Požadavky na bezpečnost. Společnost OKsystem má zavedený a udržovaný systém řízení podle norem ISO 9001, ISO 14001 a systém řízení bezpečnosti informací ISO 27001. Od Národního bezpečnostního úřadu získala osvědčení podnikatele podle §54 zákona 412/2005 Sb., o ochraně utajovaných informací a bezpečnostní způsobilosti, v platném znění, pro seznamování se s utajovanými informacemi až do stupně utajení Důvěrné a pro poskytování nebo vznik utajovaných informací až do stupně utajení Důvěrné. Máme bohaté zkušenosti s vývojem bezpečnostních aplikací. Při tvorbě Systému a jeho správě budeme vycházet ze znalosti metodik Information Technology Infrastructure Library (ITIL) a Information Security Management System (ISMS). Stejně tak zahrneme požadavky dané zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti). Celý Systém bude tvořen s důrazem na bezpečnost. Zahrnuty budou metody pro funkční i bezpečnostní dohled a audit. Z různých bezpečnostních událostí bude možno identifikovat podezření na bezpečnostní incidenty. Budeme spolupracovat s nástroji pro detekci, sběr a vyhodnocení kybernetických bezpečnostních událostí. Detailně budou řešena přístupová oprávnění na úrovni rolí a autentizační metody pro ověřování identity uživatelů. Komunikace mezi vrstvami počítá s oddělením pomocí firewallu. Všechny vrstvy Systému budou řešeny s vysokou dostupností a rozvažováním zátěže. Pro zajištění důvěrnosti dat se budou využívat kryptografické prostředky v aplikaci i na straně databázového serveru. Pro zajištění důvěryhodnosti dat se využije elektronický podpis s obsaženým časovým razítkem. Bude se využívat Public Key Infrastructure (PKI) Zadavatele. Jelikož je dáno provozování Systému ve virtuálním prostředí postaveném na technologii Microsoft Hyper-V, doporučujeme, aby toto prostředí využívalo technik pro zajištění vysoké dostupnosti. Spolehlivost celého Systému se tak dá výrazně zvýšit při využití Hyper-V Host Clusters a Virtual Machine Guest Clustering pomocí System Center Virtual Machine Manager. V případě, že bude infrastruktura roztažena přes obě datová centra, může se využít vysoké dostupnosti i geograficky. Pro provoz Systému se hodí další vlastnosti jako je Virtual Machine Live Migration, Intelligent Placement a Dynamic Optimization. BEZ001 Podpora zabezpečení sítě Veškeré komunikace na prezentační, aplikační i databázovou vrstvu budou využívat TCP protokol a budou ukončeny na staticky definovaných portech. Veškeré komunikace budou...
Požadavky na bezpečnost. Obrázek 28: Datový model nabídkového prototypu Systému NPI001 Způsob implementace NPI002 Server NPI003 Klient Nabídkový prototyp je vytvořen pro platformu Microsoft Hyper-V jako dvojice virtuálních počítačů – „klient“ a „server“. Virtuální počítač „server“ obsahuje komponenty určené pro nasazení na centrálních serverech. Na rozdíl od cílové infrastruktury Systému je dle požadavků nabídkového prototypu součástí instalace prezentační aplikační a databázová vrstva, které jsou nasazeny společně na jednom virtuálním serveru. Minimální konfigurace: Windows Server 2012 R2 včetně oprav 4 GB RAM dva virtuální procesory frekvence procesoru 1,8 GHz 50 GB HDD Veškeré potřebné komponenty nutné pro instalaci serverové části Systému jsou součástí média „Server“. Virtuální počítač „klient“ obsahuje komponenty určené pro nasazení na klientských pracovních stanicích (PC) uživatelů Systému. Komponenty jsou připraveny pro počítač s operačním systémem Microsoft Windows 7, 64-bitová edice. Minimální konfigurace „Klient“:
Požadavky na bezpečnost. Systém musí splňovat požadavky dané legislativou České republiky, především pak požadavky ZKB a souvisejících prováděcích právních předpisů. Zhotovitel bude dodávat i veškerou požadovanou dokumentaci související se zákonnými požadavky. Veškerá data přenášená po telekomunikačních sítích musí být chráněná standardizovanými kryptografickými prostředky tak, aby bylo zabráněno jejich odposlechu, změně či jinému zneužití. Detailní požadavky na bezpečnost jsou součástí níže uvedených dokumentů: • Požadavky na dokumentaci Informačních systémů resortu justice • Požadavky na IS a dodavatele z pohledu Instrukce č. 5/2022 Ministerstva spravedlnosti Další upřesnění v rámci bezpečnostních požadavků je součástí následujících podkapitol.
Požadavky na bezpečnost. Software Vigilant Master Med musí být chráněn aktualizovaným antivirovým programem a firewallem. Software Vigilant Master Med by měl být konfigurován tak, aby podporoval ověření uživatele jako je popsáno v dokumentu ”Administrator´s Guide„. Vigilant a Agilia jsou registrované ochranné známky firmy Fresenius Kabi ve vybraných zemích. Z důvodu naší politiky kontinuálního vývoje produktů stejně jako změny ve standardech, se mohou popsané funkce změnit. Prosím kontaktujte nás pro aktuální informace. Fresenius Kabi s.r.o. Na Strži 1702/65 140 00 Praha 4-Nusle Elektronický podpis - 10.12.2021 Certifikát autora podpisu : Jméno : Xxx. Xxxxxx Xxxxxxxx Vydal : PostSignum Qualified CA 4 Platnost do : 30.11.2022 16:02:24-000 +01:0 CC13796-1 Česká republika xxx.xxxxxxxxx-xxxx.xx 0123 Řešení datamanagementu Elektronický podpis - 10.12.2021 Certifikát autora podpisu : Jméno : Xxx. Xxxxxx Xxxxxxxx Vydal : PostSignum Qualified CA 4 Platnost do : 30.11.2022 16:02:24-000 +01:0 Zabezpečená distribuce knihovny léčiv Optimalizovaná správa vybavení Nejnovější standardy kyberbezpečnosti Hardwarové požadavky Hardwarové požadavky pro Centerium jsou závislé na počtu využívaných infuzních pump, takže je vyžadován výkonnější hard- ware v případě velkého množství techniky. Centerium je validováno s těmito požadavky: Aplikační server 1 - 250 pump 251 - 500 pump 501 - 1000 pump 1001 - 3000 pump Konfigurace 1 tier* 2 tier** 2 tier 2 tier 2 tier Procesor Xeon E3 (4C/4T) 3.3 GHz Xeon E3 (4C/4T) 3.3 GHz Xeon E3 (4C/4T) 3.3 GHz 18 GHz - 16 cores 18 GHz - 16 cores Celková paměť 8 GB 8 GB 8 GB 64 GB 64 GB Velikost disku 1 Tera 200 Go 200 Go 200 Go 200 Go Síťová karta IEEE 802.3 10/100/1000Mbps card Databázový server 1 - 250 pump 251 - 500 pump 501 - 1000 pump 1001 - 3000 pump Konfigurace 1 tier* 2 tier** 2 tier 2 tier 2 tier Procesor na Xeon E3 (4C/4T) 3.3 GHz Xeon E3 (4C/4T) 3.3 GHz 18 GHz - 16 cores 18 GHz - 16 cores Celková paměť na 8 GB 8 GB 32 GB 32 GB Velikost disku na 1 Tera 1 Tera 1 Tera 1 Tera SQL Server 2012Standard Validováno Validováno SQL Server 2008 R2 SP2Standard Nepodporováno Validováno Bezpečnostní požadavky Centerium software musí být chráněn aktualizovaným antivirovým programem. *1 tier: 1 server podporuje operační systém a databázi. **2 tier: 2 servery jsou potřeba pro operační systém a databázi. Pro jiné verze SQL serverů: Instalační aplikace zobrazí zprávu s informací, že verze nebyla validována. Použití s jinou verzí musí být před použitím va- lidováno. Instalační aplikac...
Požadavky na bezpečnost. V rámci této kapitoly jsou definovány minimální požadavky na bezpečnost řešení, které vycházejí z obecných požadavků zadavatele na bezpečnost. Tyto požadavky se uplatní přiměřeně potřebám a funkcím mobilní aplikace.
Požadavky na bezpečnost. 4.2.1.Použité materiály a výrobky musí splňovat požadavky na bezpečný výrobek ve smyslu zákona č. 102/2001 Sb., o obecné bezpečnosti výrobků a o změně některých zákonů (zákon o obecné bezpečnosti výrobků). Dále musí splňovat platné technické, bezpečnostní, zdravotní, hygienické a jiné předpisy, včetně předpisů týkajících se ochrany životního prostředí, vztahujících se na výrobek a jeho výrobu, zejména: - zákon č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů, a navazující, - nařízení vlády č. 163/2002 Sb., kterým se stanoví technické požadavky na vybrané stavební výrobky, ve znění nařízení vlády č. 312/2005 Sb., - zákon č. 86/2002 Sb., o ochraně ovzduší a o změně některých dalších zákonů (zákon o ochraně ovzduší), ve znění pozdějších předpisů, - zákon č. 20/2004 Sb., kterým se mění zákon č. 254/2001 Sb., o vodách a o změně některých zákonů (vodní zákon), ve znění pozdějších předpisů, - zákon č. 106/2005 Sb., kterým se mění zákon č. 185/2001 Sb., o odpadech a o změně některých dalších zákonů, ve znění pozdějších předpisů, - zákon č. 356/2003 Sb., o chemických látkách a chemických přípravcích a o změně některých zákonů, ve znění pozdějších předpisů, - vyhlášku MŽP č. 221/2004 Sb., v platném znění, kterou se stanoví seznamy nebezpečných chemických látek a nebezpečných chemických přípravků, jejichž uvádění na trh je zakázáno nebo jejichž uvádění na trh, do oběhu nebo do používání je omezeno. 4.2.2.Splnění požadavků uchazeč prokáže: - u výrobků stanovených dle § 12 zákona č. 22/1997 Sb., písemným prohlášením o shodě výrobku s technickými předpisy a o dodržení stanoveného postupu posouzení shody podle § 13 tohoto zákona, u ostatních výrobků jiným vhodným způsobem dle zákona č. 102/2001 Sb., o obecné bezpečnosti výrobků (např. podepsaným čestným prohlášením), - a zároveň též čestným prohlášením uchazeče, že s ním není vedeno správní řízení pro porušování výše uvedených zákonů. 4.2.3.Nábytek opatřený ekoznačkou typu I dle ČSN ISO 14024 bude považován za splňující požadavky bodu 4.2.1. Pokud uchazeč předloží odpovídající certifikát dle citované normy, nemusí předkládat doklady dle 4.2.2
Požadavky na bezpečnost. ID požadavku Požadavek BI-12-1 Identifikace a autorizace přístupů BI platforma MUSÍ umožňovat nastavovat a řídit oprávnění pro jednotlivé role a oblasti přístupu. BI platforma MUSÍ umožňovat napojení na uživatelské skupiny definované v LDAP (eDirectory)/ Active Directory. MŽP aktuálně nedisponuje MS Active Directory. BI platforma MUSÍ umožňovat napojení na NIA a JIP/XXXX dle specifikací příslušných rozhraní publikovaných ze strany správce NIA a JIP/XXXX. BI platforma MUSÍ umožňovat logování přístupů a činnosti (využívání systému) uživateli (více viz požadavek BI-10-6). BI-12-2 Důvěrnost a integrita BI Platforma MUSÍ zajistit, že: - Uchovávaná data nesmí být zpřístupněna neautorizovaným osobám. Přístup a veškerá manipulace s daty MUSÍ být zaznamenávaná; - Data nemohou být během komunikace odposlouchávána či pozměněna neautorizovanou stranou. Pro komunikaci mezi uživatelem a systémem musí být použit pouze zabezpečený komunikační protokol; - Uchovávaná data nesmí být možné změnit nebo poškodit neautorizovanou stranou, či administrátory MŽP nebo Dodavatele. BI-12-3 Bezpečnostní monitoring Systém MUSÍ aplikaci zajištěné MŽP umožnit plný bezpečnostní monitoring dodaných komponent, infrastruktury i všech činností souvisejících se zajištěním provozu, servisu a rozvoje systému. BI-12-4 Shoda se ZoKB Systém MUSÍ být ve shodě se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů. BI-12-5 Antivirová ochrana Servery a infrastruktura provozovaná MŽP má zajištěnu antivirovou ochranu.
Požadavky na bezpečnost. ID požadavku Požadavek Naplněn (ANO/NE) Účastník uvede odkaz na přiloženou část nabídky, kde je možné ověřit naplnění parametru MIS-12-1 Identifikace a autorizace přístupů MIS MUSÍ umožňovat nastavovat a řídit oprávnění pro jednotlivé role a oblasti přístupu. MIS MUSÍ umožňovat napojení na uživatelské skupiny definované v Active Directory zadavatele MIS-12-2 Důvěrnost a integrita MIS MUSÍ zajistit, že: Uchovávaná data nesmí být zpřístupněna neautorizovaným osobám. Přístup a veškerá manipulace s daty MUSÍ být zaznamenávaná; Data nemohou být během komunikace odposlouchávána či pozměněna neautorizovanou stranou. Pro komunikaci mezi uživatelem a systémem musí být použit pouze zabezpečený komunikační protokol; Uchovávaná data nesmí být možné změnit nebo poškodit neautorizovanou stranou, či administrátory Zadavatele nebo Dodavatele.
Požadavky na bezpečnost. Pokud je ve svazku signalizačních spojů více než jedno signalizační vedení, mělo by být, z důvodu bezpečnosti každé z nich, vedeno pokud možno fyzicky nezávislou cestou, tj. jiný HW ve spojovacím systému, jiný přenosový systém, jiný kabel, atd.
Požadavky na bezpečnost. Systém musí být koncipován tak, aby síťová komunikace využívala výhradně protokolu TCP, přičemž na straně komponenty poskytující služby (server) využívala statických, předem známých portů. Volitelně musí umožnit použití šifrované komunikace. Pokud je z technologického a provozního hlediska výhodnější použit pro některé komponenty dynamického přidělování portů, lze jej využít. Avšak musí být zaručena kompatibilita takovéto komponenty, která je součástí subsystému v prostředí MPSV a její bezproblémový chod. Systémy musí umožňovat přihlášení uživatele pomocí SSO. Integrace do desktop SSO pomocí MS Windows AD – Kerberos. V případě, že nedojde k ověření pomocí mechanismu SSO pak pomocí jména a hesla nebo klientského certifikátu X. 509 v rámci protokolu SSL / TLS. Ověření bude provedeno opět vůči MS AD. Systém / aplikace musí pouze na základě změny konfigurační položky umožnit přihlášení (ověření) uživatelů jednotlivě pouze jedním z výše zmíněných způsobů či oběma způsoby naráz (více faktorová autentizace) všude tam, kde to konkrétní produkt umožňuje. Uživatelské účty budou uloženy a spravovány v rámci MS AD. Systém / aplikace bude z AD v okamžiku přihlášení přebírat identitu uživatele. Uživatelské rozhraní musí poskytovat možnost úplného a bezpečného odhlášení uživatele ze systému. Všechny přístupy k poskytované službě jsou jednotné bez ohledu na to, jestli přistupuje uživatel pomocí uživatelského rozhraní nebo aplikace pomocí webové služby. Vždy je nezbytné provést ověření uživatele a jeho oprávnění přístupu k datům na základě role nebo oprávnění a provést auditní záznam o tomto přístupu (ev. zamítnutí přístupu) a činnosti, kterou s daty uživatel provádí. Každý přístup ke službě musí být jednoznačně identifikován a přiřazen ke koncovému uživateli, který s daty pracuje (i v případě přístupu přes API je nutné přebírat identitu uživatele a ověřovat oprávnění). Implementace produktů musí využívat všech možností pro používání certifikátů a to jak pro přihlášení uživatele, tak pro podpis dokumentů, zabezpečení - šifrování dokumentů, zabezpečené spojení nebo při použití elektronické pošty. Všechny certifikáty budou při každém použití kontrolovány na jejich platnost i proti CRL. Součástí správy aplikačních rolí bude vytváření, údržba a rušení aplikačních rolí. Uchazeč dodá návrh aplikačních rolí tak, aby respektovali požadavky na zajištění odděleného přístupu k datům nebo prostředkům MPSV na základě pracovní pozice, organizační struktury, lokality a činností vykonávan...