Řízení rizik v oblasti bezpečnosti informací, ochrany osobních údajů a v kontextu NIS2

A – Přihlašující

Jméno a příjmení: Hana Plášková
Titul: Ing.
Funkce: kontrolní pracovnice, pověřenec pro ochranu osobních údajů
Odbor: odbor vnitřních věcí
E-mail: hana.plaskova@muzabreh.cz
Telefon: +420 583 468 233
Adresa: Masarykovo nám. 510/6, 789 01 Zábřeh
Firma: město Zábřeh
Nominace v kategorii: města

 

B – Projekt

Název projektu: Řízení rizik v oblasti bezpečnosti informací, ochrany osobních údajů a v kontextu NIS2
Lokalita: město Zábřeh
CÍL: efektivnější a uživatelsky přívětivější zpracování analýzy rizik ve webové aplikaci ManaRisk v návaznosti na bezpečnost informací, ochranu osobních údajů a plnění požadavků vyplývajících z NIS2 (směrnice EU o kybernetické bezpečnosti)

Cílová skupina: zaměstnanci města Zábřeh, subjekty osobních údajů a dále kontrolní orgány
Provozovatel: město Zábřeh
Realizátor: MANA Consulting s. r. o.

 

C – popis projektu – pohled provozovatele

1 - PROKAZATELNOST ÚČINKŮ PROJEKTU

Je sledovaný (zamýšlený) účinek projektu kvantitativně a kvalitativně prokazatelný?

ANO.  

Provozovatel každoročně obhajuje certifikát – ISO 27001 (bezpečnost informací).

 

Vnímají a uznávají uživatelé (cílová skupina) tento projekt jako prospěšný?

ANO.

Aplikace ManaRisk nahradila dosavadní nástroj, který řešil problematiku analýzy rizik prostřednictvím MS Excel. Práce v původním nástroji byla uživatelsky komplikovaná a byla dostupná pouze omezené skupině uživatelů. Nyní je přístupná všem zaměstnancům v rámci agend, s kterými nakládají. V aplikaci se pracuje kontinuálně, ukládají se v ní archivní data a k dispozici jsou rozličné sestavy, přehledné statistiky ke každoročnímu hodnocení rizik a posouzení souladu s požadovanými podmínkami.

 

Jak podrobně je cílová skupina s projektem obeznámena?

VELMI DOBŘE.
 Zaměstnanci jsou proškoleni a každoročně se účastní interních testů zaměřených na bezpečnost informací, kybernetickou bezpečnost a jejich součástí jsou i testové otázky týkající se informací vedených v aplikaci.
Subjekty údajů mají na webových stránkách přístupný dokument Registr agend, který plní podmínky záznamů o činnostech zpracování GDPR.
V rámci auditů ISO 27001 jsou data v aplikaci pravidelně prověřována. Rovněž jsou prověřovány související záznamy o prováděných změnách, schválení apod.

 

Odpovídají dosažené výsledky vynaloženým nákladům?

PŘEVYŠUJÍ.
Z dlouhodobého hlediska výsledky převyšují náklady. Aplikace umožnila jednoduché a efektivní řešení dané problematiky. V souvislosti s budoucími požadavky vyplývajícími z právních předpisů (zákon o kybernetické bezpečnosti a související vyhlášky), kterými budou implementovány změny v kybernetické bezpečnosti (směrnice EU o kybernetické bezpečnosti NIS2), budou ušetřeny náklady, které by musely být vynaloženy v případě nevyužívání této aplikace.

 

Jedná se o projekt krátkodobého účinku, nebo lze předpokládat dlouhodobé trvání?

TRVALÝ.
Jedná se o projekt trvalý. Vedení městského úřadu a města Zábřeh směřuje k neustálému zlepšování bezpečnosti informací (včetně ochrany osobních údajů a kybernetické bezpečnosti).

 

2 - PROKAZATELNOST NEJLEPŠÍ PRAXE

Může být projekt inspirující pro ostatní subjekty veřejné správy?

ROZHODNĚ ANO.
Řízení a analýza rizik je pro veřejnou správu vzhledem k vývoji v legislativě, zvláště v evropském právu, povinnou součástí aktivit, ať už je to z hlediska ochrany osobních údajů, zadávání veřejných zakázek, finanční kontroly, kybernetické bezpečnosti a dalších oblastí.

 

Byly, či jsou předávány zkušenosti nabyté v souvislosti s realizací projektu ostatním subjektům veřejné správy?

ANO, BYLY.
Na webových stránkách jsou přístupné informace pro veřejnost, a tedy i pro ostatní subjekty veřejné správy. Realizátor projektu spolupracuje s dalšími subjekty, kterým předává informace a kontakty, a nebrání se případné další spolupráci do budoucna.

 

C3 – VÍCEKANÁLOVÝ PŘÍSTUP

Jedná se o projekt, který umožňuje přístup/využití více kanály (způsoby) současně?

NENÍ MOŽNÉ.

 

4 - OPEN DATA

Jedná se o projekt, který využívat OPEN DATA?

 

5 - DOPLŇUJÍCÍ INFORMACE

Aplikace nám umožňuje minimalizovat vedení více evidencí v různých nástrojích a výrazně snižuje nároky na administraci. Přináší možnost jednoduchého a flexibilního zpracování změn nejen interních, legislativních, ale také změn, které přináší současný vývoj ve světě.
Zaměstnanci díky tomuto projektu mají povědomí o jednotlivých agendách, kategoriích klasifikace informací, způsobech jejich předávání a dalších souvisejících datech, které používají při své práci. Na agendy navazují další registry a hodnocení rizik z hlediska důvěrnosti, dostupnosti a integrity, které jsou zpracovávány užším okruhem pověřených zaměstnanců. Aplikace pomáhá městskému úřadu při plnění podmínek vyplývajících z normy ISO 27001.

Aplikace je rovněž využívána ve vztahu k plnění podmínek stanovených obecným nařízením o ochraně osobních údajů (GDPR) a zákonem o zpracování osobních údajů. Subjekty údajů jsou informovány o agendách, v kterých jsou použity osobní údaje a jak je s nimi nakládáno prostřednictvím registru záznamů o činnostech zpracování (registru agend), s kterým pracuje pověřenec pro ochranu osobních údajů a je zveřejňován na webových stránkách města.

S daty je neustále pracováno podle vývoje aktuální situace nejen v organizaci, ale i ve světě. ManaRisk přispívá k neustálému zlepšování systému bezpečnosti informací, rovněž i z hlediska zpracovávání osobních údajů.
Přispívá také k vyhledávání rizik v oblasti kybernetické bezpečnosti, která je v současné době velmi aktuálním tématem a kterou je nezbytné se v dnešní době bezpodmínečně zabývat. V rámci jedné aplikace bude řešeno řízení rizik (včetně předepsaných požadavků) pro oblasti ISO 27001 a oblast NIS2 (české právní předpisy).

 

D – popis projektu – pohled realizátora

 

Popište náročnost technické realizace, včetně případných specifik:

Technické požadavky na instalaci:
•          databáze MSSQL; 
•          API na .NET CORE 2.2, což zvládne výchozí Microsoft IIS na:
      Windows 7 nebo novější,
      Windows Server 2008 R2 nebo novější · uživatelské rozhraní – internetový prohlížeč nový Microsoft Edge, Google Chrome, FireFox, · prostor na serveru disk 50 MB, DB 1 GB.
Náročnost pro provozovatele spočívala v nezbytném počátečním naplnění aplikace daty.

 

V čem může být Vaše řešení inspirativní pro ostatní realizátory?

Dlouhodobá spolupráce s provozovatelem v oblasti bezpečnosti informací může přinést nové cesty pro řešení vývoje situace v této oblasti.

 

Co z uvedeného řešení je možné použít opakovaně a co je výjimečným specifikem tohoto nasazení?

Řešení je využíváno kontinuálně a je srozumitelné a efektivní.

 

Jaké další obdobné projekty jste realizovali, kde a v jakém rozsahu?

MěÚ Králíky, Magistrát města Hradec Králové, Náchodská nemocnice, ČEZ Energoservis.

kontakty: MANA Consulting s. r. o.
tel.: +420 608 882 289
e-mail: mana@mana.cz
www.mana.cz