ДВИЖЕНИЕ”, (ДП РВД) регистрирано по ф. дело № 5515/2001г. на СГС, със седалище и адрес на управление гр. София 1540, бул. „Брюксел” №1, ЕИК 000697179, ДДС номер BG000697179, телефон +3592 937 1111; факс +3592 980 00 43, представлявано на основание т....
Д О Г О В О Р
№ ............../..........................
Днес, , в гр. София, между:
ДЪРЖАВНО ПРЕДПРИЯТИЕ „РЪКОВОДСТВО НА ВЪЗДУШНОТО
ДВИЖЕНИЕ”, (ДП РВД) регистрирано по ф. дело № 5515/2001г. на СГС, със седалище и адрес на управление гр. София 1540, бул. „Брюксел” №1, ЕИК 000697179, ДДС номер BG000697179, телефон x0000 000 0000; факс x0000 000 00 00, представлявано на основание т. 2.1. от Заповед № РД-28-553/09.08.2017 г. на генералния директор на ДП РВД, от Xxxxxxxx Xxxxx – заместник генерален директор по техническа дейност,
наричано за краткост ВЪЗЛОЖИТЕЛ, от една страна,
и
„……………..“ ……., със седалище и адрес на управление: ………, ул. „ “
№….., ЕИК ……………. и ДДС номер ……………, телефон: +359 ……………., факс:
+359 …………………, представлявано от ………………….., в качеството на
………………..,
наричан/а/о за краткост ИЗПЪЛНИТЕЛ, от друга страна,
(ВЪЗЛОЖИТЕЛЯТ и ИЗПЪЛНИТЕЛЯТ наричани заедно „Страните”, а всеки от тях поотделно „Страна”);
на основание чл. 194, ал. 1 от Закона за обществените поръчки („ЗОП”) и съгласно резултатите, посочени в Протокол от г. на комисията назначена със
Заповед № ……………………….. г. на заместник генералния директор по ТД за разглеждане и оценка на офертите при провеждане на избор на ИЗПЪЛНИТЕЛ в обществена поръчка с предмет: „Провеждане на тестове за проверка на устойчивостта на информационната инфраструктура на ДП РВД на кибер атаки (pen-tests)”,
се сключи този договор („Договора/Договорът”) за следното:
I. ПРЕДМЕТ НА ДОГОВОРА
Чл. 1. ВЪЗЛОЖИТЕЛЯТ възлага, а ИЗПЪЛНИТЕЛЯТ приема да предостави, срещу възнаграждение и при условията на този Договор, следните услуги:
(1) проверка на сигурността на информационната инфраструктура и системи на ВЪЗЛОЖИТЕЛЯ чрез контролирано прилагане на тактиките и техниките на реалните кибер-атаки (penetration tests), с цел идентифициране на потенциални уязвимости и слабости на информационните активи, както следва:
1. тестове за проникване (penetration tests) срещу устройствата, обезпечаващи връзката на ДП РВД с интернет, и информационните услуги на ДП РВД, достъпни от интернет;
2. тестове за откриване и експлоатиране на уязвимости и слабости на корпоративната мрежа, инфраструктурни услуги и сървърната инфраструктура на ДП РВД;
3. тестове за откриване и експлоатиране на уязвимости и слабости в мрежите за безжична свързаност на ДП РВД.
(2) оценка на идентифицираните потенциални уязвимости и слабости на информационните активи и свързания с тях риск за бизнес процесите и предоставяне на препоръки за отстраняването им;
наричани за краткост „Услугите”.
Чл. 2. ИЗПЪЛНИТЕЛЯТ се задължава да предостави Услугите в съответствие с Технически и функционални изисквания и спецификации, Техническото предложение на ИЗПЪЛНИТЕЛЯ, Ценовото предложение на ИЗПЪЛНИТЕЛЯ, Общите условия на ДП РВД за осигуряване на сигурността на информацията и защита на личните данни, и чрез лицата, посочени в Списък на персонала, който ще изпълнява поръчката, съставляващи съответно Приложения №№ 1, 2, 3, 4 и 5 към този Договор („Приложенията”) и представляващи неразделна част от него.
Чл. 3. В срок до 5 (пет) дни от датата на сключване на Договора, но най-късно преди започване на неговото изпълнение, ИЗПЪЛНИТЕЛЯТ уведомява ВЪЗЛОЖИТЕЛЯ за името, данните за контакт и представителите на подизпълнителите, посочени в офертата на ИЗПЪЛНИТЕЛЯ. ИЗПЪЛНИТЕЛЯТ уведомява ВЪЗЛОЖИТЕЛЯ за всякакви промени в предоставената информация в хода на изпълнението на Договора в срок до 5 (пет) дни от настъпване на съответното обстоятелство.
II. СРОК НА ДОГОВОРА. СРОК И МЯСТО НА ИЗПЪЛНЕНИЕ
Чл. 4. (1) Срокът за изпълнение на Услугите е 60 (шестдесет) дни, считано от датата на влизане в сила на Договора.
(2) Сроковете за изпълнение на отделните дейности са детайлно са посочени в Техническото предложение – Приложение № 2.
Чл. 5. Мястото на изпълнение на Договора е гр. София, бул. „Брюксел” №1, ЕЦ за УВД.
III.ЦЕНА, РЕД И СРОКОВЕ ЗА ПЛАЩАНЕ.
Чл. 6. (1) За предоставянето на Услугите, ВЪЗЛОЖИТЕЛЯТ се задължава да плати на ИЗПЪЛНИТЕЛЯ обща цена в размер на ………... ( ) лева без ДДС
и ………………… ( ) лева с ДДС (наричана по-нататък „Цената”
или „Стойността на Договора”), съгласно Ценовото предложение на ИЗПЪЛНИТЕЛЯ, съставляващо Приложение № 3.
(2) В Цената по ал. 1 са включени всички разходи на ИЗПЪЛНИТЕЛЯ за изпълнение на Услугите, включително и разходите за персонала, който ще изпълнява поръчката, и/или на членовете на ръководния състав, които ще отговарят за изпълнението и за неговите подизпълнители, като ВЪЗЛОЖИТЕЛЯТ не дължи заплащането на каквито и да е други разноски, направени от ИЗПЪЛНИТЕЛЯ.
(3) Уговорената цена включва всички преки и непреки разходи за изпълнение на Договора, както и дължимите данъци и такси, и не може да бъде променяна, освен в случаите, изрично уговорени в този Договор и в съответствие с разпоредбите на ЗОП.
(4) В случай, че по време на изпълнение на Договора размерът на ДДС бъде променен, Цената следва да се счита изменена автоматично, в съответствие с нормативно определения размер на данъка, без да е необходимо подписването на допълнително споразумение.
Чл. 7. ВЪЗЛОЖИТЕЛЯТ плаща на ИЗПЪЛНИТЕЛЯ 100 % (сто на сто) от Цената по този Договор – в срок до 30 (тридесет) дни, считано от приемане изпълнението на Услугите.
Чл. 8. (1) Плащането по този Договор се извършва въз основа на следните документи:
1. доклади за осъществените групи тестове, представени от ИЗПЪЛНИТЕЛЯ на ВЪЗЛОЖИТЕЛЯ, съдържащи и оценките и препоръките по чл. 1, ал. 2;
2. протоколи за приемане на докладите за Услугите, подписани от ВЪЗЛОЖИТЕЛЯ и ИЗПЪЛНИТЕЛЯ след получаване на докладите по т 1, при съответно спазване на разпоредбите на Раздел V (Предаване и приемане на изпълнението) от Договора;
3. декларация от ИЗПЪЛНИТЕЛЯ, че всички използвани софтуерни компоненти и инструменти са отстранени от средата на ВЪЗЛОЖИТЕЛЯ и всички системни настройки, които са променяни са възстановени; и
4. оригинал на фактура за дължимата сума, издадена от ИЗПЪЛНИТЕЛЯ и представена на ВЪЗЛОЖИТЕЛЯ.
Чл. 9. (1) Всички плащания по този Договор се извършват в лева, чрез банков превод по следната банкова сметка на ИЗПЪЛНИТЕЛЯ:
Банка: „ “ АД
BIC: ………………….
IBAN: ……………………………
(2) Изпълнителят е длъжен да уведомява писмено Възложителя за всички последващи промени по ал. 1 в срок от 3 (три) дни, считано от момента на промяната. В случай че Изпълнителят не уведоми Възложителя в този срок, счита се, че плащанията са надлежно извършени.
Чл. 10 (1) Когато за частта от Услугите, която се изпълнява от подизпълнител, изпълнението може да бъде предадено отделно от изпълнението на останалите Услуги, подизпълнителят представя на ИЗПЪЛНИТЕЛЯ отчет за изпълнението на съответната част от Услугите, заедно с искане за плащане на тази част пряко на подизпълнителя.
(2) ИЗПЪЛНИТЕЛЯТ се задължава да предостави на ВЪЗЛОЖИТЕЛЯ отчета и искането за плащане на подизпълнителя в срок до 15 (петнадесет) дни от получаването му, заедно със становище, от което да е видно дали оспорва плащанията или част от тях като недължими.
(3) ВЪЗЛОЖИТЕЛЯТ приема изпълнението на частта от Услугите, при съответно спазване на разпоредбите на Раздел V (Предаване и приемане на изпълнението) от Договора, и заплаща възнаграждение за тази част на подизпълнителя в срок до 30 (тридесет) дни от подписването на приемо-предавателен протокол. ВЪЗЛОЖИТЕЛЯТ има право да откаже да извърши плащането, когато искането за плащане е оспорено от ИЗПЪЛНИТЕЛЯ, до момента на отстраняване на причината за отказа.
IV. ПРАВА И ЗАДЪЛЖЕНИЯ НА СТРАНИТЕ
Чл. 11. Изброяването на конкретни права и задължения на Страните в този раздел от Договора е неизчерпателно и не засяга действието на други клаузи от Договора или от приложимото право, предвиждащи права и/или задължения на която и да е от Страните.
Общи права и задължения на ИЗПЪЛНИТЕЛЯ
Чл. 12. ИЗПЪЛНИТЕЛЯТ има право:
1. да получи възнаграждение в размера, сроковете и при условията по чл. 7 – 9 от договора;
2. да иска и да получава от ВЪЗЛОЖИТЕЛЯ необходимото съдействие за изпълнение на задълженията по този Договор, както и всички необходими документи, информация и данни, пряко свързани или необходими за изпълнение на Договора;
Чл. 13. ИЗПЪЛНИТЕЛЯТ се задължава:
1. да предостави/предоставя Услугите и да изпълнява задълженията си по този Договор в уговорените срокове и качествено, в съответствие с Договора и Приложенията към него;
2. да представи на ВЪЗЛОЖИТЕЛЯ докладите по Приложение № 2 и да извърши преработване и/или допълване в указания от ВЪЗЛОЖИТЕЛЯ срок, когато ВЪЗЛОЖИТЕЛЯТ е поискал това;
3. да информира своевременно ВЪЗЛОЖИТЕЛЯ за всички пречки, възникващи в хода на изпълнението на работа, да предложи начин за отстраняването им, като може да поиска от ВЪЗЛОЖИТЕЛЯ указания и/или съдействие за отстраняването им;
4. да изпълнява всички законосъобразни указания и изисквания на ВЪЗЛОЖИТЕЛЯ;
5. да пази поверителна Конфиденциалната информация, в съответствие с уговореното в чл. 32 от Договора;
6. да не възлага работата или части от нея на подизпълнители, извън посочените в офертата на ИЗПЪЛНИТЕЛЯ, освен в случаите и при условията, предвидени в ЗОП;
7. да участва във всички работни срещи, свързани с изпълнението на този Договор;
8. да не променя състава на персонала, който ще отговаря за изпълнението на Услугите, без предварително писмено съгласие от страна на ВЪЗЛОЖИТЕЛЯ;
9. Изпълнителят се задължава да сключи договор/договори за подизпълнение с посочените в офертата му подизпълнители в срок от 5 дни от сключване на настоящия Договор. В срок до 3 (три) дни от сключването на договор за подизпълнение или на допълнително споразумение за замяна на посочен в офертата подизпълнител изпълнителят изпраща копие на договора или на допълнителното споразумение на възложителя заедно с доказателства, че са изпълнени условията по чл. 66, ал. 2 и 11 ЗОП.
Общи права и задължения на ВЪЗЛОЖИТЕЛЯ
Чл. 14. ВЪЗЛОЖИТЕЛЯТ има право:
1. да изисква и да получи Услугите в уговорените срокове, количество и качество;
2. да контролира изпълнението на поетите от ИЗПЪЛНИТЕЛЯ задължения, в т.ч. да иска и да получава информация от ИЗПЪЛНИТЕЛЯ през целия Срок на Договора, или да извършва проверки, при необходимост и на мястото на изпълнение на Договора, но без с това да пречи на изпълнението;
3. да изисква, при необходимост и по своя преценка, обосновка от страна на ИЗПЪЛНИТЕЛЯ на изготвените от него доклади или съответна част от тях;
4. да изисква от ИЗПЪЛНИТЕЛЯ преработване или доработване на всеки от докладите, в съответствие с уговореното в чл. 19 от Договора;
5. да не приеме някои от докладите, в съответствие с уговореното в чл. 19 от Договора;
Чл. 15. ВЪЗЛОЖИТЕЛЯТ се задължава:
1. да приеме изпълнението на Услугите, когато отговаря на договореното, по реда и при условията на този Договор;
2. да заплати на ИЗПЪЛНИТЕЛЯ Цената в размера, по реда и при условията, предвидени в този Договор;
3. да предостави и осигури достъп на ИЗПЪЛНИТЕЛЯ до информацията, необходима за извършването на Услугите, предмет на Договора, при спазване на относимите изисквания или ограничения съгласно приложимото право;
4. да пази поверителна Конфиденциалната информация, в съответствие с уговореното в чл. 32 от Договора;
5. да оказва съдействие на ИЗПЪЛНИТЕЛЯ във връзка с изпълнението на този Договор, включително и за отстраняване на възникнали пречки пред изпълнението на Договора, когато ИЗПЪЛНИТЕЛЯТ поиска това;
6. при срочно и качествено изпълнение на задълженията от страна на ИЗПЪЛНИТЕЛЯ, в срок до 30 (тридесет) дни от датата на подписване на последния протокол за приемане на проведените групи тестове или съответно – окончателен протокол по Раздел V, ВЪЗЛОЖИТЕЛЯТ е длъжен:
а) да възстанови сумата на гаранцията за изпълнение или
б) да поиска от банката-издател на банковата гаранция за изпълнение, да освободи гаранцията, с копие до ИЗПЪЛНИТЕЛЯ, или
в) да окаже необходимото съдействие на ИЗПЪЛНИТЕЛЯ за прекратяване на действието на договора за застраховка, когато гаранцията е представена под формата на застраховка.
7. Във всички хипотези на чл. 15, т. 6, ВЪЗЛОЖИТЕЛЯТ не дължи лихви за периода, през който средствата законно са престояли при него (или са били на негово разположение).
Специални права и задължения на Страните
Чл. 16. Страните се задължават да изпълняват Договора при стриктно спазване на Общите условия на ДП РВД за осигуряване на сигурността на информацията и защита на личните данни по Приложение № 4;
Чл. 17. ИЗПЪЛНИТЕЛЯТ се задължава:
1. да не допуска изтичане на чувствителна информация, като например хеш кодове на пароли, конфигурации на мрежови компоненти, IP и MAC адреси и др. п., извън рамките на ДП РВД и да унищожи чувствителната информация придобита по време на тестовете след тяхното приключване;
2. да осигури за своя сметка необходимия хардуер и софтуер със съответните лицензи за изпълнение на дейностите по Договора;
3. да съгласува предварително с ВЪЗЛОЖИТЕЛЯ практиките и процедурите за симулации на хакерски атаки, които може да доведат до прекъсване на услуги и на бизнес процесите в ДП РВД;
4. след приключване на симулациите на хакерски атаки и под наблюдението на ВЪЗЛОЖИТЕЛЯ, да отстрани от средата на ВЪЗЛОЖИТЕЛЯ всички използвани софтуерни компоненти и инструменти, и да възстанови всички системни настройки, които са променяни;
V. ПРЕДАВАНЕ И ПРИЕМАНЕ НА ИЗПЪЛНЕНИЕТО
Чл. 18. Приемането на всеки от докладите се документира с протокол за приемане и предаване, който се подписва от представители на ВЪЗЛОЖИТЕЛЯ и ИЗПЪЛНИТЕЛЯ в два оригинални екземпляра – по един за всяка от Страните („Приемо-предавателен протокол”).
Чл. 19. (1) ВЪЗЛОЖИТЕЛЯТ има право:
1. да приеме изпълнението, когато отговаря на договореното;
2. да поиска преработване и/или допълване на докладите, като в такъв случай преработването и/или допълването се извършва в указан от ВЪЗЛОЖИТЕЛЯ срок и е изцяло за сметка на ИЗПЪЛНИТЕЛЯ;
3. да откаже да приеме изпълнението в случай, че констатираните недостатъци са от такова естество, че не могат да бъдат отстранени в рамките на срока за изпълнение по Договора.
(2) Окончателното приемане на изпълнението на Услугите по този Договор се извършва с подписване на последния протокол за приемане на докладите по Приложение № 1, подписан от Страните. В случай, че към този момент бъдат констатирани недостатъци в изпълнението, те се описват в окончателния протокол и се определя подходящ срок за отстраняването им или налагането на санкция, съгласно чл. 20-24 от Договора.
VI. САНКЦИИ ПРИ НЕИЗПЪЛНЕНИЕ
Чл. 20. (1) При просрочване изпълнението на задълженията по този Договор, ИЗПЪЛНИТЕЛЯТ дължи на ВЪЗЛОЖИТЕЛЯ неустойка в размер на 0.2% (нула цяло и две на сто) от Цената за всеки ден забава, но не повече от 20% (двадесет на сто) от стойността на Договора.
(2) При забава на ВЪЗЛОЖИТЕЛЯ за изпълнение на задълженията му за плащане по Договора, същият заплаща на ИЗПЪЛНИТЕЛЯ неустойка в размер на законната лихва върху дължимата сума за всеки просрочен ден, но не повече от 20% (двадесет процента) от дължимото плащане.
Чл. 21. При констатирано лошо или друго неточно или частично изпълнение на съответната дейност или при отклонение от изискванията на ВЪЗЛОЖИТЕЛЯ, посочени в Техническата спецификация, ВЪЗЛОЖИТЕЛЯТ има право да поиска от ИЗПЪЛНИТЕЛЯ да изпълни изцяло и качествено съответната дейност, без да дължи допълнително възнаграждение за това. В случай, че и повторното изпълнение на услугата е некачествено, ВЪЗЛОЖИТЕЛЯТ има право да прекрати договора.
Чл. 22. При разваляне на Договора поради виновно неизпълнение на ИЗПЪЛНИТЕЛЯ, същият дължи неустойка в размер на 20% (двадесет на сто) от стойността на Договора. Чл. 23. (1) ВЪЗЛОЖИТЕЛЯТ има право да задържи представената гаранция за изпълнение на договора в пълен размер в случаите, в които едностранно прекрати предсрочно договора, поради виновно неизпълнение на съществено задължение на ИЗПЪЛНИТЕЛЯ, или поради откриване на производство за ликвидация или обявяване в несъстоятелност на ИЗПЪЛНИТЕЛЯ.
(2) При забавено изпълнение на договора от ИЗПЪЛНИТЕЛЯ, ВЪЗЛОЖИТЕЛЯТ има право да задържи в пълен или частичен размер представената гаранция за изпълнение на договора или да извърши прихващане от стойността на дължимо плащане към ИЗПЪЛНИТЕЛЯ за покриване на дължимите от последния неустойки.
Чл. 24. Плащането на неустойките, уговорени в този Договор, не ограничава правото на изправната Страна да търси реално изпълнение и/или обезщетение за понесени вреди и пропуснати ползи в по-голям размер, съгласно приложимото право.
VII. ПРЕКРАТЯВАНЕ НА ДОГОВОРА Чл. 25. (1) Този Договор се прекратява:
1. с изтичане на срока по чл. 4 от Договора;
2. с изпълнението на всички задължения на Страните по него;
3. при настъпване на пълна обективна невъзможност за изпълнение, за което обстоятелство засегнатата Страна е длъжна да уведоми другата Страна в срок до 5 (пет) дни от настъпване на невъзможността и да представи доказателства;
4. при прекратяване на юридическо лице – Страна по Договора без правоприемство, по смисъла на законодателството на държавата, в която съответното лице е установено;
5. при условията по чл. 5, ал. 1, т. 3 от ЗИФОДРЮПДРСЛ.
(2) Договорът може да бъде прекратен
1. по взаимно съгласие на Страните, изразено в писмена форма;
2. когато за ИЗПЪЛНИТЕЛЯ бъде открито производство по несъстоятелност или ликвидация – по искане на всяка от Страните.
Чл. 26. (1) Всяка от Страните може да развали Договора при виновно неизпълнение на съществено задължение на другата страна по Договора, при условията и с последиците съгласно чл. 87 и сл. от Закона за задълженията и договорите, чрез отправяне на писмено предупреждение от изправната Страна до неизправната и определяне на подходящ срок за изпълнение. Разваляне на Договора не се допуска, когато неизпълнената част от задължението е незначителна с оглед на интереса на изправната Страна.
(2) За целите на този Договор, Страните ще считат за виновно неизпълнение на съществено задължение на ИЗПЪЛНИТЕЛЯ всеки от следните случаи:
1. когато ИЗПЪЛНИТЕЛЯТ не е започнал изпълнението на Услугите в срок до 5 (пет) дни, считано от Датата на влизане в сила;
2. ИЗПЪЛНИТЕЛЯТ е прекратил изпълнението на Услугите за повече от 10 (десет) дни;
3. ИЗПЪЛНИТЕЛЯТ е допуснал съществено отклонение от Техническата спецификация и Техническото предложение.
(3) ВЪЗЛОЖИТЕЛЯТ може да развали Договора само с писмено уведомление до ИЗПЪЛНИТЕЛЯ и без да му даде допълнителен срок за изпълнение, ако поради забава на ИЗПЪЛНИТЕЛЯ то е станало безполезно.
Чл. 27. ВЪЗЛОЖИТЕЛЯТ прекратява Договора в случаите по чл. 118, ал.1 от ЗОП, без да дължи обезщетение на ИЗПЪЛНИТЕЛЯ за претърпени от прекратяването на Договора вреди, освен ако прекратяването е на основание чл. 118, ал. 1, т. 1 от ЗОП. В последния случай, размерът на обезщетението се определя в протокол или споразумение, подписано от Страните, а при непостигане на съгласие – по реда на клаузата за разрешаване на спорове по този Договор.
Чл. 28. Във всички случаи на прекратяване на Договора, освен при прекратяване на юридическо лице – Страна по Договора без правоприемство:
1. ВЪЗЛОЖИТЕЛЯТ и ИЗПЪЛНИТЕЛЯТ съставят констативен протокол за извършената към момента на прекратяване работа и размера на евентуално дължимите плащания; и
2. ИЗПЪЛНИТЕЛЯТ се задължава:
а) да преустанови предоставянето на Услугите, с изключение на такива дейности, каквито може да бъдат необходими и поискани от ВЪЗЛОЖИТЕЛЯ;
б) да предаде на ВЪЗЛОЖИТЕЛЯ всички доклади, изготвени от него в изпълнение на Договора до датата на прекратяването; и
в) да върне на ВЪЗЛОЖИТЕЛЯ всички документи и материали, които са собственост на ВЪЗЛОЖИТЕЛЯ и са били предоставени на ИЗПЪЛНИТЕЛЯ във връзка с предмета на Договора.
Чл. 29. При предсрочно прекратяване на Договора, ВЪЗЛОЖИТЕЛЯТ е длъжен да заплати на ИЗПЪЛНИТЕЛЯ реално изпълнените и приети по установения ред Услуги.
VIII. ОБЩИ РАЗПОРЕДБИ
Дефинирани понятия и тълкуване
Чл. 30. (1) Освен ако са дефинирани изрично по друг начин в този Договор, използваните в него понятия имат значението, дадено им в ЗОП, съответно в легалните дефиниции в Допълнителните разпоредби на ЗОП или, ако няма такива за някои понятия – според значението, което им се придава в основните разпоредби на ЗОП.
(2) При противоречие между различни разпоредби или условия, съдържащи се в Договора и Приложенията, се прилагат следните правила:
1. специалните разпоредби имат предимство пред общите разпоредби;
2. разпоредбите на Приложенията имат предимство пред разпоредбите на Договора.
Спазване на приложими норми
Чл. 31. При изпълнението на Договора, ИЗПЪЛНИТЕЛЯТ и неговите подизпълнители са длъжни да спазват всички приложими нормативни актове, разпоредби, стандарти и други изисквания, свързани с предмета на Договора, и в частност, всички приложими правила и изисквания, свързани с опазване на околната среда, социалното и трудовото право, приложими колективни споразумения и/или разпоредби на международното екологично, социално и трудово право, съгласно Приложение № 10 към чл. 115 от ЗОП.
Конфиденциалност
Чл. 32. (1) Всяка от Страните по този Договор се задължава да пази в поверителност и да не разкрива или разпространява информация за другата Страна, станала ѝ известна при или по повод изпълнението на Договора („Конфиденциална информация”). Конфиденциална информация включва, без да се ограничава до: обстоятелства, свързани с търговската дейност, техническите процеси, проекти или финанси на Страните, както и ноу-хау, изобретения, полезни модели или други права от подобен характер, свързани с изпълнението на Договора. Не се смята за конфиденциална информацията, касаеща наименованието на изпълнения проект, стойността и предмета на този Договор, с оглед бъдещо позоваване на придобит професионален опит от ИЗПЪЛНИТЕЛЯ.
(2) Конфиденциална информация включва, без да се ограничава до: всякаква финансова, търговска, техническа или друга информация, анализи, съставени материали, изследвания, документи или други материали, свързани с бизнеса, управлението или дейността на другата Страна, от каквото и да е естество или в каквато и да е форма, включително, финансови и оперативни резултати, пазари, настоящи или потенциални клиенти, собственост, методи на работа, персонал, договори, ангажименти, правни въпроси или стратегии, продукти, процеси, свързани с документация, чертежи, спецификации, диаграми, планове, уведомления, данни, образци, модели, мостри, софтуер, софтуерни приложения, компютърни устройства или други материали или записи или друга информация, независимо дали в писмен или устен вид, или съдържаща се на компютърен диск или друго устройство.
(3) С изключение на случаите, посочени в ал. 4 на този член, Конфиденциална информация може да бъде разкривана само след предварително писмено одобрение от другата Страна, като това съгласие не може да бъде отказано безпричинно.
(4) Не се счита за нарушение на задълженията за неразкриване на Конфиденциална информация, когато:
1. информацията е станала или става публично достъпна, без нарушаване на този Договор от която и да е от Страните;
2. информацията се изисква по силата на закон, приложим спрямо която и да е от Страните; или
3. предоставянето на информацията се изисква от регулаторен или друг компетентен орган и съответната Страна е длъжна да изпълни такова изискване;
В случаите по точки 2 или 3 Страната, която следва да предостави информацията, уведомява незабавно другата Страна по Договора.
(4) Задълженията по тази клауза се отнасят до съответната Страна, всички нейни поделения, контролирани от нея фирми и организации, всички нейни служители и наети от нея физически или юридически лица, като съответната Страна отговаря за изпълнението на тези задължения от страна на такива лица.
(5) Задълженията, свързани с неразкриване на Конфиденциалната информация остават в сила и след прекратяване на Договора на каквото и да е основание.
Публични изявления
Чл. 33. ИЗПЪЛНИТЕЛЯТ няма право да дава публични изявления и съобщения, да разкрива или разгласява каквато и да е информация, която е получил във връзка с извършване на Услугите, предмет на този Договор, независимо дали е въз основа на данни и материали на ВЪЗЛОЖИТЕЛЯ или на резултати от работата на ИЗПЪЛНИТЕЛЯ, без предварителното писмено съгласие на ВЪЗЛОЖИТЕЛЯ, което съгласие няма да бъде безпричинно отказано или забавено.
Авторски права
Чл. 34. (1) Страните се съгласяват, на основание чл. 42, ал. 1 от Закона за авторското право и сродните му права, че авторските права върху всички документи и материали, и всякакви други елементи или компоненти, създадени в резултат на или във връзка с изпълнението на Договора, принадлежат изцяло на ВЪЗЛОЖИТЕЛЯ в същия обем, в който биха принадлежали на автора. ИЗПЪЛНИТЕЛЯТ декларира и гарантира, че трети лица не притежават права върху изготвените документи и други резултати от изпълнението на Договора, които могат да бъдат обект на авторско право.
(2) В случай че бъде установено с влязло в сила съдебно решение или в случай че ВЪЗЛОЖИТЕЛЯТ и/или ИЗПЪЛНИТЕЛЯТ установят, че с изготвянето, въвеждането и използването на документи или други материали, съставени при изпълнението на този Договор, е нарушено авторско право на трето лице, ИЗПЪЛНИТЕЛЯТ се задължава да направи възможно за ВЪЗЛОЖИТЕЛЯ използването им:
1. чрез промяна на съответния документ или материал; или
2. чрез замяната на елемент от него със защитени авторски права с друг елемент със същата функция, който не нарушава авторските права на трети лица; или
3. като получи за своя сметка разрешение за ползване на продукта от третото лице, чиито права са нарушени.
(3) ВЪЗЛОЖИТЕЛЯТ уведомява ИЗПЪЛНИТЕЛЯ за претенциите за нарушени авторски права от страна на трети лица в срок до 5 (пет) дни от узнаването им. В случай, че трети лица предявят основателни претенции, ИЗПЪЛНИТЕЛЯТ носи пълната отговорност и понася всички щети, произтичащи от това. ВЪЗЛОЖИТЕЛЯТ привлича
ИЗПЪЛНИТЕЛЯ в евентуален спор за нарушено авторско право във връзка с изпълнението по Договора.
(4) ИЗПЪЛНИТЕЛЯТ заплаща на ВЪЗЛОЖИТЕЛЯ обезщетение за претърпените вреди и пропуснатите ползи вследствие на окончателно признато нарушение на авторски права на трети лица.
Xxxxxxxxxxx на права и задължения
Чл. 35. Xxxxx от Страните няма право да прехвърля никое от правата и задълженията, произтичащи от този Договор, без съгласието на другата Страна. Паричните вземания по Договора и по договорите за подизпълнение могат да бъдат прехвърляни или залагани съгласно приложимото право.
Изменения
Чл. 36. Този Договор може да бъде изменян само с допълнителни споразумения, изготвени в писмена форма и подписани от двете Страни, в съответствие с изискванията и ограниченията на ЗОП.
Непреодолима сила
Чл. 37. (1) Никоя от Страните по този Договор не отговаря за неизпълнение, причинено от непреодолима сила. За целите на този Договор, „непреодолима сила“ има значението на това понятие по смисъла на чл.306, ал.2 от Търговския закон.
(2) Не може да се позовава на непреодолима сила Страна, която е била в забава към момента на настъпване на обстоятелството, съставляващо непреодолима сила.
(3) Страната, която не може да изпълни задължението си поради непреодолима сила, е длъжна да предприеме всички действия с грижата на добър стопанин, за да намали до минимум понесените вреди и загуби, както и да уведоми писмено другата страна в срок до 5 (пет) дни от настъпването на непреодолимата сила, като посочи в какво се състои непреодолимата сила и възможните последици от нея за изпълнението на Договора. При неуведомяване се дължи обезщетение за настъпилите от това вреди.
(4) Докато трае непреодолимата сила, изпълнението на задълженията на свързаните с тях насрещни задължения се спира.
Нищожност на отделни клаузи
Чл. 38. В случай, че някоя от клаузите на този Договор е недействителна или неприложима, това не засяга останалите клаузи. Недействителната или неприложима клауза се заместват от повелителна правна норма, ако има такава.
Уведомления
Чл. 39. (1) Всички уведомления между Страните във връзка с този Договор се извършват в писмена форма и могат да се предават лично или чрез препоръчано писмо, по куриер, по факс, електронна поща.
(2) За целите на този Договор данните и лицата за контакт на Страните са, както следва:
1. За ВЪЗЛОЖИТЕЛЯ:
Адрес за кореспонденция: гр. София 1540, бул. „Брюксел” №1
Тел.: x000 0 0000000
Факс: x000 0 0000000
e-mail: xxxxx.xxxxxxx@xxxxxxx.xxx
Лице за контакт: Xxxxx Xxxxxx, експерт в отдел „ИС“
2. За ИЗПЪЛНИТЕЛЯ:
Адрес за кореспонденция: …………………………….
Тел.: +359 ………………
Факс: +359 …………………..
e-mail: ……………………..
Лице за контакт: ………………….., ……………………….
(3) За дата на уведомлението се счита:
1. датата на предаването – при лично предаване на уведомлението;
2. датата на пощенското клеймо на обратната разписка – при изпращане по пощата;
3. датата на доставка, отбелязана върху куриерската разписка – при изпращане по куриер;
3. датата на приемането – при изпращане по факс;
4. датата на получаване – при изпращане по електронна поща.
(4) Всяка кореспонденция между Страните ще се счита за xxxxxxx, ако е изпратена на посочените по-горе адреси (в т.ч. електронни), чрез посочените по-горе средства за комуникация и на посочените лица за контакт. При промяна на посочените адреси, телефони и други данни за контакт, съответната Страна е длъжна да уведоми другата в писмен вид в срок до 3 (три) дни от настъпване на промяната. При неизпълнение на това задължение всяко уведомление ще се счита за валидно връчено, ако е изпратено на посочените по-горе адреси, чрез описаните средства за комуникация и на посочените лица за контакт.
(5) При преобразуване без прекратяване, промяна на наименованието, правноорганизационната форма, седалището, адреса на управление, предмета на дейност, срока на съществуване, органите на управление и представителство на ИЗПЪЛНИТЕЛЯ, същият се задължава да уведоми ВЪЗЛОЖИТЕЛЯ за промяната в срок до 3 (три) дни от вписването ѝ в съответния регистър.
Приложимо право
Чл. 40. Този Договор, в т.ч. Приложенията към него, както и всички произтичащи или свързани с него споразумения, и всички свързани с тях права и задължения, ще бъдат подчинени на и ще се тълкуват съгласно българското право.
Разрешаване на спорове
Чл. 41. Всички спорове, породени от този Договор или отнасящи се до него, включително споровете, породени или отнасящи се до неговото тълкуване, недействителност, изпълнение или прекратяване, както и споровете за попълване на празноти в Договора или приспособяването му към нововъзникнали обстоятелства, ще се уреждат между Страните чрез преговори, а при непостигане на съгласие – спорът ще се отнася за решаване от компетентния български съд.
Екземпляри
Чл. 42. Този Договор се състои от …. ( ) страници и е изготвен и подписан в 2
(два) еднообразни екземпляра – по един за всяка от Страните. Приложения:
Чл. 43. Към този Договор се прилагат и са неразделна част от него следните приложения: Приложение № 1 – Технически и функционални изисквания и спецификации; Приложение № 2 – Техническо предложение на ИЗПЪЛНИТЕЛЯ;
Приложение № 3 – Ценово предложение на ИЗПЪЛНИТЕЛЯ;
Приложение № 4 – Общи условия на ДП РВД за осигуряване на сигурността на информацията и защита на личните данни;
Приложение № 5 – Списък на персонала, който ще изпълнява поръчката, и/или на членовете на ръководния състав, които ще отговарят за изпълнението.
ВЪЗЛОЖИТЕЛ: ИЗПЪЛНИТЕЛ:
Xxxxxxxx Xxxxx ……………………….
Заместник генерален директор ………………………….
по техническа дейност Съгласували:
Xxxxx Xxxxxxx
Финансов директор и гл. счетоводител
Xxxx Xxxxxxxx
Директор на дирекция „Правна“
Xxxxxxxx Xxxxxxxx
и.д. Директор на дирекция „ИС“
Xxxxxxx Xxxxxxxx
Началник на отдел „ИС“ Съставил:
Xxxx Xxxxxxxxxx
Гл. юрисконсулт в дирекция „Правна“
Приложение № 1 към Договор № …..
Технически и функционални изисквания и спецификации
Провеждане на тестове за проверка на устойчивостта на информационната инфраструктура на ДП РВД на кибер-атаки (pen tests)
1. Описание на предмета на поръчката
Предметът на обществената поръчка е да се извърши проверка на сигурността на информационната инфраструктура и системи на ДП РВД чрез контролирано прилагане на тактиките и техниките на реалните кибер-атаки (penetration tests), като целта е да се идентифицират потенциални уязвимости и слабости на информационните активи и да се оцени свързания с тях риск за бизнес процесите. За всички открити уязвимости и слабости следва да се дадат препоръки за отстраняването им.
2. Географски обекти в ДП РВД, където ще бъдат проведени тестовете за откриване на уязвимости и слабости
▪ ЕЦ за УВД на ДП РВД
3. Обхват на дейностите
3.1 Проверката на сигурността трябва да обхване следните обекти:
▪ Устройствата, обезпечаващи връзките с интернет.
▪ WEB услуги.
▪ Услуги за VPN достъп.
▪ Вътрешната мрежова инфраструктура на организацията.
▪ Инфраструктурни услуги.
▪ Системи, предоставящи услуги за електронна поща.
▪ Сървърна инфраструктура.
▪ Системи и устройства за безжична свързаност.
3.2 Проверката на сигурността трябва да включва следните дейности:
▪ Провеждане на тестове за проникване (penetration tests) срещу устройствата, обезпечаващи връзката на ДП РВД с интернет, и информационните услуги на ДП РВД, достъпни от интернет.
▪ Провеждане на тестове за откриване и експлоатиране на уязвимости и слабости на корпоративната мрежа, инфраструктурни услуги и сървърната инфраструктура на ДП РВД.
▪ Провеждане на тестове за откриване и експлоатиране на уязвимости и слабости в мрежите за безжична свързаност на ДП РВД.
3.3 Преди извършването на тестовете (но не по-късно от 10 дни след подписването на договора) доставчикът трябва да предостави за одобрение следните документи:
▪ Детайлен план-график на тестовете, съдържащ обхват, методи за тестване, очаквани резултати.
▪ План за управление на рисковете, описващ стъпки за връщане към първоначално състояние и други необходими средства за смекчаване на рисковете, ако са необходими.
▪ Процедура за почистване след тестовете, описваща къде ще се съхранява придобитата по време на тестовете информация, как ще бъде унищожена след тестовете, как системите ще бъдат възстановени до състоянието преди тестовете (премахване на тестови акаунти, връщане към първоначални конфигурации).
4. Изисквания към провеждането на тестовете за проникване (penetration tests).
4.1 Тестовете за проникване трябва да включват следните групи тестове:
▪ Външни инфраструктурни тестове.
Външните инфраструктурни тестове трябва да бъдат насочени към системите и устройствата, достъпни от Интернет и предлагащи услуги за външни клиенти. При изпълнението на тестовете да се прилага принципа “Black-box” Penetration Testing, като тестовете включват симулиране на атаки, извършвани от външен хакер, и насочени към следните обекти;
✓ Мрежови устройства, обезпечаващи връзките с интернет.
✓ WEB услуги, достъпни от интернет.
✓ Услуги за VPN достъп.
▪ Вътрешни инфраструктурни тестове.
Вътрешните инфраструктурни тестове трябва да симулират атаки, извършвани от лица, имащи достъп до вътрешната мрежа на ДП РВД (insiders), но без специални привилегии. Тестовете трябва да бъдат насочени към следните обекти:
✓ Мрежова инфраструктура – network devices (switches, routers), VLANs.
✓ Инфраструктурни услуги – Active Directory, DNS, File Services и др.
✓ Системи, предоставящи услуги за електронна поща.
✓ Сървърна инфраструктура – WEB servers, Database servers, Application servers, SIEM server, работни станции (desktop computers).
▪ Тестове към безжичната мрежа на ДП РВД.
4.2 Изисквания към провеждането на тестовете насочени към WEB услуги.
▪ Тестовете към WEB услуги трябва да включват като минимум проверка за наличие на OWASP Top 10 уязвимостите:
✓ Injection – състои се в подаване на модифицирани от потребител данни към web приложение като част от команда или заявка (query) с цел
приложението да направи нещо различно от това, за което е проектирано.
✓ Broken Authentication and Session Management – потребителските акаунти и тоукъни (tokens), управляващи сесиите не винаги са добре защитени. Възможно е атакуващи да използват слабости в автентификацията или управлението на сесиите с цел да се представят под чужда идентичност.
✓ Sensitive Data Exposure – множество WEB приложения не защитават в достатъчна степен чувствителни данни и информация като данни за кредитни карти, лични данни и др., което дава възможност на хакери лесно да откраднат тези данни и да ги използват за користни цели.
✓ XML External Entities (XXE) – това е тип атака срещу web приложения, които анализират входни данни в XML формат. Тази атака се състои във включване към XML входа към web приложението на указател към външна единица, която се изпълнява.
✓ Broken Access control – това означава, че са нарушени границите, регулиращи до кои web страници или части от тях стандартните потребители могат да достигат. По този начин неоторизиран потребител може да достигне до login-страницата на администратора, отваряйки сайта за атаки.
✓ Security Misconfiguration – настройките за сигурност трябва да са винаги детайлно дефинирани и изпълнени, тъй като често биват използвани стандартни конфигурации, позволяващи осъществяването на неоторизиран достъп до системи и данни.
✓ Cross-Site Scripting (XSS) – XSS слабост означава дадено приложение да приеме данни от потребител и да ги препрати към WEB браузър без да ги валидира или криптира. По този начин е възможно хакер да стартира зловредни скриптове, чрез които да открадне потребителска сесия или да изпълни други зловредни действия.
✓ Insecure Deserialization – В програмирането един обект е структура от данни. Сериализацията е процес на преобразуването на обект в поредица от байтове. Обратно, десериализацията е процес на преобразуване на поредица от байтове в обект. Ако атакуващия е способен да десериализира обект успешно, тогава той може да го модифицира и да даде на себе си администраторска роля и след това да го сериализира отново. Тази поредица от действия може да компрометира цялото web приложение.
✓ Using Components with Known Vulnerabilities – различни компоненти като библиотеки, модули и др., обикновено работят с пълни права върху системите. Ако бъде открита уязвимост върху даден компонент, тя може да бъде експлоатирана, с което да се наруши защитата на системата и да се изпълнят редица зловредни атаки.
✓ Insufficient logging and monitoring
4.3 Изисквания към провеждането на тестовете насочени към услуги за VPN достъп.
▪ Тестовете към VPN услуги трябва да включват като минимум проверка за наличие на следните уязвимостите:
✓ Missing patches. Ако не са инсталирани поправките (patches) за известните уязвимости, то би могло до бъде направен опит за експлоатирането им и да се проникне във вътрешната мрежа.
✓ Backdoor attacks. Разработчик или доставчик създават акаунт за поддръжка, но не го премахват след приключване на необходимостта. Това е особено опасно при акаунти с по високи права или при системи достъпни от интернет.
✓ Weak authentication. VPN услугата е само толкова сигурна, колкото е сигурен механизма за автентификация.
✓ VPN hijacking. VPN hijacking е неоторизирано овладяване на установена VPN връзка от отдалечен клиенти и представяне от негово име.
✓ Man-in-the-middle attacks. Засягат VPN трафика като включват прехващане, вмъкване, изтриване и модификация на съобщения.
4.4 Изисквания към тестовете насочени към мрежовата инфраструктура и инфраструктурни услуги.
▪ Тестовете към мрежовата инфраструктура и инфраструктурните услуги трябва да включват като минимум:
✓ Missing patches.
✓ Brute Force. При тази атака се използва софтуер с речник от думи в опити да се установи паролата. Атаката отнема кратък период от време, ако паролата е слаба.
✓ Routing table poisoning. Routing table poisoning атаката срещу рутер се състои в драстична зловредна промяна на routing таблицата на рутера и може да причини неблагоприятни ефекти.
✓ CAM Table Overflow Attack – Тази VLAN атака се фокусира върху Content Addressable Memory (CAM) таблицата, която съдържа информация като MAC адресите върху физически порт заедно с асоциираните VLAN параметри. CAM таблицата има фиксиран размер, което я прави податлива на атаки. Атакуващия застава на физически порт и генерира огромен брой MAC единици. Когато CAM таблицата се запълни, трафикът без CAM entry се изпраща на всички портове на конкретния VLAN.
✓ Address Resolution Protocol (ARP) Attack.
✓ VLAN Hopping Attack.
✓ Cisco Discovery Protocol Attack.
✓ Spanning Tree Protocol (STP) Attack.
✓ DNS Cache poisoning. Чрез експлоатиране на системни уязвимости се инжектират зловредни данни в DNS кеша. След като DNS Cache poisoning атаката е успешна и работи, атакуващия ще получава целия легитимен трафик.
✓ DNS Tunneling. При този тип атака кодирани данни се включват в DNS отогворите и заявките. По този начин атакуващия може да трансферира зловредни данни заедно с DNS отговорите за да получи отдалечен достъп.
✓ Capturing DNS traffic.
4.5 Изисквания към провеждането на тестовете към сървърната инфраструктура.
▪ Тестовете към сървърната инфраструктура трябва да включват като минимум:
✓ Platform vulnerabilities – Уязвимости в операционната система.
✓ Weak authentication.
✓ Unauthorized privilege elevation – при тази атака се използват уязвимости в софтуера за управление на базата данни за да се преобразува достъп с по-ниски права в достъп с по-високи права. Например може да се използва уязвимост за препълване на буфера в базата данни за да се получат административни права.
✓ SQL injection – тази атака използва уязвимости във fron-end web- приложенията и съхранените процедури (stored procedures) за да изпрати към базата неоторизирани заявки, често с високи привилегии. Чрез SQL injection би могло да се получи неограничен достъп до цялата база данни.
✓ Database protocol vulnerabilities – Уязвимостите в протоколите, които използват базите данни, могат да бъдат използвани за да се получи неоторизиран достъп.
✓ Exposure of backup data.
4.6 Изисквания към провеждането на тестовете към мрежи за безжично свързване.
▪ Тестовете към мрежи за безжично свързване трябва да включват като минимум:
✓ Идентификация на мрежите и точките (APs) за безжично свързване, включително и неоторизираните такива. За откритите мрежи и точки трябва да се определят използваните протоколи за сигурност и да се идентифицират устройствата, взаимодействащи с мрежите.
✓ WPE/WPA Attacks. Този тип атаки често се случват с WEP криптирането, което е много по-уязвимо в сравнение с по-новите WPA/WPA2.
✓ Man-in-the-Middle (MITM) Attack. При MITM атаката атакуващия дискретно прехваща комуникацията от един или повече Wi-Fi потребители и функционира като посредник, често вмъквайки зловредно съдържание.
✓ Authentication Attacks.
✓ Rogue wireless devices. Rogue wireless device (or rogue access point) е неоторизирано устройство за безжично свързване, добавено към мрежата, но което не е под контрола на мрежовите администратори. Това позволява да бъде използвано като входна точка за неоторизирано проникване в мрежата.
✓ Misconfigured APs.
✓ Evil Twin APs. Използва се точка за безжично свързване, която изглежда легитимна, но не е. При нея устройство, настроено
автоматично да се свързва с оригиналната точка за безжично свързване (AP), всъщност се свързва с нелегитимната.
✓ Wireless Hijacking. Атакуващия конфигурира своя лаптоп да излъчва като точка за достъп (wireless AP), използвайки известно SSID. Неподозиращите жертви се свързват с него, което ги прави отворени за peer-to-peer атаки.
✓ Eavesdropping. Състои се в подслушване на данните трансферирани между клиентите и точките за безжична свързване.
✓ MAC Spoofing.
✓ Management Interface Exploits. Тази атака е приложима в ситуации, при които централизирано се контролират точките за достъп, използвайки web-интерфейс или конзолен достъп.
✓ Packet sniffing.
4.7 При изпълнението на всяка група тестове Изпълнителят трябва да използва систематичен и структуриран подход, описан в следната схема:
▪ Планиране – съгласуване с Възложителя на областта от информационни активи, които ще бъдат тествани и дейностите, които ще бъдат извършени.
▪ Изследване – добиване на максимална информация за обектите, които са цел на теста, използвайки похватите на потенциален хакер.
▪ Идентификация на уязвимостите и слабостите.
▪ Експлоатация на уязвимостите – след съгласие на Възложителя и вземане на мерки за ограничаване на риска от потенциален срив на системите или разкриване на чувствителни данни, Изпълнителя прави опит да извърши реално проникване в съответната система.
▪ Докладване на откритите уязвимости и слабости - докладват се веднага тези, които незабавно трябва да се отстранят, а всички се включват в докладите за съответната група тестове.
4.8 Тестовете трябва да бъдат изпълнявани в реална продуктивна среда, като се вземат всички необходими мерки да бъдат сведени до минимум рисковете от отпадане на услуги.
4.9 Оценката на сигурността трябва да включва и оценка на нивото на критичност и риск за системите като се дадат препоръки за отстраняване на откритите уязвимости и съответно подобряване на сигурността.
5 Документиране на резултатите от проведените тестове
5.1 Изпълнителят трябва да предостави следните доклади:
▪ Резюме и детайлен доклад от проведените външни инфраструктурни тестове - тестове за проникване (penetration tests) срещу устройствата, обезпечаващи връзката на ДП РВД с интернет, и информационните услуги на ДП РВД, достъпни от интернет.
▪ Резюме и детайлен доклад от проведените вътрешни инфраструктурни тестове - тестове за откриване и експлоатиране на уязвимости и слабости
на корпоративната мрежа, инфраструктурни услуги и сървърната инфраструктура на ДП РВД.
▪ Резюме и детайлен доклад от проведените тестове на безжичната мрежа
на ДП РВД.
5.2 Детайлния доклад за всяка група тестове трябва да съдържа подробно описание на всички открити уязвимости и слабости, оценка на свързания с тях риск и препоръки за отстраняване им.
5.3 Изпълнителят трябва да предостави (в криптиран вид) на Възложителя всички данни, събирани при провеждане на тестовете за проникване, включващи:
✓ Изпълнени стъпки
✓ Логове и записи
✓ Информация събрана или открита по неоторизиран път, съдържаща открити пароли, конфигурационни файлове и конфиденциална информация.
6 Етапи на изпълнение
6.1 Планиране и подготовка (с продължителност 10 дни от подписване на договора за изпълнение). През този етап първоначалния План-график за извършване на тестовете, представен в техническото предложение на Изпълнителя, трябва да бъде детайлизиран и предоставен в краен вид за одобрение от Възложителя.
6.2 Изпълнение на тестовете (с продължителност 50 дни). През този етап Изпълнителя извършва всички планирани тестове, анализира резултатите и изготвя подробни доклади за откритите уязвимости и слабости и съдържащи препоръки за подобряване на сигурността на информационната инфраструктура в ДП РВД;
7 Екип на изпълнителя, който ще извърши тестовете
7.1 Екипът на изпълнителя, който ще извърши тестовете, задължително трябва да се състои от:
7.1.1 Експерт “Ръководител по предоставяне на услугата и експерт по информационна сигурност”. Базови изисквания:
• Да притежава висше образование в направление „Комуникационна и компютърна техника“, „Информатика и компютърни науки“ или еквивалентно;
• Минимум 5 години професионален опит в областта на предоставянето на ИТ услуги;
• Участие като ръководител на екип в минимум 3 проекта за проверка на сигурността на информационна инфраструктура и системи чрез контролирано използване на тактиката и техниките на реалните кибер- атаки (penetration testing).
• Експертиза в областта на Penetration Testing, доказана с наличие на
валиден сертификат CEH (Certified Ethical Hacker), или ECSA (Certified Security Analyst), или OSCP (Offenssive Security Certified Professional), или OSCE (Offenssive Security Certified Expert), или CPTE/Mile2 (Certified Penetration Testing Engineer/Mile2), или еквивалентен;
7.1.2 Експерт “Penetration tester” със специализация в тестването на мрежова инфраструктура и инфраструктурни услуги. В екипа трябва да бъде включен поне 1 експерт “Penetration Tester” с указаната специализация. Базови изисквания:
• Да притежава висше образование в направление „Комуникационна и компютърна техника“, „Информатика и компютърни науки“ или еквивалентно;
• Минимум 5 години професионален опит в областта на информационните технологии;
• Участие в минимум 3 проекта за проверка на сигурността на информационна инфраструктура и системи чрез контролирано използване на тактиката и техниките на реалните кибер-атаки (penetration testing).
• Експертиза в областта на мрежовите технологии, доказана с наличие на валиден сертификат CCNP (Cisco Network Professional), или CCIE (Cisco Certified Internetwork Expert), или SolarWinds Certified Professional, или еквилалентен.
• Експертиза в областта на Penetration Testing, доказана с наличие на валиден сертификат CEH (Certified Ethical Hacker), или ECSA (Certified Security Analyst), или OSCP (Offenssive Security Certified Professional), или OSCE (Offenssive Security Certified Expert), или CPTE/Mile2 (Certified Penetration Testing Engineer/Mile2), или еквивалентен;
7.1.3 Експерт “Penetration tester” със специализация в областта на сървърната инфраструктура. В екипа трябва да бъдe включен поне 1 експерт “Penetration Tester” с указаната специализация . Базови изисквания:
• Да притежава висше образование в направление „Комуникационна и компютърна техника“, „Информатика и компютърни науки“ или еквивалентно;
• Минимум 5 години професионален опит в областта на информационните технологии;
• Участие в минимум 3 проекта за проверка на сигурността на информационна инфраструктура и системи чрез контролирано използване на тактиката и техниките на реалните кибер-атаки (penetration testing).
• Експертиза в областта на сървърните операционни системи, доказана с наличието на валиден сертификат Server+, Administering Windows Server 2012, Red Hat Certified Engineer, или еквивалентен.
• Експертиза в областта на Penetration Testing, доказана с наличие на валиден сертификат CEH (Certified Ethical Hacker), или ECSA (Certified Security Analyst), или OSCP (Offenssive Security Certified Professional), или OSCE (Offenssive Security Certified Expert), или CPTE/Mile2 (Certified Penetration Testing Engineer/Mile2), или еквивалентен;
7.2 В Предложението за изпълнение на поръчката участникът следва да представи за всеки експерт от екипа следната информация:
✓ Копие на документа за придобито образование;
✓ Xxxxx за успешно приключили проекти, а именно: наименование на проекта, а когато е приложимо предмет на договора, контрагент/възложител, начална и крайна дата на проект/договор;
✓ Копие на валиден сертификат;
8 Допълнителни изисквания, свързани със сигурността на информацията
8.1 При извършване на тестовете да се използва методика, практики и процедури, които няма до доведат до прекъсване на услуги и на бизнес процесите в предприятието.
8.2 При извършване на тестовете да не се допусне изтичане на чувствителна информация, като например хеш кодове на пароли, конфигурации на мрежови компоненти, IP и MAC адреси извън рамките на ДП РВД. Чувствителната информация придобита по време на тестовете трябва да бъде унищожена след приключване на тестовете.
8.3 При подписването на договора Изпълнителят се обвързва с неразпространение на информацията, която му е предоставена по време на изпълнение на договора.
8.4 Членовете на екипа на изпълнителят трябва да подпишат декларации за поверителност (в съответствие с разработените типови клаузи към договорите по ИС).
9 Общи условия
9.1 Техническото предложение трябва да представи:
✓ Детайлно описание на следваната методология и използваните технологии за провеждането на тестовете и анализите.
✓ Примерни отчети, посочващи структурата и типовото съдържание на информацията, която ще съдържа в докладите по отделните точки от обхвата но поръчката.
✓ Първоначален План-график за извършване на тестовете, който да бъде детайлизиран и предоставен в краен вид в рамките на 10 дни от подписване на договора за изпълнение.
9.2 Осигуряването на необходимия хардуер и софтуер със съответните лицензи за изпълнение на дейностите по поръчката е отговорност на Изпълнителя.
Приложение № 4 към Договор № …..
ОБЩИ УСЛОВИЯ НА ДП РВД ЗА ОСИГУРЯВАНЕ НА СИГУРНОСТТА НА ИНФОРМАЦИЯТА И ЗАЩИТАТА НА ЛИЧНИТЕ ДАННИ
ПРИЛОЖИМО | 1. ОБЩИ ПОЛОЖЕНИЯ |
☒ | 1.1. Настоящото Приложение урежда взаимоотношенията между ДП „Ръководство на въздушното движение“ (ДП РВД) и ……………………………………………... (Изпълнител), свързани със сигурността на информацията, в съответствие с изискванията на точка А.15 от ISO/IEC 27001:2013. |
☒ | 1.2. Настоящото Приложение цели да осигури защита на информационните активи на ДП РВД, които са достъпни за Изпълнителя. |
☒ | 1.3. Настоящото Приложение урежда и взаимоотношенията ДП РВД и Изпълнителя, свързани със защитата на личните данни по смисъла на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните). |
☒ | 1.4. Настоящото Приложение се прилага, доколкото не противоречи на приложимото законодателство. |
☒ | 1.5. Доколкото приложимостта на отделна клауза не е посочена изрично, същата е неприложима по отношение на Договора. |
☒ | 1.6. Нищожността по т. 1.3 и неприложимостта по т. 1.4 на една или повече клаузи от това Приложение, не влече нищожност и/или неприложимост на останалите клаузи. |
☒ | 1.7. Настоящото Приложение е приложимо както по отношение на Изпълнителя, така и по отношение на неговите подизпълнители и/или поддоставчици, в рамките на обхвата на дейностите изпълнявани от последните. |
☒ | 2. ОПИСАНИЕ НА ИНФОРМАЦИЯТА И МЕТОДИ ЗА ДОСТЪПВАНЕТО Й |
☒ | 2.1. За целите на изпълнението на Договора, Изпълнителят има право да получава или достъпва следната категория информация на ДП РВД: |
(Посочва се категорията, съгласно СУСИ „Управление на активите, класификация на информацията и работа с информационни носители“ и се прецизира вида на информацията) ☒ общодостъпна ☐ за вътрешно ползване (… ) ☒ за ограничено ползване (мрежови конфигурации, IP адреси) |
☒ | 2.2. В срок не по късно от 10 (десет) дни считано от влизането на Договора в сила, Страните се задължават да съгласуват Схемата за категоризиране на ДП РВД с тази на Изпълнителя, като приоритет при съгласуването има схемата на ДП РВД. |
☒ | 2.3. Методите за обмяна на информацията между ДП РВД и Изпълнителя са както следва: електронна поща; ☐ споделено пространство от инфраструктурата на Изпълнителя; ☒ споделено пространство от инфраструктурата на ДП РВД; ☐ криптиран външен носител; ☒ криптирани файлове по електронна поща с …………………(описва се начина за криптиране, напр. 7- zip, AS256), паролата се изпраща по отделен канал; ☐ (друго, ако е приложимо) |
☒ | 2.4. Методи за достъп до информационни активи на ДП РВД от Изпълнителя са както следва (може да е комбинация от по-долу изброените): ☒ достъп на място до системи от неоперативния сегмент на мрежата; ☐ достъп на място до системи от оперативния сегмент на мрежата; ☐ осъществяване на отдалечена сесия чрез VPN за първоначално конфигуриране и настройване на системата за период от календарни дни; ☐ по време на гаранционната поддръжка, осъществяване на достъп чрез Webex или Skype for Business/Lync под контрол на отговорния служител от ДП РВД, за отстраняване на технически откази и решаване на проблеми. В този случай сесията може да бъде записвана от отговорния ДП РВД. |
☒ | 3. ПРИЛОЖИМИ НОРМАТИВНИ И ДРУГИ ИЗИСКВАНИЯ |
☒ | 3.1. В хода на изпълнение на Договора, Страните се задължават да изпълняват стриктно изискванията на приложимото законодателство по отношение на защитата на информацията, включително и за защита на личните данни и правата на интелектуалната собственост. |
☐ | 3.2. В частност, при изпълнение на договорните си задължения Изпълнителят следва стриктно да прилага следните документи: 3.2.1. ……………………………….. 3.2.2. ……………………………….. (Посочват се конкретни документи, различни от нормативни актове, които предметът на Договора изисква да бъдат прилагат) |
☐ | 3.3. Софтуерът трябва да притежава следният сертификат за оценка на ниво на надеждност (Common Criteria Evaluation Assurance Level (EAL)): |
☐ EAL 2 или по-висок; ☐ EAL 3 или по-висок; ☐ EAL … | |
☒ | 4. ЗАЩИТА НА ИНФОРМАЦИЯТА |
☒ | 4.1. Изпълнителят приема за производствена и търговска тайна на ДП РВД пълният обем от информация и/или данни предоставени или узнати при и по повод изпълнението на Договора. |
☒ | 4.2. Изпълнителят се задължава да не уврежда и да не създава опасност от увреждане на сигурността на информацията на ДП РВД и се задължава да използва производствените и търговски тайни по т. 4.1., единствено за изпълнение на задълженията му по Договора. |
☒ | 4.3. Изпълнителят има право да предоставя информацията по т. 4.1. само на трети лица (подизпълнители, поддоставчици), пряко ангажирани с изпълнението на договора, освен в случаите когато задълженията за това предоставяне произтичат от закон или друг нормативен акт. |
☒ | 4.4. За гарантиране изпълнението на задълженията си по тази т. 4, в срок до 3 (три) дни, считано от датата на влизане на Договора в сила, Изпълнителят се задължава да предостави на ДП РВД списък на партньорите, служителите и лицата за контакт по отношение на сигурността на информацията, придружен от саморъчно попълнени и подписани Декларации за конфиденциалност (съгласно Oбразец № 1), от всички физически лица, които ще имат, или на които ще бъде предоставен достъп до информацията по т. 4.1. |
☒ | 4.5. Изменения на списъка по т. 4.4. се осъществяват по реда на този раздел. |
☒ | 4.6. В зависимост от категорията информация по т. 2.1. ДП РВД има право да изисква допълнителни документи удостоверяващи правото на лицата да имат достъп и ползват информацията по т. 4.1 |
☒ | 4.7. ДП РВД има право да извършва проверка на документи и да отказва писмено на Изпълнителя достъп до информацията по т. 4.1. |
☒ | 4.8. ДП РВД има право без предварително уведомление да отнеме правото на достъп до информация по т. 4.1. на всяко лице, което: 4.8.1. е нарушило клаузите на Договора, свързани със сигурността на информацията; 4.8.2. е предизвикало или създало опасност за възникване на инцидент, свързан със сигурността на информацията на ДП РВД; 4.8.3. е изгубило право, необходимо за предоставяне на информация. |
☒ | 4.9. В случаите по т. 4.7. и т. 4.8. Изпълнителят се задължава в срок до 3 (три) дни, считано от получаване на отказа или уведомлението за отнето право, да предложи друго лице, отговарящо на нормативните изисквания и/или критериите на ДП РВД. |
☒ | 4.10. Изпълнителят се задължава да не извършва действия и да не прави изявления, които биха увредили доброто име и търговския престиж на ДП РВД. |
☒ | 4.11. Изпълнителят се задължава да пази информацията по т. 4.1. в тайна за срок от 18 (осемнадесет) месеца, считано от датата на влизане на Договора в сила, като по отношение на физическите лица, този срок се прилага включително и след прекратяване на трудовите или договорните им отношения с Изпълнителя. |
☐ | 4.12. При придобиване на информационни системи, които мониторират/одитират други инфраструктурни компоненти от инфраструктурата на ДП РВД, Изпълнителят се задължава да предостави на ДП РВД декларация от съответния производител, че предложения програмен продукт не съдържа нерегламентирани средства за събиране и препредаване на конфиденциална информация, (т.нар. „backdoor“ механизъм) |
☒ | 4.13. При тестове за откриване на уязвимости (пен тестове) от страна на доставчика, се описва процедура за почистване след тестовете, описваща къде ще се съхранява придобитата по време на тестовете информация, как ще бъде унищожена след тестовете, как системите ще бъдат възстановени до нивото преди теста (премахване на тестови акаунти, връщане към първоначални конфигурации и др.). |
☒ | 4.14. Задълженията на Изпълнителя по тази т. 4 се отнасят в пълен обем и за неговите служители, подизпълнители и/или поддоставчици и техните служители. |
☒ | 5. ИЗПОЛЗВАНЕ НА ИНФОРМАЦИЯТА |
☒ | 5.1. Изпълнителят има право да използва предоставената или достъпвана информация на ДП РВД единствено за цeлите на изпълнението на договора. |
☒ | 5.2. Изпълнителят няма право да предоставя на трети лица предоставената или достъпвана информация на ДП РВД, освен в случаите, когато е длъжен да направи това по силата на нормативен акт или решение на компетентен орган. В тези случаи, Изпълнителят е длъжен да уведоми незабавно ДП РВД. |
☒ | 5.3. Извън описаните в предходната точка случаи, освен ако не е уговорено предварително, Изпълнителят има право да предоставя на трети лица предоставената или достъпвана информация на ДП РВД само с писменото разрешение на ДП РВД. |
☒ | 5.4. Всяко използване на информацията на ДП РВД, различно от уговореното тук или в Договора, е недопустимо. |
☒ | 5.5. Задълженията на Изпълнителя по тази т. 5 се отнасят в пълен обем и за неговите служители, подизпълнители и/или поддоставчици и техните служители. |
☒ | 6. МЕХАНИЗМИ ЗА КОНТРОЛ И ОДИТ |
☒ | 6.1. ДП РВД има право да контролира по всяко време и да осъществява периодичен и инцидентен мониторинг на използването или достъпването на информацията от страна на Изпълнителя, неговите служители, подизпълнители и/или |
поддоставчици и техните служители, както и да води дневници за това, включително и електронни. | |
☒ | 6.2. За целите на контрола на използването на информацията ДП РВД има право да извършва периодичен и инцидентен одит на Изпълнителя. |
☒ | 6.3. За целите на одита, ДП РВД определя едно или повече лица, отговорни за осъществяването му и информира Изпълнителя за това. |
☒ | 6.4. ДП РВД се задължава да пази като производствената и търговска тайна на Изпълнителя пълният обем от информация и/или данни предоставени или узнати при и по повод осъществяването на одита. За тази цел, лицата по т. 6.3. подписват декларация, съгласно Образец №2. |
☒ | 6.5. Изпълнителят, неговите служители, подизпълнители и/или поддоставчици и техните служители, се задължават да съдействат на лицата по т. 6.3 за изпълнение на поставените им задачи и да не възпрепятстват по какъвто и да било начин осъществяването на мониторинг и одити. |
☒ | 6.6. ДП РВД информира писмено Изпълнителя за резултатите от мониторинга и/или одита и при необходимост предоставя на последния предписания за отстраняване на констатирани нередности. |
☒ | 6.7. Изпълнителят се задължава за своя сметка да отстранява всички нередности в срока, посочен от ДП РВД в съответните предписания по т. 6.6. |
☒ | 6.8. Задълженията на Изпълнителя по тази т. 5 се отнасят в пълен обем и за неговите служители, подизпълнители и/или поддоставчици и техните служители. |
☒ | 7. УПРАВЛЕНИЕ НА ИНЦИДЕНТИ |
☒ | 7.1. Изпълнителят е длъжен през целия срок на договора да поддържа и съгласува с ДП РВД план за управление на инциденти, свързани със сигурността на информацията (включително технически откази). |
☒ | 7.2. Изпълнителят се задължава при установяване, поискване от ДП РВД, или периодично при условията съгласувани в плана по т. 7.1., да докладва на последния за предполагаема и/или установена слабост в сигурността на достъпвани системи на ДП РВД и предоставяни услуги на последния, в това число, но не само: ☒ Неоторизиран достъп до системи; ☒ Компрометирана информация; ☒ Нарушаване на интегритета на информацията; ☐ Невъзможност за предаване или обработка на информация; ☐ Технически откази. |
☒ | 7.3. Планът по т. 7.1. съдържа мерки и процедури за предотвратяване, докладване и отстраняване на последиците от инциденти, свързани със сигурността на информацията, както и мерки за съхраняване на интегритета, наличността и конфиденциалността на информацията. |
☒ | 7.4. Изпълнението на плана по т. 7.1., включително и действията по отстраняване на последиците от инциденти/технически откази, за които Изпълнителят отговаря е за сметка на последния. |
☐ | 8. УПРАВЛЕНИЕ НА ВЕРИГАТА ЗА ДОСТАВКИ |
☐ | 8.1. Изпълнителят, неговите подизпълнители и поддоставчици се задължават да спазват стриктно изискванията за сигурност на информацията, които се прилагат при придобиването от ДП РВД на продукт или услуга на информационни и комуникационни технологии, посочени в съответните технически приложения към Договора. |
☐ | 8.2. При закупуване на компоненти от лица, различни от Изпълнителя, планът по т. 7.1. включва описание и на всички практики за сигурност по веригата на доставки. |
☐ | 8.3. Доказването на съответствието на продуктите или услугите на информационни и комуникационни технологии с изискванията за сигурност се осъществява при приемане на изпълнението на Договора, съгласно указаните в същия методи. |
☐ | 8.4. ДП РВД има право по реда на Раздел 6 да контролира по всяко време и да осъществява периодичен и инцидентен мониторинг на съответствието на продуктите или услугите на информационни и комуникационни технологии с изискванията за сигурност. |
☐ | 8.5. В срок указан в договора, Изпълнителят се задължава да предостави на ДП РВД списък на компонентите на продуктите на информационни и комуникационни технологии, които са критични за поддържането на функционалността им |
☐ | 8.6. Изпълнителят се задължава да предоставя на ДП РВД възможност за проследяване на произхода на критичните компоненти по т. 8.5. по веригата на доставки. |
☐ | 8.7. Изпълнителят се задължава да осигурява наличност на критичните за осигуряване на жизнения цикъл на продуктите на информационни и комуникационни технологии компоненти, за сроковете, посочени в Договора. |
☐ | 8.8. Изпълнителят задължава да осигурява спазването на изискванията на ДП РВД по този раздел по веригата на доставките. |
☒ | 9. ПРЕГЛЕД НА ИЗПЪЛНЕНИЕТО |
☒ | 9.1. ДП РВД има право да осъществява текущ и нерегулярен мониторинг на изпълнението на задълженията на Изпълнителя по отношение на информационната сигурност, през целия жизнен цикъл на взаимоотношенията с последния. |
☒ | 9.2. Планът по т. 7.1 съдържа процес за докладване и управление на инциденти със сигурността на информацията (нарушаване на цялостност, интегритет, наличност) или докладване на технически откази на доставената система (софтуер/хардуер). |
☒ | 9.3. Процесът по т. 9.2. осигурява: ☐ наблюдение на нивата на предоставяне на услугата за целите на проверка на изпълнението на Договора от доставчика, спрямо ключовите индикатори на изпълнението заложени от ДП РВД; |
☒ преглед на докладите за изпълнение на услугата и периодични срещи за оценка на изпълнението; ☒ процес за отстраняване на идентифицирани проблеми; ☐ процес за управление на промени; ☐ преглед на аспектите на сигурността на информацията по веригата на доставките; ☐ осигуряване на непрекъснатостта на услугата. | |
☐ | 9.4. Освен чрез плана по т. 7.1., ДП РВД има право по реда на Раздел 6 да одитира Изпълнителя по отношение на недостатъци при предоставяне на услугата и инциденти със сигурността на информацията на Изпълнителя, което може да включва преглед записите на събития, оперативни проблеми, откази, проследяване на неизправности и откази и други недостатъци при предоставяне на услугата. |
☒ | 10. ПРИКЛЮЧВАНЕ НА ВЗАИМООТНОШЕНИЯТА |
☒ | 10.1. При приключване на отношенията с Изпълнителя, независимо от причините за това, ДП РВД незабавно прекратява достъпа на доставчика до информация, до помещения или информационни активи |
☒ | 10.2. В срок не по късно от три работни дни, считано от датата на приемане на окончателното изпълнение на Договора, доставчикът е длъжен да ☐ върне или ☒ върне подлежащата на връщане и унищожи неподлежащата на връщане информация, предоставена при и по повод на изпълнението на Договора. |
☒ | 11. ОТГОВОРНОСТ НА ДОСТАВЧИКА И САНКЦИИ |
☒ | 11.1. Изпълнителят носи отговорност за сигурността на информацията получена от ДП РВД при изпълнение на задълженията му или по друг повод, независимо от това дали ДП РВД или трето лице е собственик на тази информация. |
☒ | 11.2. Изпълнителят е длъжен да поправи всички вреди, нанесени на ДП РВД и/или на трети лица, възникнали при и по повод на изпълнението на този Договор. |
☒ | 11.3. Независимо от т. 11.2, Изпълнителят подлежи на санкции съгласно уговореното в Договора. |
☒ | 11.4. Изпълнителят е солидарно отговорен за действията и/или бездействията на своите служители, подизпълнители, поддоставчици или служители на последните свързани със сигурността на информацията, получена от ДП РВД, независимо от това дали ДП РВД или трето лице е собственик на тази информация. |
☒ | 12. ОТГОВОРНОСТИ СВЪРЗАНИ СЪС ЗАЩИТАТА НА ЛИЧНИТЕ ДАННИ |
☒ | ЗАЩИТА НА ЛИЧНИТЕ ДАННИ ПРЕДОСТАВЕНИ ОТ ВЪЗЛОЖИТЕЛЯ |
☒ | 12.1. За срока на договора, Възложителят (в качеството си на администратор на лични данни) предоставя на Изпълнителя (в качеството си на обработващ) следните категории лични данни на своите служители, а именно: ☒ Имена; ☒ ЕГН; ☒ Постоянен адрес; ☐ …………………. |
☒ | 12.2. Данните по т. 12.1.се предоставят единствено с цел изпълнение на предмета на договора. |
☒ | 12.3. Изпълнителят по настоящия договор, като обработващ лични данни, предоставени от Възложителя, се задължава: ☒ 12.3.1. при обработването на личните данни да действа само въз основа на писмените указания на Възложителя, освен ако законът не изисква друго; ☒ 12.3.2. да гарантира, че обработва предоставените лични данни в условията на пълна конфиденциалност; ☐ 12.3.3. да предприеме подходящи технологични и организационни мерки, за да гарантира сигурността на обработваните данни; ☒ 12.3.4. да възлага обработването на личните данни на други обработващи само след изричното писмено съгласие от страна на Възложителя; ☒ 12.3.5. да съдейства на Възложителя при осигуряване на възможност за упражняване правата на субектите на лични данни, като право на достъп, информация, коригиране, възражение, изтриване и др.; ☒ 12.3.6. да съдейства на Възложителя за изпълнение на задълженията му, свързани с осигуряване сигурността на обработката, уведомяването при нарушение на сигурността, изготвянето на оценки на въздействието върху защитата на данните; ☒ 12.3.7. да изтрие или предостави всички лични данни на Възложителя при прекратяване на договора или когато данните бъдат заличени при Възложителя; ☒ 12.3.8. в случай на проверка от надзорните органи, да предостави на Възложителя цялостна и пълна информация, необходима за доказване на съответствието със законовите изисквания по отношение на защитата на лични данни; ☒ 12.3.9. в случай на констатирано нарушение на сигурността /инцидент/ на лични данни, което води до разкриване, унищожаване, подмяна, недостъпност или незаконна обработка да уведоми в срок от 72 часа компетентния надзорен орган и Длъжностното лице по защита на данните на Възложителя. |
☒ | 12.4. Изпълнителят по настоящия договор се задължава да поддържа регистър на дейностите по обработване, както и при нужда да осигури длъжностно лице по защита на личните данни. |
☒ | 12.5. Изпълнителят носи пълна отговорност в случай на неизпълнение на задълженията си като обработващ лични данни или при неспазване вменените му задължения от страна на Възложителя. |
☒ | ЗАЩИТА НА ЛИЧНИТЕ ДАННИ ПРЕДОСТАВЕНИ ОТ ИЗПЪЛНИТЕЛЯ |
☒ | 12.6. За срока на договора, Изпълнителят предоставя на Възложителя следните категории лични данни на своите служители, включително подизпълнители, а именно: ☒ Имена; ☒ ЕГН; ☒ Лични данни, съдържащи се в автобиографии; ☒ Лични данни съдържащи се в дипломи за висше образование; ☒ Лични данни, съдържащи се в свидетелства за съдимост; ☒ Лични данни, съдържащи се в свидетелства за психично здраве; ☒ Лични данни, съдържащи се в удостоверения за наличие/липса на данни за образувани и неприключени наказателни производства и повдигнати обвинения по реда на чл.147, ал.1, т.1, б.“г“ от Правилник за прилагане на Закона за защита на квалифицираната информация; ☒ Лични данни, съдържащи се в попълнени въпросници във връзка с проучване и издаване на разрешение за работа в стратегически зони; ☒ …………………. |
☒ | 12.7. Данните по т. 12.6.се събират единствено с цел изпълнение на предмета на договора. |
☒ | 12.8. Данните, част от досието на обществената поръчка се съхраняват в рамките на 5 години след приключване на изпълнението на договора и преминал одит. |
☒ | 12.9. Данните, които се събират във връзка с проучване и издаване на разрешение за работа в стратегически зони се съхраняват в срок от 5 години. |
☒ | 12.10. Данните, които не влизат в категориите, описани в т.12.8 и т. 12.9 се съхраняват в рамките на сроковете определени в договора. |
☒ | 12.11. Възложителят по настоящия договор, като обработващ лични данни, предоставени от Изпълнителя, се задължава: ☒ 12.11.1. при обработването на личните данни да действа само въз основа на писмените указания на Изпълнителя, освен ако законът не изисква друго; ☒ 12.11.2. да гарантира, че обработва предоставените лични данни в условията на пълна конфиденциалност; |
☒ 12.11.3. да предприеме подходящи технологични и организационни мерки, за да гарантира сигурността на обработваните данни; ☒ 12.11.4. да съдейства на Изпълнителя при осигуряване на възможност за упражняване правата на субектите на лични данни, като право на достъп, информация, коригиране, възражение, изтриване и др.; ☒ 12.11.5. да съдейства на Изпълнителя за изпълнение на задълженията му, свързани с осигуряване сигурността на обработката, уведомяването при нарушение на сигурността, изготвянето на оценки на въздействието върху защитата на данните; ☒ 12.11.6. да изтрие/унищожи по сигурен начин всички лични данни на Изпълнителя в сроковете дефинирани в договора и/или в т.12.8 и 12.9. ☒ 12.11.7. в случай на констатирано нарушение на сигурността /инцидент/ на лични данни, което води до разкриване, унищожаване, подмяна, недостъпност или незаконна обработка, да уведоми в срок от 72 часа компетентния надзорен орган и Длъжностното лице по защита на данните на Изпълнителя. | |
☒ | 12.12. Възложителят по настоящия договор при необходимост осигурява длъжностно лице по защита на личните данни предоставени от Изпълнителя. |
☒ | 13. ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ |
☒ | 13.1. Изменението на изисквания по отношение на сигурността на информацията на Договора се осъществява при необходимост по начина, указан в същия и при спазване на приложимото законодателство. |
☒ | 13.2. Всички спорове между страните по отношение на сигурността на информацията се разрешават по начина, указан в Договора. |
ОБРАЗЕЦ № 1
Д Е К Л А Р А Ц И Я ЗА
КОНФИДЕНЦИАЛНОСТ И ЛОЯЛНОСТ
Аз, долуподписаният:
……………………………………., с документ за самоличност № ………., в качеството си на:
□ представляващ
□ служител
на ……………………………………., със седалище и адрес на управление,
……………………………………., ЕИК ………………, представлявано от:
……………………………….., , с качеството на:
□ Изпълнител (Доставчик)
□ Подизпълнител
□ Поддоставчик
по Договор № …………………………. / ,
Д Е К Л А Р И Р А М:
1. Приемам за производствена и търговска тайна на ДП „Ръководство на въздушното движение” пълният обем от информация и/или данни (в писмена, електронна или устна форма) предоставени ми или узнати по Договора.
2. За да не създам опасност от увреждане на стопанските интереси на страните ще използвам производствените и търговски тайни по т. 1, които съм узнал/а по силата на договорните си отношения с ДП „Ръководство на въздушното движение” или Изпълнителя на договора, единствено за изпълнение на поставените ми задачи и няма да ги разгласявам пред трети лица, освен в случаите когато задълженията за това произтичат от закон или друг нормативен акт.
3. След изпълнение на поставените ми задачи ще върна цялата предоставена информация и/или данни, без да задържам копия на същите, независимо от формата им.
4. Ще пазя производствените и търговски тайни по т. 1, за срок от ……………….
години, считано от датата на подписване на настоящата Декларация, включително и след прекратяване на трудовите или договорните ми отношения с юридическото лице посочено в тази декларация.
5. Няма да извършвам действия и няма да правя изявления, с които бих увредил доброто име и търговския престиж на ДП „Ръководство на въздушното движение”.
Дата: ..................... Декларатор: ...............................
(подпис)
ОБРАЗЕЦ № 2
Д Е К Л А Р А Ц И Я ЗА
КОНФИДЕНЦИАЛНОСТ И ЛОЯЛНОСТ
Аз, долуподписаният:
……………………………………., с документ за самоличност № ………., в качеството си на служител
на ДП „Ръководство на въздушното движение“, със седалище и адрес на управление в гр. София, бул. „Брюксел“ №1, ЕИК 000697179, представлявано от: г-н Xxxxxx Xxxx, генерален директор и като Определен одитор
по Договор № …………………………. / ,
Д Е К Л А Р И Р А М:
1. Приемам за производствена и търговска тайна на
……………………………………………….. пълният обем от информация и/или данни (в писмена, електронна или устна форма) предоставени ми или узнати по Договора.
2. За да не създам опасност от увреждане на стопанските интереси на страните ще използвам производствените и търговски тайни по т. 1, които съм узнал/а по силата на договорните отношения с изпълнителя на договора, неговите подизпълнители, поддоставчици или други трети лица, единствено за изпълнение на поставените ми задачи и няма да ги разгласявам пред трети лица, освен в случаите когато задълженията за това произтичат от закон или друг нормативен акт.
3. След изпълнение на поставените ми задачи ще върна цялата предоставена информация и/или данни, без да задържам копия на същите, независимо от формата им.
4. Ще пазя производствените и търговски тайни по т. 1, за срок от ……………….
години, считано от датата на подписване на настоящата Декларация, включително и след прекратяване на трудовите или договорните ми отношения с юридическото лице посочено в тази декларация.
5. Няма да извършвам действия и няма да правя изявления, с които бих увредил доброто име и търговския престиж на ………………………………………………..
Дата: ..................... Декларатор: .......................
(подпис)