Common use of Řízení přístupu Clause in Contracts

Řízení přístupu. Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 12 VoKB, které musí splnit jakožto provozovatel VIS a povinná osoba dle ZoKB. Krom jiného se poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména: Přidělovat oprávnění svým jednotlivým pracovníkům ve smyslu oprávnění k výkonu činností tak, aby byla minimalizována rizika nežádoucího přístupu k informačním aktivům objednatele. Zajistit, aby udělený přístup nebyl sdílen více osobami za stranu poskytovatele. V takovém případě musí poskytovatel vést evidenci využívání sdílených přístupů a tuto na vyžádání předložit objednateli kdykoli v průběhu trvání účinnosti smlouvy. Stanovit v požadavku na přístup rozsah dat/informací, služby a účely, pro které je přístup k informačním aktivům objednatele požadován a časový údaj o délce platnosti přístupu (např.: na dobu neurčitou / 1 rok / 1 měsíc / 1 den). Zajistit, aby osoby podílející se na poskytování předmětu plnění a mající přístup k informačním aktivům objednatele chránily autentizační prostředky a údaje a nikdy neposkytovaly neautorizovaný přístup dalším osobám. Průběžně kontrolovat a vyhodnocovat oprávněnost a potřebu přístupu, jak fyzického, tak i logického, u všech osob na straně poskytovatele, které přistupují k informačním aktivům objednatele. Poskytovatel bere na vědomí, že přístup k informačním aktivům objednatele je možné povolit pouze fyzické identitě zaměstnance poskytovatele resp. poddodavatele poskytovatele, a to na základě požadavku poskytovatele na přístup. Poskytovatel bere na vědomí, že přidělení oprávnění zaměstnanci poskytovatele musí být realizováno na základě zásady nejnižšího oprávnění a principu need-to-know. Poskytovatel bere na vědomí, že v případě neúspěšných pokusů o autentizaci uživatele (osoby za stranu poskytovatele) může být příslušný účet zablokován a řešen jako bezpečnostní incident a mohou být uplatněny příslušné postupy zvládání bezpečnostního incidentu (např. okamžité zrušení přístupu k informačním aktivům objednatele).

Řízení přístupu. Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 12 VoKB, které musí splnit jakožto provozovatel VIS a povinná osoba dle ZoKB. Krom jiného se poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména: Přidělovat oprávnění svým jednotlivým pracovníkům ve smyslu oprávnění k výkonu činností tak, aby byla minimalizována rizika nežádoucího přístupu k informačním aktivům objednatele. Zajistit, aby udělený přístup nebyl sdílen více osobami za stranu poskytovatele. V takovém případě musí poskytovatel vést evidenci využívání sdílených přístupů a tuto na vyžádání předložit objednateli kdykoli v průběhu trvání účinnosti smlouvy. Stanovit v požadavku na přístup rozsah dat/informací, služby a účely, pro které je přístup k informačním aktivům objednatele požadován a časový údaj o délce platnosti přístupu (např.: na dobu neurčitou / 1 rok / 1 měsíc / 1 den). Zajistit, aby osoby podílející se na poskytování předmětu plnění a mající přístup k informačním aktivům objednatele chránily autentizační prostředky a údaje a nikdy neposkytovaly neautorizovaný přístup dalším osobám. Průběžně kontrolovat a vyhodnocovat oprávněnost a potřebu přístupu, jak fyzického, tak i logického, u všech osob na straně poskytovatele, které přistupují k informačním aktivům objednatele. Poskytovatel bere na vědomí, že přístup k informačním aktivům objednatele systému ICT je možné povolit pouze fyzické identitě zaměstnance poskytovatele resp. / poddodavatele poskytovateleposkytovatele zaevidované v registru identit objednatele, a to na základě požadavku poskytovatele na přístup. Poskytovatel bere na vědomí, že zaměstnanec poskytovatele musí prokazatelně souhlasit se zpracováním osobních údajů potřebných pro zřízení přístupu, v opačném případě objednatel není povinen přístup k systému ICT zaměstnanci poskytovatele povolit. Zaměstnanec poskytovatele s přiděleným přístupem (fyzickým, logickým) k systému ICT musí prokazatelně souhlasit se zpracováním osobních údajů zpracovávaných během vyhodnocování údajů o pohybu a prováděných aktivitách v prostorách objednatele (např.: monitoring pomocí řešení Security Incident and Event Monitoring), přičemž takový souhlas musí být proveden souhlasem písemným nebo digitálním formou emailu, není-li smluvními stranami dohodnuto jinak. Poskytovatel bere na vědomí, že přidělení oprávnění zaměstnanci poskytovatele musí být realizováno řízeno principem nezbytného minima a není nárokové. Poskytovatel se zavazuje, že udělený přístup nesmí být sdílen více zaměstnanci poskytovatele nebo subdodavatele poskytovatele. Poskytovatel se zavazuje, že ICT systém bude ověřovat identitu uživatelů, administrátorů a aplikací odpovídajícím způsobem dle nároků definovaných v §19 odst. 3 či 4, případně odst. 5 vyhlášky o kybernetické bezpečnosti. Poskytovatel se zavazuje, že přístup do systému ICT prostřednictvím mobilní aplikace bude vždy uskutečněn pouze prostřednictvím zabezpečeného připojení VPN. Poskytovatel se zavazuje, že před připojením koncového zařízení, mobilní koncového zařízení nebo aktivního síťového prvku jako síťové switche, WiFi access pointy, routery či huby do počítačové sítě zažádá o schválení připojení kontaktní osobu na základě zásady nejnižšího oprávnění straně objednatele. Poskytovatel se zavazuje, že bez zbytečného odkladu deaktivuje všechny nevyužívané zakončení sítě anebo nepoužívané porty aktivního síťového prvku. Poskytovatel se zavazuje, že nebude instalovat a principu need-to-knowpoužívat tyto typy nástrojů: Keylogger, Sniffer, Analyzátor zranitelností a Port Scanner, Backdoor, rootkit a trojský kůň nebo jinou podobu malware. Poskytovatel se zavazuje, že všechny ICT systémy poskytovatele, které se připojují do síťové infrastruktury objednatele, jsou a budou chráněny proti malware. Poskytovatel se zavazuje, že nebude vyvíjet, kompilovat a šířit v jakékoliv části systému ICT programový kód, který má za cíl nelegální ovládnutí, narušení, nebo diskreditaci systému ICT nebo nelegální získání dat a informací. Poskytovatel se zavazuje zajistit, aby osoby podílející se na poskytování plnění objednateli vyvarují se níže uvedeného jednání při připojení do síťové infrastruktury objednatele/na stanicích připojovaných do síťové infrastruktury objednatele/při poskytování plnění/apod.: nenavštěvovali internetové stránky s eticky nevhodným obsahem3; neukládali a/nebo nesdíleli data i informace eticky nevhodného obsahu, odporující dobrým mravům nebo poškozující jméno objednatele; nestahovali, nesdíleli, neukládali, nearchivovali a/nebo neinstalovali datové a spustitelné soubory v rozporu s licenčními podmínkami nebo autorským zákonem; neukládat a/nebo nesdíleli data a informace společnosti na nepovolených datových úložištích nebo médiích; nezasílali řetězové emaily. Poskytovatel se zavazuje zajistit, aby osoby podílející se na poskytování plnění objednateli, kteří přistupují do interní sítě a/nebo systému ICT objednatele, respektovali a dodržovali následující omezení: aplikovány bezpečnostní záplaty (operačního systému, internetového prohlížeče a Javy), nainstalovanou, spuštěnou a aktualizovanou antivirovou ochranu. Poskytovatel se zavazuje zajistit, aby osoby podílející se na poskytování plnění objednateli, kteří přistupují do interní sítě a/nebo systému ICT objednatele chránili autentizační prostředky a údaje k systémům ICT objednatele. Poskytovatel bere na vědomí, že v případě neúspěšných pokusů o autentizaci uživatele (osoby za stranu poskytovatele) může být příslušný účet zablokován a řešen jako bezpečnostní incident ve smyslu příslušné řídící dokumentace a mohou být uplatněny příslušné postupy zvládání bezpečnostního incidentu (např. okamžité zrušení přístupu k informačním aktivům fyzických osob externího subjektu). Poskytovatel bere na vědomí, že postup zvládání bezpečnostního incidentu či jiný důsledek porušení Bezpečnostních požadavků nebude posuzován jako okolnost vylučující odpovědnost poskytovatele za prodlení s řádným a včasným plněním předmětu Smlouvy a nebude důvodem k jakékoli náhradě případné újmy poskytovateli či jiné osobě ze strany objednatele).

Řízení přístupu. Poskytovatel se bude v rozsahu předmětu plnění poskytování Plnění dle Smlouvy aktivně podílí podílet na splnění povinností uvedených v § 12 VoKBVKB, které musí splnit jakožto provozovatel VIS a povinná osoba dle ZoKBObjednatel. Krom jiného Minimálně se poskytovatel v tomto kontextu Poskytovatel zavazuje v rozsahu předmětu plnění poskytování Plnění na své straně zejménastraně: Přidělovat přidělovat oprávnění svým jednotlivým pracovníkům ve smyslu oprávnění k výkonu činností tak, aby byla minimalizována rizika nežádoucího přístupu k informačním aktivům objednatele. ZajistitObjednatele; zajistit, aby udělený přístup nebyl sdílen více osobami za stranu poskytovatele. V Poskytovatele, pokud sdílený přístup nevyžaduje využívaná technologie, přičemž v takovém případě musí poskytovatel Poskytovatel vést evidenci využívání sdílených přístupů a tuto na vyžádání předložit objednateli Objednateli kdykoli v průběhu trvání účinnosti smlouvy. Stanovit této Smlouvy a dva (2) roky po ukončení její platnosti; stanovit v požadavku na přístup rozsah dat/informací, služby a účelyslužby, účelu, pro které je přístup k informačním aktivům objednatele systému ICT Objednatele požadován a časový údaj o délce platnosti přístupu (např.: na dobu neurčitou / 1 rok / 1 měsíc / 1 den). Zajistit; zajistit, aby osoby podílející se na poskytování předmětu plnění Plnění a mající přístup k informačním aktivům objednatele Objednatele chránily autentizační prostředky a údaje a nikdy neposkytovaly neautorizovaný přístup dalším osobám. Průběžně ; a průběžně kontrolovat a vyhodnocovat oprávněnost a potřebu přístupu, jak fyzického, tak i logického, u všech osob na straně poskytovatelePoskytovatele, které přistupují k informačním aktivům objednateledo prostředí Objednatele. Poskytovatel bere na vědomí, že že: přístup k informačním aktivům objednatele systému ICT je možné povolit pouze fyzické identitě zaměstnance poskytovatele resp. Poskytovatele / poddodavatele poskytovatelePoskytovatele, a to na základě požadavku poskytovatele Poskytovatele na přístup. Poskytovatel bere na vědomí, že ; přidělení oprávnění zaměstnanci poskytovatele Poskytovatele musí být realizováno na základě zásady nejnižšího oprávnění řízeno principem nezbytného minima a principu need-to-know. Poskytovatel bere na vědomí, že není nárokové; a v případě neúspěšných pokusů o autentizaci uživatele (osoby za stranu poskytovatelePoskytovatele) může být příslušný účet zablokován a řešen jako bezpečnostní incident a mohou být uplatněny příslušné postupy zvládání bezpečnostního incidentu (např. okamžité zrušení přístupu k informačním aktivům objednateleObjednatele).

Řízení přístupu. Poskytovatel se bude v rozsahu předmětu plnění aktivně podílí podílet na splnění povinností uvedených v § 12 VoKBVKB, které musí splnit jakožto provozovatel VIS a povinná osoba dle ZoKBObjednatel. Krom jiného Minimálně se poskytovatel v tomto kontextu Poskytovatel zavazuje v rozsahu předmětu plnění na své straně zejménastraně: Přidělovat oprávnění svým jednotlivým pracovníkům ve smyslu oprávnění k výkonu činností tak, aby byla minimalizována rizika nežádoucího přístupu k informačním aktivům objednateleObjednatele. Zajistit, aby udělený přístup nebyl sdílen více osobami za stranu poskytovatelePoskytovatele, pokud sdílený přístup nevyžaduje využívaná technologie. V takovém případě musí poskytovatel Poskytovatel vést evidenci využívání sdílených přístupů a tuto na vyžádání předložit objednateli Objednateli kdykoli v průběhu trvání účinnosti smlouvytéto smlouvy a 2 roky po ukončení její platnosti. Stanovit v požadavku na přístup rozsah dat/informací, služby a účelyslužby, účelu, pro které je přístup k informačním aktivům objednatele systému ICT Objednatele požadován a časový údaj o délce platnosti přístupu (např.: na dobu neurčitou / 1 rok / 1 měsíc / 1 den). Zajistit, aby osoby podílející se na poskytování předmětu plnění a mající přístup k informačním aktivům objednatele Objednatele chránily autentizační prostředky a údaje a nikdy neposkytovaly neautorizovaný přístup dalším osobám. Průběžně kontrolovat a vyhodnocovat oprávněnost a potřebu přístupu, jak fyzického, tak i logického, u všech osob na straně poskytovatelePoskytovatele, které přistupují k informačním aktivům objednateledo prostředí Objednatele. Poskytovatel bere na vědomí, že přístup k informačním aktivům objednatele systému ICT je možné povolit pouze fyzické identitě zaměstnance poskytovatele resp. Poskytovatele / poddodavatele poskytovatelePoskytovatele zaevidované v Active Directory MPSV (registr identit), a to na základě požadavku poskytovatele Poskytovatele na přístup. Poskytovatel bere na vědomí, že přidělení oprávnění zaměstnanci poskytovatele Poskytovatele musí být realizováno na základě zásady nejnižšího oprávnění řízeno principem nezbytného minima a principu need-to-knownení nárokové. Poskytovatel bere na vědomí, že v případě neúspěšných pokusů o autentizaci uživatele (osoby za stranu poskytovatelePoskytovatele) může být příslušný účet zablokován a řešen jako bezpečnostní incident a mohou být uplatněny příslušné postupy zvládání bezpečnostního incidentu (např. okamžité zrušení přístupu k informačním aktivům objednateleObjednatele).