Common use of Rozsah aktivity Clause in Contracts

Rozsah aktivity. Popis (obsah) aktivity Kontinuální provozní aktivita Poskytovatel je povinen zajistit odpovídající stav služby SAMAS tak, aby byla zajištěna adekvátní úroveň kybernetické a informační bezpečnosti. Na základě této povinnosti bude Poskytovatel provádět realizaci bezpečnostních aktualizací služby SAMAS, kdy předmětem aktualizací bude instalace a implementace bezpečnostních aktualizací a realizace maximálně možných opatření pro zajištění ochrany dat Objednatele i ochrany samotné služby SAMAS. Na základě aktivity bezpečnostního monitoringu, doporučení a požadavků jednotlivých výrobců technologických komponent zajistí Poskytovatel implementaci bezpečnostních částí kódu, patchů, záplat a dalších programových částí v souladu s doporučením výrobce. Pokud se nejedná o aktualizaci kritickou, bez které by byla zásadním způsobem ohrožena bezpečnost služby SAMAS, bude realizace bezpečnostních aktualizací primárně probíhat dvou-krokově: Aktualizace služeb poskytovaných pro prostředí DEV a TEST včetně nezbytného otestování stavu služby SAMAS a následné ověření při standardním užívání testovacího prostředí. Aktualizace služeb poskytovaných pro prostředí PROD včetně nezbytného otestování stavu služby SAMAS. Aktualizace služeb SAMAS pro prostředí PROD bude realizována minimálně s odstupem 14 kalendářních dnů po provedení aktualizace pro prostředí TEST a DEV, pokud je to možné a vhodné. Aktualizace bude probíhat vždy v plné součinnosti s Objednatelem a, bude-li to potřebné, s provozovatelem infrastruktury informačního systému XXXX. Poskytovatel zašle požadavek na realizaci bezpečnostní aktualizace na Bezpečnostního manažera (za Objednatele) s uvedením navrhovaného harmonogramu provedení aktualizací a identifikací předpokládaných dopadů realizace bezpečnostních aktualizací. Bezpečnostní manažer neprodleně požadavek posoudí, ověří v rámci projektových struktur Objednatele vhodnost termínu a rozhodne o realizaci požadavku, případně ve spolupráci s Analytikem bezpečnosti (za Poskytovatele) navrhne náhradní termín. Po realizaci bezpečnostní aktualizace bude provedena aktualizace příslušné provozní a projektové dokumentace. Toto bude uvedeno ve Zprávě o plnění Pilotní části služeb. Doba zajištění aktivity V případě, že se nejedná o kritickou bezpečnostní záplatu, bude aktivita realizována mimo Pracovní dobu Objednatele. V případě, že se jedná o kritickou bezpečnostní záplatu, může být aktivita realizována po schválení Objednatelem v Pracovní době. V takovém případě, pokud bude po dobu aktivity přerušen provoz služby SAMAS, se jedná o Plánovanou odstávku. SLA parametry / Vyhodnocení Definice Požadovaná hodnota Vyhodnocení Zajištění odpovídajícího stavu bezpečnosti aplikačního prostředí služby SAMAS Plná bezpečnost používaných technologií v souladu s doporučeními výrobce. Jedná se o plnou odpovědnost Poskytovatele, v případě nezajištění bude toto řešeno v souladu s ustanoveními ZoKB a Smlouvy.

Rozsah aktivity. Popis (obsah) aktivity Kontinuální provozní aktivita Poskytovatel je povinen zajistit komplexní aktivity provozního monitoringu implementovaného Informačního systému XXXX. Předmětem provozního monitoringu je tak sledování stavu Informačního systému XXXX, průběžné vyhodnocování informací týkajících se provozu systému, a to na celé aplikační i databázové vrstvě IS XXXX, až po operační systém (tato vrstva již předmětem monitoringu není). Monitoring musí zahrnovat automatizovaný dohled i činnosti pracovníků Poskytovatele související zejména s vyhodnocováním nestandardních stavů, provozních událostí a incidentů a jejich hlášení na stranu Objednatele. Aktivity provozního monitoringu budou primárně zaměřeny na následující oblasti: Chování uživatelů IS XXXX (zajištění logování chování uživatelů dle požadavků ZoKB). Provozní stabilita jednotlivých modulů/systémů v IS XXXX. Provozní monitoring IS XXXX – výkon, dostupnost, stabilita, provozní události/incidenty. Provozní monitoring rozhraní IS XXXX – výkon, dostupnost, stabilita, provozní události/incidenty. Monitoring konzistence dat v IS XXXX. Administrace systému a implementace změn v IS XXXX. Další nezbytné činnosti garantující stabilní a funkční prostředí IS XXXX odpovídající stav provozním BEST PRACTICE standardům (ITIL, ISO/IEC 20000). Aktivity provozního monitoringu musí splňovat následující rozsah: Monitoring a provádění kontroly stavů všech provozně relevantních mechanismů implementovaných v rámci prostředí. Monitoring chování IS XXXX s ohledem na okolní ICT prostředí, které ovlivňuje provoz IS XXXX, typicky: Infrastruktura pro IS XXXX Informační systémy Poskytovatele integrované na IS XXXX: IS SZIF na platformě SAP. IDM SZIF. Systémy pro správu přístupů. LPIS a případně další integrované registry a systémy. Aplikační služby SAMAS tak, aby byla zajištěna adekvátní úroveň kybernetické a informační bezpečnostinezbytné pro fungování komplexního informačního prostředí IS XXXX: Služby SAMAS. Na základě této povinnosti bude Poskytovatel provádět realizaci bezpečnostních aktualizací služby SAMASSlužby portálových řešení SZIF. Služby Geotagovaných fotografií. V případě identifikace provozní události/incidentu ve vnějším prostředí, kdy předmětem toto může mít dopad na chod IS XXXX, zajištění notifikace Service Desku Objednatele nejpozději do 15 minut od zjištění nežádoucího stavu. Kontrola provozních logů (na denní bázi). Monitoring nových verzí systému, provozních aktualizací/záplat/patchů pro zajištění provozních aktualizací bude instalace IS XXXX. Notifikace Service Desku Objednatele (alerting) při výskytu nežádoucích situací do 15 minut od vzniku/zjištění. Vyhodnocování těchto stavů a implementace bezpečnostních aktualizací identifikaci příčin. Analýza řešených problémových situací a realizace maximálně možných návrh opatření pro zajištění ochrany dat Objednatele i ochrany samotné služby SAMASjejich eliminaci. Na základě aktivity bezpečnostního monitoringuProzkoumání vhodnosti přijatých opatření. Poskytovatel v případě zjištění provozní události/incidentu bezprostředně informuje 1. úroveň Service Desk SZIF. Poskytovatel v případě nalezení příčiny provozní události/incidentu a též řešení provozní události/incidentu, doporučení bezprostředně informuje 1. úroveň Service Desk SZIF. Součástí aktivit bude správa záznamů a požadavků logů zahrnující sběr, ukládání, zpracování a vyhodnocování bezpečnostních záznamů jednotlivých výrobců technologických komponent zajistí Poskytovatel implementaci bezpečnostních částí kódu, patchů, záplat a dalších programových částí modulů IS XXXX. Záznamy se musí archivovat v souladu s doporučením výrobcepožadavky ZoKB pro významný informační systém dle vyhlášky příslušného prováděcího předpisu ZoKB. Pokud se nejedná o aktualizaci kritickou, bez které by byla zásadním způsobem ohrožena bezpečnost služby SAMAS, bude realizace bezpečnostních aktualizací primárně probíhat dvou-krokově: Aktualizace služeb poskytovaných pro prostředí DEV Provozní monitoring IS XXXX musí být nastaven a TEST včetně nezbytného otestování stavu služby SAMAS a následné ověření při standardním užívání testovacího prostředí. Aktualizace služeb poskytovaných pro prostředí PROD včetně nezbytného otestování stavu služby SAMAS. Aktualizace služeb SAMAS pro prostředí PROD bude realizována minimálně prováděn v souladu s odstupem 14 kalendářních dnů po provedení aktualizace pro prostředí TEST a DEV, pokud je to možné a vhodné. Aktualizace bude probíhat vždy ISO/IEC 27001 v plné součinnosti s Objednatelem a, bude-li to potřebné, s provozovatelem infrastruktury informačního systému XXXX. Poskytovatel zašle požadavek na realizaci bezpečnostní aktualizace na Bezpečnostního manažera (za Objednatele) s uvedením navrhovaného harmonogramu provedení aktualizací a identifikací předpokládaných dopadů realizace bezpečnostních aktualizací. Bezpečnostní manažer neprodleně požadavek posoudí, ověří v rámci projektových struktur Objednatele vhodnost termínu a rozhodne o realizaci požadavku, případně ve spolupráci s Analytikem bezpečnosti (za Poskytovatele) navrhne náhradní termín. Po realizaci bezpečnostní aktualizace bude provedena aktualizace příslušné provozní a projektové dokumentace. Toto bude uvedeno ve Zprávě o plnění Pilotní části služebaktuální platné verzi. Doba zajištění aktivity V případě, že se nejedná o kritickou bezpečnostní záplatu, bude aktivita realizována mimo Pracovní dobu Objednatele. V případě, že se jedná o kritickou bezpečnostní záplatu, může být aktivita realizována po schválení Objednatelem v Pracovní době. V takovém případě, pokud bude po dobu aktivity přerušen provoz služby SAMAS, se jedná o Plánovanou odstávkuAutomatizovaný dohled a sběr dat - 7x24 – provozní doba znamená zajištění služeb pracovní i nepracovní dny 24 hodin denně; Interakce pracovníků Poskytovatele vůči pracovníkům Objednatele - 5x12 – garantovaná provozní doba znamená zajištění služeb pracovní dny 12 hodin denně (7:00 – 19:00). SLA parametry / Vyhodnocení Definice Požadovaná hodnota Vyhodnocení Zajištění odpovídajícího stavu bezpečnosti aplikačního prostředí služby SAMAS Plná bezpečnost používaných technologií Předmětem vyhodnocení aktivity Provozního monitoringu bude samostatná Zpráva měsíčního vyhodnocení provozního monitoringu IS XXXX. Zpráva bude obsahovat minimálně: Měsíční přehled o zaznamenaných incidentech a nežádoucích situacích Měsíční přehled realizovaných administrátorských operací na úrovni pracovníků Poskytovatele Měsíční přehled provozních činností realizovaných ze strany Poskytovatele Identifikovaná provozní rizika Opatření realizovaná v průběhu vyhodnocovacího období a navrhovaná pro období následující Veškeré další podklady dokládající realizaci Provozního monitoringu IS XXXX Provozovatelem v souladu s doporučeními výrobce. Jedná Best Practice a požadavky odpovídající legislativy vztahující se o plnou odpovědnost Poskytovatele, v případě nezajištění bude toto řešeno v souladu s ustanoveními ZoKB a Smlouvyna provoz významných informačních systémů veřejné správy.

Rozsah aktivity. Popis (obsah) aktivity Kontinuální provozní aktivita Poskytovatel je povinen v rámci služby IS03 zajistit odpovídající stav služby SAMAS tak, aby byla zajištěna adekvátní úroveň kybernetické a informační bezpečnosti. Na základě této povinnosti bude Poskytovatel provádět realizaci bezpečnostních aktualizací služby SAMAS, kdy předmětem aktualizací bude instalace a implementace bezpečnostních aktualizací a realizace maximálně možných opatření pro zajištění ochrany dat Objednatele i ochrany samotné služby SAMAS. Na základě komplexní aktivity bezpečnostního monitoringu, doporučení a požadavků jednotlivých výrobců technologických komponent zajistí Poskytovatel implementaci bezpečnostních částí kódu, patchů, záplat a dalších programových částí v souladu s doporučením výrobce. Pokud se nejedná o aktualizaci kritickou, bez které by byla zásadním způsobem ohrožena bezpečnost služby SAMAS, bude realizace bezpečnostních aktualizací primárně probíhat dvou-krokově: Aktualizace služeb poskytovaných pro prostředí DEV a TEST včetně nezbytného otestování stavu služby SAMAS a následné ověření při standardním užívání testovacího prostředí. Aktualizace služeb poskytovaných pro prostředí PROD včetně nezbytného otestování stavu služby SAMAS. Aktualizace služeb SAMAS pro prostředí PROD bude realizována minimálně s odstupem 14 kalendářních dnů po provedení aktualizace pro prostředí TEST a DEV, pokud je to možné a vhodné. Aktualizace bude probíhat vždy v plné součinnosti s Objednatelem a, bude-li to potřebné, s provozovatelem infrastruktury provozního monitoringu implementovaného informačního systému XXXX. Poskytovatel zašle požadavek Předmětem provozního monitoringu je tak sledování stavu informačního systému XXXX, průběžné vyhodnocování informací týkajících se provozu systému, a to na realizaci bezpečnostní aktualizace celé aplikační i databázové vrstvě IS XXXX, až po operační systém (tato vrstva již předmětem monitoringu není). Monitoring musí zahrnovat automatizovaný dohled i činnosti pracovníků Poskytovatele související zejména s vyhodnocováním nestandardních stavů, provozních událostí a incidentů a hlášení nestandardních stavů na Bezpečnostního manažera stranu Objednatele. Aktivity provozního monitoringu budou primárně zaměřeny na následující oblasti: Chování uživatelů IS XXXX (za Objednatele) s uvedením navrhovaného harmonogramu provedení aktualizací zajištění logování chování uživatelů dle požadavků ZoKB). Provozní stabilita jednotlivých modulů/systémů v IS XXXX. Provozní monitoring IS XXXX – výkon, dostupnost, stabilita, provozní události/incidenty. Provozní monitoring rozhraní IS XXXX – výkon, dostupnost, stabilita, provozní události/incidenty. Monitoring konzistence dat v IS XXXX. Administrace systému a identifikací předpokládaných dopadů realizace bezpečnostních aktualizacíimplementace změn v IS XXXX. Bezpečnostní manažer neprodleně požadavek posoudíDalší nezbytné činnosti, ověří garantující stabilní a funkční prostředí IS XXXX odpovídající provozním Best Practice standardům (ITIL, ISO/IEC 20000). Aktivity provozního monitoringu musí splňovat následující rozsah: Monitoring a provádění kontroly stavů všech provozně relevantních mechanismů implementovaných v rámci projektových struktur prostředí. Monitoring chování IS XXXX s ohledem na okolní ICT prostředí, které ovlivňuje provoz IS XXXX, typicky: Infrastruktura pro IS XXXX Informační systémy Poskytovatele integrované na IS XXXX: IS SZIF na platformě SAP. IDM SZIF. Systémy pro správu přístupů. LPIS a případně další integrované registry a systémy. Aplikační služby nezbytné pro fungování komplexního informačního prostředí IS XXXX: Služby SAMAS. Služby portálových řešení SZIF. Služby Geotagovaných fotografií. V případě identifikace provozní události/incidentu ve vnějším prostředí, kdy toto může mít dopad na chod IS XXXX, zajištění notifikace Service Desku Objednatele vhodnost termínu nejpozději do 15 minut od zjištění nežádoucího stavu. Kontrola provozních logů (na denní bázi). Monitoring nových verzí systému, provozních aktualizací/záplat/patchů pro zajištění provozních aktualizací IS XXXX v rámci služby IS02. Notifikace Service Desku Objednatele (alerting) při výskytu nežádoucích situací do 15 minut od vzniku/zjištění. Vyhodnocování těchto stavů a rozhodne o realizaci požadavkuidentifikaci příčin. Analýza řešených problémových situací a návrh opatření pro jejich eliminaci. Prozkoumání vhodnosti přijatých opatření. Poskytovatel v případě zjištění provozní události/incidentu bezprostředně informuje 1. úroveň Service Desk SZIF. Poskytovatel v případě nalezení příčiny provozní události/incidentu a též řešení provozní události/incidentu, případně ve spolupráci bezprostředně informuje 1. úroveň Service Desk SZIF. Součástí aktivit bude správa záznamů a logů zahrnující sběr, ukládání, zpracování a vyhodnocování bezpečnostních záznamů jednotlivých modulů IS XXXX. Záznamy se musí archivovat v souladu s Analytikem bezpečnosti (za Poskytovatele) navrhne náhradní termínpožadavky ZoKB pro Významný informační systém dle vyhlášky příslušného prováděcího předpisu ZoKB. Po realizaci bezpečnostní aktualizace bude provedena aktualizace příslušné provozní Provozní monitoring IS XXXX musí být nastaven a projektové dokumentace. Toto bude uvedeno ve Zprávě o plnění Pilotní části služebprováděn v souladu s ISO/IEC 27001 v aktuální platné verzi. Doba zajištění aktivity V případě, že se nejedná o kritickou bezpečnostní záplatu, bude aktivita realizována mimo Pracovní dobu Objednatele. V případě, že se jedná o kritickou bezpečnostní záplatu, může být aktivita realizována po schválení Objednatelem Automatizovaný dohled a sběr dat - 7x24 – provozní doba znamená zajištění služeb v Pracovní době. V takovém případě, pokud bude po dobu aktivity přerušen provoz služby SAMAS, se jedná o Plánovanou odstávkupracovní i nepracovní dny 24 hodin denně; Interakce pracovníků Poskytovatele vůči pracovníkům Objednatele - 5x12 – garantovaná provozní doba znamená zajištění služeb pracovní dny 12 hodin denně (7:00 – 19:00). SLA parametry / Vyhodnocení Definice Požadovaná hodnota Vyhodnocení Zajištění odpovídajícího stavu bezpečnosti aplikačního prostředí služby SAMAS Plná bezpečnost používaných technologií Předmětem vyhodnocení aktivity Provozního monitoringu bude samostatná Zpráva měsíčního vyhodnocení provozního monitoringu IS XXXX. Zpráva bude obsahovat minimálně: Měsíční přehled o zaznamenaných incidentech a nežádoucích situacích Měsíční přehled realizovaných administrátorských operací na úrovni pracovníků Poskytovatele Měsíční přehled provozních činností realizovaných ze strany Poskytovatele Identifikovaná provozní rizika Opatření realizovaná v průběhu vyhodnocovacího období a navrhovaná pro období následující Veškeré další podklady dokládající realizaci Provozního monitoringu IS XXXX Provozovatelem v souladu s doporučeními výrobce. Jedná Best Practice a požadavky odpovídající legislativy vztahující se o plnou odpovědnost Poskytovatele, v případě nezajištění bude toto řešeno v souladu s ustanoveními ZoKB a Smlouvyna provoz Významných informačních systémů veřejné správy.

Rozsah aktivity. Popis (obsah) aktivity Kontinuální provozní aktivita Poskytovatel je povinen zajistit odpovídající stav služby SAMAS takkomplexní aktivity bezpečnostního monitoringu Informačního systému XXXX. Předmětem bezpečnostního monitoringu je tak sledování stavu Informačního systému XXXX, aby byla zajištěna adekvátní úroveň kybernetické průběžné vyhodnocování informací týkajících se bezpečnosti systému, a to na celé aplikační i databázové vrstvě IS XXXX, až po operační systém (tato vrstva již předmětem monitoringu není). Monitoring musí zahrnovat automatizovaný dohled i činnosti pracovníků Poskytovatele související zejména s vyhodnocováním nestandardních stavů, bezpečnostních událostí a incidentů a jejich hlášení na stranu Objednatele. Aktivity bezpečnostního monitoringu budou primárně zaměřeny na následující oblasti: Chování uživatelů IS XXXX (zajištění logování aktivit s dopadem na bezpečnost dle požadavků ZoKB). Bezpečnost osobních dat v IS XXXX. Obecná bezpečnost dat. Provoz aplikační vrstvy s ohledem na kybernetickou a informační bezpečnostibezpečnost. Na základě této povinnosti bude Poskytovatel provádět realizaci bezpečnostních aktualizací služby SAMAS, kdy předmětem aktualizací bude instalace a implementace bezpečnostních aktualizací a realizace maximálně možných opatření pro zajištění ochrany dat Objednatele i ochrany samotné služby SAMAS. Na základě aktivity bezpečnostního monitoringu, doporučení a požadavků jednotlivých výrobců technologických komponent zajistí Poskytovatel implementaci bezpečnostních částí kódu, patchů, záplat a dalších programových částí Další oblasti v souladu s doporučením výrobcepožadavky na implementaci GDPR a závaznými legislativními požadavky zejména ZoKB a prováděcích předpisů a zákona č. Pokud se nejedná 365/2000 Sb., o aktualizaci kritickouinformačních systémech veřejné správy. Aktivity bezpečnostního monitoringu musí splňovat následující rozsah: Monitoring a provádění kontroly stavů všech bezpečnostně relevantních mechanismů implementovaných v rámci prostředí. Monitoring bezpečnosti IS XXXX s ohledem na ICT prostředí, bez které by byla zásadním způsobem ohrožena bezpečnost ovlivňuje provoz IS XXXX, typicky: Infrastruktura pro IS XXXX Informační systémy Poskytovatele integrované na IS XXXX: IS SZIF na platformě SAP. IDM SZIF. Systémy pro správu přístupů. LPIS a případně další integrované registry a systémy. Aplikační služby nezbytné pro fungování komplexního informačního prostředí IS XXXX: Služby SAMAS. Služby portálových řešení SZIF. Služby Geotagovaných fotografií. V případě podezření na vznik bezpečnostní události/incidentu ve vnějším prostředí, bude realizace kdy toto může mít dopad na chod IS XXXX, zajištění notifikace Bezpečnostního manažera Objednatele nejpozději do 15 minut od zjištění nežádoucího stavu. Kontrola bezpečnostních logů (na denní bázi). Monitoring nových verzí bezpečnostních aktualizací/záplat/patchů pro zajištění bezpečnostních aktualizací primárně probíhat dvou-krokově: Aktualizace služeb poskytovaných pro prostředí DEV a TEST včetně nezbytného otestování stavu služby SAMAS a následné ověření při standardním užívání testovacího prostředí. Aktualizace služeb poskytovaných pro prostředí PROD včetně nezbytného otestování stavu služby SAMAS. Aktualizace služeb SAMAS pro prostředí PROD bude realizována minimálně s odstupem 14 kalendářních dnů po provedení aktualizace pro prostředí TEST a DEV, pokud je to možné a vhodné. Aktualizace bude probíhat vždy v plné součinnosti s Objednatelem a, bude-li to potřebné, s provozovatelem infrastruktury informačního systému IS XXXX. Notifikace Service Desku Objednatele (alerting) při výskytu nežádoucích situací do 15 minut od vzniku/zjištění. Vyhodnocování těchto stavů a identifikaci příčin. Analýza řešených problémových situací a návrh opatření pro jejich eliminaci. Prozkoumání vhodnosti přijatých opatření. Poskytovatel zašle požadavek na realizaci v případě zjištění bezpečnostní aktualizace na události/incidentu bezprostředně informuje Bezpečnostního manažera (za Objednatele) Objednatele a zajistí identifikaci dotčených modulů/funkčností včetně předání této informace na 1. úroveň Service Desk SZIF. Poskytovatel v případě nalezení příčiny bezpečnostní události/incidentu a též řešení bezpečnostní události/incidentu, bezprostředně informuje Bezpečnostního manažera objednatele a 1. úroveň Service Desk SZIF. Poskytovatel zajistí dohled nad neoprávněnými pokusy o přihlášení do aplikačního prostředí IS XXXX a předání této informace na Service Desk SZIF a Bezpečnostního manažera SZIF. Za neoprávněný pokus se považuje opakovaný pokus o využití jiného než odsouhlaseného mechanismu přihlašování, případně identifikovaný pokus o prolomení standardního způsobu přihlašování. Pro realizaci aktivit bezpečnostního monitoringu musí být v prostředí IS XXXX implementovány odpovídající monitorovací a logovací nástroje dle schválené architektury IS XXXX. Součástí aktivit bude správa záznamů a logů zahrnující sběr, ukládání, zpracování a vyhodnocování bezpečnostních záznamů jednotlivých modulů IS XXXX. Záznamy se musí archivovat v souladu s uvedením navrhovaného harmonogramu provedení aktualizací a identifikací předpokládaných dopadů realizace bezpečnostních aktualizacípožadavky ZoKB pro významný informační systém dle vyhlášky příslušného prováděcího předpisu ZoKB. Bezpečnostní manažer neprodleně požadavek posoudí, ověří v rámci projektových struktur Objednatele vhodnost termínu a rozhodne o realizaci požadavku, případně ve spolupráci s Analytikem bezpečnosti (za Poskytovatele) navrhne náhradní termín. Po realizaci bezpečnostní aktualizace bude provedena aktualizace příslušné provozní a projektové dokumentace. Toto bude uvedeno ve Zprávě o plnění Pilotní části služebmonitoring musí splňovat požadavky dle ISO 27001:2013. Doba zajištění aktivity V případě, že se nejedná o kritickou bezpečnostní záplatu, bude aktivita realizována mimo Pracovní dobu Objednatele. V případě, že se jedná o kritickou bezpečnostní záplatu, může být aktivita realizována po schválení Objednatelem v Pracovní době. V takovém případě, pokud bude po dobu aktivity přerušen provoz služby SAMAS, se jedná o Plánovanou odstávku. SLA parametry / Vyhodnocení Definice Požadovaná hodnota Vyhodnocení Zajištění odpovídajícího stavu bezpečnosti aplikačního prostředí služby SAMAS Plná bezpečnost používaných technologií v souladu s doporučeními výrobce. Jedná se o plnou odpovědnost Poskytovatele, Automatizovaný dohled a sběr dat - 7x24 – provozní doba znamená zajištění služeb pracovní i nepracovní dny 24 hodin denně; Interakce pracovníků Poskytovatele vůči pracovníkům Objednatele – v případě nezajištění bude toto řešeno v souladu s ustanoveními ZoKB a Smlouvyzjištění bezpečnostní události/incidentu neprodleně.

Rozsah aktivity. Popis (obsah) aktivity Kontinuální provozní aktivita Poskytovatel je povinen v rámci služby IS03 zajistit odpovídající stav služby SAMAS takkompletní vyhodnocení veškerých provozních aktivit, aby byla zajištěna adekvátní úroveň kybernetické stavu Systému i činností realizovaných jednotlivými pracovníky Poskytovatele v rámci služeb IS01 – IS04. Vyhodnocení bude spočívat v prověření a informační bezpečnosti. Na základě této povinnosti bude Poskytovatel provádět realizaci bezpečnostních aktualizací služby SAMASdoložení podkladů parametrů provozu Systému v podobě souhrnné Zprávy o stavu provozu Systému, kdy předmětem aktualizací bude instalace jednotlivé dílčí oblasti a implementace bezpečnostních aktualizací a realizace maximálně možných opatření pro zajištění ochrany dat Objednatele i ochrany samotné služby SAMAS. Na základě aktivity bezpečnostního monitoringu, doporučení a požadavků jednotlivých výrobců technologických komponent zajistí Poskytovatel implementaci bezpečnostních částí kódu, patchů, záplat a dalších programových částí v souladu s doporučením výrobce. Pokud se nejedná o aktualizaci kritickou, bez které by byla zásadním způsobem ohrožena bezpečnost služby SAMAS, bude realizace bezpečnostních aktualizací primárně probíhat dvou-krokově: Aktualizace služeb poskytovaných pro prostředí DEV a TEST včetně nezbytného otestování stavu služby SAMAS a následné ověření při standardním užívání testovacího prostředí. Aktualizace služeb poskytovaných pro prostředí PROD včetně nezbytného otestování stavu služby SAMAS. Aktualizace služeb SAMAS pro prostředí PROD bude realizována minimálně s odstupem 14 kalendářních dnů po provedení aktualizace pro prostředí TEST a DEV, pokud je to možné a vhodné. Aktualizace bude probíhat vždy v plné součinnosti s Objednatelem a, bude-li to potřebné, s provozovatelem infrastruktury informačního systému XXXX. Poskytovatel zašle požadavek na realizaci bezpečnostní aktualizace na Bezpečnostního manažera (za Objednatele) s uvedením navrhovaného harmonogramu provedení aktualizací a identifikací předpokládaných dopadů realizace bezpečnostních aktualizací. Bezpečnostní manažer neprodleně požadavek posoudí, ověří zprávy realizované v rámci projektových struktur Objednatele vhodnost termínu a rozhodne Služeb IS01-04 budou součástí této souhrnné Zprávy o realizaci požadavku, případně ve spolupráci s Analytikem bezpečnosti stavu provozu Systému (za Poskytovatele) navrhne náhradní termínvyjma Zprávy měsíčního vyhodnocení bezpečnostního monitoringu Systému). Po realizaci bezpečnostní aktualizace Souhrnná Zpráva o stavu provozu Systému tak bude provedena aktualizace příslušné provozní a projektové dokumentace. Toto bude uvedeno ve Zprávě zahrnovat následující části: Zpráva o plnění Pilotní části služby IS01, Zpráva o plnění služby IS02, Odkaz a termíny předání Zprávy měsíčního vyhodnocení bezpečnostního monitoringu Systému, Zpráva měsíčního vyhodnocení provozního monitoringu Systému, Zpráva o plnění služby IS04, Výkaz činností - za vyhodnocovací období pro služby IS01 – IS04. Obsahy dílčích zpráv jsou definovány v rámci jednotlivých aktivit a služeb. Tyto zprávy popisují zejména věcnou oblast poskytovaných služeb v takovém detailu, který dostatečně dokládá samotný průběh realizace služeb a naplnění podmínek jednotlivých aktivit. Zároveň zprávy obsahují jednoznačné potvrzení stanovených parametrů služeb a dokládají splnění či porušení jednotlivých SLA s případným vyčíslením kreditace za jednotlivé služby. Předmětem Výkazu činností za vyhodnocovací období je pak soupis veškerých činností realizovaných konkrétními pracovníky Poskytovatele v rámci poskytování služeb IS01 – IS04. V rámci Výkazu činností bude jednoznačně doloženo, který pracovník zajišťoval a realizoval konkrétní činnost v rámci aktivit v příslušném dni. Doba zajištění aktivity V případě, že se nejedná o kritickou bezpečnostní záplatu, bude aktivita realizována mimo Pracovní dobu Objednatele. V případě, že se jedná o kritickou bezpečnostní záplatu, může být aktivita realizována po schválení Objednatelem v Pracovní době. V takovém případě, pokud bude po dobu aktivity přerušen provoz služby SAMAS, se jedná o Plánovanou odstávku1krát měsíčně na počátku každého vyhodnocovacího období (kalendářní měsíc) za uplynulé vyhodnocovací období. SLA parametry / Vyhodnocení Definice Požadovaná hodnota Vyhodnocení Zajištění odpovídajícího Celková Zpráva o stavu bezpečnosti aplikačního prostředí služby SAMAS Plná bezpečnost používaných technologií provozu Systému bude zpracována a předána nejpozději během 5. (pátého) pracovního dne vyhodnocovacího období následujícího po ukončení předchozího vyhodnocovacího období. Zpráva bude předána v souladu elektronické podobě umožňující počítačové zpracování. Dílčí zprávy budou primárně ve formátu .pdf v generované (případně skenované, se zachováním strojové čitelnosti) podobě. Ty části zpráv, které budou obsahovat taková data, jejichž zobrazení ve standardním dokumentu (.pdf) znamená zhoršenou orientaci v datech, budou předány ve formátu .xlsx. Dokumenty budou standardně chráněny proti změně dat; čtení, systémové kopírování a elektronický podpis akceptační doložky ze strany kontaktní osoby Objednatele budou umožněny. Tam, kde je to možné (primárně formát .pdf), budou dokumenty v části akceptační doložky podepsané elektronickým podpisem kontaktní osoby Poskytovatele. Kontaktní osoby budou stanoveny a případně aktualizovány na úrovni Řídícího výboru, zejména s doporučeními výrobce. Jedná se o plnou odpovědnost ohledem na možné personální změny jak na straně Objednatele, tak na straně Poskytovatele, v případě nezajištění bude toto řešeno v souladu s ustanoveními ZoKB a Smlouvy.

Rozsah aktivity. Popis (obsah) aktivity Kontinuální provozní aktivita Poskytovatel je povinen zajistit odpovídající stav služby SAMAS Informačního systému XXXX tak, aby byla zajištěna adekvátní úroveň kybernetické a informační bezpečnosti. Na základě této povinnosti bude Poskytovatel provádět realizaci bezpečnostních aktualizací služby SAMASIS XXXX, kdy předmětem aktualizací bude instalace a implementace bezpečnostních aktualizací a realizace instalace, implementace, nastavení maximálně možných opatření pro zajištění ochrany dat Objednatele i ochrany samotné služby SAMASsamotného Informačního systému XXXX. Na základě aktivity bezpečnostního monitoringu, doporučení a požadavků jednotlivých výrobců technologických komponent zajistí Poskytovatel implementaci bezpečnostních částí kódu, patchů, záplat a dalších programových částí v souladu s doporučením výrobce. Pokud se nejedná o aktualizaci kritickou, bez které by byla zásadním způsobem ohrožena bezpečnost služby SAMASIS XXXX, bude realizace bezpečnostních aktualizací primárně probíhat dvou-krokovědvoukrokově: Aktualizace služeb poskytovaných pro prostředí DEV a TEST prostředí včetně nezbytného otestování stavu služby SAMAS IS XXXX a následné ověření při standardním užívání testovacího prostředí. Aktualizace služeb poskytovaných pro PROD prostředí PROD včetně nezbytného otestování stavu služby SAMASIS XXXX. Aktualizace služeb SAMAS pro PROD prostředí PROD bude realizována minimálně s odstupem 14 kalendářních dnů po provedení aktualizace pro prostředí TEST a DEVdnů, pokud je to možné a vhodné. Na základě realizované aktualizace zašle Poskytovatel informaci o průběhu aktualizace s doporučeným postupem výrobce na Vedoucího projektového týmu provozu (za Objednatele), aby bylo možné provedení bezpečností aktualizace i pro prostředí SANDBOX. Aktualizace bude probíhat vždy v plné součinnosti s Objednatelem a, bude-li to potřebné, s a provozovatelem infrastruktury informačního Informačního systému XXXX, který zajistí mimořádnou zálohu IS XXXX. Poskytovatel zašle požadavek na realizaci bezpečnostní aktualizace na Bezpečnostního manažera (za Objednatele) s uvedením navrhovaného harmonogramu provedení aktualizací a identifikací předpokládaných dopadů realizace bezpečnostních aktualizací. Bezpečnostní manažer neprodleně požadavek posoudí, ověří v rámci projektových struktur Objednatele vhodnost termínu a rozhodne o realizaci požadavku, případně ve spolupráci s Analytikem bezpečnosti (za Poskytovatele) navrhne náhradní termín. Po realizaci bezpečnostní aktualizace bude provedena aktualizace příslušné provozní a projektové dokumentace. Toto bude uvedeno ve Zprávě o plnění Pilotní části služeb. Doba zajištění aktivity V případě, že se nejedná o kritickou bezpečnostní záplatu, bude aktivita realizována mimo Pracovní dobu Objednatele. V případě, že se jedná o kritickou bezpečnostní záplatu, může být aktivita realizována po schválení Objednatelem v Pracovní době. V takovém případě, pokud bude po dobu aktivity přerušen provoz služby SAMASIS XXXX, se jedná o Plánovanou odstávku. SLA parametry / Vyhodnocení Definice Požadovaná hodnota Vyhodnocení Zajištění odpovídajícího stavu bezpečnosti aplikačního prostředí služby SAMAS IS XXXX. Plná bezpečnost používaných technologií v souladu s doporučeními výrobce. Jedná se o plnou odpovědnost Poskytovatele, v případě nezajištění bude toto řešeno v souladu s ustanoveními ZoKB a Smlouvy.

Rozsah aktivity. Popis (obsah) aktivity Kontinuální provozní aktivita Poskytovatel je povinen zajistit odpovídající stav služby SAMAS tak, aby byla zajištěna adekvátní úroveň kybernetické komplexní aktivity provozního a informační bezpečnostibezpečnostního monitoringu služeb. Na základě této povinnosti bude Poskytovatel provádět realizaci bezpečnostních aktualizací Předmětem provozního monitoringu je tak sledování pouze služeb na Komunikačním rozhraní zabezpečujícího poskytování služby SAMAS, kdy předmětem aktualizací bude instalace a implementace bezpečnostních aktualizací a realizace maximálně možných opatření pro zajištění ochrany dat Objednatele i ochrany samotné průběžné vyhodnocování informací týkajících se provozu služby SAMAS. Na základě aktivity bezpečnostního monitoringuMonitoring musí zahrnovat automatizovaný dohled i činnosti pracovníků Poskytovatele související zejména s vyhodnocováním nestandardních stavů, doporučení provozních událostí a incidentů a jejich hlášení Objednateli. Aktivity provozního monitoringu budou primárně zaměřeny na následující oblasti: Chování uživatelů služby SAMAS (zajištění logování chování uživatelů dle požadavků ZoKB). Provozní stabilita jednotlivých výrobců technologických komponent zajistí sloužících k zabezpečení služby SAMAS. Provozní monitoring služby SAMAS – výkon, dostupnost, stabilita, provozní události/incidenty. Provozní monitoring rozhraní služby SAMAS – výkon, dostupnost, stabilita, provozní události/incidenty. Monitoring konzistence dat spravovaných službou SAMAS. Monitoring administrace systému a implementace změn. Další nezbytné činnosti garantující stabilní a funkční prostředí služby SAMAS odpovídající provozním BEST PRACTICE standardům (ITIL, ISO/IEC 20000). Aktivity provozního monitoringu musí splňovat následující rozsah: Monitoring a provádění kontroly stavů všech provozně relevantních mechanismů implementovaných v rámci prostředí služby SAMAS. Monitoring chování služby SAMAS s ohledem na okolní ICT prostředí Objednatele se službou SAMAS propojená, typicky: Monitoring na rozhraní poskytovaných a konzumovaných aplikačních služeb. V případě identifikace provozní nebo bezpečnostní události/incidentu ve vnějším prostředí, kdy toto může mít dopad na chod nebo bezpečnost služby SAMAS nebo celkového řešení XXXX, zajištění notifikace Service Desku Objednatele nejpozději do 15 minut od zjištění nežádoucího stavu. Kontrola provozních logů. Notifikace Service Desku Objednatele (alerting) při výskytu nežádoucích situací do 15 minut od vzniku/zjištění. Vyhodnocování těchto stavů a identifikaci příčin. Analýza řešených problémových situací a návrh opatření pro jejich eliminaci. Prozkoumání vhodnosti přijatých opatření. Poskytovatel implementaci bezpečnostních částí kóduv případě zjištění provozní události/incidentu bezprostředně informuje 1. úroveň Service Desk Objednatele. Poskytovatel v případě nalezení příčiny provozní události/incidentu a též řešení provozní události/incidentu, patchůbezprostředně informuje 1. úroveň Service Desku Objednatele. Záznamy logů zahrnující sběr, záplat ukládání, zpracování a dalších programových částí jejich vyhodnocování se musí archivovat v souladu s doporučením výrobcepožadavky zákona o kybernetické bezpečnosti pro významný informační systém dle vyhlášky příslušného prováděcího předpisu ZoKB. Pokud se nejedná o aktualizaci kritickou, bez které by byla zásadním způsobem ohrožena bezpečnost služby SAMAS, bude realizace bezpečnostních aktualizací primárně probíhat dvou-krokově: Aktualizace služeb poskytovaných pro prostředí DEV a TEST včetně nezbytného otestování stavu Provozní monitoring služby SAMAS musí být nastaven a následné ověření při standardním užívání testovacího prostředí. Aktualizace služeb poskytovaných pro prostředí PROD včetně nezbytného otestování stavu služby SAMAS. Aktualizace služeb SAMAS pro prostředí PROD bude realizována minimálně prováděn v souladu s odstupem 14 kalendářních dnů po provedení aktualizace pro prostředí TEST a DEV, pokud je to možné a vhodné. Aktualizace bude probíhat vždy ISO/IEC 27001 v plné součinnosti s Objednatelem a, bude-li to potřebné, s provozovatelem infrastruktury informačního systému XXXX. Poskytovatel zašle požadavek na realizaci bezpečnostní aktualizace na Bezpečnostního manažera (za Objednatele) s uvedením navrhovaného harmonogramu provedení aktualizací a identifikací předpokládaných dopadů realizace bezpečnostních aktualizací. Bezpečnostní manažer neprodleně požadavek posoudí, ověří v rámci projektových struktur Objednatele vhodnost termínu a rozhodne o realizaci požadavku, případně ve spolupráci s Analytikem bezpečnosti (za Poskytovatele) navrhne náhradní termín. Po realizaci bezpečnostní aktualizace bude provedena aktualizace příslušné provozní a projektové dokumentace. Toto bude uvedeno ve Zprávě o plnění Pilotní části služebaktuální platné verzi. Doba zajištění aktivity V případě, že se nejedná o kritickou bezpečnostní záplatu, bude aktivita realizována mimo Pracovní dobu Objednatele. V případě, že se jedná o kritickou bezpečnostní záplatu, může být aktivita realizována po schválení Objednatelem v Pracovní době. V takovém případě, pokud bude po dobu aktivity přerušen provoz služby SAMAS, se jedná o Plánovanou odstávkuAutomatizovaný dohled a sběr dat – 7x24 – provozní doba znamená zajištění služeb pracovní i nepracovní dny 24 hodin denně; Interakce pracovníků Poskytovatele vůči pracovníkům Objednatele – 5x12 – garantovaná provozní doba znamená zajištění služeb pracovní dny 12 hodin denně (7:00 – 19:00). SLA parametry / Vyhodnocení Definice Požadovaná hodnota Vyhodnocení Zajištění odpovídajícího stavu bezpečnosti aplikačního prostředí Předmětem vyhodnocení aktivity Provozního monitoringu bude samostatná Zpráva měsíčního vyhodnocení provozního monitoringu služby SAMAS. Zpráva bude obsahovat minimálně: Měsíční přehled o zaznamenaných incidentech a nežádoucích situacích Měsíční přehled realizovaných administrátorských operací na úrovni pracovníků Poskytovatele Měsíční přehled provozních činností realizovaných ze strany Poskytovatele Identifikovaná provozní rizika Opatření realizovaná v průběhu vyhodnocovacího období a navrhovaná pro období následující Veškeré další podklady dokládající realizaci Provozního monitoringu služby SAMAS Plná bezpečnost používaných technologií Provozovatelem v souladu s doporučeními výrobce. Jedná Best Practices a požadavky odpovídající legislativy vztahující se o plnou odpovědnost Poskytovatele, v případě nezajištění bude toto řešeno v souladu s ustanoveními ZoKB a Smlouvyna provoz významných informačních systémů veřejné správy.

Rozsah aktivity. Popis (obsah) aktivity Kontinuální provozní aktivita Poskytovatel je povinen v rámci služby IS03 zajistit odpovídající stav služby SAMAS takkompletní vyhodnocení veškerých provozních aktivit, aby byla zajištěna adekvátní úroveň kybernetické stavu systému i činností realizovaných jednotlivými pracovníky Poskytovatele v rámci služeb IS01 – IS04. Vyhodnocení bude spočívat v prověření a informační bezpečnosti. Na základě této povinnosti bude Poskytovatel provádět realizaci bezpečnostních aktualizací služby SAMASdoložení podkladů parametrů provozu IS XXXX v podobě souhrnné Zprávy o stavu provozu IS XXXX, kdy předmětem aktualizací bude instalace jednotlivé dílčí oblasti a implementace bezpečnostních aktualizací a realizace maximálně možných opatření pro zajištění ochrany dat Objednatele i ochrany samotné služby SAMAS. Na základě aktivity bezpečnostního monitoringu, doporučení a požadavků jednotlivých výrobců technologických komponent zajistí Poskytovatel implementaci bezpečnostních částí kódu, patchů, záplat a dalších programových částí v souladu s doporučením výrobce. Pokud se nejedná o aktualizaci kritickou, bez které by byla zásadním způsobem ohrožena bezpečnost služby SAMAS, bude realizace bezpečnostních aktualizací primárně probíhat dvou-krokově: Aktualizace služeb poskytovaných pro prostředí DEV a TEST včetně nezbytného otestování stavu služby SAMAS a následné ověření při standardním užívání testovacího prostředí. Aktualizace služeb poskytovaných pro prostředí PROD včetně nezbytného otestování stavu služby SAMAS. Aktualizace služeb SAMAS pro prostředí PROD bude realizována minimálně s odstupem 14 kalendářních dnů po provedení aktualizace pro prostředí TEST a DEV, pokud je to možné a vhodné. Aktualizace bude probíhat vždy v plné součinnosti s Objednatelem a, bude-li to potřebné, s provozovatelem infrastruktury informačního systému XXXX. Poskytovatel zašle požadavek na realizaci bezpečnostní aktualizace na Bezpečnostního manažera (za Objednatele) s uvedením navrhovaného harmonogramu provedení aktualizací a identifikací předpokládaných dopadů realizace bezpečnostních aktualizací. Bezpečnostní manažer neprodleně požadavek posoudí, ověří zprávy realizované v rámci projektových struktur Objednatele vhodnost termínu a rozhodne Služeb IS01-04 budou součástí této souhrnné Zprávy o realizaci požadavku, případně ve spolupráci s Analytikem bezpečnosti stavu provozu IS XXXX (za Poskytovatele) navrhne náhradní termínvyjma Zprávy měsíčního vyhodnocení bezpečnostního monitoringu IS XXXX). Po realizaci bezpečnostní aktualizace Souhrnná Zpráva o stavu provozu IS XXXX tak bude provedena aktualizace příslušné provozní a projektové dokumentace. Toto bude uvedeno ve Zprávě zahrnovat následující části: Zpráva o plnění Pilotní části služby IS01, Zpráva o plnění služby IS02, Odkaz a termíny předání Zprávy měsíčního vyhodnocení bezpečnostního monitoringu IS XXXX, Zpráva měsíčního vyhodnocení provozního monitoringu IS XXXX Zpráva o plnění služby IS04, Výkaz činností - za vyhodnocovací období pro služby IS01 – IS04. Obsahy dílčích zpráv jsou definovány v rámci jednotlivých aktivit a služeb. Tyto zprávy popisují zejména věcnou oblast poskytovaných služeb v takovém detailu, který dostatečně dokládá samotný průběh realizace služeb a naplnění podmínek jednotlivých aktivit. Zároveň zprávy obsahují jednoznačné potvrzení stanovených parametrů služeb a dokládají splnění či porušení jednotlivých SLA s případným vyčíslením kreditace za jednotlivé služby. Předmětem Výkazu činností za vyhodnocovací období je pak soupis veškerých činností realizovaných konkrétními pracovníky Poskytovatele v rámci poskytování služeb IS01 – IS04. V rámci Výkazu činností bude jednoznačně doloženo, který pracovník zajišťoval a realizoval konkrétní činnost v rámci aktivit v příslušném dni. Doba zajištění aktivity V případě, že se nejedná o kritickou bezpečnostní záplatu, bude aktivita realizována mimo Pracovní dobu Objednatele. V případě, že se jedná o kritickou bezpečnostní záplatu, může být aktivita realizována po schválení Objednatelem v Pracovní době. V takovém případě, pokud bude po dobu aktivity přerušen provoz služby SAMAS, se jedná o Plánovanou odstávku1krát měsíčně na počátku každého vyhodnocovacího období (kalendářní měsíc) za uplynulé vyhodnocovací období. SLA parametry / Vyhodnocení Definice Požadovaná hodnota Vyhodnocení Zajištění odpovídajícího Celková Zpráva o stavu bezpečnosti aplikačního prostředí služby SAMAS Plná bezpečnost používaných technologií provozu IS XXXX bude zpracována a předána nejpozději během 5. (pátého) pracovního dne vyhodnocovacího období následujícího po ukončení předchozího vyhodnocovacího období. Zpráva bude předána v souladu elektronické podobě umožňující počítačové zpracování. Dílčí zprávy budou primárně ve formátu .pdf v generované (případně skenované, se zachováním strojové čitelnosti) podobě. Ty části zpráv, které budou obsahovat taková data, jejichž zobrazení ve standardním dokumentu (.pdf) znamená zhoršenou orientaci v datech, budou předány ve formátu .xlsx. Dokumenty budou standardně chráněny proti změně dat; čtení, systémové kopírování a elektronický podpis akceptační doložky ze strany kontaktní osoby Objednatele budou umožněny. Tam, kde je to možné (primárně formát .pdf), budou dokumenty v části akceptační doložky podepsané elektronickým podpisem kontaktní osoby Poskytovatele. Kontaktní osoby budou stanoveny a případně aktualizovány na úrovni Řídícího výboru, zejména s doporučeními výrobce. Jedná se o plnou odpovědnost ohledem na možné personální změny jak na straně Objednatele, tak na straně Poskytovatele, v případě nezajištění bude toto řešeno v souladu s ustanoveními ZoKB a Smlouvy.

Rozsah aktivity. Popis (obsah) aktivity Kontinuální provozní aktivita Poskytovatel je povinen v rámci služby IS03 zajistit odpovídající stav služby SAMAS tak, aby byla zajištěna adekvátní úroveň kybernetické a informační bezpečnosti. Na základě této povinnosti bude Poskytovatel provádět realizaci bezpečnostních aktualizací služby SAMAS, kdy předmětem aktualizací bude instalace a implementace bezpečnostních aktualizací a realizace maximálně možných opatření pro zajištění ochrany dat Objednatele i ochrany samotné služby SAMAS. Na základě komplexní aktivity bezpečnostního monitoringu, doporučení a požadavků jednotlivých výrobců technologických komponent zajistí Poskytovatel implementaci bezpečnostních částí kódu, patchů, záplat a dalších programových částí v souladu s doporučením výrobce. Pokud se nejedná o aktualizaci kritickou, bez které by byla zásadním způsobem ohrožena bezpečnost služby SAMAS, bude realizace bezpečnostních aktualizací primárně probíhat dvou-krokově: Aktualizace služeb poskytovaných pro prostředí DEV a TEST včetně nezbytného otestování stavu služby SAMAS a následné ověření při standardním užívání testovacího prostředí. Aktualizace služeb poskytovaných pro prostředí PROD včetně nezbytného otestování stavu služby SAMAS. Aktualizace služeb SAMAS pro prostředí PROD bude realizována minimálně s odstupem 14 kalendářních dnů po provedení aktualizace pro prostředí TEST a DEV, pokud je to možné a vhodné. Aktualizace bude probíhat vždy v plné součinnosti s Objednatelem a, bude-li to potřebné, s provozovatelem infrastruktury monitoringu implementovaného informačního systému XXXX. Předmětem bezpečnostního monitoringu je tak sledování stavu informačního systému XXXX, průběžné vyhodnocování informací týkajících se bezpečnosti systému, a to na celé aplikační i databázové vrstvě IS XXXX, až po operační systém (tato vrstva již předmětem monitoringu není). Monitoring musí zahrnovat automatizovaný dohled i činností pracovníků Poskytovatele souvisejících zejména s vyhodnocováním nestandardních stavů, bezpečnostních událostí a incidentů a jejich hlášení nestandardních stavů na stranu Objednatele. Aktivity bezpečnostního monitoringu budou primárně zaměřeny na následující oblasti: Chování uživatelů IS XXXX (zajištění logování aktivit s dopadem na bezpečnost dle požadavků ZoKB). Bezpečnost osobních dat v IS XXXX. Obecná bezpečnost dat. Provoz aplikační vrstvy s ohledem na kybernetickou a informační bezpečnost. Další oblasti v souladu s požadavky na implementaci GDPR a závaznými legislativními požadavky zejména ZoKB a prováděcích předpisů a Zákona č. 365/2000 Sb. Aktivity bezpečnostního monitoringu musí splňovat následující rozsah: Monitoring a provádění kontroly stavů všech bezpečnostně relevantních mechanismů implementovaných v rámci prostředí. Monitoring bezpečnosti IS XXXX s ohledem na ICT prostředí, které ovlivňuje provoz IS XXXX, typicky: Infrastruktura pro IS XXXX Informační systémy Poskytovatele integrované na IS XXXX: IS SZIF na platformě SAP. IDM SZIF. Systémy pro správu přístupů. LPIS a případně další integrované registry a systémy. Aplikační služby nezbytné pro fungování komplexního informačního prostředí IS XXXX: Služby SAMAS. Služby portálových řešení SZIF. Služby Geotagovaných fotografií. V případě podezření na vznik bezpečnostní události/incidentu ve vnějším prostředí, kdy toto může mít dopad na chod IS XXXX, zajištění notifikace Bezpečnostního manažera Objednatele nejpozději do 15 minut od zjištění nežádoucího stavu. Kontrola bezpečnostních logů (na denní bázi). Monitoring nových verzí bezpečnostních aktualizací/záplat/patchů pro zajištění bezpečnostních aktualizací IS XXXX v rámci služby IS02. Notifikace Service Desku Objednatele (alerting) při výskytu nežádoucích situací do 15 minut od vzniku/zjištění. Vyhodnocování těchto stavů a identifikaci příčin. Analýza řešených problémových situací a návrh opatření pro jejich eliminaci. Prozkoumání vhodnosti přijatých opatření. Poskytovatel zašle požadavek v případě zjištění bezpečnostní události/incidentu bezprostředně informuje Bezpečnostního manažera Objednatele a zajistí identifikaci dotčených modulů/funkčností včetně předání této informace na realizaci 1. úroveň Service Desk SZIF. Poskytovatel v případě nalezení příčiny bezpečnostní aktualizace události/incidentu a též řešení bezpečnostní události/incidentu, bezprostředně informuje Bezpečnostního manažera Objednatele a 1. úroveň Service Desk SZIF. Poskytovatel zajistí dohled nad neoprávněnými pokusy o přihlášení do aplikačního prostředí IS XXXX a předání této informace na Bezpečnostního manažera (za Objednatele) Objednatele i Service Desk SZIF. Za neoprávněný pokus se považuje opakovaný pokus o využití jiného než odsouhlaseného mechanismu přihlašování, případně identifikovaný pokus o prolomení standardního způsobu přihlašování. Pro realizaci aktivit bezpečnostního monitoringu musí být v prostředí IS XXXX implementovány odpovídající monitorovací a logovací nástroje dle schválené architektury IS XXXX. Součástí aktivit bude správa záznamů a logů zahrnující sběr, ukládání, zpracování a vyhodnocování bezpečnostních záznamů jednotlivých modulů IS XXXX. Záznamy se musí archivovat v souladu s uvedením navrhovaného harmonogramu provedení aktualizací a identifikací předpokládaných dopadů realizace bezpečnostních aktualizacípožadavky ZoKB pro Významný informační systém dle vyhlášky příslušného prováděcího předpisu ZoKB. Bezpečnostní manažer neprodleně požadavek posoudí, ověří v rámci projektových struktur Objednatele vhodnost termínu a rozhodne o realizaci požadavku, případně ve spolupráci s Analytikem bezpečnosti (za Poskytovatele) navrhne náhradní termín. Po realizaci bezpečnostní aktualizace bude provedena aktualizace příslušné provozní a projektové dokumentace. Toto bude uvedeno ve Zprávě o plnění Pilotní části služebmonitoring musí splňovat požadavky dle ISO 27001:2013. Doba zajištění aktivity V případě, že se nejedná o kritickou bezpečnostní záplatu, bude aktivita realizována mimo Pracovní dobu Objednatele. V případě, že se jedná o kritickou bezpečnostní záplatu, může být aktivita realizována po schválení Objednatelem Automatizovaný dohled a sběr dat - 7x24 – provozní doba znamená zajištění služeb v Pracovní době. V takovém případě, pokud bude po dobu aktivity přerušen provoz služby SAMAS, se jedná o Plánovanou odstávku. SLA parametry / Vyhodnocení Definice Požadovaná hodnota Vyhodnocení Zajištění odpovídajícího stavu bezpečnosti aplikačního prostředí služby SAMAS Plná bezpečnost používaných technologií v souladu s doporučeními výrobce. Jedná se o plnou odpovědnost Poskytovatele, pracovní i nepracovní dny 24 hodin denně; Interakce pracovníků Poskytovatele vůči pracovníkům Objednatele – v případě nezajištění bude toto řešeno v souladu s ustanoveními ZoKB a Smlouvyzjištění bezpečnostní události/incidentu neprodleně.

Rozsah aktivity. Popis (obsah) aktivity Kontinuální provozní aktivita Poskytovatel je povinen zajistit odpovídající stav služby SAMAS tak, aby byla zajištěna adekvátní úroveň kybernetické a informační bezpečnosti. Na základě této povinnosti bude Poskytovatel provádět realizaci bezpečnostních aktualizací služby SAMAS, kdy předmětem aktualizací bude instalace a implementace bezpečnostních aktualizací a realizace maximálně možných opatření pro zajištění ochrany dat Objednatele i ochrany samotné služby SAMAS. Na základě aktivity bezpečnostního monitoringu, doporučení a požadavků jednotlivých výrobců technologických komponent zajistí Poskytovatel implementaci bezpečnostních částí kódu, patchů, záplat a dalších programových částí v souladu s doporučením výrobce. Pokud se nejedná o aktualizaci kritickou, bez které by byla zásadním způsobem ohrožena bezpečnost služby SAMAS, bude realizace bezpečnostních aktualizací primárně probíhat dvou-krokovědvoukrokově: Aktualizace služeb poskytovaných pro prostředí DEV a TEST včetně nezbytného otestování stavu služby SAMAS a následné ověření při standardním užívání testovacího prostředí. Aktualizace služeb poskytovaných pro prostředí PROD včetně nezbytného otestování stavu služby SAMAS. Aktualizace služeb SAMAS pro prostředí PROD bude realizována minimálně s odstupem 14 kalendářních dnů po provedení aktualizace pro prostředí TEST a DEV, pokud je to možné a vhodné. Aktualizace bude probíhat vždy v plné součinnosti s Objednatelem a, bude-li to potřebné, s provozovatelem infrastruktury informačního systému XXXX. Poskytovatel zašle požadavek na realizaci bezpečnostní aktualizace na Bezpečnostního manažera (za Objednatele) s uvedením navrhovaného harmonogramu provedení aktualizací a identifikací předpokládaných dopadů realizace bezpečnostních aktualizací. Bezpečnostní manažer neprodleně požadavek posoudí, ověří v rámci projektových struktur Objednatele vhodnost termínu a rozhodne o realizaci požadavku, případně ve spolupráci s Analytikem bezpečnosti (za Poskytovatele) navrhne náhradní termín. Po realizaci bezpečnostní aktualizace bude provedena aktualizace příslušné provozní a projektové dokumentace. Toto bude uvedeno ve Zprávě o plnění Pilotní části služebslužby IS02. Doba zajištění aktivity V případě, že se nejedná o kritickou bezpečnostní záplatu, bude aktivita realizována mimo Pracovní dobu Objednatele. V případě, že se jedná o kritickou bezpečnostní záplatu, může být aktivita realizována po schválení Objednatelem v Pracovní době. V takovém případě, pokud bude po dobu aktivity přerušen provoz služby SAMAS, se jedná o Plánovanou odstávku. SLA parametry / Vyhodnocení Definice Požadovaná hodnota Vyhodnocení Zajištění odpovídajícího stavu bezpečnosti aplikačního prostředí služby SAMAS Plná bezpečnost používaných technologií v souladu s doporučeními výrobce. Jedná se o plnou odpovědnost Poskytovatele, v případě nezajištění nezajištění, bude toto řešeno v souladu s ustanoveními ZoKB a Smlouvy.

Rozsah aktivity. Popis (obsah) aktivity Kontinuální provozní aktivita Poskytovatel je povinen zajistit odpovídající stav služby SAMAS tak, aby byla zajištěna adekvátní úroveň kybernetické komplexní aktivity provozního a informační bezpečnostibezpečnostního monitoringu služeb SAMAS. Na základě této povinnosti bude Poskytovatel provádět realizaci bezpečnostních aktualizací Předmětem provozního monitoringu je tak sledování pouze služeb na Komunikačním rozhraní zabezpečující poskytování služby SAMAS, kdy předmětem aktualizací bude instalace a implementace bezpečnostních aktualizací a realizace maximálně možných opatření pro zajištění ochrany dat Objednatele i ochrany samotné průběžné vyhodnocování informací týkajících se provozu služby SAMAS. Na základě aktivity bezpečnostního monitoringuMonitoring musí zahrnovat automatizovaný dohled i činnosti pracovníků Poskytovatele související zejména s vyhodnocováním nestandardních stavů, doporučení provozních událostí a incidentů a jejich hlášení Objednateli. Aktivity provozního monitoringu budou primárně zaměřeny na následující oblasti: Chování uživatelů služby SAMAS (zajištění logování chování uživatelů dle požadavků ZoKB). Provozní stabilita jednotlivých výrobců technologických komponent zajistí sloužících k zabezpečení služby SAMAS. Provozní monitoring služby SAMAS – výkon, dostupnost, stabilita, provozní události/incidenty. Provozní monitoring rozhraní služby SAMAS – výkon, dostupnost, stabilita, provozní události/incidenty. Monitoring konzistence dat spravovaných službou SAMAS. Administrace systému a implementace změn. Další nezbytné činnosti garantující stabilní a funkční prostředí služby SAMAS odpovídající provozním BEST PRACTICE standardům (ITIL, ISO/IEC 20000). Aktivity provozního monitoringu musí splňovat následující rozsah: Monitoring a provádění kontroly stavů všech provozně relevantních mechanismů implementovaných v rámci prostředí služby SAMAS. Monitoring chování služby SAMAS s ohledem na okolní ICT prostředí Objednatele se službou SAMAS propojená, typicky: Monitoring na rozhraní poskytovaných a konzumovaných aplikačních služeb. V případě identifikace provozní události/incidentu ve vnějším prostředí, kdy toto může mít dopad na chod služby SAMAS nebo celkového řešení XXXX, zajištění notifikace Service Desku Objednatele nejpozději do 15 minut od zjištění nežádoucího stavu. Kontrola provozních logů (na denní bázi). Notifikace Service Desku Objednatele (alerting) při výskytu nežádoucích situací do 15 minut od vzniku/zjištění. Vyhodnocování těchto stavů a identifikaci příčin. Analýza řešených problémových situací a návrh opatření pro jejich eliminaci. Prozkoumání vhodnosti přijatých opatření. Poskytovatel implementaci bezpečnostních částí kóduv případě zjištění provozní události/incidentu bezprostředně informuje 1. úroveň Service Desk Objednatele. Poskytovatel v případě nalezení příčiny provozní události/incidentu a též řešení provozní události/incidentu, patchůbezprostředně informuje 1. úroveň Service Desku Objednatele. Záznamy logů zahrnující sběr, záplat ukládání, zpracování a dalších programových částí jejich vyhodnocování se musí archivovat v souladu s doporučením výrobcepožadavky ZoKB pro významný informační systém dle vyhlášky příslušného prováděcího předpisu ZoKB. Pokud se nejedná o aktualizaci kritickou, bez které by byla zásadním způsobem ohrožena bezpečnost služby SAMAS, bude realizace bezpečnostních aktualizací primárně probíhat dvou-krokově: Aktualizace služeb poskytovaných pro prostředí DEV a TEST včetně nezbytného otestování stavu Provozní monitoring služby SAMAS musí být nastaven a následné ověření při standardním užívání testovacího prostředí. Aktualizace služeb poskytovaných pro prostředí PROD včetně nezbytného otestování stavu služby SAMAS. Aktualizace služeb SAMAS pro prostředí PROD bude realizována minimálně prováděn v souladu s odstupem 14 kalendářních dnů po provedení aktualizace pro prostředí TEST a DEV, pokud je to možné a vhodné. Aktualizace bude probíhat vždy ISO/IEC 27001 v plné součinnosti s Objednatelem a, bude-li to potřebné, s provozovatelem infrastruktury informačního systému XXXX. Poskytovatel zašle požadavek na realizaci bezpečnostní aktualizace na Bezpečnostního manažera (za Objednatele) s uvedením navrhovaného harmonogramu provedení aktualizací a identifikací předpokládaných dopadů realizace bezpečnostních aktualizací. Bezpečnostní manažer neprodleně požadavek posoudí, ověří v rámci projektových struktur Objednatele vhodnost termínu a rozhodne o realizaci požadavku, případně ve spolupráci s Analytikem bezpečnosti (za Poskytovatele) navrhne náhradní termín. Po realizaci bezpečnostní aktualizace bude provedena aktualizace příslušné provozní a projektové dokumentace. Toto bude uvedeno ve Zprávě o plnění Pilotní části služebaktuální platné verzi. Doba zajištění aktivity V případě, že se nejedná o kritickou bezpečnostní záplatu, bude aktivita realizována mimo Pracovní dobu ObjednateleAutomatizovaný dohled a sběr dat - 7x24 – provozní doba znamená zajištění služeb v pracovní i nepracovní dny 24 hodin denně; Interakce pracovníků Poskytovatele vůči pracovníkům Objednatele - 5x12 – garantovaná provozní doba znamená zajištění služeb pracovní dny 12 hodin denně (7:00 – 19:00). V případě, že se jedná o kritickou bezpečnostní záplatu, může být aktivita realizována po schválení Objednatelem v Pracovní době. V takovém případě, pokud bude po dobu aktivity přerušen provoz služby SAMAS, se jedná o Plánovanou odstávku. SLA parametry / Vyhodnocení Definice Požadovaná hodnota Vyhodnocení Zajištění odpovídajícího stavu bezpečnosti aplikačního prostředí služby SAMAS Plná bezpečnost používaných technologií v souladu s doporučeními výrobce. Jedná se o plnou odpovědnost Poskytovatele, Interakce pracovníků Poskytovatele vůči pracovníkům Objednatele v případě nezajištění bude toto řešeno v souladu s ustanoveními ZoKB a Smlouvyzjištění bezpečnostního incidentu nebo vady kategorie A: neprodleně.

Rozsah aktivity. Popis (obsah) aktivity Kontinuální provozní aktivita Poskytovatel je povinen v rámci služby IS03 zajistit odpovídající stav kompletní vyhodnocení veškerých provozních aktivit, stavu systému i činností realizovaných jednotlivými pracovníky Poskytovatele v rámci služeb IS01 – IS04. Vyhodnocení bude spočívat v prověření a doložení podkladů parametrů provozu služby SAMAS tak, aby byla zajištěna adekvátní úroveň kybernetické a informační bezpečnosti. Na základě této povinnosti bude Poskytovatel provádět realizaci bezpečnostních aktualizací v podobě souhrnné Zprávy o stavu provozu služby SAMAS, kdy předmětem aktualizací bude instalace jednotlivé dílčí oblasti a implementace bezpečnostních aktualizací a realizace maximálně možných opatření pro zajištění ochrany dat Objednatele i ochrany samotné zprávy realizované v rámci Služeb IS01-04 budou součástí této souhrnné Zprávy o stavu provozu služby SAMAS (vyjma Zprávy měsíčního vyhodnocení bezpečnostního monitoringu služby SAMAS). Na základě aktivity Souhrnná Zpráva o stavu provozu služby SAMAS tak bude zahrnovat následující části: Zpráva o plnění služby IS01, Zpráva o plnění služby IS02, Odkaz a termíny předání Zprávy měsíčního vyhodnocení bezpečnostního monitoringu, doporučení a požadavků jednotlivých výrobců technologických komponent zajistí Poskytovatel implementaci bezpečnostních částí kódu, patchů, záplat a dalších programových částí v souladu s doporučením výrobce. Pokud se nejedná o aktualizaci kritickou, bez které by byla zásadním způsobem ohrožena bezpečnost monitoringu služby SAMAS, bude realizace bezpečnostních aktualizací primárně probíhat dvou-krokově: Aktualizace služeb poskytovaných pro prostředí DEV a TEST včetně nezbytného otestování stavu služby SAMAS a následné ověření při standardním užívání testovacího prostředí. Aktualizace služeb poskytovaných pro prostředí PROD včetně nezbytného otestování stavu Zpráva měsíčního vyhodnocení provozního monitoringu služby SAMAS, Zpráva o plnění služby IS04, Výkaz činností – za vyhodnocovací období pro služby IS01 – IS04. Aktualizace služeb SAMAS pro prostředí PROD bude realizována minimálně s odstupem 14 kalendářních dnů po provedení aktualizace pro prostředí TEST a DEV, pokud je to možné a vhodné. Aktualizace bude probíhat vždy v plné součinnosti s Objednatelem a, bude-li to potřebné, s provozovatelem infrastruktury informačního systému XXXX. Poskytovatel zašle požadavek na realizaci bezpečnostní aktualizace na Bezpečnostního manažera (za Objednatele) s uvedením navrhovaného harmonogramu provedení aktualizací a identifikací předpokládaných dopadů realizace bezpečnostních aktualizací. Bezpečnostní manažer neprodleně požadavek posoudí, ověří Obsahy dílčích zpráv jsou definovány v rámci projektových struktur Objednatele vhodnost termínu jednotlivých aktivit a rozhodne služeb. Tyto zprávy popisují zejména věcnou oblast poskytovaných služeb v takovém detailu, který dostatečně dokládá samotný průběh realizace služeb a naplnění podmínek jednotlivých aktivit. Zároveň Zprávy obsahují podklady o realizaci požadavkučerpání cloudových infrastrukturních služeb a případných dalších služeb, případně ve spolupráci jednoznačné potvrzení plnění stanovených parametrů poskytovaných služeb a dokládají splnění či porušení jednotlivých SLA s Analytikem bezpečnosti (případným vyčíslením kreditace za Poskytovatele) navrhne náhradní termínjednotlivé služby. Po realizaci bezpečnostní aktualizace Předmětem Výkazu činností za vyhodnocovací období je pak soupis veškerých činností realizovaných konkrétními pracovníky Poskytovatele v rámci poskytování služeb IS01 – IS04. V rámci Výkazu činností bude provedena aktualizace příslušné provozní jednoznačně doloženo, který pracovník zajišťoval a projektové dokumentace. Toto bude uvedeno ve Zprávě o plnění Pilotní části služebrealizoval konkrétní činnost v rámci aktivit v příslušném dni. Doba zajištění aktivity V případě, že se nejedná o kritickou bezpečnostní záplatu, bude aktivita realizována mimo Pracovní dobu Objednatele. V případě, že se jedná o kritickou bezpečnostní záplatu, může být aktivita realizována po schválení Objednatelem v Pracovní době. V takovém případě, pokud bude po dobu aktivity přerušen provoz služby SAMAS, se jedná o Plánovanou odstávku1krát měsíčně na počátku každého vyhodnocovacího období (kalendářní měsíc) za uplynulé vyhodnocovací období. SLA parametry / Vyhodnocení Definice Požadovaná hodnota Vyhodnocení Zajištění odpovídajícího Celková Zpráva o stavu bezpečnosti aplikačního prostředí provozu služby SAMAS Plná bezpečnost používaných technologií bude zpracována a předána nejpozději během 5. (pátého) pracovního dne vyhodnocovacího období následujícího po ukončení předchozího vyhodnocovacího období. Zpráva bude předána v souladu elektronické podobě umožňující počítačové zpracování. Dílčí zprávy budou primárně ve formátu .pdf v generované (případně skenované, se zachováním strojové čitelnosti) podobě. Ty části zpráv, které budou obsahovat taková data, jejichž zobrazení ve standardním dokumentu (.pdf) znamená zhoršenou orientaci v datech, budou předány ve formátu .xlsx. Dokumenty budou standardně chráněny proti změně dat; čtení, systémové kopírování a elektronický podpis akceptační doložky ze strany kontaktní osoby Objednatele budou umožněny. Tam, kde je to možné (primárně formát .pdf), budou dokumenty v části akceptační doložky podepsané elektronickým podpisem kontaktní osoby Poskytovatele. Kontaktní osoby budou stanoveny a případně aktualizovány na úrovni Řídícího výboru, zejména s doporučeními výrobce. Jedná se o plnou odpovědnost ohledem na možné personální změny jak na straně Objednatele, tak na straně Poskytovatele, v případě nezajištění bude toto řešeno v souladu s ustanoveními ZoKB a Smlouvy.

Rozsah aktivity. Popis (obsah) aktivity Kontinuální provozní aktivita Poskytovatel je povinen v rámci služby IS03 zajistit odpovídající stav kompletní vyhodnocení veškerých provozních aktivit, stavu systému i činností realizovaných jednotlivými pracovníky Poskytovatele v rámci služeb IS01 – IS04. Vyhodnocení bude spočívat v prověření a doložení podkladů parametrů provozu služby SAMAS tak, aby byla zajištěna adekvátní úroveň kybernetické a informační bezpečnosti. Na základě této povinnosti bude Poskytovatel provádět realizaci bezpečnostních aktualizací GT FOTO v podobě souhrnné Zprávy o stavu provozu služby SAMASGT FOTO, kdy předmětem aktualizací jednotlivé dílčí oblasti a zprávy realizované v rámci Služeb IS01-04 budou součástí této souhrnné Zprávy o stavu provozu služby GT FOTO (vyjma Zprávy měsíčního vyhodnocení bezpečnostního monitoringu služby GT FOTO). Souhrnná Zpráva o stavu provozu služby GT FOTO tak bude instalace zahrnovat následující části: Zpráva o plnění služby IS01, Zpráva o plnění služby IS02, Odkaz a implementace bezpečnostních aktualizací termíny předání Zprávy měsíčního vyhodnocení bezpečnostního monitoringu služby GT FOTO, Zpráva měsíčního vyhodnocení provozního monitoringu služby GT FOTO, Zpráva o plnění služby IS04, Report čerpání cloudových služeb vytvářený v rámci aktivity A20, Výkaz činností za vyhodnocovací období pro služby IS01 – IS04 a IS07. Obsahy dílčích zpráv jsou definovány v rámci jednotlivých aktivit a služeb. Tyto zprávy popisují zejména věcnou oblast poskytovaných služeb v takovém detailu, který dostatečně dokládá samotný průběh realizace maximálně možných opatření pro zajištění ochrany dat Objednatele i ochrany samotné služby SAMASslužeb a naplnění podmínek jednotlivých aktivit. Na základě aktivity bezpečnostního monitoringu, doporučení a požadavků jednotlivých výrobců technologických komponent zajistí Poskytovatel implementaci bezpečnostních částí kódu, patchů, záplat Zároveň Zprávy obsahují podklady o čerpání cloudových a dalších programových částí v souladu služeb, jednoznačné potvrzení plnění stanovených parametrů poskytovaných služeb a dokládají splnění či porušení jednotlivých SLA s doporučením výrobcepřípadným vyčíslením kreditace za jednotlivé služby. Pokud se nejedná o aktualizaci kritickou, bez které by byla zásadním způsobem ohrožena bezpečnost služby SAMAS, bude realizace bezpečnostních aktualizací primárně probíhat dvou-krokově: Aktualizace služeb poskytovaných pro prostředí DEV a TEST včetně nezbytného otestování stavu služby SAMAS a následné ověření při standardním užívání testovacího prostředí. Aktualizace služeb poskytovaných pro prostředí PROD včetně nezbytného otestování stavu služby SAMAS. Aktualizace služeb SAMAS pro prostředí PROD bude realizována minimálně s odstupem 14 kalendářních dnů po provedení aktualizace pro prostředí TEST a DEV, pokud Předmětem Výkazu činností za vyhodnocovací období je to možné a vhodné. Aktualizace bude probíhat vždy v plné součinnosti s Objednatelem a, bude-li to potřebné, s provozovatelem infrastruktury informačního systému XXXX. Poskytovatel zašle požadavek na realizaci bezpečnostní aktualizace na Bezpečnostního manažera (za Objednatele) s uvedením navrhovaného harmonogramu provedení aktualizací a identifikací předpokládaných dopadů realizace bezpečnostních aktualizací. Bezpečnostní manažer neprodleně požadavek posoudí, ověří pak soupis veškerých činností realizovaných konkrétními pracovníky Poskytovatele v rámci projektových struktur Objednatele vhodnost termínu poskytování služeb IS01 – IS04 a rozhodne o realizaci požadavkuIS07. V rámci Výkazu činností bude jednoznačně doloženo, případně ve spolupráci s Analytikem bezpečnosti (za Poskytovatele) navrhne náhradní termín. Po realizaci bezpečnostní aktualizace bude provedena aktualizace příslušné provozní který pracovník zajišťoval a projektové dokumentace. Toto bude uvedeno ve Zprávě o plnění Pilotní části služebrealizoval konkrétní činnost v rámci aktivit v příslušném dni. Doba zajištění aktivity V případě, že se nejedná o kritickou bezpečnostní záplatu, bude aktivita realizována mimo Pracovní dobu Objednatele. V případě, že se jedná o kritickou bezpečnostní záplatu, může být aktivita realizována po schválení Objednatelem v Pracovní době. V takovém případě, pokud bude po dobu aktivity přerušen provoz služby SAMAS, se jedná o Plánovanou odstávku1krát měsíčně na počátku každého vyhodnocovacího období (kalendářní měsíc) za uplynulé vyhodnocovací období. SLA parametry / Vyhodnocení Definice Požadovaná hodnota Vyhodnocení Zajištění odpovídajícího Celková Zpráva o stavu bezpečnosti aplikačního prostředí provozu služby SAMAS Plná bezpečnost používaných technologií GT FOTO bude zpracována a předána nejpozději během 5. (pátého) pracovního dne vyhodnocovacího období následujícího po ukončení předchozího vyhodnocovacího období. Zpráva bude předána v souladu elektronické podobě umožňující počítačové zpracování. Dílčí zprávy budou primárně ve formátu .pdf v generované (případně skenované, se zachováním strojové čitelnosti) podobě. Ty části zpráv, které budou obsahovat taková data, jejichž zobrazení ve standardním dokumentu (.pdf) znamená zhoršenou orientaci v datech, budou předány ve formátu .xlsx. Dokumenty budou standardně chráněny proti změně dat; čtení, systémové kopírování a elektronický podpis akceptační doložky ze strany kontaktní osoby Objednatele budou umožněny. Tam, kde je to možné (primárně formát .pdf), budou dokumenty v části akceptační doložky podepsané elektronickým podpisem kontaktní osoby Poskytovatele. Kontaktní osoby budou stanoveny a případně aktualizovány na úrovni Řídícího výboru, zejména s doporučeními výrobce. Jedná se o plnou odpovědnost ohledem na možné personální změny jak na straně Objednatele, tak na straně Poskytovatele, v případě nezajištění bude toto řešeno v souladu s ustanoveními ZoKB a Smlouvy.

Rozsah aktivity. Popis (obsah) aktivity Kontinuální provozní aktivita Poskytovatel je povinen v rámci služby IS03 zajistit odpovídající stav kompletní vyhodnocení veškerých provozních aktivit, stavu systému i činností realizovaných jednotlivými pracovníky Poskytovatele v rámci služeb IS01 – IS04. Vyhodnocení bude spočívat v prověření a doložení podkladů parametrů provozu služby SAMAS tak, aby byla zajištěna adekvátní úroveň kybernetické a informační bezpečnosti. Na základě této povinnosti bude Poskytovatel provádět realizaci bezpečnostních aktualizací GT FOTO v podobě souhrnné Zprávy o stavu provozu služby SAMASGT FOTO, kdy předmětem aktualizací jednotlivé dílčí oblasti a zprávy realizované v rámci Služeb IS01-04 budou součástí této souhrnné Zprávy o stavu provozu služby GT FOTO (vyjma Zprávy měsíčního vyhodnocení bezpečnostního monitoringu služby GT FOTO). Souhrnná Zpráva o stavu provozu služby GT FOTO tak bude instalace zahrnovat následující části: Zpráva o plnění služby IS01, Zpráva o plnění služby IS02, Odkaz a implementace bezpečnostních aktualizací termíny předání Zprávy měsíčního vyhodnocení bezpečnostního monitoringu služby GT FOTO, Zpráva měsíčního vyhodnocení provozního monitoringu služby GT FOTO, Zpráva o plnění služby IS04, Report čerpání cloudových služeb vytvářený v rámci aktivity A18, Výkaz činností za vyhodnocovací období pro služby IS01 – IS04 a IS07. Obsahy dílčích zpráv jsou definovány v rámci jednotlivých aktivit a služeb. Tyto zprávy popisují zejména věcnou oblast poskytovaných služeb v takovém detailu, který dostatečně dokládá samotný průběh realizace maximálně možných opatření pro zajištění ochrany dat Objednatele i ochrany samotné služby SAMASslužeb a naplnění podmínek jednotlivých aktivit. Na základě aktivity bezpečnostního monitoringu, doporučení a požadavků jednotlivých výrobců technologických komponent zajistí Poskytovatel implementaci bezpečnostních částí kódu, patchů, záplat Zároveň Zprávy obsahují podklady o čerpání cloudových a dalších programových částí v souladu služeb, jednoznačné potvrzení plnění stanovených parametrů poskytovaných služeb a dokládají splnění či porušení jednotlivých SLA s doporučením výrobcepřípadným vyčíslením kreditace za jednotlivé služby. Pokud se nejedná o aktualizaci kritickou, bez které by byla zásadním způsobem ohrožena bezpečnost služby SAMAS, bude realizace bezpečnostních aktualizací primárně probíhat dvou-krokově: Aktualizace služeb poskytovaných pro prostředí DEV a TEST včetně nezbytného otestování stavu služby SAMAS a následné ověření při standardním užívání testovacího prostředí. Aktualizace služeb poskytovaných pro prostředí PROD včetně nezbytného otestování stavu služby SAMAS. Aktualizace služeb SAMAS pro prostředí PROD bude realizována minimálně s odstupem 14 kalendářních dnů po provedení aktualizace pro prostředí TEST a DEV, pokud Předmětem Výkazu činností za vyhodnocovací období je to možné a vhodné. Aktualizace bude probíhat vždy v plné součinnosti s Objednatelem a, bude-li to potřebné, s provozovatelem infrastruktury informačního systému XXXX. Poskytovatel zašle požadavek na realizaci bezpečnostní aktualizace na Bezpečnostního manažera (za Objednatele) s uvedením navrhovaného harmonogramu provedení aktualizací a identifikací předpokládaných dopadů realizace bezpečnostních aktualizací. Bezpečnostní manažer neprodleně požadavek posoudí, ověří pak soupis veškerých činností realizovaných konkrétními pracovníky Poskytovatele v rámci projektových struktur Objednatele vhodnost termínu poskytování služeb IS01 – IS04 a rozhodne o realizaci požadavkuIS07. V rámci Výkazu činností bude jednoznačně doloženo, případně ve spolupráci s Analytikem bezpečnosti (za Poskytovatele) navrhne náhradní termín. Po realizaci bezpečnostní aktualizace bude provedena aktualizace příslušné provozní který pracovník zajišťoval a projektové dokumentace. Toto bude uvedeno ve Zprávě o plnění Pilotní části služebrealizoval konkrétní činnost v rámci aktivit v příslušném dni. Doba zajištění aktivity V případě, že se nejedná o kritickou bezpečnostní záplatu, bude aktivita realizována mimo Pracovní dobu Objednatele. V případě, že se jedná o kritickou bezpečnostní záplatu, může být aktivita realizována po schválení Objednatelem v Pracovní době. V takovém případě, pokud bude po dobu aktivity přerušen provoz služby SAMAS, se jedná o Plánovanou odstávku1krát měsíčně na počátku každého vyhodnocovacího období (kalendářní měsíc) za uplynulé vyhodnocovací období. SLA parametry / Vyhodnocení Definice Požadovaná hodnota Vyhodnocení Zajištění odpovídajícího Celková Zpráva o stavu bezpečnosti aplikačního prostředí provozu služby SAMAS Plná bezpečnost používaných technologií GT FOTO bude zpracována a předána nejpozději během 5. (pátého) pracovního dne vyhodnocovacího období následujícího po ukončení předchozího vyhodnocovacího období. Zpráva bude předána v souladu elektronické podobě umožňující počítačové zpracování. Dílčí zprávy budou primárně ve formátu .pdf v generované (případně skenované, se zachováním strojové čitelnosti) podobě. Ty části zpráv, které budou obsahovat taková data, jejichž zobrazení ve standardním dokumentu (.pdf) znamená zhoršenou orientaci v datech, budou předány ve formátu .xlsx. Dokumenty budou standardně chráněny proti změně dat; čtení, systémové kopírování a elektronický podpis akceptační doložky ze strany kontaktní osoby Objednatele budou umožněny. Tam, kde je to možné (primárně formát .pdf), budou dokumenty v části akceptační doložky podepsané elektronickým podpisem kontaktní osoby Poskytovatele. Kontaktní osoby budou stanoveny a případně aktualizovány na úrovni Řídícího výboru, zejména s doporučeními výrobce. Jedná se o plnou odpovědnost ohledem na možné personální změny jak na straně Objednatele, tak na straně Poskytovatele, v případě nezajištění bude toto řešeno v souladu s ustanoveními ZoKB a Smlouvy.