Contract
Общи условия на “Пристанище Варна” ЕАД
за осигуряване на сигурността на информацията
1. ОБЩИ ПОЛОЖЕНИЯ |
1.1. Настоящите Общи условия на „Пристанище Варна“ ЕАД за осигуряване на сигурността на информацията регламентират взаимоотношенията между „Пристанище Варна“ ЕАД (Възложител) и всеки Доставчик/Изпълнител, който може да има достъп, да обработва, да съхранява, да разпространява или да предоставя информационни технологии, инфраструктурни компоненти за организацията, свързани със сигурността на информацията (СИ), в съответствие с изискванията на Наредбата за минималните изисквания за мрежова и информационна сигурност и на точка А.15 от ISO/IEC 27001:2013. |
1.2. С настоящите Общи условия се цели да се осигури защита на информационните активи на „Пристанище Варна“ ЕАД, които са достъпни за Доставчика/Изпълнителя, като се определят следните правила: • за сигурност на информацията, свързани с достъпа на представители на трети страни до информация и активи на „Пристанище Варна“ ЕАД; • за доказване, че третата страна също прилага адекватни мерки за мрежова и информационна сигурност, включително клаузи за доказването на прилагането на тези мерки чрез документи и/или провеждане на одити; • за прозрачност на веригата на доставките; третата страна трябва да е способна да докаже произхода на предлагания ресурс/услуга и неговата сигурност; • последици при неспазване на изискванията за сигурност на информацията; • отговорност при неспазване на договорените срокове, количество и/или качество на услугата, което може да създаде риск за постигане на целите на мрежовата и информационната сигурност; • за взаимодействие в случай на възникване на инцидент, който най-малко включва: контактни точки, начин за докладване, време за реакция, време за възстановяване на работата, условия за затваряне на инцидент; • определяне на служител/служители, отговарящ/отговарящи за спазване на изискванията по ал. 1 и параметрите на нивото на обслужване; • изготвяне на план за действие в случай на неспазване на уговорените дейности и клаузи с третата страна. |
1.3. Настоящите Общи условия се прилагат, доколкото не противоречи на приложимото законодателство. |
1.4. Настоящите Общи условия се прилагат както по отношение на Доставчика/Изпълнителя, така и по отношение на неговите подизпълнители и/или поддоставчици, в рамките на обхвата на дейностите, изпълнявани от последните. |
1.5. Настоящите Общи условия са приложими, както по отношение на Доставчика/Изпълнителя, така и по отношение на неговите подизпълнители и/или поддоставчици, в рамките на обхвата на дейностите, изпълнявани от последните. |
2. ОПИСАНИЕ НА ИНФОРМАЦИЯТА И МЕТОДИ ЗА ДОСТЪПВАНЕТО Ѝ |
2.1. За целите на изпълнението на Договора, Доставчикът/Изпълнителят има право да получава или достъпва само до информацията на „Пристанище Варна“ ЕАД, която е пряко свързана с изпълнението на предмета на договора и при спазване принципа „Необходимо да се знае“. |
2.2. „Пристанище Варна“ ЕАД следва установена схема за класификация на информацията, с която Доставчикът/Изпълнителят е длъжен да се съобрази, при необходимост, да има достъп до такава информация. |
2.3. Методите за обмяна на информацията между „Пристанище Варна“ ЕАД и Доставчика/Изпълнителя са както следва: • електронна поща; • споделено пространство от инфраструктурата на Изпълнителя; • споделено пространство от инфраструктурата на „Пристанище Варна“ ЕАД; • криптиран външен носител; • криптирани файлове по електронна поща, паролата се изпраща по отделен канал. |
2.4. Методите за достъп до информационни активи на „Пристанище Варна“ ЕАД от Доставчика/Изпълнителя |
са както следва: • достъп на място до административно-управленски системи от мрежата; • достъп на място до експлоатационни системи от мрежата; • осъществяване на отдалечена сесия чрез VPN за първоначално конфигуриране и настройване на системата за срока на договора или друг срок упоменат в него; • осъществяване на отдалечена сесия чрез VPN за гаранционна или извън гаранционна поддръжка; • по време на гаранционната или извънгаранционната поддръжка, осъществяване на достъп чрез платформа (посочва се: Zoom, Webex, Skype for Business, или др.) под контрол на отговорния служител от „Пристанище Варна“ ЕАД, за отстраняване на технически откази и решаване на проблеми. В този случай сесията може да бъде записвана от отговорния служител на „Пристанище Варна“ ЕАД. |
3. ПРИЛОЖИМИ НОРМАТИВНИ И ДРУГИ ИЗИСКВАНИЯ |
3.1. В хода на изпълнение на Договора, Страните се задължават да изпълняват стриктно изискванията на приложимото законодателство по отношение на защитата на информацията, включително и за защита на лични данни и правата на интелектуалната собственост. |
3.2. В частност, при изпълнение на договорните си задължения Доставчикът/Изпълнителят следва стриктно да прилага следните документи: 3.2.1. Техническо задание; 3.2.2. Условията по одобрената Оферта. |
3.3. Софтуерът трябва да притежава следния сертификат за оценка на ниво на надеждност (Common Criteria Evaluation Assurance Level (EAL)) EAL 2, EAL 3 или по-висок; |
4. ЗАЩИТА НА ИНФОРМАЦИЯТА |
4.1. Доставчикът/Изпълнителят приема за производствена и търговска тайна на „Пристанище Варна“ ЕАД пълния обем от информация и/или данни, предоставени или узнати при и по повод сключването и/или изпълнението на Договора. |
4.2. Доставчикът/Изпълнителят се задължава да не уврежда и да не създава опасност от увреждане на СИ на „Пристанище Варна“ ЕАД и се задължава да използва производствените и търговски тайни по т. 4.1. единствено за изпълнение на задълженията му по Договора. |
4.3. Доставчикът/Изпълнителят има право да предоставя информацията по т. 4.1. само на трети лица (подизпълнители, поддоставчици), пряко ангажирани с изпълнението на договора, освен в случаите когато задълженията за това предоставяне произтичат от закон или друг нормативен акт, или от задължителен акт на компетентен орган. |
4.4. За гарантиране изпълнението на задълженията си по настоящата т. 4., при подписване на договора, Доставчикът/Изпълнителят, чрез законния си представител подписва декларация за конфиденциалност (съгласно образец ФК-086 Декларация за конфиденциалност към „Пристанище Варна“ ЕАД). По преценка на Възложителя, с оглед предмета на конкретния договор може да се изиска подписване на декларация за конфиденциалност от всички физически лица, които ще имат, или на които ще бъде предоставен достъп до информацията по т. 4.1. |
4.5. „Пристанище Варна“ ЕАД има право да извършва проверка на документи и да отказва писмено на Доставчика/Изпълнителя достъп до информацията по т. 4.1. |
4.6. В зависимост от класификацията на информация по т. 2.1. „Пристанище Варна“ ЕАД има право да изисква допълнителни документи, удостоверяващи правото на лицата да имат достъп и ползват информацията по т. 4.1. |
4.7. „Пристанище Варна“ ЕАД има право да извършва проверка на документи и да отказва писмено на Изпълнителя достъп до информацията по т. 4.1. |
4.8. „Пристанище Варна“ ЕАД има право без предварително уведомление да отнеме правото на достъп до информация по т. 4.1. на всяко лице, което: 4.8.1. е нарушило клаузите на Договора, свързани със СИ; 4.8.2. е предизвикало или създало опасност за възникване на инцидент, свързан със СИ на „Пристанище Варна“ ЕАД; 4.8.3. е изгубило право, необходимо за предоставяне на информация. |
4.9. В случаите по т. 4.7. и т. 4.8. Изпълнителят се задължава в срок до 5 (пет) дни, считано от получаване на отказа или уведомлението за отнето право, да предложи друго лице, отговарящо на нормативните |
изисквания и/или критериите на „Пристанище Варна“ ЕАД. |
4.10.Доставчикът/Изпълнителят се задължава да не извършва действия и да не прави изявления, които биха увредили доброто име и търговския престиж на „Пристанище Варна“ ЕАД. |
4.11.Доставчикът/Изпълнителят се задължава да пази информацията по т. 4.1. в тайна за целия срок на договора, и след неговото прекратяване. По отношение на физическите лица, този срок се прилага включително и след прекратяване на трудовите или договорните им правоотношения с Доставчика/Изпълнителя. |
4.12.При придобиване на информационни системи, които мониторират/одитират други инфраструктурни компоненти от инфраструктурата на „Пристанище Варна“ ЕАД, Изпълнителят се задължава да предостави на „Пристанище Варна“ ЕАД декларация от съответния производител, че предложения програмен продукт не съдържа нерегламентирани средства за събиране и препредаване на конфиденциална информация (т.нар. „backdoor“ механизъм). |
4.13.При тестове за откриване на уязвимости от страна на Изпълнителя, на „Пристанище Варна“ ЕАД се предоставя писмена процедура за почистване след тестовете, описваща къде ще се съхранява придобитата по време на тестовете информация, как ще бъде унищожена след тестовете, как системите ще бъдат възстановени до нивото преди теста (премахване на тестови акаунти, връщане към първоначални конфигурации и др.). |
4.14.Задълженията на Изпълнителя по тази т. 4 се отнасят в пълен обем и за неговите служители, подизпълнители и/или поддоставчици и техните служители. |
5. ИЗПОЛЗВАНЕ НА ИНФОРМАЦИЯТА |
5.1. Доставчикът/Изпълнителят има право да използва предоставената или достъпвана информация на „Пристанище Варна“ ЕАД единствено за целите на изпълнението на договора. |
5.2. Доставчикът/Изпълнителят няма право да предоставя на трети лица предоставената или достъпвана информация на „Пристанище Варна“ ЕАД, освен в случаите, когато е длъжен да направи това по силата на нормативен акт или решение на компетентен орган. В горните случаи, Изпълнителят е длъжен да уведоми „Пристанище Варна“ ЕАД преди предоставянето на информацията. |
5.3. Извън описаните в предходната точка случаи, освен ако не е уговорено предварително, Изпълнителят има право да предоставя на трети лица предоставената или достъпвана информация на „Пристанище Варна“ ЕАД само с писменото разрешение на „Пристанище Варна“ ЕАД. |
5.4. Всяко използване на информацията на „Пристанище Варна“ ЕАД, различно от уговореното тук или в Договора, е недопустимо и Доставчикът/Изпълнителят отговаря за всички претърпени от Възложителя вреди, като дължи пълното им обезщетяване. |
5.5. Задълженията на Изпълнителя по тази т. 5 се отнасят в пълен обем и за неговите служители, подизпълнители и/или поддоставчици и техните служители. |
6. МЕХАНИЗМИ ЗА КОНТРОЛ И ОДИТ |
6.1. „Пристанище Варна“ ЕАД има право да контролира по всяко време и да осъществява периодичен или инцидентен мониторинг на използването или достъпването на информацията от страна на Изпълнителя, неговите служители, подизпълнители и/или поддоставчици и техните служители, както и да води дневници за това, включително и електронни. |
6.2. За целите на контрола на използването на информацията, „Пристанище Варна“ ЕАД има право да извършва периодичен и инцидентен одит на Изпълнителя, при който последният е задължен да предостави достъп на възложителя до своите информационни ресурси, които касаят изпълнението на настоящия договор. |
6.3. За целите на одита, „Пристанище Варна“ ЕАД определя едно или повече лица, отговорни за осъществяването му и информира Изпълнителя за това. |
6.4. „Пристанище Варна“ ЕАД се задължава да пази както производствената и търговска тайна на Доставчика/Изпълнителя, пълния обем от информация и/или данни, предоставени или узнати при и по повод осъществяването на одита. За тази цел, лицата по т. 6.3. са подписали декларации за конфиденциалност. |
6.5. Доставчикът/Изпълнителят, неговите служители, подизпълнители и/или поддоставчици и техните служители, се задължават да съдействат на лицата по т. 6.3 за изпълнение на поставените им задачи и да не възпрепятстват по какъвто и да било начин осъществяването на мониторинг и одити. |
6.6. „Пристанище Варна“ ЕАД информира писмено Доставчика/Изпълнителя за резултатите от мониторинга и/или одита и при необходимост изисква отстраняване на констатирани нередности. |
6.7. Доставчикът/Изпълнителят се задължава за своя сметка да отстранява всички нередности в срока, посочен от „Пристанище Варна“ ЕАД в съответните предписания по т. 6.6. |
6.8. Задълженията на Изпълнителя по тази т. 6 се отнасят в пълен обем и за неговите служители, подизпълнители и/или поддоставчици и техните служители. |
7. УПРАВЛЕНИЕ НА ИНЦИДЕНТИ |
7.1. Доставчикът/Изпълнителят който има достъп, обработва, съхранява, разпространява или предоставя информационни технологии или инфраструктурни компоненти е длъжен през целия срок на договора да поддържа и съгласува с „Пристанище Варна“ ЕАД план за управление на инциденти, свързани със СИ (включително технически откази). |
7.2. Доставчикът/Изпълнителят се задължава при установяване, поискване от „Пристанище Варна“ ЕАД, или периодично, при условията, съгласувани в плана по т. 7.1., да докладва на последния за предполагаема и/или установена слабост в сигурността на достъпвани системи на „Пристанище Варна“ ЕАД и предоставяни услуги на последния, в това число, но не само: • неоторизиран достъп до системи; • компрометирана информация; • нарушаване на интегритета на информацията; • невъзможност за предаване или обработка на информация; • технически откази. |
7.3. Планът по т. 7.1. съдържа мерки и процедури за предотвратяване, докладване и отстраняване на последиците от инциденти, свързани със СИ, както и мерки за съхраняване на интегритета, наличността и конфиденциалността на информацията. |
7.4. Изпълнението на плана по т. 7.1., включително и действията по отстраняване на последиците от инциденти/технически откази, за които Изпълнителят отговаря е за сметка на последния. |
8. УПРАВЛЕНИЕ НА ВЕРИГАТА ЗА ДОСТАВКИ |
8.1. Доставчикът/Изпълнителят, неговите подизпълнители и поддоставчици се задължават да спазват стриктно изискванията за СИ, които се прилагат от „Пристанище Варна“ ЕАД, при придобиването на продукт или услуга на информационни и комуникационни технологии, посочени в съответните технически приложения към Договора. |
8.2. При закупуване на компоненти от лица, различни от Доставчика/Изпълнителя, планът по т. 7.1. включва описание и на всички практики за сигурност по веригата на доставки. |
8.3. Доказването на съответствието на продуктите или услугите на информационни и комуникационни технологии с изискванията за сигурност се осъществява при приемане на изпълнението на Договора, съгласно указаните в същия методи. |
8.4. „Пристанище Варна“ ЕАД има право по реда на Раздел 6 да контролира по всяко време и да осъществява периодичен или инцидентен мониторинг на съответствието на продуктите или услугите на информационни и комуникационни технологии с изискванията за сигурност. |
8.5. Доставчикът/Изпълнителят се задължава да предостави на „Пристанище Варна“ ЕАД списък на компонентите, на предоставяните от него продукти и услуги на информационни и комуникационни технологии, които са критични за поддържането на функционалността им. |
8.6. Доставчикът/Изпълнителят се задължава да предоставя на „Пристанище Варна“ ЕАД възможност за проследяване на произхода на критичните компоненти по т. 8.5. по веригата на доставки. |
8.7. Изпълнителят се задължава да осигурява наличност на критичните компоненти, за осигуряване на жизнения цикъл на предоставянето от него продукти и услуги на информационни и комуникационни технологии, за сроковете, посочени в Договора. |
8.8. Изпълнителят се задължава да осигурява спазването на изискванията на „Пристанище Варна“ ЕАД по този раздел по веригата на доставките. |
9. ПРЕГЛЕД НА ИЗПЪЛНЕНИЕТО |
9.1. „Пристанище Варна“ ЕАД има право да осъществява текущ или нерегулярен мониторинг на изпълнението на задълженията на Изпълнителя по отношение на информационната сигурност, през |
целия жизнен цикъл на взаимоотношенията с последния. |
9.2. Планът по т. 7.1 съдържа процес за докладване и управление на инциденти със СИ (нарушаване на цялостност, интегритет, наличност) или докладване на технически откази на доставената система (софтуер/хардуер). |
9.3. Процесът по т. 9.2. осигурява: • наблюдение на нивата на предоставяне на услугата за целите на проверка на изпълнението на Договора от доставчика, спрямо ключовите индикатори на изпълнението, заложени от „Пристанище Варна“ ЕАД; • преглед на докладите за изпълнение на услугата и периодични срещи за оценка на изпълнението; • процес за отстраняване на идентифицирани проблеми; • процес за управление на промени; • доказване спазването на изискванията на Възложителя по веригата на доставките; • осигуряване на непрекъснатостта на услугата. |
9.4. Освен чрез плана по т. 7.1., „Пристанище Варна“ ЕАД има право по реда на Раздел 6 да одитира Изпълнителя по отношение на недостатъци при предоставяне на услугата и инциденти със СИ на Доставчикът/Изпълнителят, което може да включва преглед записите на събития, експлоатационни проблеми, откази, проследяване на неизправности и откази, и други недостатъци при предоставяне на услугата. |
10. ПРИКЛЮЧВАНЕ НА ВЗАИМООТНОШЕНИЯТА |
10.1.При приключване на взаимоотношенията с Изпълнителя, независимо от причините за това, „Пристанище Варна“ ЕАД незабавно прекратява достъпа на доставчика до информация, помещения и информационни активи. |
10.2.Към датата на приемане на окончателното изпълнение на Договора или до три дни от датата на прекратяване на договора на основание, различно от изпълнението, Доставчикът/Изпълнителят е длъжен да върне подлежащата на връщане и унищожи не подлежащата на връщане информация, предоставена при и по повод на сключването и/или изпълнението на Договора. |
11. ОТГОВОРНОСТ НА ДОСТАВЧИКА И САНКЦИИ |
11.1.Доставчикът/Изпълнителят носи отговорност за СИ, получена от „Пристанище Варна“ ЕАД при изпълнение на задълженията му или по друг повод, независимо от това дали „Пристанище Варна“ ЕАД или трето лице е собственик на тази информация. |
11.2.Доставчикът/Изпълнителят носи пълна отговорност за обезщетяване на всички вреди, които „Пристанище Варна“ ЕАД и/или трети лица, могат да претърпят, възникнали при или по повод на изпълнението на Договор, както и възникнали при или по повод на нарушения на задълженията на Доставчикът/Изпълнителят във връзка с изпълнение на СИ, посочени в настоящите Общи условия. |
11.3.Отговорност за неизпълнение на настоящите правила може да се предвижда и в Договор. |
11.4.Доставчикът/Изпълнителят е солидарно отговорен за действията и/или бездействията на своите служители, подизпълнители, поддоставчици или служители на последните свързани със СИ, получена от „Пристанище Варна“ ЕАД, независимо от това дали „Пристанище Варна“ ЕАД или трето лице е собственик на тази информация. |
12. ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ |
12.1.Изменението на изисквания по отношение на СИ в Договора се осъществява при необходимост по начина, указан в същия и при спазване на приложимото законодателство. |
12.2.Всички спорове между страните по отношение на СИ се разрешават по начина, указан в Договора. |