SYSTÉMOVÉ ŘÍZENÍ KYBERNETICKÉ BEZPEČNOSTI S VYUŽITÍM NÁSTROJE CSA.

A - PŘIHLAŠUJÍCÍ

Jméno a příjmení:       Jiří Šafránek

Titul:                             Mgr.

Funkce:                        vedoucí odboru

Odbor/oddělení:          odbor informačních technologií

E-mail:                          j.safranek@olkraj.cz

Telefon:                        724248778

Adresa:                         Jeremenkova 1191/40a, 779 00 Olomouc

Úřad/firma:                  Olomoucký kraj

 

Soutěžní kategorie        kraje

B - PROJEKT

Název projektu:  Systémové řízení kybernetické bezpečnosti s využitím nástroje CSA.

Lokalita:  Krajský úřad Olomouckého kraje

Cíl:

Maximálně zefektivnit řízení kybernetické bezpečnosti napříč celým úřadem. Nahrazení několika různých SW nástrojů jedním, který pomůže plnit náležitosti zákona o kybernetické bezpečnosti, vyhlášky a ISO norem. Z dlouhodobého hlediska zajistit evidenci aktiv, identifikaci zranitelnosti a hrozeb, analýzu rizik.

Projekt poskytuje přehledné grafické výstupy pro vedení kraje, management i výboru pro kybernetickou bezpečnost, jako důležitý podklad pro budoucí rozhodování.

Nabídnout všem pověřeným pracovníkům jedno přehledné prostředí, ve kterém se lehce orientují, a je zajištěna dlouhodobá personální přenositelnost.

Cílová skupina: 

pracovníci krajského úřadu odpovědní za vedení kybernetické bezpečnosti. Manažer pro kybernetickou bezpečnost, garanti aktiv,

Provozovatel: Krajský úřad Olomouckého kraje

Realizátor: Gordic s.r.o.

 

C - POPIS PROJEKTU - POPIS PROVOZOVATELE

1. Prokazatelnost účinků projektu

 

Je sledovaný (zamýšlený) účinek projektu kvantitativně a kvalitativně prokazatelný?

Ano.

Vnímají a uznávají uživatelé (cílová skupina) tento projekt jako prospěšný?

Určitě ano. Nasazením nástroje CSA je zajištěn dlouhodobý dohled nad řízením kybernetické bezpečnosti. Tím, že všichni pracují v jednom prostředí, si mohou vyměňovat cenné zkušenosti. Celý proces se sjednotí a eliminují se potenciální chyby pramenící z používání několika různých nástrojů a komunikačních kanálů. Z dlouhodobého hlediska bude výhodou, že kontrolní orgány či auditoři uvidí stále stejné prostředí a budou se moci snáze rozhodovat, jak dále řídit kybernetickou bezpečnost.

Za velmi prospěšné považujeme fakt, že nyní nemusíme tolik řešit legislativu, protože tu reflektuje nástroj CSA. Nám tak zbyde více času na jiné činnosti pojící se s bezpečností dat.

Jak podrobně je cílová skupina s projektem obeznámena?

Velmi dobře. Během půl roku probíhaly intenzivní osobní konzultace mezi zadavatelem a dodavatelem. Nástroj byl vyladěn přesně dle potřeb a požadavků pracovníků úřadu s tím, aby jeho použití a výstupy byly co nejvíce přínosné pro celý krajský úřad.

Odpovídají dosažené výsledky vynaloženým nákladům?

Odpovídají. V případě kybernetické bezpečnosti je zásadní, aby úřad popsal a eliminoval rizika. Pokud známe slabiny systému, můžeme proaktivně přijímat opatření k jejich nápravě. Pokud bychom toto nevěděli, vystavujeme se zbytečnému riziku, která by v konečném důsledku vedla k mnoha miliónovým nákladům na jejich odstranění.

Jedná se o projekt krátkodobého účinku, nebo lze předpokládat dlouhodobé trvání (jakého rozsahu)?

Dlouhodobý. Projekt CSA na Olomouckém kraji byl realizován právě s ohledem na dlouhodobé, a hlavně systémové řízení bezpečnosti dat. I proto byl vybrán český dodavatel s velmi dlouhou historií, který může velmi rychle reagovat na naše podněty a potřeby. Projekt byl realizován s jasným dlouhodobým výhledem.

 

2. Prokazatelnost nejlepší praxe

Může být tento projekt inspirující pro ostatní subjekty veřejné správy?

Určitě ano. Hlavně mít dobře popsaná aktiva. Vědět, kde jsou nedostatky, co musím zlepšit a kam alokovat finance, abych měl klid a jistotu, že jsem nic nezanedbal. Hlavně mít jeden nástroj, aby i ostatní kolegové věděli, kam se dívat. Inspirací pro ostatní subjekty veřejné správy je naše snaha o co nejsystematičtější řízení kybernetické bezpečnosti. Mít jeden nástroj je vždy lepší než si posílat maily, evidovat aktiva v programech jako word, excel či v nástroji u kterého nemáme jistotu, že bude vždy v souladu s platnou českou legislativou. A hlavně výstupy, kterým porozumí i ti, kteří běžně nepřijdou do styku s vedením kybernetické bezpečnosti, ale v celém procesu zaujímají významné místo. 

Byly, či jsou předávány zkušenosti nabyté v souvislosti s realizací projektu ostatním subjektům veřejné správy?

Ano. Dodavatel, společnost Gordic o tomto projektu bude informovat ostatní subjekty veřejné správy prostřednictvím svého magazínu Gorinfo a informacích na svém webu.

 

3. Vícekanálový přístup

Jedná se o projekt, který umožňuje přístup/využití více kanály (způsoby) současně?

 

4.  Open Data

Jedná se o projekt, který využívá Open Data?

 Není možné.  

 

5. Doplňující informace.

Z globálního pohledu se jedná především o eliminaci micromanagementu. Ten bere čas na jinou práci. Pokud vedoucí oddělení nemá nástroj, který podstatnou část řeší za něj, je nucen pracovní čas obětovat zbytným detailům. Vedoucí oddělení nemůže řešit, kdy vyšla novela zákona či vyhlášky a bude ji muset aplikovat do interního procesu. Micromanagement v konečném důsledku vede k nadměrnému a zbytečnému vytěžování podřízených a ostatních kolegů v organizaci.

Pokud to lze, tuto činnost nechá manažer na podřízených a odbornících. Manažer – vedoucí oddělení ověří u dodavatele a pověřené osoby, že jím vedený odbor postupuje plně v souladu s platnou legislativou. Zároveň získá jistotu, že podřízení pracovníci mají veškeré nástroje, které potřebují ke své práci a vedoucí od nich dostanou výstupy v jedné ucelené formě.

Pokud by došlo k personálním změnám, nenaruší to proces řízení bezpečnosti dat, protože vše podstatné bude na jednom místě a bude velmi lehké pokračovat v započaté práci.

 

 

D - POPIS PROJEKTU - POHLED REALIZÁTORA

Popište náročnost technické realizace včetně případných specifik 

Nasazení nebylo nikterak náročné, protože obě strany přesně věděly, co chtějí a kam směřují.

V čem může být vaše řešení inspirativní pro ostatní realizátory?

Komunikujte co nejvíce se dodavateli. Pokud jim jasně sdělíte své potřeby, mohou optimalizovat nástroje tak, aby vám byly co nejvíce k užitku a dobře se s nimi pracovalo. Pokud budou chtít být ostatní realizátoři úspěšní, potřebují mít jasnou vizi, co poptávají. Velkou výhodou je partner-dodavatel, který je vám nablízku. Můžete se potkávat, jak osobně, tak on-line. Tím, že jsme zvolili českého dodavatele s dlouholetou zkušeností, byla příprava projektu a následná realizace poměrně snadná.

Co z uvedeného řešení je možné použít opakovaně a co je výjimečným specifikem tohoto nasazení?

Řízení kybernetické bezpečnosti s využitím nástroje CSA je možné použít u všech subjektů, kteří poptávají systém a řád. Mohou to být kraje, městské úřady, ministerstva, ale také zástupci soukromého sektoru. Není to jen o plnění legislativy, ale o potřebě jistoty, že jsme pro vedení bezpečnosti udělali maximum.

Specifikem nasazení jsou možné výstupy pro vedení kraje, protože jen pokud máte veškeré důležité informace přehledně na jednom místě, můžete se kvalifikovaně rozhodnout, kam směřovat kybernetickou bezpečnost.

Jaké další obdobné projekty jste realizovali, kde a v jakém rozsahu?

Nástroj CSA používá i Ministerstvo obrany, letiště Brno,

inPage - webové stránky, doménawebhosting snadno.