. Projekt a jeho nasazení nečekává vstup ani výstup otevřených dat z pochopitelných důvodů.

 

 

5. Doplňující informace.

 

 

D - POPIS PROJEKTU - POHLED REALIZÁTORA

Popište náročnost technické realizace včetně případných specifik 

První instalace Risk*Guide, aplikace pro podporu hodnocení rizik organizace typu Krajský úřad.
Aplikace Risk*Guide pro KÚ Jihomoravský kraj je cloudové řešení.
Specifika:
- Autentizace uživatelů je řešena přes Azure AD podle požadavků Provozovatele.
- Zohledněna již existující metodika hodnocení rizik KÚ Jihomoravského kraje.
- Konzultace experta na hodnocení a analýzu rizik (porovnání stávající metodiky Provozovatele a definice dalších kroků)
- Realizace projektu zcela on-line (včetně řízení projektu, veškerá komunikace, vypořádání uživatelských akceptačních testů apod. s využitím platformy MS Teams)

V čem může být vaše řešení inspirativní pro ostatní realizátory?

Aplikace Risk*Guide je otevřené řešení pro hodnocení rizik různých oblastí organizace (nejen pro analýzy a hodnocení rizik kybernetické bezpečnosti), je možné implementovat různé metodiky hodnocení rizik. Obsahuje modul Nápravných opatření ve vazbě na bezpečnostní opatření.
Realizace probíhala v těsné součinnosti s uživateli již od zahájení projektu.

Co z uvedeného řešení je možné použít opakovaně a co je výjimečným specifikem tohoto nasazení?

Risk*Guide je produkt připravený jako cloud nebo on-premise verze podle preferencí konečného Provozovatele. Specifikem nasazení pro KÚ Jihomoravský kraj byla příprava autentizace uživatelů prostřednictvím AD Azure.

Jaké další obdobné projekty jste realizovali, kde a v jakém rozsahu?

Ministerstvo spravedlnosti – Risk*Guide jako on-premise řešení pro celý resort včetně složek (příspěvkových organizací MSp).

KONTAKT

SIKS (subdodavatel S.ICZ a ICZ)
Na Pankráci 1062/58
140 00, Praha 4
Telefon: +420 222 271 155
e-mail: info@siks.cz

inPage - webové stránky, doménawebhosting snadno.