Common use of Informačná bezpečnosť Clause in Contracts

Informačná bezpečnosť. Zhotoviteľ sa v súvislosti s plnením predmetu zmluvy o dielo zaväzuje dodržiavať pri podpore prevádzky dodaného informačného systému bezpečnostnú politiku objednávateľa a objednávateľom vydané platné bezpečnostné smernice a štandardy. Oprávnené osoby a pracovníci zhotoviteľa, ktorí budú vykonávať pre objednávateľa činnosti súvisiace s plnením zmluvy o dielo, musia byť poučení o povinnostiach podľa predchádzajúceho bodu tohto článku a o tomto poučení musí zhotoviteľ vytvoriť záznam, ktorý bude podpísaný poučenou osobou a osobou, ktorá poučenie vykonala. Za riadne poučenie zodpovedá zhotoviteľ. Zhotoviteľ je povinný predložiť objednávateľovi potvrdenie o oboznámení zamestnancov a subdodávateľov s platnými bezpečnostnými štandardmi objednávateľa, a to podľa vzoru objednávateľa, ak zhotoviteľovi takýto vzor poskytne. Zhotoviteľ sa zaväzuje v priebehu trvania vykonávania Diela priebežne sledovať a vyhodnocovať bezpečnosť a odolnosť čiastkového plnenia voči aktuálne známym typom útokov, resp. poskytovať súčinnosť objednávateľovi pri zaisťovaní bezpečnosti odolnosti. Zhotoviteľ sa zaväzuje poskytnúť objednávateľovi kontaktnú osobu zodpovednú za kybernetickú bezpečnosť zhotoviteľa. Objednávateľ je oprávnený zaslať kontaktnej osobe zhotoviteľa informácie ohľadom podozrení na bezpečnostne relevantné udalosti týkajúce sa zhotoviteľa. Objednávateľ je oprávnený na zisťovanie stavu kybernetickej bezpečnosti zhotoviteľa použiť služby tretích strán. Objednávateľ je oprávnený zbierať informácie o kybernetickej bezpečnosti IT prostredia zhotoviteľa bez predchádzajúceho upozornenia a oznámenia rozsahu a spôsobu zisťovania. Zhotoviteľ poskytne objednávateľovi písomné vyjadrenie k odstráneniu príčin problémov v oblasti kybernetickej bezpečnosti. V prípade kritických nedostatkov v kybernetickej bezpečnosti musí zhotoviteľ zabezpečiť bezodkladnú nápravu nedostatkov. Každý takýto kritický nedostatok v kybernetickej bezpečnosti bude evidovaný, riadený, sledovaný a vyhodnocovaný ako bezpečnostný incident. Zhotoviteľ sa zaväzuje informovať objednávateľa o každom svojom závažnom bezpečnostnom incidente. Zhotoviteľ sa zaväzuje aplikovať a dodržiavať písomne vypracované pravidlá bezpečného vývoja, uvedené v Prílohe č. 2 tejto zmluvy o dielo, počas celej doby trvania zmluvného vzťahu a na požiadanie poskytnúť NBS. Zhotoviteľ sa zaväzuje, že jeho zamestnanci a osoby ktoré sa podieľajú na tvorbe a úpravách zdrojových kódov sú preukázateľne regulárne vyškolení na pre bezpečný vývoj aplikácií. Pravidlá bezpečného vývoja aplikácií obsahujú oblasti podľa “best practices”, ako napr. komentáre, funkčné testovanie, predchádzanie typickým bezpečnostným chybám, pravidelné bezpečnostné testovanie kódu integrované do procesu vývoja. Objednávateľ je oprávnený posúdiť pravidlá bezpečného vývoja informačných systémov, aplikácií zhotoviteľa prostredníctvom tretej strany. Zhotoviteľ sa zaväzuje dodržiavať štandardy stanovené objednávateľom a zakomponovať ich do svojich pravidiel bezpečného vývoja aplikácií pre dodaný informačný systém a zmeny dodaného informačného systému poskytované pre objednávateľa. Pred odovzdaním akejkoľvek zmeny dodaného informačného systému objednávateľa, Zhotoviteľ preverí bezpečnosť kódu a vyhotoví o tom záznam, kde budú zachytené vykonané testy a ich výsledky, tento záznam uchová po dobu min 24 mesiacov od mesiaca vykonania konkrétnej zmeny. Ak odovzdávané dielo/zmena dodaného informačného systému obsahuje bezpečnostné nedostatky, ktoré sú klasifikované objednávateľom ako zásadný bezpečnostný incident, tak toto dielo/zmena nebude prevzaté do prevádzky objednávateľa, kým nebudú uvedené bezpečnostné nedostatky primerane odstránené, resp. ošetrené. Súčasťou akceptácie akejkoľvek zmeny zo strany NBS je prehlásenie dodávateľa, že boli vykonané všetky predpísané úkony, existuje k nim dokumentácia a kód neobsahuje žiadne známe zraniteľnosti Objednávateľ je oprávnený vykonávať preverenie bezpečnosti diela, pričom zhotoviteľ sa zaväzuje poskytnúť potrebnú súčinnosť (napr. dokumentáciu, vysvetlenia). Objednávateľ je oprávnený na preverenie bezpečnosti diela/zmeny použiť služby tretích strán.