IMPLEMENTACE APLIKACE A METODIKY HODNOCENÍ RIZIK BEZPEČNOSTI IT PROSTŘEDNICTVÍM SYSTÉMU RISKGUIDE
A - PŘIHLAŠUJÍCÍ
Jméno a příjmení: Miroslav Vacula
Titul: Ing.
Funkce: CIO
E-mail: vacula.miroslav@jmk.cz
Telefon: 541651221
Adresa: Brno, Žerotínovo náměstí 3
Úřad/firma: Jihomoravský kraj
Soutěžní kategorie kraje
B - PROJEKT
Název projektu: Implementace aplikace a metodiky hodnocení rizik bezpečnosti IT prostřednictvím systému Risk*Guide
Lokalita: Jihomoravský kraj
Cíl:
a. Zrychlit procesy hodnocení rizik (identifikace, analýza a vyhodnocení rizik)
b. Mít trvalý přehled o aktuálním stavu hodnocení rizik / procesu
c. Vybírat v čase optimální bezpečnostní opatření pro snížení rizik a minimalizovat
dopady potenciálních hrozeb na aktiva na akceptovatelnou úroveň
d. Mít možnost zpracovávat a doplňovat všechna v čase aktuální rizika a mít nad nimi
plnou kontrolu
2. Zavést aktualizovanou metodiku pro hodnocení bezpečnosti IT
Cílová skupina:
Provozovatel: KrÚ Jihomoravského kraje
Realizátor: SIKS a.s.
C - POPIS PROJEKTU - POPIS PROVOZOVATELE
1. Prokazatelnost účinků projektu
Je sledovaný (zamýšlený) účinek projektu kvantitativně a kvalitativně prokazatelný?
Ještě ne. Projekt byl dokončen v 06/2021, nyní probíhá první fáze aplikace hodnocení rizik na oblast činností odboru Informatiky KrÚ jihomoravského kraje a kyberbezpečnosti.
Jak podrobně je cílová skupina s projektem obeznámena?
Velmi dobře.
Uživatelé byli od začátku projektu zapojeni do realizace, byli proškoleni, v rámci uživatelských testů proběhlo další seznámení s aplikací. Aktuálně probíhá rutinní provoz v aplikaci, jejíž nasazení napříč všemi odbory KrÚ Jihomoravského kraje se předpokládá během následujících měsíců.
Odpovídají dosažené výsledky vynaloženým nákladům?
Odpovídají. Aplikace Risk*Guide je nasazena jako cloudové řešení a jako takové není finančně náročné a je dlouhodobě využitelná.
Jedná se o projekt krátkodobého účinku, nebo lze předpokládat dlouhodobé trvání (jakého rozsahu)?
2. Prokazatelnost nejlepší praxe
Může být tento projekt inspirující pro ostatní subjekty veřejné správy?
Rozhodně ano. Správa a analýza rizik je základní metodikou, kterou má státní správa za povinnost definovat, používat a využívat nejenom pro vlastní kontrolní činnost(pokud tuto provádí), ale tato aktivita je povinnou součástí výběrových řízení a veřejných zakázek jak interních (myšleno v úřadě), tak i externích (při posuzování a vyhodnocování existujících aktivit), nezbytnou součástí externích i interních auditů a ten to systém Risk*Guide dokáže v čase evidovat taková opatření a rizika, která nastala i v minulosti a tím poskytuje ucelený obraz na konkrétní aktivitu v čase, ve kterém byla realizována.
Byly, či jsou předávány zkušenosti nabyté v souvislosti s realizací projektu ostatním subjektům veřejné správy?
Připravujeme. Prozatím ne, projekt je v rutinním provozu zatím krátkou dobu. Nicméně výstupy, vstupy i analýzy jsou a budou inspirativní takřka pro všechny subjekty a úrovně veřejné správy.
3. Vícekanálový přístup
Jedná se o projekt, který umožňuje přístup/využití více kanály (způsoby) současně?
Ano. Systém je navržen jak on-premise, tak i pro provoz v cloudovém prostředí, je tedy platformově nezávislý.
4. Open Data
Jedná se o projekt, který využívá Open Data?
Ne. Projekt a jeho nasazení nečekává vstup ani výstup otevřených dat z pochopitelných důvodů.
5. Doplňující informace.
D - POPIS PROJEKTU - POHLED REALIZÁTORA
Aplikace Risk*Guide pro KÚ Jihomoravský kraj je cloudové řešení.
Specifika:
- Autentizace uživatelů je řešena přes Azure AD podle požadavků Provozovatele.
- Zohledněna již existující metodika hodnocení rizik KÚ Jihomoravského kraje.
- Konzultace experta na hodnocení a analýzu rizik (porovnání stávající metodiky Provozovatele a definice dalších kroků)
- Realizace projektu zcela on-line (včetně řízení projektu, veškerá komunikace, vypořádání uživatelských akceptačních testů apod. s využitím platformy MS Teams)
V čem může být vaše řešení inspirativní pro ostatní realizátory?
Aplikace Risk*Guide je otevřené řešení pro hodnocení rizik různých oblastí organizace (nejen pro analýzy a hodnocení rizik kybernetické bezpečnosti), je možné implementovat různé metodiky hodnocení rizik. Obsahuje modul Nápravných opatření ve vazbě na bezpečnostní opatření.
Realizace probíhala v těsné součinnosti s uživateli již od zahájení projektu.
Co z uvedeného řešení je možné použít opakovaně a co je výjimečným specifikem tohoto nasazení?
Risk*Guide je produkt připravený jako cloud nebo on-premise verze podle preferencí konečného Provozovatele. Specifikem nasazení pro KÚ Jihomoravský kraj byla příprava autentizace uživatelů prostřednictvím AD Azure.
Jaké další obdobné projekty jste realizovali, kde a v jakém rozsahu?
Ministerstvo spravedlnosti – Risk*Guide jako on-premise řešení pro celý resort včetně složek (příspěvkových organizací MSp).
KONTAKT
SIKS (subdodavatel S.ICZ a ICZ)
Na Pankráci 1062/58
140 00, Praha 4
Telefon: +420 222 271 155
e-mail: info@siks.cz