Řízení přístupu. DODAVATEL BERE NA VĚDOMÍ, ŽE PŘÍSTUP K SYSTÉMU ISZS JE MOŽNÉ POVOLIT POUZE PO EVIDENCI OSOBY ZASTUPUJÍCÍ DODAVATELE V REGISTRU IDENTIT FN BRNO NEBO OBDOBNÉM SYSTÉMU FN BRNO, A TO NA ZÁKLADĚ POŽADAVKU DODAVATELE NA PŘÍSTUP. DODAVATEL BERE NA VĚDOMÍ, ŽE JEHO ZAMĚSTNANEC MUSÍ POSKYTNOUT SVÉ OSOBNÍ ÚDAJE FN BRNO, A TO V ROZSAHU NUTNÉM PRO ZŘÍZENÍ PŘÍSTUPU, V OPAČNÉM PŘÍPADĚ FN BRNO NENÍ POVINEN PŘÍSTUP K SYSTÉMU ISZS ZAMĚSTNANCI DODAVATELE POVOLIT. DODAVATEL ZA ÚČELEM ZAJIŠTĚNÍ ZÁKONNOSTI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ JEHO ZAMĚSTNANCŮ S PŘIDĚLENÝM PŘÍSTUPEM (FYZICKÝM, LOGICKÝM) K ISZS, KTERÉ ZA ÚČELEM PLNĚNÍ SMLUVNÍCH VZTAHŮ S DODAVATELEM PROVÁDÍ FN BRNO, ZAJISTÍ SPLNĚNÍ INFORMAČNÍCH POVINNOSTÍ VYPLÝVAJÍCÍCH Z TOHOTO ZPRACOVÁNÍ. DODAVATEL BERE NA VĚDOMÍ, ŽE PŘIDĚLENÍ OPRÁVNĚNÍ ZAMĚSTNANCŮM DODAVATELE MUSÍ BÝT ŘÍZENO PRINCIPEM NEZBYTNÉHO MINIMA A NENÍ NÁROKOVÉ. DODAVATEL SE ZAVAZUJE, ŽE UDĚLENÝ PŘÍSTUP NESMÍ BÝT SDÍLEN VÍCE ZAMĚSTNANCI DODAVATELE ANI PODDODAVATELE. DODAVATEL SE ZAVAZUJE, ŽE VZDÁLENÝ PŘÍSTUP DO SYSTÉMU ISZS BUDE VŽDY USKUTEČNĚN POUZE PROSTŘEDNICTVÍM ZABEZPEČENÉHO PŘIPOJENÍ VPN. DODAVATEL SE ZAVAZUJE, ŽE PŘED PŘIPOJENÍM KONCOVÉHO ZAŘÍZENÍ, MOBILNÍ KONCOVÉHO ZAŘÍZENÍ NEBO AKTIVNÍHO SÍŤOVÉHO PRVKU JAKO SÍŤOVÉ SWITCHE, WIFI ACCESS POINTY, ROUTERY ČI HUBY DO POČÍTAČOVÉ SÍTĚ ZAŽÁDÁ O SCHVÁLENÍ PŘIPOJENÍ KONTAKTNÍ OSOBU NA STRANĚ FN BRNO. DODAVATEL SE ZAVAZUJE, ŽE BEZ ZBYTEČNÉHO ODKLADU DEAKTIVUJE VŠECHNA NEVYUŽÍVANÁ ZAKONČENÍ SÍTĚ ANEBO NEPOUŽÍVANÉ PORTY AKTIVNÍHO SÍŤOVÉHO PRVKU, POKUD DANÁ ČINNOST BUDE PŘI PLNĚNÍ PŘEDMĚTU SMLOUVY VYŽADOVÁNA. DODAVATEL SE ZAVAZUJE, ŽE NEBUDE INSTALOVAT A POUŽÍVAT ZEJMÉNA TYPY NÁSTROJŮ KEYLOGGER, SNIFFER, ANALYZÁTOR ZRANITELNOSTÍ A PORT SCANNER, BACKDOOR, ROOTKIT A TROJSKÝ KŮŇ NEBO JINOU PODOBU MALWARE. DODAVATEL SE ZAVAZUJE, ŽE VŠECHNY JEHO INFORMAČNÍ SYSTÉMY, KTERÉ SE PŘIPOJUJÍ DO SÍŤOVÉ INFRASTRUKTURY FN BRNO, JSOU A BUDOU CHRÁNĚNY PROTI MALWARE. DODAVATEL SE ZAVAZUJE, ŽE NEBUDE VYVÍJET, KOMPILOVAT A ŠÍŘIT V JAKÉKOLIV ČÁSTI ISZS PROGRAMOVÝ KÓD, KTERÝ MÁ ZA CÍL NELEGÁLNÍ OVLÁDNUTÍ, NARUŠENÍ, NEBO DISKREDITACI SYSTÉMU ISZS NEBO NELEGÁLNÍ ZÍSKÁNÍ DAT A INFORMACÍ. DODAVATEL SE ZAVAZUJE ZAJISTIT, ABY OSOBY PODÍLEJÍCÍ SE NA POSKYTOVÁNÍ PLNĚNÍ FN BRNO V ISZS: NEUKLÁDALY, NESDÍLELY, DATA ANI INFORMACE ETICKY NEVHODNÉHO OBSAHU, ODPORUJÍCÍ DOBRÝM MRAVŮM NEBO POŠKOZUJÍCÍ JMÉNO FN BRNO.
Řízení přístupu dodavatel bere na vědomí, že přístup k systému ISZS je možné povolit pouze po evidenci osoby zastupující dodavatele v registru identit FN Brno nebo obdobném systému FN Brno, a to na základě požadavku dodavatele na přístup. dodavatel bere na vědomí, že jeho zaměstnanec musí poskytnout své osobní údaje FN Brno, a to v rozsahu nutném pro zřízení přístupu, v opačném případě FN Brno není povinen přístup k systému ISZS zaměstnanci dodavatele povolit. Dodavatel za účelem zajištění zákonnosti zpracování osobních údajů jeho zaměstnanců s přiděleným přístupem (fyzickým, logickým) k ISZS, které za účelem plnění smluvních vztahů s dodavatelem provádí FN Brno, zajistí splnění informačních povinností vyplývajících z tohoto zpracování. dodavatel bere na vědomí, že přidělení oprávnění zaměstnancům dodavatele musí být řízeno principem nezbytného minima a není nárokové. nestanoví-li smlouva jinak, zavazuje se dodavatel, že udělený přístup nesmí být sdílen více osobami na jeho straně. dodavatel se zavazuje, že vzdálený přístup do systému ISZS bude vždy uskutečněn pouze prostřednictvím zabezpečeného připojení VPN. dodavatel se zavazuje, že před připojením koncového zařízení, mobilního koncového zařízení nebo aktivního síťového prvku jako síťové switche, WiFi access pointy, routery či huby do počítačové sítě zažádá o schválení připojení kontaktní osobu na straně FN Brno. dodavatel se zavazuje, že bez zbytečného odkladu deaktivuje všechna nevyužívaná zakončení sítě anebo nepoužívané porty aktivního síťového prvku, pokud daná činnost bude při plnění předmětu smlouvy vyžadována. nedohodnou-li se smluvní strany v konkrétním případě jinak, zavazuje se dodavatel, že nebude instalovat a používat zejména typy nástrojů keylogger, sniffer, analyzátor zranitelností a port scanner, backdoor, rootkit a trojský kůň nebo jinou podobu malware. dodavatel se zavazuje, že všechny jeho informační systémy, které se připojují do síťové infrastruktury FN Brno, jsou a budou chráněny proti malware. dodavatel se zavazuje, že nebude vyvíjet, kompilovat a šířit v jakékoliv části ISZS programový kód, který má za cíl nelegální ovládnutí, narušení, nebo diskreditaci systému ISZS nebo nelegální získání dat a informací. dodavatel se zavazuje zajistit, aby osoby podílející se na poskytování plnění FN Brno v ISZS: neukládaly, nesdílely, data ani informace eticky nevhodného obsahu, odporující dobrým mravům nebo poškozující jméno FN Brno. nestahovaly, nesdílely, neukládaly, nearchivovaly a/nebo neinstalovaly dato...
Řízení přístupu. Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 12 VoKB, které musí splnit jakožto provozovatel VIS a povinná osoba dle ZoKB. Krom jiného se poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména: Přidělovat oprávnění svým jednotlivým pracovníkům ve smyslu oprávnění k výkonu činností tak, aby byla minimalizována rizika nežádoucího přístupu k informačním aktivům objednatele. Zajistit, aby udělený přístup nebyl sdílen více osobami za stranu poskytovatele. V takovém případě musí poskytovatel vést evidenci využívání sdílených přístupů a tuto na vyžádání předložit objednateli kdykoli v průběhu trvání účinnosti smlouvy. Stanovit v požadavku na přístup rozsah dat/informací, služby a účely, pro které je přístup k informačním aktivům objednatele požadován a časový údaj o délce platnosti přístupu (např.: na dobu neurčitou / 1 rok / 1 měsíc / 1 den). Zajistit, aby osoby podílející se na poskytování předmětu plnění a mající přístup k informačním aktivům objednatele chránily autentizační prostředky a údaje a nikdy neposkytovaly neautorizovaný přístup dalším osobám. Průběžně kontrolovat a vyhodnocovat oprávněnost a potřebu přístupu, jak fyzického, tak i logického, u všech osob na straně poskytovatele, které přistupují k informačním aktivům objednatele. Poskytovatel bere na vědomí, že přístup k informačním aktivům objednatele je možné povolit pouze fyzické identitě zaměstnance poskytovatele resp. poddodavatele poskytovatele, a to na základě požadavku poskytovatele na přístup. Poskytovatel bere na vědomí, že přidělení oprávnění zaměstnanci poskytovatele musí být realizováno na základě zásady nejnižšího oprávnění a principu need-to-know. Poskytovatel bere na vědomí, že v případě neúspěšných pokusů o autentizaci uživatele (osoby za stranu poskytovatele) může být příslušný účet zablokován a řešen jako bezpečnostní incident a mohou být uplatněny příslušné postupy zvládání bezpečnostního incidentu (např. okamžité zrušení přístupu k informačním aktivům objednatele).
Řízení přístupu. Je nutné, aby vaše kritické systémy omezovaly přístup k údajům o kartách a ke všem ostatním osobním údajům nebo důležitým datům pouze na důvěryhodné osoby ve vaší organizaci, přičemž každá taková osoba by měla mít k těmto údajům přístup jen v míře nezbytné k tomu, aby mohla plnit své úkoly. Je nutné, aby vaše systémy sledovaly a zaznamenávaly do protokolu všechny přístupy k údajům o kartách a dalším osobním údajům či důležitým datům a také jejich použití, změny a odstranění, abyste měli o všech těchto akcích záznam pro případ auditu. Je také nutné, abyste omezili přístup ke kritickým systémům a prostředkům, na kterých tyto systémy závisí, jako jsou například sítě, brány firewall a databáze.
Řízení přístupu. 5.1 V případě, že součástí plnění je přístup zaměstnanců LP k externím webovým službám, musí být dodrženy následující požadavky:
Řízení přístupu. Ve vztahu k hostiteli pro mezilehlého správce "brány" používají oprávnění pracovníci IBM dvouúrovňové ověření. K přístupu ze strany známých škodlivých internetových webů a uživatelů v zemích, na které USA stanovily zákaz, lze použít blokování adres IP. Přístup k Datům Zákazníka a přesuny dat z nebo do hostitelského prostředí jsou zapisovány do protokolů. V rámci datových středisek podporujících tuto službu Cloud Service je zakázáno používání WIFI. Služba Cloud Service vyžaduje šifrování obsahu během přenosu dat mezi sítí IBM a přístupovým bodem k síti Zákazníka. Konkrétní metody šifrování jsou určeny na základě dohody se Zákazníkem a šifrování vyžaduje instalaci certifikátů SSL na serveru IBM i Zákazníka. Shromažďovány jsou pouze osobní údaje vyžadované pro zpracování platby. Služba Cloud Service nešifruje obsah, je-li nečinná a čeká na přenos dat.
Řízení přístupu. Poskytovatel bere na vědomí, že přístup k systému ISZS je možné povolit pouze fyzické identitě zaměstnance Poskytovatele (popřípadě Podposkytovatele) zaevidované v registru identit Objednatele, a to na základě požadavku Poskytovatele na přístup. Poskytovatel bere na vědomí, že jeho zaměstnanec musí poskytnout své osobní údaje Objednateli, a to v rozsahu nutném pro zřízení přístupu, v opačném případě Objednatel není povinen přístup k systému ISZS zaměstnanci Poskytovatele povolit. Zaměstnanec Poskytovatele s přiděleným přístupem (fyzickým, logickým) k systému ISZS, bere na vědomí, že dochází ke zpracování osobních údajů během vyhodnocování údajů o pohybu a prováděných aktivitách v prostorách Objednatele (např.: monitoring pomocí řešení Security Information and Event Management). Poskytovatel bere na vědomí, že přidělení oprávnění zaměstnanci Poskytovatele musí být řízeno principem nezbytného minima a není nárokové. Poskytovatel se zavazuje, že udělený přístup nesmí být sdílen více zaměstnanci Poskytovatele nebo Podposkytovatele. Poskytovatel se zavazuje, že vzdálený přístup do systému ISZS bude vždy uskutečněn pouze prostřednictvím zabezpečeného připojení definovaným Objednatelem. Poskytovatel se zavazuje, že před připojením koncového zařízení, mobilní koncového zařízení nebo aktivního síťového prvku jako síťové switche, WiFi access pointy, routery či huby do počítačové sítě zažádá o schválení připojení kontaktní osobu na straně Objednatele. Poskytovatel se zavazuje, že bez zbytečného odkladu deaktivuje všechny nevyužívané zakončení sítě anebo nepoužívané porty aktivního síťového prvku. Poskytovatel se zavazuje, že nebude instalovat a používat zejména typy nástrojů Keylogger, Sniffer, Analyzátor zranitelností a Port Scanner, Backdoor, rootkit a trojský kůň nebo jinou podobu malware. Poskytovatel se zavazuje, že všechny jeho informační systémy, které se připojují do síťové infrastruktury Objednatele, jsou a budou chráněny proti malware. Poskytovatel se zavazuje, že nebude vyvíjet, kompilovat a šířit v jakékoliv části systému ISZS programový kód, který má za cíl nelegální ovládnutí, narušení, nebo diskreditaci systému ISZS nebo nelegální získání dat a informací. Poskytovatel se zavazuje zajistit, aby osoby podílející se na poskytování plnění Objednateli v ISZS: neukládali, nesdíleli, data i informace eticky nevhodného obsahu, odporující dobrým mravům nebo poškozující jméno Objednatele; nestahovali, nesdíleli, neukládali, nearchivovali a/nebo neinstalovali dat...
Řízení přístupu. Přístup k datům zákazníka, je-li vyžadován, je umožněn pouze oprávněným zástupcům podpory IBM v souladu s principy segregace povinností. Ve vztahu k hostiteli pro mezilehlého správce "brány" používají pracovníci IBM dvouúrovňové ověření. Při přístupu k datům Zákazníka se pro všechna připojení používají šifrované kanály. Veškeré přístupy k datům zákazníka a přesuny dat z nebo do hostitelského prostředí jsou zapisovány do protokolů.
Řízení přístupu. Pro řízení přístupových práv k archiváliím využívá systém možnosti platformy FileNet. Uživatelé jsou autorizováni vůči LDAP nebo Active Directory, kde jsou vynucovány heslové a další politiky pro zajištění autentizace a autorizace. Práva lze definovat i pro skupiny (Administrátoři, Analytici, Operátoři, Auditoři a případně i další), do kterých lze zařadit uživatele nebo servery a jejich služby. Přístup lze přidělit i speciálním rolím jako autor dokumentu nebo autorizovaný uživatel. U strukturovaných dat lze nastavit dědičnost sad oprávnění. To funguje pro složky i pro složené dokumenty. Lze určit i hloubku zanoření, pokud bude dědičnost práv platit. FileNet nabízí řízení přístupu pomocí Markings. Nastavuje přístupová práva na základě hodnot metadat dokumentu. Toho lze dobře využít pro skartační prcesy (Records Management). Další úroveň řízení přístupu lze aplikovat na přístup k vybraným metadatům dokumentu. Auditní log lze nastavit detailně na jednotlivé třídy, dokonce na vlastnosti. Popřípadě může být nastaveno mazání starých záznamů s ohledem na šetrné využití zdrojů. Služby a workflow mají své vlastní auditní logy, které mohou sledovat jednotlivé operace. Auditní logy umožňují napojení na systém dohledu, na SIEM od společnosti IBM, který je také součástí nabídky. Vybrané auditní logy lze poslat i pomocí: emailu, http, rsyslog, snmp. Integraci s existujícími systémy pro monitorování zabezpečení je možné využít formáty rsyslog: CEF, LEEF, JSON, XML. V případě výpadku jakékoliv bezpečnostní komponenty v systému není narušena dostupnost služeb.
Řízení přístupu. 1. Poskytovatel se bude v rozsahu poskytování Plnění dle Smlouvy a Dílčích objednávek aktivně podílet na splnění povinností uvedených v § 12 VKB, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu poskytování Plnění na své straně: