REALIZACE BEZPEČNOSTNÍCH OPATŘENÍ DLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI

A - PŘIHLAŠUJÍCÍ

Jméno a příjmení:       Pavel Kadlec

Titul:                             Mgr. et Mgr,DiS.,MBA

Funkce:                        projektový manažer

Odbor/oddělení:          odbor evropských projektů

E-mail:                          pavel.kadlec@msk.cz

Telefon:                        595622397

Adresa:                         28. října 117, 702 18 Ostrava

Úřad/firma:                  Moravskoslezský kraj

 

Soutěžní kategorie        kraje

B - PROJEKT

Název projektu:  Realizace bezpečnostních opatření podle zákona o kybernetické bezpečnosti

Lokalita:  Moravskoslezský kraj

Cíl:

Cílem projektu, který reaguje na aktuální hrozby v kybernetickém prostoru v souladu s politikou NÚKIB, je zvyšování efektivity a transparentnosti veřejné správy prostřednictvím rozvoje využití a kvality systémů IKT díky zajištění souladu s relevantními požadavky ZKB a VKB. Tento cíl byl naplněn prostřednictvím nasazení následujících bezpečnostních prvků: a) nástroj SIEM včetně funkcionality systému pro pravidelný audit logů; b) systém pro řízení přístupu ke komunikační infrastruktuře, a c) systém pro trvalou ochranu aplikací a informací dostupných z vnější sítě před neoprávněnou činností, popřením provedených činností, kompromitací nebo neautorizovanou změnou.

Cílem zajištění bezpečnostní informací Moravskoslezského kraje je zajištění důvěrnosti, integrity a dostupnosti informací, tj. že informace je dostupná v požadovaném čase, v požadovaném rozsahu a požadovaným (oprávněným) uživatelům, je chráněná před neoprávněným přístupem a je v úplné (správné), celistvé a nezměněné podobě.
Významný informační systém (VIS) má zásadní význam pro fungování veřejné správy (dle stávajícího návrhu vyhlášky např. informační systém základních registrů ISZR, samotné základní registry ROB, ROS, RÚIAN a RPP, informační systém datových schránek ISDS, editační agendové IS atd.). Určující kritéria, resp. konkrétní systémy budou definovány připravovanou vyhláškou, na které spolupracují MV a NBÚ.

Cílová skupina: 

Cílovou skupinou je krajský úřad Moravskoslezského kraje včetně jeho zaměstnanců. Výsledný návrh architektury ICT kraje včetně bezpečnostních opatření nyní obsahuje služby určené pro cílové uživatelské skupiny: Krajský úřad Moravskoslezského kraje vč. zaměstnanců, Zastupitelstvo Moravskoslezského kraje, externí organizace (registrované v IDM kraje) a veřejnost (fyzické a právnické osoby).

Provozovatel:  Krajský úřad Moravskoslezského kraje

Realizátor:  Moravskslezský kraj – krajský úřad a K2 atmitec s.r.o., Vítkovice IT Soulutions a.s., K-net Technical International Group, s.r.o

 

C - POPIS PROJEKTU - POPIS PROVOZOVATELE

1. Prokazatelnost účinků projektu

 

Je sledovaný (zamýšlený) účinek projektu kvantitativně a kvalitativně prokazatelný?

Ano. 

Zvýšení ochrany v rámci kybernetické bezpečnosti na úřadě. Průběh je průběžně monitorován bezpečnostním manažerem krajského úřadu. Systém detekoval již několik útoků za rok. Projekt využívá: Systém řízení přístupu ke komunikační infrastruktuře, Systém pro trvalou ochranu aplikací a informací a Nástroj SIEM a systém pro pravidelný audit logů. Účinek je přesně detekovatelný na počtu kyberútoků a rychlosti a komplexnosti jejich řešení. Projekt tak reaguje na aktuální doporučení a postupy NÚKIB a Národního centra kybernetické bezpečnosti (NCKB).
Vnímají a uznávají uživatelé tento projekt jako prospěšný?
Částečně.  Uživatelé jako takoví nikoliv, spíše ze strany správců a administrátorů-pracovníků odboru informatiky a pracovníci externího SOCu.

Jak podrobně je cílová skupina s projektem obeznámena?

Velmi dobře. 

V rámci jednotlivých plnění byly jednotlivé skupiny obeznámeny a absolvovali školení.
Především se tyto informace týkaly kolegů na odboru informatiky, ostatní zaměstnanci byli informování prostřednictví našich interních předpisů. Základní informace kraj zveřejnil také na svém webu pro veřejnost https://www.msk.cz/cz/dotace_eu/realizace-bezpecnostnich-opatreni-podle-zakona-o-kyberneticke-bezpecnosti-90728/

Odpovídají dosažené výsledky vynaloženým nákladům?

Převyšují.

V komplexu opatření při ochraně kybernetické bezpečnosti a zákonných povinností lze usuzovat že vynaložené náklady byly přiměřené, resp. nízké vzhledem k ocenění možných dopadů kybernetických hrozeb, které projekt řeší.

Jedná se o projekt krátkodobého účinku, nebo lze předpokládat dlouhodobé trvání (jakého rozsahu)?

Předpokládá se dlouhodobé trvání a využití. Díky realizaci projektu kraj naplnil požadavky zákona o kybernetické bezpečnosti (ZKB) a souvisejících předpisů a bude i v budoucnu lépe chráněn proti případným kybernetickým útokům a dalším souvisejícím hrozbám.

 

2. Prokazatelnost nejlepší praxe

Může být tento projekt inspirující pro ostatní subjekty veřejné správy?

V některých oblastech, např. ochrana webových aplikací určitě.

  

Byly, či jsou předávány zkušenosti nabyté v souvislosti s realizací projektu ostatním subjektům veřejné správy?

Připravujeme. Spíše jsou zkušenosti předávány v rámci našich příspěvkových organizací, kde se aplikují obdobné postupy a opatření. Realizace (implementace) projektu byla ukončena v dubnu 2019 a nyní jsou systémy úspěšně provozovány.

 

3. Vícekanálový přístup

Jedná se o projekt, který umožňuje přístup/využití více kanály (způsoby) současně?

Nyní ne. Parametry projektu byly nastaveny v souladu se studií proveditelnosti. Cílem projektu je zajištění bezpečnosti a této bezpečnosti je dosahováno zavedením hned několika opatření v souladu se zákonem o kybernetické bezpečnosti (ZKB).

 

4.  Open Data

Jedná se o projekt, který využívá Open Data?

Ne. Z povahy projektu nikoliv.

 

 

5. Doplňující informace.

K realizaci byl využit projektový tým, resp. projektové řízení podle zásad IPMA. Byla zapojena také nově zavedená funkce na krajském úřadě, tj. bezpečnostní manažer, který byl hlavní postavou projektu (spolu s projektovým manažerem). Kraj na realizaci projektu čerpal dotaci z evropských zdrojů IROP. Kraj může čelit hrozbám kybernetické bezpečnosti.

 

 

D - POPIS PROJEKTU - POHLED REALIZÁTORA

Popište náročnost technické realizace včetně případných specifik 

V rámci realizace projektu byla provedena „Analýza a návrh řešení: Bezpečnostní opatření podle ZKB“, která měla za účel stanovit současný stav naplnění požadavků související s nasazením definovaných bezpečnostních nástrojů a systémů. V rámci této analýzy bylo zjištěno, že KÚ tyto požadavky nesplňoval, resp. zvažované nástroje a systémy nebyly dostatečně zavedeny.

V rámci realizace byly zjištěny možné problémy s začleněním do stávající infrastruktury a pak důkladné otestovaní všech potřebných procedur, které ale souvisí s kapacitami našich zaměstnanců s hlediska jejich vytížení v rámci stávajících rolí a postavení.

V čem může být vaše řešení inspirativní pro ostatní realizátory?

Poskytnutí potřebných znalostí s nasazením a zprovoznění daných projektů.

Co z uvedeného řešení je možné použít opakovaně a co je výjimečným specifikem tohoto nasazení?

Opakovaně lze využívat zařízení pro ochranu webových aplikací a systém 802.1x v rámci rekonfigurace infrastruktury.

Jaké další obdobné projekty jste realizovali, kde a v jakém rozsahu?

Tento projekt byl svým zaměřením (kybernetická bezpečnost) i rozsahem vůbec první. Kraj realizuje připravuje či realizuje další projekty z oblasti eGovernmentu, kde jsou nyní aplikovány další zásady bezpečnosti. Např. v případě „Digitální technická mapa Moravskoslezského kraje“, která je připravována, atp.

KONTAKTY

Ing. Pavel Žák, bezpečnostní manažer, pavel.zak@msk.cz
Mgr. et Mgr. Pavel Kadlec, MBA, DiS. projektový manažer, pavel.kadlec@msk.cz
Ing. Tomáš Vašica, vedoucí odboru informatiky, tomas.vasica@msk.cz

inPage - webové stránky s AI, doménawebhosting