Smlouva na implementaci systému řízení bezpečnosti informací a poskytování služeb dohledového centra
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
Smlouva na implementaci systému řízení bezpečnosti informací a poskytování služeb dohledového centra
I.
Smluvní strany
1. Moravskoslezské datové centrum, příspěvková organizace
se sídlem: Na Jízdárně 2824/2, 702 00 Ostrava – Moravská Ostrava zastoupena: Ing. RNDr. Xxxxx Xxxxxx, ředitel organizace
IČO: 068 39 517
DIČ: CZ06839517
bankovní spojení: číslo účtu:
(dále jen „objednatel“)
a
2. Společníci společnosti „KONSORCIUM VISITECH A DATASYS“
společnost dle § 2716 a násl. zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, jež tvoří:
VISITECH a.s.
se sídlem: Košinova 655/59, 612 00 Brno, Královo Pole
zastoupena: Xxxxx Xxxxxx, předseda představenstva
IČO: 25543415
DIČ: CZ25543415
bankovní spojení: .
číslo účtu:
Zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, sp. zn. B6323
jako vedoucí společník
a
DATASYS s.r.o.
se sídlem: Jeseniova 2829/20, 130 00 Praha 3
zastoupena: Xxxxx Xxxxxx, na základě smlouvy o společnosti ze dne 5. 8. 2022 IČO: 61249157
DIČ: CZ61249157
Zapsaná v obchodním rejstříku vedeném u Městského soudu v Praze, sp. zn. C28862
Číslo smlouvy objednatele: 22076
Číslo smlouvy poskytovatele: SOD/2211/2022
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
jako druhý společník
(dále jen „poskytovatel“)
(objednatel a poskytovatel dále jednotlivě též jen „smluvní strana“ nebo společně
„smluvní strany“)
II.
Základní ustanovení
1. Tato smlouva je uzavřena dle § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „občanský zákoník“), s přihlédnutím k § 2586 a násl. občanského zákoníku; práva a povinnosti stran touto smlouvou neupravená se řídí příslušnými ustanoveními občanského zákoníku.
2. Smluvní strany prohlašují, že údaje uvedené v čl. I této smlouvy jsou v souladu se skutečností v době uzavření smlouvy. Smluvní strany se zavazují, že změny dotčených údajů oznámí bez prodlení písemně druhé smluvní straně. Při změně identifikačních údajů smluvních stran včetně změny účtu není nutné uzavírat ke smlouvě dodatek.
3. Je-li poskytovatel plátcem DPH, prohlašuje, že bankovní účet uvedený v čl. I odst. 2 této smlouvy je bankovním účtem zveřejněným ve smyslu zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů (dále jen „zákon o DPH“). V případě změny účtu poskytovatele je poskytovatel povinen doložit vlastnictví k novému účtu, a to kopií příslušné smlouvy nebo potvrzením peněžního ústavu; je-li poskytovatel plátcem DPH, musí být nový účet zveřejněným účtem ve smyslu předchozí věty.
4. Smluvní strany prohlašují, že osoby podepisující tuto smlouvu jsou k tomuto jednání oprávněny.
5. Poskytovatel prohlašuje, že není obchodní společností, ve které veřejný funkcionář uvedený v § 2 odst. 1 písm. c) zákona č. 159/2006 Sb., o střetu zájmů, ve znění pozdějších předpisů (člen vlády nebo vedoucí jiného ústředního správního úřadu, v jehož čele není člen vlády), nebo jím ovládaná osoba vlastní podíl představující alespoň 25% účast společníka v obchodní společnosti. Poskytovatel bere na vědomí, že pokud je uvedené prohlášení nepravdivé, bude smlouva považována za neplatnou.
6. Smlouva se mezi výše uvedenými smluvními stranami uzavírá na základě výsledku zadávacího řízení na veřejnou zakázku s názvem „Řešení kybernetické bezpečnosti v nemocnicích MSK“ (dále jen „Veřejná zakázka“), zadávanou v otevřeném zadávacím řízení dle ust. § 56 zákona č. 134/2016 Sb., o zadávání veřejných zakázkách, ve znění pozdějších předpisů (dále jen „ZZVZ“). Jednotlivá ujednání smlouvy tak budou vykládána v souladu se zadávacími podmínkami Xxxxxxx zakázky uvedenými v zadávací dokumentaci včetně jejich příloh a v souladu s nabídkou poskytovatele podanou na Veřejnou zakázku.
7. Poskytovatel prohlašuje, že se detailně seznámil s rozsahem a povahou předmětu plnění smlouvy, že jsou mu známy veškeré relevantní technické, kvalitativní a jiné podmínky nezbytné pro realizaci předmětu plnění smlouvy, a že disponuje takovými kapacitami a
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
odbornými znalostmi, které jsou nezbytné pro realizaci předmětu plnění smlouvy za dohodnuté maximální smluvní ceny uvedené ve smlouvě, a to rovněž ve vazbě na jím prokázanou kvalifikaci pro plnění Veřejné zakázky.
8. Poskytovatel dále prohlašuje, že jím poskytované plnění odpovídá všem požadavkům vyplývajícím z platných právních předpisů, které se na plnění vztahují.
9. Není-li výslovně ve Smlouvě u lhůt či dob uvedeno, že příslušné dny jsou pracovní, jedná se o dny kalendářní.
10. Poskytovatel bere na vědomí, že objednatel, resp. zdravotnická zařízení, byl v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících předpisů, ve znění pozdějších předpisů (dále jen „ZKB“), určen jako provozovatel informačního systému základní služby, anebo se předpokládá, že bude určen, proto se poskytovatel uzavřením smlouvy stane jeho významným dodavatelem dle § 2 písm. n) vyhlášky č. 82/2018 Sb.,
o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „VKB“). Objednatel je tudíž povinen dle VKB provádět pravidelnou analýzu rizik, identifikovat rizika a identifikovaná rizika řídit. Poskytovatel je při poskytování plnění rovněž povinen zohlednit analýzu bezpečnostních rizik ve smyslu ZKB.
III.
Seznam zkratek a vymezení pojmů
1. Pro účely této smlouvy (a jejích příloh) se smluvní strany dohodly na následujícím vymezení pojmů a zkratek:
a) Pod zkratkou GDPR se rozumí nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
b) Pod pojmem hmotné výstupy služeb se rozumí písemně vypracovaná dokumentace poskytovatelem, která se vztahuje k poskytování služeb a která je specifikovaná příloze č. 1 této smlouvy.
c) Pod zkratkou IS se rozumí informační systémy.
d) Pod zkratkou ISMS se rozumí Information Security Management System - Systém řízení bezpečnosti informací.
e) Pod zkratkou MSDC se rozumí objednatel, tj. Moravskoslezské datové centrum p. o.
f) Pod zkratkou NDA se rozumí Non-Disclosure Agreement, dohoda o mlčenlivosti, jejíž závazný vzor tvoří přílohu č. 3 zadávací dokumentace k Veřejné zakázce.
g) Pod zkratkou SOC se rozumí Security operation center – centrum kybernetické bezpečnosti.
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
h) Pod pojmem zdravotnická zařízení se rozumí Nemocnice Havířov, p. o., Nemocnice Karviná-Ráj, p. o., Sdružené zdravotnické zařízení Krnov, p. o., Nemocnice Třinec p. o., Slezská nemocnice v Opavě, p. o., Nemocnice ve Frýdku-Místku p. o. a Bílovecká nemocnice, a.s.
Další pojmy a zkratky jsou definovány v textu a v přílohách této smlouvy, a to zejména v příloze č. 1 (technická specifikace).
1. Účelem této smlouvy je:
V oblasti ISMS
IV.
Účel a předmět smlouvy
• ustanovení a zavedení bezpečnostních zásad do praxe zdravotnických zařízení a objednatele v rozsahu poskytování služeb řešící korporátní úroveň systému řízení bezpečnosti informací (blíže viz příloha č. 1 této smlouvy).
V oblasti SOC
• komplexní zajištění aktivní kybernetické bezpečnosti jako výstupu poskytovaných služeb SOC s pomocí provozovaných nástrojů pro vyhodnocování kybernetických bezpečnostních událostí, provozních událostí ve výpočetních systémech a v komunikačních sítích u zdravotnických zařízení (blíže viz příloha č. 1 této smlouvy).
2. Předmětem této smlouvy je implementace systému řízení bezpečnosti informací ISMS a poskytování služeb ISMS a komplexní zajištění služeb centra kybernetické bezpečnosti (SOC) k zajištění dohledu operátory, provozu nástrojů pro sběr a vyhodnocování kybernetických bezpečnostních událostí v provozovaných systémech a v komunikačních sítích objednatele se zajištěním prevence a aktivní reakce na případné kybernetické incidenty. Podrobná specifikace služeb je uvedena v příloze č. 1 této smlouvy.
3. Poskytovatel se zavazuje poskytnout pro objednatele služby na svůj náklad a nebezpečí. Poskytování služeb je rozplánováno do následujících etap:
a) Základní implementace ISMS – zahrnuje základní implementaci systému řízení bezpečnosti informací ISMS v rámci zdravotnických zařízení a MSDC v rozsahu nutném pro zahájení poskytování služeb SOC; bližší specifikace je uvedena v příloze č. 1 této smlouvy.
b) Implementace ISMS a poskytování služeb ISMS – zahrnuje implementaci ISMS včetně zaškolení zaměstnanců a následné poskytování služeb ISMS; bližší specifikace je uvedena v příloze č. 1 této smlouvy.
c) Adaptační fáze SOC – adaptační fáze dohledového centra zahrnuje zpracování prováděcího (implementačního) projektu v rozsahu dle přílohy č. 1 této smlouvy; návrh prováděcího (implementačního) projektu bude předán v elektronické podobě k vyjádření objednateli nejméně 10 pracovních dnů před uplynutím lhůty dle odst. V.3 této smlouvy, přičemž objednatel (příp. zdravotnická zařízení) vznese případné
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
připomínky do 4 pracovních dnů od předání návrhu projektu; poskytovatel bude povinen připomínky zapracovat a následně předloží projekt objednateli k akceptaci ve lhůtě do 5 pracovních dnů od přijetí připomínek; po akceptaci bude finální projekt doručen objednateli v listinné podobě, a dále činnosti poskytovatele dle specifikace uvedené v příloze č. 1 této smlouvy; návrhy výstupů z adaptační fáze SOC budou předány v elektronické podobě k vyjádření objednatele nejméně 10 pracovních dnů před uplynutím lhůty dle odst. V.3 této smlouvy, přičemž objednatel (příp. zdravotnická zařízení) vznese případné připomínky do 4 pracovních dnů od předání návrhů výstupů; poskytovatel bude povinen připomínky zapracovat a následně předloží výstup objednateli k akceptaci ve lhůtě do 5 pracovních dnů od přijetí připomínek; po akceptaci bude finální výstup doručen objednateli v listinné podobě. Součástí adaptační fáze před spuštěním do rutinního provozu bude testování v rozsahu dle přílohy č. 1 této smlouvy.
d) Provozní fáze SOC – představuje rutinní provoz dohledového centra a souvisejících technologií pro zdravotnická zařízení s podporou MSDC dle specifikace uvedené v příloze č. 1 této smlouvy.
V.
Místo předání a doba plnění
1. Poskytovatel je povinen předat objednateli hmotné výstupy služeb v místě předání, kterým
je budova MSDC na adrese Xx Xxxxxxxx 0000/0, 702 00 Ostrava – Moravská Ostrava.
2. Služby je poskytovatel oprávněn poskytovat vzdáleně ze svých vlastních prostor na svém vlastním technickém vybavení. Místem poskytování služeb z vlastních prostor poskytovatele je Řípská 1321/11c, 627 00 Brno. Bližší podmínky poskytovaní služeb budou specifikovány na úvodní schůzce dle čl. IX odst. 4 této smlouvy a dále v prováděcím (implementačním) projektu.
3. Poskytovatel je povinen poskytnout služby dle etap podle čl. IV odst. 3 této smlouvy bez vad v těchto termínech:
a) Základní implementace ISMS – do 3 měsíců od nabytí účinnosti této smlouvy v rozsahu nutném pro zahájení poskytování služeb SOC,
b) Implementace ISMS a poskytování služeb ISMS – po dokončení základní implementace ISMS bude provedena implementace ISMS včetně zaškolení ve lhůtě stanovené v prováděcím projektu (nejpozději však do 2 let od nabytí účinnosti této smlouvy) a následně budou poskytovány služby ISMS po dobu neurčitou,
c) Adaptační fáze SOC, vč. prováděcího (implementačního) projektu – do 4 měsíců od nabytí účinnosti této smlouvy, a to včetně zapracování připomínek objednatele a akceptace,
d) Provozní fáze SOC – po dobu neurčitou od akceptace výstupů z adaptační fáze
SOC.
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
VI.
Cena
1. Cena za služby činí:
Poskytované služby | Cena bez DPH v Kč | Sazba DPH v % | Cena s DPH v Kč |
Cena za implementaci ISMS včetně zaškolení (zahrnuje také základní implementaci) | 1 450 000,00 Kč | 21% | 1 754 500,00 Kč |
Cena za 3 měsíce poskytování služeb ISMS | 158 125,00 Kč | 21% | 191 331,25 Kč |
Cena za poskytování služeb adaptační fáze SOC, vč. prováděcího (implementačního) projektu | 400 000,00 Kč | 21% | 484 000,00 Kč |
Cena za 3 měsíce poskytování služeb provozní fáze SOC | 2 534 533,75 Kč | 21% | 3 066 785,84 Kč |
2. Cena za služby zahrnuje veškeré náklady poskytovatele spojené se splněním jeho závazku z této smlouvy, tj. cenu služeb včetně dopravného, odměnu za poskytnutí licence, veškeré instalační práce apod. Cena za služby je stanovena jako nejvýše přípustná a není ji možno překročit s výjimkou navýšení dle odst. 4 tohoto článku.
3. Je-li poskytovatel plátcem DPH, odpovídá za to, že sazba daně z přidané hodnoty bude stanovena v souladu s platnými právními předpisy; v případě, že dojde ke změně zákonné sazby DPH, je poskytovatel k ceně služeb bez DPH povinen účtovat DPH v platné výši. Smluvní strany se dohodly, že v případě změny ceny služeb v důsledku změny sazby DPH není nutno k smlouvě uzavírat dodatek. V případě, že poskytovatel stanoví sazbu DPH či DPH v rozporu s platnými právními předpisy, je povinen uhradit objednateli veškerou škodu, která mu v souvislosti s tím vznikla.
4. Cenu za služby provozní fáze ISMS a SOC lze v souvislosti s uplynutím druhého výročí poskytování služeb provozní fáze upravit z důvodu inflace za podmínek dále uvedených:
• Inflací se rozumí meziroční inflace měřená vzrůstem úhrnného indexu spotřebitelských cen zboží a služeb, kterou udává každým kalendářním rokem Český statistický úřad za rok předcházející vyjádřená v procentech.
• Počínaje třetím rokem zahájení poskytování služeb provozní fáze a dále do budoucna je poskytovatel oprávněn zvýšit cenu služeb provozní fáze nejčastěji jednou ročně z důvodů inflace, a to o tolik procent, kolik procent činil součet inflace v letech předcházejících, ve kterých nedošlo ke zvýšení ceny dle oto odst. smlouvy; součástí (např. přílohou) daňového dokladu dle odst. VIII.4 smlouvy bude vymezení údajů o inflaci dle smlouvy, přičemž objednatel je oprávněn tuto fakturu před uplynutím lhůty splatnosti vrátit, pokud inflace nebude vyjádřena správně (vrácením vadné faktury
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
poskytovateli přestává běžet původní lhůta splatnosti, nová lhůta splatnosti běží ode dne vystavení nové faktury).
• Cena služeb provozní fáze upravená z důvodu inflace se považuje za sjednanou cenu, která nevyžaduje uzavření dodatku ke smlouvě.
VII.
Předání hmotných výstupů služeb a nebezpečí škody
1. Objednatel se zavazuje převzít hmotné výstupy služeb specifikovaných v příloze č. 1 této smlouvy v případě, že tyto budou předány bez vad a nedodělků. O předání a převzetí hmotných výstupů služeb poskytovatel sepíše bezodkladně předávací protokol, ve kterém objednatel prohlásí, zda hmotné výstupy služeb přejímá (akceptuje), či nikoli (dále jen „předávací protokol“). Budou-li hmotné výstupy služeb vykazovat jakékoli vady či nedodělky, nebudou objednatelem převzaty (akceptovány) a tyto vady či nedodělky budou uvedeny v předávacím protokolu spolu se lhůtou k jejich odstranění. Po odstranění vad bude poskytovatelem opětovně sepsán předávací protokol ve smyslu tohoto článku smlouvy.
2. Poskytovatel a objednatel jsou oprávněni uvést v předávacím protokolu cokoliv, co budou považovat za nutné.
3. Předávací protokol musí obsahovat minimálně tyto náležitosti:
a) číslo předávacího protokolu a datum jeho vyhotovení,
b) číslo smlouvy a datum jejího uzavření, číslo veřejné zakázky (tj. Z2022-021380),
c) označení hmotných výstupů služeb vč. soupisu dodaných jednotlivých položek a provedených prací, odpovídající jednoznačně jak obsahem, tak formátem technickým podmínkám a specifikacím dle členění této smlouvy,
d) název, sídlo, IČO a DIČ objednatele a poskytovatele,
e) prohlášení objednatele, že hmotné výstupy služeb přejímá (akceptuje) či nikoliv, pokud hmotné výstupy služeb nebudou objednatelem převzaty (akceptovány), bude protokol obsahovat specifikaci vad hmotných výstupů služeb včetně navrhovaného termínu jejich odstranění,
f) jméno, vlastnoruční podpis, kontaktní telefon a e-mail zástupců objednatele
a zástupců poskytovatele,
g) datum předání a převzetí hmotných výstupů služeb vč. označení doby začátku a konce prací.
4. V případě, že při plnění této smlouvy vznikne autorské dílo, které je chráněno předpisy upravující práva duševního vlastnictví (např. dokumentace jako dílo autorské apod.), vzniká objednateli právo toto autorské dílo užívat v rozsahu nezbytném pro naplnění účelu, ke kterému bylo vytvořeno.
VIII.
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
Platební a fakturační podmínky
1. Zálohové platby nebudou poskytovány.
2. Úhrada ceny za plnění předmětu této smlouvy bude objednatelem provedena takto:
a) po dokončení implementace ISMS včetně zaškolení poskytovatel vystaví fakturu na částku odpovídající ceně za implementaci ISMS včetně zaškolení dle čl. VI. odst. 1 této smlouvy,
b) po dokončení (akceptaci na základě úspěšného výsledku testování) adaptační fáze SOC vystaví fakturu na částku odpovídající ceně za adaptační fázi SOC dle čl. VI odst. 1 této smlouvy,
c) vždy po uplynutí tří měsíců poskytování služeb ISMS poskytovatel vystaví fakturu na částku odpovídající ceně za 3 měsíce poskytování služeb ISMS dle čl. VI odst. 1 této smlouvy, s výjimkou závěrečné faktury po ukončení poskytování služeb dle písm. e) tohoto odstavce,
d) vždy po uplynutí tří měsíců poskytování služeb provozní fáze SOC poskytovatel vystaví fakturu na částku odpovídající ceně za 3 měsíce poskytování služeb provozní fáze SOC dle čl. VI odst. 1 této smlouvy, s výjimkou závěrečné faktury po ukončení poskytování služeb dle písm. e) tohoto odstavce,
e) po ukončení poskytování služeb a podpisu akceptačního protokolu podle čl. XVII odst. 5 této smlouvy poskytovatel vystaví závěrečnou fakturu na částku odpovídající doposud neuhrazené ceně poskytovaných služeb; v případě ukončení smlouvy v průběhu provozní fáze na částku odpovídající poměrné výši ceny uvedené v čl. VI odst. 1 této smlouvy přepočtené na kalendářní dny, po které poskytovatel poskytoval služby v souladu s touto smlouvou objednateli a které nebyly poskytovateli doposud uhrazeny.
3. Je-li poskytovatel plátcem DPH, podkladem pro úhradu ceny za služby bude faktura, která bude mít náležitosti daňového dokladu dle zákona o DPH a náležitosti stanovené dalšími obecně závaznými právními předpisy. Není-li poskytovatel plátcem DPH, podkladem pro úhradu ceny za služby bude faktura, která bude mít náležitosti účetního dokladu dle zákona č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů, a náležitosti stanovené dalšími obecně závaznými právními předpisy.
4. Faktura musí dále obsahovat:
a) číslo smlouvy objednatele, číslo veřejné zakázky (tj. Z2022-021380), IČO objednatele,
b) označení fakturovaných služeb dle odst. 2 tohoto článku smlouvy,
c) označení banky a číslo účtu, na který musí být zaplaceno (pokud je číslo účtu odlišné od čísla uvedeného v čl. I odst. 2, je poskytovatel povinen o této skutečnosti v souladu s čl. II odst. 2 a 3 této smlouvy informovat objednatele),
d) lhůtu splatnosti faktury,
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
e) označení osoby, která fakturu vyhotovila, včetně jejího podpisu a kontaktního
telefonu a e-mailu,
f) číslo a datum předávacího protokolu dle čl. VII odst. 1 této smlouvy podepsaného oběma smluvními stranami po dokončení prováděcího (implementačního) projektu, implementace ISMS včetně zaškolení či adaptační fáze SOC, přičemž předávací protokol obsahující prohlášení objednatele, že plnění přejímá (akceptuje), bude přílohou příslušné faktury,
g) číslo a datum akceptačního protokolu dle čl. XVII odst. 5 této smlouvy podepsaného oběma stranami po ukončení smlouvy, který bude přílohou závěrečné faktury.
5. Povinnost zaplatit cenu za služby je splněna dnem odepsání příslušné částky z účtu
objednatele.
6. Lhůta splatnosti faktury je dohodou stanovena na 30 kalendářních dnů ode dne jejího doručení objednateli. Doručení faktury se provede prostřednictvím provozovatele poštovních služeb, elektronicky na e-mail: xxxx@xxxx.xx nebo prostřednictvím datové schránky objednatele.
7. Nebude-li faktura obsahovat některou povinnou nebo dohodnutou náležitost nebo bude-li chybně vyúčtována cena nebo DPH, je objednatel oprávněn fakturu před uplynutím lhůty splatnosti vrátit druhé smluvní straně k provedení opravy s vyznačením důvodu vrácení. Poskytovatel provede opravu vystavením nové faktury. Vrácením vadné faktury poskytovateli přestává běžet původní lhůta splatnosti. Nová lhůta splatnosti běží ode dne doručení nové faktury objednateli.
8. Je-li poskytovatel plátcem DPH, objednatel uplatní institut zvláštního způsobu zajištění daně dle § 109a zákona o DPH a hodnotu plnění odpovídající dani z přidané hodnoty uvedené na faktuře uhradí v termínu splatnosti této faktury stanoveném dle smlouvy přímo na osobní depozitní účet poskytovatele vedený u místně příslušného správce daně v případě, že:
a) poskytovatel bude ke dni poskytnutí úplaty nebo ke dni uskutečnění zdanitelného plnění zveřejněn v aplikaci „Registr DPH“ jako nespolehlivý plátce, nebo
b) poskytovatel bude ke dni uskutečnění úplaty nebo ke dni zdanitelného plnění v insolvenčním řízení, nebo
c) bankovní účet poskytovatele určený k úhradě plnění uvedený na faktuře nebude správcem daně zveřejněn v aplikaci „Registr DPH“.
9. Tato úhrada bude považována za splnění části závazku odpovídající příslušné výši DPH sjednané jako součást smluvní ceny za předmětné plnění. Objednatel nenese odpovědnost za případné penále a jiné postihy vyměřené či stanovené správcem daně poskytovateli v souvislosti s potenciálně pozdní úhradou DPH, tj. po datu splatnosti této daně.
IX.
Práva a povinnosti smluvních stran
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
1. Není-li stanoveno touto smlouvou výslovně jinak, řídí se vzájemná práva a povinnosti smluvních stran ustanoveními § 2586 a následujícími občanského zákoníku.
2. Poskytovatel je zejména povinen:
a) Poskytnout služby řádně a včas za použití materiálu a postupů odpovídajících právním předpisům a technickým normám ČR. Služby musí odpovídat příslušným právním předpisům, normám nebo jiné dokumentaci vztahující se k jejich poskytování.
b) Informovat objednatele o jakýchkoliv skutečnostech, které mohou mít zejména vliv na plnění této smlouvy nebo na bezpečnost informací či vznik škody objednateli, neprodleně poté co se o nich dozví.
c) Umožnit objednateli kontrolu poskytování služeb kdykoliv v průběhu plnění smlouvy. Pokud objednatel zjistí, že poskytovatel neposkytuje služby řádně či jinak porušuje svou povinnost, poskytne poskytovateli lhůtu k nápravě; neučiní-li tak poskytovatel ve stanovené lhůtě, je objednatel oprávněn od smlouvy odstoupit.
d) Dbát při poskytování služeb dle této smlouvy na ochranu životního prostředí a dodržovat platné technické, bezpečnostní, zdravotní, hygienické a jiné předpisy, včetně předpisů týkajících se ochrany životního prostředí.
e) Postupovat při poskytování služeb s odbornou péčí.
f) Ochraňovat veškeré informace získané v průběhu poskytování služeb. Poskytovatel se současně zavazuje, pokud není v této smlouvě výslovně stanoveno jinak, že informace získané v průběhu poskytování služeb nebude dále rozšiřovat nebo reprodukovat a nezpřístupní je třetí straně.
g) Umožnit objednateli provést audit procesů a bezpečnostních opatření souvisejících s poskytovanými službami. Podrobná pravidla auditu jsou upravena v příloze č. 4 této smlouvy.
h) Respektovat závěry a doporučení bezpečnostních výborů objednatele.
3. Objednatel je zejména povinen poskytnout poskytovateli nezbytnou součinnost nutnou
k poskytnutí služeb.
4. Objednatel se zavazuje po uzavření této smlouvy svolat do svého sídla úvodní informační schůzku, kde bude dohodnut zejména postup přípravy prováděcího (implementačního) projektu, implementace ISMS a adaptační fáze SOC a dále poskytnuty nezbytné informace pro poskytování služeb. Schůzka bude realizována nejpozději do 1 týdne od nabytí účinnosti této smlouvy a poskytovatel je povinen se této schůzky zúčastnit; po dohodě stran může být schůzka realizována rovněž distančně prostřednictvím videokonference. Smluvní strany se zavazují pořídit z úvodní schůzky zápis, ve kterém budou uvedeny všechny podstatné informace zejména související s poskytováním služeb, včetně rámcového časového harmonogramu jejich poskytování, a který bude opatřen podpisy zástupců smluvních stran.
5. Poskytovatel je povinen účastnit se na základě pozvánky objednatele všech jednání týkajících se předmětu smlouvy. Účast na těchto jednáních není považována za technickou podporu, údržbu, poradenství ani konzultaci a poskytovateli za takové jednání nenáleží odměna.
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
6. Poskytovatel je povinen z každého jednání dle předchozího odstavce vyhotovit zápis o průběhu a závěrech jednání, který bude v případě odsouhlasení podepsán zástupci objednatele i poskytovatele, a to bezprostředně po takovémto jednání a současně odeslán na e-mail objednatele nebo bude objednateli předán jinou obdobnou formou. Zápis bude obsahovat minimálně tyto náležitosti: pořadové číslo zápisu, datum konání, místo konání, seznam přítomných a omluvených účastníků, program jednání, popis sjednaných úkolů a závěrů jednání; popis splnění úkolů ujednaných na předchozím jednání; číslo smlouvy a datum jejího uzavření, číslo veřejné zakázky. Objednatel si vyhrazuje právo zápis nepřevzít, nepodepsat a prohlásit jej vadným, nebude-li obsahovat některý z výše uvedených údajů.
X.
Zaměstnanci a poddodavatelé poskytovatele a osoby zúčastněné na plnění předmětu
smlouvy v jiném právním vztahu k poskytovateli (dále také „pracovníci“)
1. Poskytovatel se zavazuje poskytovat služby prostřednictvím osob (realizačního týmu), kterými byla prokazována kvalifikace a/nebo jejichž zkušenosti byly předmětem hodnocení v zadávacím řízení na Veřejnou zakázku. V případě, že poskytovatel hodlá nahradit člena realizačního týmu jinou osobou, je povinen o tomto písemně informovat objednatele minimálně 3 pracovní dny předem a současně objednateli doručit doklady svědčící o tom, že tato nová osoba splňuje minimálně kvalifikační požadavky stanovené objednatelem v rámci zadávacího řízení a/nebo disponuje minimálně stejnou zkušeností pro účely hodnocení. Výměna osoby dle tohoto odstavce podléhá schválení objednatelem, přičemž objednatel není bez vážného důvodu oprávněn odmítnout udělení takového souhlasu. Poskytovatel je dále povinen do 3 pracovních dnů objednatele písemně informovat o jakýchkoli změnách pracovníků podílejících se přímo na realizaci služeb, či poskytování technické podpory, např. ukončení pracovního poměru zaměstnance poskytovatele, který má plnou vzdálenou správu k systému zálohování apod. Poskytovatel je současně povinen dodržovat v průběhu plnění personální rozdělení kompetencí dle přílohy č. 2 této smlouvy.
2. Poskytovatel před uzavřením této smlouvy poskytl a dále je povinen objednateli na úvodní schůzce dle čl. IX odst. 4 této smlouvy předat aktuální seznam poddodavatelů (včetně jejich identifikačních a kontaktních údajů a o tom, které činnosti pro něj v rámci předmětu plnění každý z poddodavatelů poskytuje) a tyto smluvně zavázat tak, aby plnili veškeré povinnosti poskytovatele uvedené v této smlouvě, ve stejném rozsahu jako je zavázán sám poskytovatel. Poskytovatel je povinen kdykoliv na vyžádání objednatele předložit smlouvu uzavřenou mezi ním a poddodavatelem, ze které vyplývá tento závazek. Tímto ustanovením není dotčena odpovědnost poskytovatele za služby poskytnuté jeho poddodavateli, které si k provádění služeb zvolil. Poddodavatel poskytovatele může poskytovat část plnění prostřednictvím poddodavatele, avšak tento již nemůže využít dalšího poddodavatele (tzv. řetězec poddodavatelů je tedy omezen nejvýše na 2 vrstvy). Poddodavatel poskytovatele se zavazuje své poddodavatele smluvně zavázat tak, aby plnili veškeré povinnosti poskytovatele uvedené v této smlouvě, ve stejném rozsahu jako je zavázán sám poskytovatel. Poskytovatel je povinen kdykoliv na vyžádání objednatele
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
předložit smlouvu uzavřenou mezi jeho poddodavatelem a dalším poddodavatelem, ze
které vyplývá tento závazek.
3. Poskytovatel bere na vědomí, že jeho aktivity, které provádí na zařízeních objednatele prostřednictvím vzdáleného přístupu, budou monitorovány a zaznamenávány.
4. Poskytovatel je povinen písemně informovat objednatele o všech případných dalších (nových) poddodavatelích a o jejich změně, a to nejpozději do 7 kalendářních dnů ode dne, kdy poskytovatel vstoupil s poddodavatelem ve smluvní vztah či ode dne, kdy nastala změna, avšak nejpozději před zahájením plnění poddodavatele. Poskytovatel je oprávněn změnit poddodavatele, prostřednictvím kterého prokázal část splnění kvalifikace nebo jehož zkušenosti byly předmětem hodnocení v rámci zadávacího řízení, na jehož základě byla uzavřena tato smlouva, jen z vážných objektivních důvodů a s předchozím písemným souhlasem objednatele, přičemž nový poddodavatel musí disponovat kvalifikací nebo zkušenostmi v minimálně stejném či větším rozsahu, v jakém původní poddodavatel prokázal za poskytovatele. Poskytovatel je povinen k žádosti o udělení souhlasu s případnou změnou poddodavatele přiložit nezbytné doklady, vč. písemného závazku poddodavatele ve smyslu § 83 ZZVZ.
5. Poskytovatel bere na vědomí, že objednatel si v souladu s ust. § 105 odst. 2 ZZVZ vyhradil, aby významné části plnění předmětu této smlouvy byly plněny přímo poskytovatelem, tedy nikoliv jinou osobou (poddodavatelem). Za významné části plnění předmětu této smlouvy objednatel považuje níže uvedené služby aktivní kybernetické bezpečnosti prostřednictvím SOC:
• poskytování služeb dohledového centra nad bezpečnostními událostmi a incidenty;
• zpracování prvotního hlášení o kybernetických bezpečnostních incidentech,
• postoupení řešení běžných kybernetických bezpečnostních incidentů odpovědným osobám a je-li to žádoucí, provedení nezbytných opatření vedoucích k jejich řešení nebo alespoň zastavení šíření,
• obsluha a administrace nástroje pro detekci kybernetických bezpečnostních událostí a vyhodnocování jeho výstupů,
• obsluha a administrace nástroje pro vyhodnocení kybernetických bezpečnostních událostí (SIEM),
• informování manažera kybernetické bezpečnosti o rozsahu činností, na které může mít kybernetický bezpečnostní událost dopad,
• vyhodnocení závažnosti kybernetických bezpečnostních události (méně významné, významné a velmi významné události, či incidenty),
• informování manažera kybernetické bezpečnosti o závažné kybernetické bezpečnostní události, či incidentu,
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
• postoupení řešení odpovědným osobám a je-li to žádoucí, provedení také nezbytných opatření vedoucích k řešení (či alespoň snížení stupně klasifikace bezpečnostního incidentu),
• administrace a konfigurace specifických technologií v rámci zásahů při aktivním řešení incidentů v rámci kybernetické bezpečnosti (rozsah bude upřesněn v Prováděcím projektu ve vztahu k jednotlivému zdravotnickému zařízení,
• spolupráce s analytikem v úzce specializovaných oblastech vztažených k technologiím jednotlivých výrobců,
• pokud je to vzhledem k závažnosti incidentu žádoucí, pak realizování nezbytných opatření vedoucích k řešení (či alespoň snížení stupně klasifikace bezpečnostního incidentu),
• postoupení dalšího, následného řešení incidentu odpovědným osobám na straně zdravotnického zařízení,
• obsluha a administrace nástrojů nejpokročilejších technologických řešení pro načítání, prohledávání, analýzy a vizualizaci velkých a složitých datových souborů,
• shromažďování relevantních informací, které jsou nezbytné při řešení případných soudních sporů, vyšetřování a řešení regulatorních otázek, finanční a jiné trestné činnosti,
• využití techniky ke shromažďování a uchovávání důkazního materiálu, zajištění důvěryhodnosti získaných údajů z konkrétního výpočetního celku a to způsobem, který je vhodný pro následné právní úkony,
• identifikace dalších systémů z forenzního pohledu, které mohou být s jistou pravděpodobnosti ohroženy kybernetickými útoky,
• poskytování znaleckého svědectví v soudním řízení,
• postoupení informací a řešení odpovědným osobám,
• vytváření a aktualizace hardeningových bezpečnostních politik,
• stanovení strategií postupů k přístupu a stanovení priorit, okamžitých oprav a oprav vedoucích k posílení zabezpečení a ochrany systémů v oblasti software, firmware, BIOS (serverů, sítí a jejich prvků, aplikací, databází, operačních systémů a nepotřebných účtů a oprávnění),
• odpovědnost za (činnosti v oblasti) řízení procesu zabezpečení konfigurace systémů vedoucí k omezení výskytu zranitelnosti,
• odpovědnost za (činnosti v oblasti) návrhy hardeningu zabezpečení a ochrany systémů,
• odpovědnost za (činnosti v oblasti) hardening aplikací s kontrolou vzájemných integrací s jinými aplikacemi a systémy s odstraněním nebo omezením nepotřebných integračních komponent a oprávnění.
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
Pro účely kontroly plnění této povinnosti je v příloze č. 2 této smlouvy uveden organigram a rozdělení kompetencí jednotlivých pracovníků poskytovatele.
6. Část plnění týkající se ISMS (ISO/IEC 27001) je povinen zajišťovat poskytovatel, který k tomu má příslušné osvědčení/certifikát ISO/IEC 27001:2014 (nebo aktuálnější), který je za tuto část plnění odpovědný.
XI.
Oznámení a komunikace
1. Veškerá komunikace na základě této smlouvy bude probíhat v souladu s tímto článkem a v českém jazyce. Kromě jiných způsobů komunikace dohodnutých mezi stranami se za účinné považují osobní doručování, doručování doporučenou poštou, datovou schránkou či elektronickou poštou, a to na adresy smluvních stran, nebo na takové adresy, které si strany vzájemně písemně oznámí. Kontaktní údaje jednotlivých zástupců smluvních stran jsou uvedeny v příloze č. 2 této smlouvy. V případě změn jednotlivých zástupců smluvních stran dojde k úpravě příslušných kontaktů v příloze č. 2 této smlouvy; při takovéto změně není nutné uzavírat ke smlouvě dodatek.
2. Oznámení správně adresovaná se považují za uskutečněná v případě osobního doručování anebo doručování doporučenou poštou okamžikem doručení, v případě zasílání elektronickou poštou okamžikem obdržení potvrzení druhé smluvní stran o doručení, provedeného stejným komunikačním kanálem.
3. Informace a materiály, které obsahují osobní údaje a důvěrné informace budou doručovány buď osobně, nebo zasílány elektronickou poštou a šifrovány minimálně na úrovni dle čl. XV odst. 10 této smlouvy. Další možností je předávání těchto údajů prostřednictvím nástroje / platformy pro zabezpečenou komunikaci a sdílení dokumentů (např. MS Teams či jiné).
4. V případě, kdy dojde k mimořádné situaci (či bezpečnostnímu incidentu), která může mít vliv na integritu a bezpečnost informací, osobních údajů či jiných dat, které lze považovat za citlivé, jež jsou spravovány objednatelem, je poskytovatel povinen o nich informovat též osoby určené k řešení těchto situací, jejichž kontakty jsou uvedeny v příloze č. 2 této smlouvy.
XII.
Licenční ujednání
1. Je-li relevantní, poskytovatel poskytuje touto smlouvou objednateli a objednatel touto smlouvou přijímá nevýhradní oprávnění k užití software dodávaného či jakkoliv zpřístupněného při poskytování služeb, a to všemi způsoby uvedenými v § 12 odst. 4 zákona č. 121/2000 Sb., o právu autorském o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů.
2. Pokud jsou licence nezbytné a je-li to dáno charakterem služeb, poskytovatel poskytne (v případě proprietárního SW zajistí) objednateli veškeré potřebné licence či podlicence pro řádné poskytování všech služeb a provoz dohledového centra. Veškeré potřebné licence jsou zahrnuty v ceně plnění.
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
3. Poskytovatel výslovně prohlašuje, že je oprávněn disponovat právy k duševnímu vlastnictví, včetně práv autorských zahrnutých v předmětu poskytovaných služeb v rozsahu nezbytném k řádnému plnění předmětu této smlouvy.
4. Územní rozsah a časový rozsah licencí je neomezený.
5. Licence se vztahuje automaticky i na všechny nové verze, úpravy a překlady příslušného autorského díla.
6. Poskytovatel se zavazuje, že poskytováním služeb nezasáhne neoprávněně do autorských práv třetí osoby. Jestliže se prohlášení poskytovatele v tomto článku ukáže nepravdivým nebo poskytovatel poruší jiné povinnosti podle tohoto článku smlouvy, jde o podstatné porušení této smlouvy a poskytovatel uhradí ve prospěch objednatele smluvní pokutu ve výši 50.000,- Kč za každé jednotlivé porušení povinnosti. Zaplacením smluvní pokuty není nijak dotčeno ani omezeno právo objednatele na náhradu škody, kterou lze vymáhat vedle smluvní pokuty v plné výši. S nositeli chráněných práv duševního vlastnictví vzniklých v souvislosti s realizací služeb dle této smlouvy je poskytovatel povinen vždy smluvně zajistit možnost volného nakládání s těmito právy objednatelem.
7. Udělení veškerých práv uvedených v tomto článku smlouvy nelze ze strany poskytovatele
vypovědět a na jejich udělení nemá vliv ukončení této smlouvy.
8. Poskytovatel výslovně prohlašuje, že odměna za veškerá oprávnění poskytnutá objednateli dle tohoto článku smlouvy je již zahrnuta v ceně služeb.
9. Poskytovatel odpovídá za splnění povinností týkající se poskytnutí licencí objednateli dle tohoto článku smlouvy i v případě plnění předmětné části smlouvy prostřednictvím poddodavatele.
XIII.
Práva z vadného plnění
1. Služby mají vady, jestliže jejich poskytnutí neodpovídá požadavkům uvedeným v této smlouvě, příslušným právním předpisům, normám nebo jiné dokumentaci vztahující se k jejich poskytování.
2. Za vadu služeb se považuje zejména nezajištění dostupnosti služeb dle přílohy č. 1 této
smlouvy ze strany poskytovatele, tj. 99,9 % za měsíc.
3. Objednatel má právo z vadného plnění z vad poskytnutých služeb. Objednatel má právo
z vadného plnění také z vad hmotných výstupů služeb.
4. Není-li v oznámení vady uvedeno jinak, požaduje objednatel bezplatné odstranění vady.
5. Veškeré vady je objednatel povinen uplatnit u poskytovatele bez zbytečného odkladu poté, kdy vadu zjistil, a to formou písemného oznámení (za písemnou formu je považováno i oznámení e-mailem), obsahujícím co nejpodrobnější specifikaci zjištěné vady. Objednatel bude vady díla oznamovat:
• prostřednictvím rozhraní service desk využívaného Krajským úřadem Moravskoslezského kraje, ke kterému má objednatel přístup, kdy tento přístup
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
objednatel pro poskytovatele zajistí
6. Kategorizace vad:
Vada kategorie A
• Popis vady: Vážné vady s nejvyšší prioritou, které mají kritický dopad do funkčnosti SOC nebo jeho části a dále vady, které znemožňují činnost SOC nebo jeho části nebo způsobují vážné provozní problémy.
Vada kategorie B
• Popis vady: Vada, která svým charakterem nespadá do kategorie A. Znamená vážné vady způsobující zhoršení výkonnosti a funkčnosti SOC nebo jeho části. SOC nebo jeho část má omezení nebo je částečně nefunkční. Jedná se o odstranitelné vady, které způsobují problémy při užívání a provozování SOC nebo jeho části, ale umožňují provoz.
Vada kategorie C
• Popis vady: Vada, která svým charakterem nespadá do kategorie A nebo kategorie
B. Znamená snadno odstranitelné vady s minimálním dopadem na funkcionality či funkčnost SOC nebo jeho části.
Kategorizaci vad stanovuje při nahlášení vady výhradně objednatel. V případě změny, částečného řešení nebo vyřešení vady objednatel může kategorii vady změnit dle závažnosti jejích dopadů.
7. Nahlášenou vadu služeb je poskytovatel povinen odstranit neprodleně po jejím oznámení
ze strany objednatele, a to v následujících lhůtách:
Vada | Response Time Reakční doba, doba odezvy | Repair Time Doba řešení, Doba odstranění vad, CHYB, INCIDENTŮ DO |
A (kritická) | 1 hodina | 2 hodiny |
B (závažná) | 1 hodina | 8 hodin |
C (běžná) | následující den | 3 dny |
XIV.
Odpovědnost za škodu
1. Poskytovatel je povinen uhradit objednateli (zdravotnickým zařízením) škodu, která mu vznikla vadným plněním (tj., vadným poskytováním služeb), a to v plné výši. Poskytovatel rovněž objednateli uhradí náklady vzniklé při uplatňování práv z vadného plnění.
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
2. Poskytovatel prohlašuje, že po celou dobu plnění svého závazku z této smlouvy bude mít sjednáno pojištění odpovědnosti za škodu způsobenou třetím osobám vyplývající z dodávaného předmětu plnění s limitním plněním na jednu pojistnou událost minimálně 15 mil. Kč, s maximální výši spoluúčasti 50 tis. Kč.
3. V případě, že při činnosti prováděné poskytovatelem dojde ke způsobení prokazatelné škody objednateli, zdravotnickým zařízením nebo třetím osobám, která nebude kryta pojištěním sjednaným ve smyslu odstavce 2 tohoto článku, bude poskytovatel povinen tyto škody uhradit z vlastních prostředků.
4. Poskytovatel předložil před podpisem této smlouvy kopie pojistných smluv na požadované pojištění dle odst. 2 tohoto článku smlouvy včetně všech dodatků nebo certifikáty příslušných pojišťoven prokazující existenci pojištění dle této smlouvy (dobu trvání pojištění, jeho rozsah, pojištěná rizika, pojistné částky, roční limity a sublimity plnění a výši spoluúčasti). Certifikát dle předchozí věty nesmí být starší 1 měsíce. Poskytovatel je dále povinen předložit, po celou dobu plnění této smlouvy, do 5 pracovních dnů od vyžádání objednatelem, kopie pojistných smluv či certifikát prokazující existenci pojištění dle tohoto odstavce, a to i opakovaně.
XV.
Úprava vztahů související s bezpečností a zpracováním osobních údajů
1. Není-li stanoveno touto smlouvou výslovně jinak, je ustanoveními tohoto článku smlouvy a dále přílohou č. 3a této smlouvy (Bezpečnostní politiky ICT - SNO, která bude poskytována oproti podpisu NDA, jejíž závazný návrh tvoří přílohu č. 3 zadávací dokumentace k Veřejné zakázce) a přílohou č. 3b této smlouvy (Bezpečnostní politiky místních nesdílených aplikací, která bude poskytována oproti podpisu NDA, jejíž závazný návrh tvoří přílohu č. 3 zadávací dokumentace k Veřejné zakázce) mezi smluvními stranami upravena zejména bezpečnost informací, ochrana a zpracování osobních údajů a bezpečnostní procesy a postupy objednatele, které souvisejí s plněním této smlouvy. Příloha č. 3a této smlouvy je závazná ve vztahu k plnění pro Slezskou nemocnici v Opavě, p.o., avšak v rámci implementace ISMS může být případně revidována či nahrazena dle návrhů poskytovatele. Příloha č. 3b této smlouvy je závazná ve vztahu k ostatním zdravotnickým zařízením do okamžiku, než bude implementována nová bezpečnostní politika v rámci plnění poskytovatele.
2. Poskytovatel je zejména povinen:
a) Zajistit seznámení všech pracovníků (vlastních zaměstnanců i poddodavatelů), kteří se budou podílet na plnění služeb (ať už osobně v místě plnění nebo vzdáleným přístupem) s pravidly a postupy bezpečnosti informací MSDC a zdravotnických zařízení a s pravidly pro vzdálený přístup. Toto seznámení bude provedeno bezprostředně po nabytí účinnosti této smlouvy, a to formou vstupního školení, které provede zaměstnanec objednatele a poskytovatel je povinen zajistit účast svých pracovníků na tomto školení.
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
b) Řídit se při poskytování služeb pokyny objednatele a aktuálními interními pravidly objednatele a zdravotnických zařízení, definovanými zejména v příloze č. 3a a příloze č. 3b této smlouvy, a v oblasti bezpečnosti práce a ochrany zdraví a požární ochrany, k nimž bude poskytovatel proškolen objednatelem bezprostředně po nabytí účinnosti této smlouvy.
c) Zajistit, aby jeho pracovníci (včetně poddodavatelů), kteří budou přítomni v prostorách objednatele či zdravotnických zařízení, dodržovali všechny bezpečnostní předpisy tak, jak s nimi byli seznámeni objednatelem, zejména co se týče fyzických přístupů do zabezpečených prostor MSDC či zdravotnických zařízení.
d) Písemně nahlásit objednateli plánované zásahy (tzv. servisní okna) do systému prostřednictvím dohodnutého komunikačního kanálu dle čl. XI této smlouvy s výjimkou nahlášených vad dle čl. XIII této smlouvy (neplánované, akutní zásahy), a to nejméně 3 pracovní dny předem a provádět je pokud možno mimo frekventované časy, tj. o víkendech a ve dnech pracovního volna v době od půlnoci do 9:00 h, případně v pracovní dny v době od 22:00 h do 05:00 h.
3. Poskytovatel objednateli odpovídá za to, že dokumenty a soubory dat, které mu
v poskytování služeb předá:
a) jsou kopiemi originálů příslušných dokumentů a souborů dat poskytovatele,
b) neobsahují žádné infiltrační prostředky,
c) že k nim má práva na jejich šíření, instalaci, konfiguraci a správu, která mu umožňují
s nimi nakládat a dále je poskytovat tak, jak je sjednáno v této smlouvě.
4. Objednatel se zavazuje vždy bez zbytečného odkladu informovat poskytovatele o změně interních pravidel bezpečnostní politiky objednatele. Poskytovatel je následně povinen ihned seznámit s touto změnou pracovníky (vlastní zaměstnance i poddodavatele) podílející se na realizaci předmětu této smlouvy.
5. Pro zajištění dostatečné ochrany informačních aktiv, kterými objednatel disponuje, klasifikuje objednatel data do klasifikačních skupin:
• veřejné, které jsou označeny písmenem "V/W",
• neveřejné, které jsou označeny písmenem "N",
• chráněné, které jsou označeny písmenem "CH".
6. Veškeré skutečnosti obchodní, ekonomické a technické povahy související se smluvními stranami, které nejsou běžně dostupné v obchodních kruzích a se kterými se smluvní strany seznámí při realizaci předmětu smlouvy nebo v souvislosti s touto smlouvou, jsou klasifikovány jako neveřejné. V případě, že budou poskytovateli zpřístupněny osobní údaje, jsou pro účely této smlouvy považovány za neveřejné či chráněné informace.
7. Poskytovatel se zavazuje, že neveřejné či chráněné informace jiným subjektům nesdělí, nezpřístupní, nezkopíruje a neumožní jejich zkopírování ani nevyužije pro sebe nebo pro jinou osobu. Zavazuje se zachovat je v přísné tajnosti a sdělit je výlučně těm svým
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
zaměstnancům nebo poddodavatelům, kteří jsou pověřeni plněním smlouvy a za tímto účelem jsou oprávněni se s těmito informacemi v nezbytném rozsahu seznámit. Poskytovatel se zavazuje zabezpečit, aby i tyto osoby považovaly uvedené informace za důvěrné a zachovávaly o nich mlčenlivost.
8. Povinnost plnit ustanovení tohoto článku smlouvy ohledně neveřejných či chráněných informací se nevztahuje na informace, které:
a) mohou být zveřejněny bez porušení této smlouvy,
b) byly písemným souhlasem obou smluvních stran zproštěny těchto omezení,
c) jsou známé nebo byly zveřejněny jinak než následkem porušení povinnosti jedné
ze smluvních stran,
d) příjemce je zná dříve, než je sdělí smluvní strana,
e) jsou vyžádány soudem, státním zastupitelstvím nebo příslušným správním orgánem
na základě zákona, popřípadě, jejichž uveřejnění je stanoveno zákonem,
f) smluvní strana sdělí osobě vázané zákonnou povinností mlčenlivosti (např. advokátovi nebo daňovému poradci) za účelem uplatňování svých práv.
9. Poskytovatel je povinen zlikvidovat veškeré neveřejné či chráněné informace, které se dověděl v průběhu plnění této smlouvy poté, co bude plnění z této smlouvy ukončeno, ať už splněním anebo jiným způsobem zániku této smlouvy.
10. Poskytovatel je povinen veškeré neveřejné nebo chráněné informace získané v průběhu plnění této smlouvy přenášet přes veřejné přenosové linky zabezpečené šifrováním, přičemž musí být použitý silný šifrovací algoritmus (šifrování AES-256, heslo min. 17 znaků a kombinace znaků ze všech kategorií – velká písmena, malá písmena, číslice a speciální znaky).
11. Poskytovatel je povinen přijmout veškerá potřebná opatření, která jsou nutná k zajištění plnění předmětu této smlouvy a která vyplývají z této smlouvy anebo z interních předpisů a postupů objednatele, se kterými bude poskytovatel seznámen.
12. Poskytovatel je povinen v souladu s touto smlouvou písemně (např. e-mailem) informovat kontaktní osobu objednatele dle přílohy č. 2 této smlouvy o kybernetických bezpečnostních incidentech dle ZoKB souvisejících s plněním této smlouvy, a to neprodleně, nejpozději do konce dne, kdy byl kybernetický bezpečnostní incident zjištěn. O kybernetický bezpečnostní incident se jedná zejména, dojde-li k nefunkčnosti aplikace, která souvisí s dílem, ztrátě dat nebo neoprávněnému přístupu do takové aplikace nebo k datům. Poskytovatel je zároveň povinen ve lhůtě do 48 hodin od zjištění kybernetického bezpečnostního incidentu písemně (např. e-mailem) informovat o způsobu nápravy takovéto incidentu, a není-li možné v dané lhůtě nápravu zajistit, informovat rovněž o nejbližším možném termínu nápravy, který musí být objednatelem odsouhlasen. Stejnou informační povinnost dle tohoto odstavce smlouvy má poskytovatel v případě, kdy dojde při plnění této smlouvy k situaci, která může mít pro objednatele významné dopady, které by mohly být srovnatelné s kybernetickým bezpečnostním incidentem.
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
13. Povinnost ochrany neveřejných a chráněných informací trvá bez ohledu na ukončení účinnosti této smlouvy. Neveřejné a chráněné informace jsou považovány za důvěrné údaje ve smyslu § 1730 odst. 2 občanského zákoníku. Za důvěrné objednatel označuje rovněž veškeré informace vymezené v NDA uzavřené v průběhu zadávacího řízení na Veřejnou zakázku před podpisem této Smlouvy.
14. Poskytovatel bere na vědomí, že v průběhu plnění bude nakládat s neveřejnými informacemi zdravotnických zařízení a bude povinen zajistit ochranu nejen z hlediska důvěrnosti, ale také z hlediska integrity.
15. Smluvní strany prohlašují, že pokud by při plnění této smlouvy mělo docházet ke zpracování osobních údajů ve smyslu zákona č. 110/2019 Sb., o zpracování osobních údajů (dále jen
„ZoZOÚ“) a ve smyslu GDPR, kdy by se objednatel měl stát správcem osobních údajů dle čl. 4 odst. 7 GDPR a poskytovatel zpracovatelem osobních údajů dle čl. 4 odst. 8 GDPR, uzavřou strany bezodkladně samostatnou smlouvu o zpracování osobních údajů, ve které upraví práva a povinnosti vyplývající z GDPR a ZoZOÚ.
16. Přihlášení poskytovatele do sítě MSDC musí podléhat kontrole přístupu na základě autorizace po předchozí autentizaci. Poskytovatel se zavazuje, že před připojením koncového zařízení, mobilní koncového zařízení nebo aktivního síťového prvku do počítačové sítě zažádá o schválení připojení kontaktní osobu na straně objednatele.
17. Poskytovatel se zavazuje, že vzdálený přístup do systému bude vždy uskutečněn pouze prostřednictvím zabezpečeného připojení VPN.
18. Poskytovatel se zavazuje, že bez zbytečného odkladu deaktivuje všechny nevyužívané zakončení sítě anebo nepoužívané porty aktivního síťového prvku.
19. Poskytovatel se zavazuje zajistit, aby osoby podílející se na poskytování plnění, které přistupují do interní sítě nebo informačního systému, měly v externím zařízení např. notebook aplikovány bezpečnostní záplaty a nainstalovanou, spuštěnou a aktualizovanou antivirovou ochranu.
20. Poskytovatel se zavazuje, že udělený přístup nesmí být sdílen více zaměstnanci
poskytovatele nebo poddodavatele.
21. Poskytovatel se zavazuje, že nebude konat v rozporu s bezpečnostními politikami objednatele, se kterými bude seznámen bezodkladně po uzavření této smlouvy pod podmínkou uzavření NDA.
22. Objednatel v rámci řízení změn v systému řízení kybernetické bezpečnosti přezkoumává možné dopady změn a určuje významné změny dle VKB.
23. Poskytovatel se zavazuje poskytnout objednateli veškerou nezbytnou součinnost při analýze souvisejících rizik, přijímání opatření za účelem snížení všech nepříznivých dopadů spojených se změnami, aktualizaci bezpečnostní dokumentace, souvisejícím testováním a zajištění možnosti navrácení do původního stavu.
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
24. V případě realizace penetračního testování nebo testování zranitelnosti řešení poskytne poskytovatel objednateli veškerou potřebnou součinnost. Poskytovatel je povinen přijmout dodatečná, účinná nápravná opatření k odstranění zranitelností.
25. Objednatel má oprávnění zapojit poskytovatele do řízení kontinuity činností, zejména havarijních plánů, které souvisí se službou SOC.
26. Poskytovatel předloží objednateli metodiku zálohování a obnovy dat, systém evidence a zajištění integrity šifrováním záloh.
27. Poskytovatel bere na vědomí, že veškerý přenos dat a informací musí být dostatečně zabezpečen pomocí aktuálně odolných kryptografických algoritmů a kryptografických klíčů. Pro online webové technologie budou chráněny SSL certifikáty.
28. Pokud není určena kvalifikace informace, bude použit způsob likvidace pro důležitost aktiva kritickou. Přípustný způsob likvidace nosičů informace dle úrovně důležitosti aktiva je definován v příloze č. 5 VKB. O likvidaci dat bude proveden záznam.
XVI.
Sankce
1. V případě, že poskytovatel neprovede služby spočívající v implementaci ISMS a dokončení adaptační fáze SOC včas, je povinen zaplatit objednateli smluvní pokutu ve výši 0,2 % z ceny za poskytování příslušné části služeb bez DPH dle čl. VI odst. 1 této smlouvy, a to za každý započatý den prodlení.
2. Pokud budou mít poskytované služby vadu spočívající v nezajištění dostupnosti služeb v 99,9 % za měsíc poskytování služeb ze strany poskytovatele, dle čl. XIII odst. 2 a přílohy č. 1 této smlouvy, je poskytovatel povinen uhradit objednateli smluvní pokutu ve výši 750 Kč, za každou započatou hodinu, která překročí 0,1 % z časové nedostupnosti služeb.
3. Pokud poskytovatel neprovede vůči objednateli notifikace dle závažnosti a ve lhůtách dle přílohy č. 1 této smlouvy, je povinen objednateli uhradit smluvní pokutu za každou započatou hodinu porušení této povinnosti ve výši 750 Kč. Smluvní pokuta dle tohoto odstavce smlouvy nepřesáhne cenu za poskytování služeb provozní fáze SOC za 3 měsíce dle čl. VI odst. 1 této smlouvy.
4. V případě nedodržení lhůt pro odezvu a/nebo odstranění vad dle odst. XIII.7 této smlouvy, je poskytovatel povinen uhradit objednateli následující smluvní pokuty:
- nedodržení lhůty odezvy u vady kategorie A: 1.000,- Kč za každých i započatých 60 minut prodlení a jednotlivou vadu;
- nedodržení lhůty odezvy u vady kategorie B: 500,- Kč za každých i započatých 60 minut prodlení a jednotlivou vadu;
- nedodržení lhůty odezvy u vady kategorie C: 1.000,- Kč za každý i započatý den prodlení a jednotlivou vadu;
- nedodržení lhůty řešení u vady kategorie A: 1.000,- Kč za každých i započatých 60 minut prodlení a jednotlivou vadu;
- nedodržení lhůty řešení u vady kategorie B: 1.000,- Kč za každých i započatých
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
60 minut prodlení a jednotlivou vadu;
- nedodržení lhůty řešení u vady kategorie C: 500,- Kč za každý i započatý den prodlení a jednotlivou vadu.
5. V případě porušení jakékoliv povinnosti poskytovatele uvedené v čl. XV této smlouvy je poskytovatel povinen zaplatit objednateli smluvní pokutu ve výši 10.000 Kč za každý jednotlivý případ takového porušení, není-li v NDA sjednáno pro konkrétní případ jinak.
6. V případě nesplnění povinnosti dle čl. X odst. 1, 2, 4, 5 a 6 této smlouvy je poskytovatel povinen zaplatit objednateli smluvní pokutu ve výši 25.000 Kč, a to za každý jednotlivý případ takového porušení a i každý započatý den prodlení s oznámením příslušné změny.
7. Nezúčastní-li se poskytovatel jednání týkajícího se předmětu smlouvy na základě pozvánky objednatele dle čl. IX odst. 4 nebo 5 této smlouvy bez dřívějšího písemného souhlasu objednatele s absencí poskytovatele, je poskytovatel povinen zaplatit objednateli smluvní pokutu ve výši 2.000 Kč za každý jednotlivý takto zmařený průběh jednání týkajícího se předmětu smlouvy na základě pozvánky.
8. V případě nepředá-li či nedoručí-li poskytovatel zápis o průběhu a závěrech jednání týkajícího se předmětu smlouvy dle čl. IX odst. 6 této smlouvy objednateli ani do pěti pracovních dní ode dne konání jednání, je poskytovatel povinen zaplatit objednateli smluvní pokutu ve výši 2.000 Kč, a to za každý i započatý den prodlení s předáním či doručením každého takovéhoto zápisu.
9. V případě porušení povinnosti dle čl. XIV odst. 2 této smlouvy, tj. povinnosti mít po celou dobu platnosti této smlouvy sjednanou pojistnou smlouvu pro případ způsobení škody třetí osobě, je poskytovatel povinen zaplatit objednateli smluvní pokutu ve výši 30.000 Kč za každý i započatý měsíc, v němž nebude mít sjednanou pojistnou smlouvu dle čl. XIV odst. 2 této smlouvy.
10. Smluvní pokuta a úrok z prodlení jsou splatné do 30 dní ode dne doručení písemného vyúčtování příslušné výše povinné straně.
11. Zaplacením jakékoli smluvní pokuty není dotčen nárok objednatele na náhradu škody, objednatel má nárok na náhradu škody vedle smluvní pokuty v plné výši. Zaplacením smluvní pokuty není dotčena povinnost splnění povinnosti, která je prostřednictvím smluvní pokuty zajištěna.
XVII.
Zánik smlouvy
1. Smluvní strany se dohodly, že smlouva zaniká:
a) Písemnou výpovědí kterékoliv smluvní strany s výpovědní dobou 6 měsíců, která započne běžet od prvního dne měsíce následujícího po doručení výpovědi. Poskytovatel je oprávněn vypovědět smlouvu nejdříve po uplynutí tří let a 6 měsíců poskytování služeb provozní fáze.
b) Dohodou smluvních stran.
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
c) Jednostranným odstoupením od smlouvy pro její podstatné porušení druhou smluvní stranou, přičemž podstatným porušením smlouvy se rozumí zejména:
• Neposkytnutím služeb v termínu plnění dle čl. V odst. 3 této smlouvy prodlouženém o 10 dní,
• opakované (nejméně dvakrát) nedodržení pokynů objednatele, právních předpisů nebo technických norem, které se týkají poskytování služeb,
• opakované (nejméně dvakrát) nedodržení smluvních ujednání o právech z vadného plnění,
• opakovaná (nejméně dvakrát) neúčast poskytovatele na úvodní informační schůzce dle čl. IX odst. 4 této smlouvy,
• porušení povinností poskytovatele dle čl. X odst. 1 nebo 2 této smlouvy,
• neshoda smluvních stran na hmotných výstupech adaptační fáze, zejména prováděcí (implementační) projekt,
• neuhrazení ceny za služby objednatelem po druhé výzvě poskytovatele k uhrazení dlužné částky, přičemž druhá výzva nesmí následovat dříve než 30 dnů po doručení první výzvy,
• opakované (nejméně dvakrát) nedodržení smluvních ujednání o nutné součinnosti
objednatele.
2. Objednatel je dále oprávněn od této smlouvy odstoupit v těchto případech:
• bylo-li příslušným soudem rozhodnuto o tom, že poskytovatel je v úpadku ve smyslu zákona č. 182/2006 Sb., o úpadku a způsobech jeho řešení (insolvenční zákon), ve znění pozdějších předpisů (a to bez ohledu na právní moc tohoto rozhodnutí);
• podá-li poskytovatel sám na sebe insolvenční návrh,
• dojde k významné změně kontroly nad dodavatelem nebo změny kontroly nad zásadními aktivy využívanými Poskytovatelem k plnění dle této smlouvy ve smyslu písm. n) přílohy č. 7 VKB
3. Pro účely této smlouvy se pod pojmem „bez zbytečného odkladu“ dle § 2002 občanského zákoníku rozumí „nejpozději do 3 týdnů“.
4. Odstoupením či výpovědí této smlouvy nezaniká nárok oprávněné strany na zaplacení smluvních pokut a náhradu škody.
5. V případě jakéhokoliv ukončení smlouvy se poskytovatel zavazuje splnit tyto povinnosti:
• poskytnutí požadovaných součinností v souvislosti s předáním podpory a poskytování služeb novému poskytovateli nebo objednateli, a to v souladu s exit plánem vytvořeným v rámci prováděcího (implementačního) projektu (náklady na vytvoření exit plánu a poskytování součinnosti při exitu jsou součástí ceny plnění),
• poskytnutí informací nezbytných k převzetí systému novým poskytovatelem nebo objednatelem,
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
• poskytnutí veškeré relevantní dokumentace v aktuálním stavu, která byla vytvořena v rámci plnění předmětu této smlouvy,
O řádné splnění povinností poskytovatele dle tohoto odstavce bude sepsán akceptační protokol, který bude podepsán oběma smluvními stranami a bude přiložen k závěrečné faktuře.
XVIII.
Závěrečná ustanovení
1. Tato smlouva nabývá platnosti dnem jejího podpisu oběma smluvními stranami a účinnosti dnem, uveřejnění smlouvy v registru smluv dle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů (dále jen „zákon o registru smluv“).
2. Smluvní strany se dohodly, že objednatel provede uveřejnění této smlouvy v souladu se zákonem o registru smluv.
3. Doplňování nebo změnu této smlouvy lze provádět jen se souhlasem obou smluvních stran,
a to pouze formou písemných, vzestupně číslovaných a takto označených dodatků.
4. Poskytovatel nemůže bez souhlasu objednatele postoupit svá práva a povinnosti plynoucí
z této smlouvy třetí straně.
5. Tato smlouva je podepsána elektronickým podpisem zástupců smluvních stran.
6. Osobní údaje obsažené v této smlouvě budou MSDC zpracovávány pouze pro účely plnění práv a povinností vyplývajících z této smlouvy; k jiným účelům nebudou tyto osobní údaje MSDC použity. Podrobné informace o ochraně osobních údajů jsou uvedeny na oficiálních webových stránkách MSDC xxxxx://xxx.xxxx.xx/xxxx/.
7. Nedílnou součástí této smlouvy jsou následující přílohy:
Příloha č. 1: Technická specifikace (důvěrná příloha v rozsahu dle NDA)
Příloha č. 2: Zástupci smluvních stran oprávnění jednat ve věcech této smlouvy Příloha č. 3a: Bezpečnostní politiky ICT - SNO (důvěrná příloha)
Příloha č. 3b: Bezpečnostní politika místních nesdílených aplikací (důvěrná příloha) Příloha č. 4: Pravidla auditu
V Ostravě dne V Brně dne
Veřejná zakázka „Řešení kybernetické bezpečnosti v nemocnicích MSK“
za Moravskoslezské datové
centrum, p.o.
Ing. RNDr. Xxxxx Xxxxxx, ředitel
organizace
za VISITECH a.s. a DATASYS s.r.o.
Xxxxx Xxxxxx, předseda představenstva vedoucího
společníka
II. TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY
Řešení kybernetické bezpečnosti ve nemocnicích zdravotnických zařízeních MSK
OBSAH
1.1. Stávající aplikační prostředí ve zdravotnických zařízeních 5
1.1.1 Nemocnice Xxxxxxx, p. o. 5
1.1.1.1 Informační a komunikační systémy 7
1.1.1.2 Opatření zabezpečení KII/VIS/ISZS 8
1.1.1.3 Opatření k zabezpečení IS zdravotnického zařízení 8
1.1.2 Nemocnice Karviná-Ráj, p. o. 12
1.1.2.1 Informační a komunikační systémy 16
1.1.2.2 Opatření zabezpečení KII/VIS/ISZS 16
1.1.2.3 Opatření k zabezpečení IS zdravotnického zařízení 16
1.1.3 Sdružené zdravotnické zařízení Krnov, p. o 20
1.1.3.1 Informační a komunikační systémy 23
1.1.3.2 Opatření zabezpečení KII/VIS/ISZS 23
1.1.3.3 Opatření k zabezpečení IS zdravotnického zařízení 23
1.1.4 Nemocnice Třinec p. o. 27
1.1.4.1 Informační a komunikační systémy 29
1.1.4.2 Opatření zabezpečení KII/VIS/ISZS 30
1.1.4.3 Opatření zabezpečení IS/KS 30
1.1.5 Slezská nemocnice v Opavě, p. o 33
1.1.5.1 Informační a komunikační systémy 34
1.1.5.2 Opatření zabezpečení KII/VIS/ISZS 35
1.1.5.3 Opatření k zabezpečení IS zdravotnického zařízení 35
1.1.6 Nemocnice ve Frýdku-Místku p. o 40
1.1.6.1 Informační a komunikační systémy 42
1.1.6.2 Opatření zabezpečení KII/VIS/ISZS 43
1.1.6.3 Opatření zabezpečení IS/KS 43
1.1.7 Bílovecká nemocnice, a.s. 48
1.1.7.1 Informační a komunikační systémy 49
1.1.7.2 Opatření zabezpečení KII/VIS/ISZS 49
1.1.7.3 Opatření k zabezpečení IS zdravotnického zařízení 49
1.2. Stávající krajské technologie provozované pro subjekty zájmu v TCK 50
3. Kompetenční a odpovědnostní model 52
3.2. Zastoupené personální role v jednotlivých subjektech při řešení aktivní kybernetické bezpečnosti 54
3.2.1 Centrum kybernetické bezpečnosti – SOC 54
3.2.2 Moravskoslezské datové centrum, p. o. 57
3.2.3 Zdravotnická zařízení 60
5.2. Prevence a predikce kybernetických hrozeb 68
5.3. Provozní část modelu pro řízení kybernetických bezpečnostních incidentů 69
5.3.1 Typy kybernetických bezpečnostních incidentů 69
5.3.2 Kategorizace kybernetických bezpečnostních incidentů 69
5.3.3 Fáze analýzy, rozhodnutí a zvládání 70
5.3.4 Dokumentace kybernetického bezpečnostního incidentu 71
5.4. Stavy kybernetického bezpečnostního incidentu 72
6. Předmět plnění veřejné zakázky 73
6.1. Služby ISMS 75
6.2. Poskytování služeb SOC 79
6.2.1 Adaptační fáze 79
6.2.2 Provozní fáze 81
7. Detailní specifikace zadání – definice požadovaných parametrů 81
7.1. ISMS – detailní požadavky 82
7.2. Služby centra kybernetické bezpečnosti – detailní požadavky 87
8. Přílohy 117
Seznam zkratek
Zkratka | Význam zkratky | |||||||
ACL | Access Control List, doslova seznam pro řízení přístupu | |||||||
APT | Advanced Persistent Threat, pokročilé trvalé hrozby | |||||||
CSIRT | Computer Security Incident bezpečnostní události “ | Response | Team | – | „Skupina | pro | reakci | na |
DB | Databáze | |||||||
GDPR | Právní rámec ochrany osobních údajů v evropském prostoru | |||||||
HW | Hardware | |||||||
http | Hypertext Transfer Protocol - protokol umožňující komunikaci | |||||||
https | Hypertext Transfer Protocol Secure - protokol umožňující zabezpečenou komunikaci | |||||||
ICT | Informační a komunikační technologie | |||||||
IDM | Identity management | |||||||
Incident | Taková událost vyhodnocená SOC, na kterou je potřeba neprodleně reagovat | |||||||
IPAM | IP address management | |||||||
IPS/IDS | Intrusion Prevention/Detection System - obranný systém, který monitoruje síťový provoz a snaží se odhalit podezřelé aktivity | |||||||
IS | Informační systémy | |||||||
ISMS | Information Security Management System - Systém řízení bezpečnosti informací | |||||||
ISZS | Informační systém základní služby | |||||||
IT | Informační technologie | |||||||
IT/OT | Konvergované prostředí IT technologií a provozovaných zdravotnických prostředků | |||||||
KB | Kybernetická bezpečnost | |||||||
KII, KI | Kritická informační infrastruktura, Kritická infrastruktura | |||||||
KS | Komunikační systém | |||||||
LAN | Local Area Network, Lokální síť | |||||||
MSDC | Moravskoslezské datové centrum p. o. | |||||||
NDA | Non-Disclosure Agreement, dohoda o mlčenlivosti | |||||||
NÚKIB | Ústřední správní orgán pro kybernetickou bezpečnost včetně ochrany utajovaných informací v oblasti informačních a komunikačních systémů a kryptografické ochrany ve věcech kybernetické bezpečnosti | |||||||
PIN | Personal Identification Number, identifikační číslo | |||||||
RDP | Remote Desktop Protocol, proprietární síťový protokol, který umožňuje uživateli využívat (ovládat) vzdálený počítač | |||||||
SIEM | Security Information and Event Management, management bezpečnostních informací a událostí | |||||||
SLA | Service Level Agreement, úroveň poskytovaných služeb | |||||||
Snmp | Simple Network Management Protocol - protokol využívaný pro management sítí | |||||||
SOC | Security operation center – centrum kybernetické bezpečnosti | |||||||
SSH | Secure Shell, protokol pro šifrovanou komunikaci | |||||||
SSL VPN | Secure Sockets Layer Virtual Private Network, bezpečnostní technologie používaná pro šifrování síťové komunikace |
SW | Software |
TCK KÚ MSK | Krajské Technologické Centrum Moravskoslezského kraje |
TO | Technické opatření |
URL | Uniform Resource Locator, webová adresa |
VIS | Významný informační systém |
VLAN | Virtuální LAN – jedna logická síť |
VNC | Virtual Network Computing, grafický program, který umožňuje vzdálené připojení ke grafickému uživatelskému rozhraní |
VPN | Virtual private network, virtuální privátní síť |
VŘ | Výběrové řízení |
VZ | Veřejná zakázka |
WiFi | Označení pro několik standardů IEEE 802.11 popisujících bezdrátovou komunikaci |
WMI | Windows Management Instrumentation |
ZoKB | Zákon o kybernetické bezpečnosti |
Vymezení pojmů
Pojem pod pojmem se rozumí | |
zdravotnická zařízení | Nemocnice Havířov, p. o., Nemocnice Karviná-Ráj, p. o., Sdružené zdravotnické zařízení Krnov, p. o., Nemocnice Třinec p. o., Slezská nemocnice v Opavě, p. o., Nemocnice ve Frýdku-Místku p. o. a Bílovecká nemocnice, a.s. |
subjekty | Moravskoslezské datové centrum p. o., zdravotnická zařízení, Security operation center – centrum kybernetické bezpečnosti |
organizace | Zřízená nebo založená registrovaná organizace sloužící jako prostředek k dosažení definovaných cílů s jasnou strukturou a řídící hierarchií. Pokud z kontextu nevyplývá, že se jedná o „organizaci“, kterou se také označuje vlastní činnost (tj. organizování). |
řízená organizace | Jedná se o organizace, které jsou, nebo mohou být v oblasti kybernetické bezpečnosti řízeny z korporátní úrovně Krajského úřadu Moravskoslezského kraje. Jedná se o všechny organizace zřízené nebo založené MSK |
zapojené subjekty | Moravskoslezské datové centrum p. o. a zdravotnická zařízení |
1. Popis výchozího stavu
1.1. Stávající aplikační prostředí ve zdravotnických zařízeních
1.1.1 Nemocnice Havířov, p. o.
1.1.1.1 Informační a komunikační systémy
1.1.1.2 Opatření zabezpečení KII/VIS/ISZS
1.1.1.3 Opatření k zabezpečení IS zdravotnického zařízení
1.1.2 Nemocnice Karviná-Ráj, p. o.
1.1.2.1 Informační a komunikační systémy
1.1.2.2 Opatření zabezpečení KII/VIS/ISZS
1.1.2.3 Opatření k zabezpečení IS zdravotnického zařízení
1.1.3 Sdružené zdravotnické zařízení Krnov, p. o.
1.1.3.1 Informační a komunikační systémy
1.1.3.2 Opatření zabezpečení KII/VIS/ISZS
1.1.3.3 Opatření k zabezpečení IS zdravotnického zařízení
1.1.4 Nemocnice Třinec p. o.
1.1.4.1 Informační a komunikační systémy
1.1.4.2 Opatření zabezpečení KII/VIS/ISZS
1.1.4.3 Opatření zabezpečení IS/KS
1.1.5 Slezská nemocnice v Opavě, p. o.
1.1.5.1 Informační a komunikační systémy
1.1.5.2 Opatření zabezpečení KII/VIS/ISZS
1.1.5.3 Opatření k zabezpečení IS zdravotnického zařízení
1.1.6 Nemocnice ve Frýdku-Místku p. o.
1.1.6.1 Informační a komunikační systémy
1.1.6.2 Opatření zabezpečení KII/VIS/ISZS
1.1.6.3 Opatření zabezpečení IS/KS
1.1.7 Bílovecká nemocnice, a.s.
1.1.7.1 Informační a komunikační systémy
1.1.7.2 Opatření zabezpečení KII/VIS/ISZS
1.1.7.3 Opatření k zabezpečení IS zdravotnického zařízení
1.2. Stávající krajské technologie provozované pro subjekty zájmu v TCK
2. Cíle veřejné zakázky
Cíle veřejné zakázky jsou sledovány v těchto oblastech:
a) V oblasti ISMS jsou sledovány tyto cíle:
Ustanovení a zavedení bezpečnostních zásad prostřednictvím ISMS v reflexi na dané modely popsané touto zadávací dokumentaci do praxe zdravotnických zařízení, kdy bude dosaženo:
• zajištění přiměřené a dostatečné ochrany důvěrnosti, dostupnosti a integrity aktiv,
• vytvoření takového bezpečnostního povědomí, aby se bezpečnost stala neoddělitelnou součástí každodenního chodu zdravotnických zařízení,
• stanovení a prosazování odpovědnosti za řízení, naplňování a dodržování bezpečnostních zásad a opatření v modelu organizací s přesně vymezenou odpovědností,
• zavedení v souladu s relevantní legislativou.
Monitorování a přezkoumání:
• účinnosti ISMS v rámci provozní fáze,
• udržení v souladu s relevantní legislativou.
b) V oblasti poskytování služeb centra kybernetické bezpečnosti (SOC) jsou sledovány tyto cíle:
Komplexní zajištění aktivní kybernetické bezpečnosti jako výstupu poskytovaných služeb SOC s pomocí provozovaných nástrojů pro vyhodnocování kybernetických bezpečnostních událostí, provozních událostí ve výpočetních systémech a v komunikačních sítích u vyjmenovaných subjektů.
Udržováni kybernetické bezpečnosti minimálně na takovém stupni, který umožní snížit identifikovaná rizika na akceptovatelnou úroveň.
3. Kompetenční a odpovědnostní model
Vztahy v tomto modelu je nutno chápat jako komplikované, jelikož je nutno realizovat aktivní kybernetickou bezpečnost formou spolupráce, dodávkou služeb a činností pro více zapojených subjektů s vlastní právní osobností.
Kompetenční a odpovědnostní model předpokládá existenci jednotlivých rolí pro systém řízení bezpečnosti informací. Zde jsou popsány pouze role, které mají v jednotlivých modelech specifické vztahy v rámci organizace kybernetické bezpečnosti vykonávané jednotlivými subjekty. Činnosti těchto rolí jsou organizovány v rámci kompetenčního modelu.
Jednotlivé role jsou buď zajišťovány vlastními zaměstnanci zapojených subjektů, nebo jsou zajišťovány formou služeb, které jsou předmětem této veřejné zakázky. Nedílnou součástí je Organizační model, ve kterém je popsána činnost kolektivních orgánů. Zde jsou popsány nezastupitelné specifické funkce jednotlivých rolí.
Oporou tohoto kompetenčního a odpovědnostního modelu je řídící dokumentace zahrnující principy, pravidla a požadavky plynoucí ze systému řízení bezpečnosti informací. Tato dokumentace je vydávána formou politik, metodik, příruček, směrnic nebo jiných řídících aktů. (pozn: tato část je předmětem veřejné zakázky v části implementace ISMS v reflexi na popisované modely)
Grafické vyjádření komunikačních vztahů v modelu je schématický znázorněno:
Bezpečnostní
politika systému
řízení informací
Architektonické orgány
korporace
Organizační struktura,
řízení kybernetické bezpečnosti KÚ
Politiky, směrnice
Stanovení rozsahu
systému řízení bezpečnosti informací
Manažer
kybernetické bezpečnosti - Krajský úřad
Krajský úřad MSK
Auditor korporace
Architekt
kybernetické
bezpečnosti
Výbor korporátního řízení kybernetické bezpečnosti
Vedení MSDC
Manažer
kybernetické
bezpečnosti
Korporátní bezpečnostní politika systému řízení informací
korporátní úroveň - MSDC
Politiky, směrnice,
specifikace
postavení MSDC
SOC
CSIRT
SOC
Garanti aktiv
Výbor pro řízení kybernetické bezpečnosti
Vedení zdravotnického zařízení
Stanovení rozsahu systému řízení organizací v ZZ
Vedení ICT
Vedoucí
personalista
Vedoucí úseku
údržby
Politiky, směrnice,
specifikace ZZ
úroveň zdravotnického zařízení
Implementace
ISMS
Schéma č. 7 Grafické vyjádření komunikačních vztahů v rámci modelů
3.1. Subjekty
Zastoupení subjektů v kompetenčním modelu aktivní kybernetické bezpečnosti a definice jejich specifických postavení v rámci předmětu veřejné zakázky.
Jednotlivá zdravotnická zařízení - jsou spolupracující uživatelé poskytovaných
služeb. V definovaném rozsahu a hranicích ochrany je realizována aktivní kybernetická bezpečnost. Jsou anebo budou povinnou osobou 1 . Statutární orgány nesou plnou zodpovědnost za oblast KB.
Moravskoslezské datové centrum, p. o. - vykonává a odpovídá za realizaci modelu
technických a organizačních opatření na základě výstupů z poskytovaných služeb SOC dodavatele. Organizace zajišťující činnosti plynoucí z náplní práce manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti a auditora kybernetické bezpečnosti definovaných v platné a účinné legislativně (obsazení těchto rolí tedy není předmětem plnění veřejné zakázky).
SOC (Security Operations Center) - předmět plnění poskytovaných služeb dle této
veřejné zakázky.
3.2. Zastoupené personální role v jednotlivých subjektech při řešení aktivní kybernetické bezpečnosti
3.2.1 Centrum kybernetické bezpečnosti – SOC
Centrum kybernetické bezpečnosti provozuje nástroje pro sběr a analýzu informací (např. systémy SIEM, provozní monitoring, log-management, Netflow management, Vulnerability management apod.). Minimální množinou bezpečnostních logů je na úrovni každého subjektu perimetrový firewall, webový firewall, loadbalancer, centrální konzole ochrany koncových bodů, agenti na klíčových windows serverech a technické prostředky (sondy) umístěné v páteři LAN v jednotlivých zdravotnických zařízeních. Pokud jsou tyto zdravotnické zařízení příslušnou technologií vybaveny je
1 Zadavatel požaduje, aby ke všem zdravotnickým zařízení v rámci plnění veřejné zakázky bylo přistupováno, jako k povinným osobám v oblasti kybernetické bezpečnosti, a to i pokud tyto povinnosti plynoucí z platné a účinné legislativy nemají Národním úřadem pro kybernetickou a informační bezpečnost stanovené.
možno při řešení využít současně provozovaných technologií. Zadavatel předpokládá, že sondy pro sběr vstupních informací budou umístěny v technologickém prostředí zdravotnických zařízení, pro které jsou poskytovány služby aktivní kybernetické bezpečnosti, případně bude využito stávajících provozovaných nástrojů.
Z pohledu garance funkčnosti využití současně provozovaných technologií bude zadavatelem zprostředkována sekundárně, na základě potřeb plynoucích z provozu jednotlivých technologických prvků daného zdravotnického zařízení. To například znamená, že pokud se firewall dostane do provozního stavu "porucha", bude především zájmem zadavatele (provozovatele) tuto závadu na tomto technologickém prvku odstranit. Tedy takto bude zprostředkovaně garantována funkčnost bez vlivu na SLA směrem k dodavateli. Pokud se bude jednat o provoz a využití technologických prvků a nástrojů plnící specifické funkce využívané "pouze" pro potřeby SOC, tak v tomto případě garance musí nést dodavatel v rámci plnění SLA dodávaných služeb.
SOC centralizuje aktivní činnosti, správu události a incidentů, koordinuje analýzu anomálií a řízení krizových úkonů při zvládání následků incidentů. Z hlediska provozních procesů SOC monitoruje a vyhodnocuje bezpečnostní incidenty při provozu vybraných systémů (především základní služba v oblasti zdravotnictví a informační systémy základní služby (dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů; dále jen „zákon 181/2014 Sb.“ nebo „ZoKB“), kritická infrastruktura, systémy bezpečnostního a provozního dohledu, systémy zařazené do režimu vyšší dostupnosti a související technologie jako je prostředí sítě, ochrany perimetru a síťových aktiv připojených do sítě a v případě jejich výpadku nebo nestandardních stavů aktivuje příslušný eskalační proces pro řešení incidentu.
Základním principem je poskytování služeb SOC formou aktivní kybernetické bezpečnosti. Uvedeným se rozumí aktivní reakce na bezpečnostní incident bezprostředním opatřením snižující stupeň klasifikace incidentu. Před vlastním aktivním zásahem je vyžadován buď souhlas od příslušné role, a to systémového administrátora IT dotčeného zdravotnického zařízení, nebo v případě incidentů nesoucí vysoké riziko dopadu, realizace aktivního zásahu a současné kontaktování IT administrátora dotčeného zdravotnického zařízení. Je požadováno, aby v rámci implementace ISMS byl stanoven postup (kategorizace) pro řešení aktivního zásahu ve vztahu k jednotlivým aktivům. V rámci poskytnuté součinnosti bude administrátor zdravotnického zařízení dosažitelný v režimu 24x7.
V rámci SOC jsou zastoupeny tyto role s následujícími kompetencemi a příslušnou zodpovědností:
Operátor SOC:
Je pracovní pozice, která je odpovědná za přijímání hlášení o kybernetických bezpečnostních událostech a incidentech od uživatelů, třetích stran a dalších osob a jejich zavedení do systému pro vyhodnocení kybernetických bezpečnostních událostí a incidentů, který je provozován u dodavatele služeb SOC. Mezi jeho odpovědnosti a příslušné kompetence v rámci procesu patří zejména následující:
• zpracování prvotního hlášení o kybernetických bezpečnostních incidentech,
• postoupení řešení běžných kybernetických bezpečnostních incidentů odpovědným osobám a je-li to žádoucí, provedení nezbytných opatření vedoucích k jejich řešení nebo alespoň zastavení šíření.
Analytik kybernetické bezpečnosti
Je pracovní pozice, která je odpovědná za zpracování informací o kybernetických bezpečnostních událostech a incidentech z nástrojů pro detekci, jejich vyhodnocení a zavedení do systému pro vyhodnocení kybernetických bezpečnostních událostí a incidentů. Mezi jeho odpovědnosti a příslušné kompetence v rámci procesu patří zejména následující:
• obsluha a administrace nástroje pro detekci kybernetických bezpečnostních událostí a vyhodnocování jeho výstupů,
• obsluha a administrace nástroje pro vyhodnocení kybernetických bezpečnostních událostí (SIEM),
• informování manažera kybernetické bezpečnosti o rozsahu činností, na které může mít kybernetický bezpečnostní událost dopad,
• vyhodnocení závažnosti kybernetických bezpečnostních události (méně významné, významné a velmi významné události, či incidenty),
• informování manažera kybernetické bezpečnosti o závažné kybernetické bezpečnostní události, či incidentu,
• postoupení řešení odpovědným osobám a je-li to žádoucí, provede také nezbytná opatření vedoucí k řešení (či alespoň snížení stupně klasifikace bezpečnostního incidentu).
Forenzní analytik
Je pracovní pozice, která úzce spolupracuje s analytiky. Je odpovědná za zpracování informací o kybernetických bezpečnostních událostech a incidentech s využitím specializovaných metod analýzy dat a technik pro získávání důkazů souvisejících s případnou trestní činností. Mezi jeho odpovědnosti a příslušné kompetence v rámci procesu patří zejména následující:
• obsluha a administrace nástrojů nejpokročilejších technologických řešení pro načítání, prohledávání, analýzy a vizualizaci velkých a složitých datových souborů,
• shromažďování relevantních informací, které jsou nezbytné při řešení případných soudních sporů, vyšetřování a řešení regulatorních otázek, finanční a jiné trestné činnosti,
• využití techniky ke shromažďování a uchovávání důkazního materiálu, zajištění důvěryhodnosti získaných údajů z konkrétního výpočetního celku a to způsobem, který je vhodný pro následné právní úkony,
• identifikace dalších systémů z forenzního pohledu, které mohou být s jistou pravděpodobnosti ohroženy kybernetickými útoky,
• poskytování znaleckého svědectví v soudním řízení,
• postoupení informací a řešení odpovědným osobám.
Bezpečnostní expert
Je pracovní pozice, která je zodpovědná za zpracování bezprostředního incidentu v rámci řešení aktivních bezpečnostních opatření k zamezení kybernetického útoku ve specifických oblastech vztažených ke konkrétním systémům. V rámci aktivitní správy dílčích systémů disponuje příslušnou znalostní úrovni a vlastní příslušné platné certifikace výrobců spravovaných technologií (v souladu s požadavky na technickou kvalifikací této VZ). Expert úzce spolupracuje s analytikem a forenzním analytikem. Mezi jeho odpovědnosti a příslušné kompetence v rámci procesu patří zejména následující:
• administrace a konfigurace specifických technologií v rámci zásahů při aktivním řešení incidentů v rámci kybernetické bezpečnosti (rozsah bude upřesněn v Prováděcím projektu ve vztahu k jednotlivému zdravotnickému zařízení),
• spolupráce s analytikem v úzce specializovaných oblastech vztažených k technologiím jednotlivých výrobců,
• pokud je to vzhledem k závažnosti incidentu žádoucí, pak realizuje nezbytná opatření vedoucí k řešení (či alespoň snížení stupně klasifikace bezpečnostního incidentu),
• postoupení dalšího, následného řešení incidentu odpovědným osobám na straně zdravotnického zařízení.
V souladu s požadavky na technickou kvalifikaci této VZ jsou v těchto pracovních pozicích zastoupeni Bezpečnostní experti min. pro tyto oblasti:
• síťové prvky včetně Firewallu,
• operační systémy
• databáze
• serverová infrastruktura včetně VMware
• SIEM a Log Management
Bezpečnostní specialista na hardening
Je pracovní pozice, která úzce spolupracuje s experty, analytiky a auditorem. Je odpovědná za nastavení procesů řízení zranitelnosti, hardening a kontroly souladu (compliance).
Mezi jeho odpovědnosti a příslušné kompetence v rámci procesu patří zejména následující:
o vytváření a aktualizace hardeningových bezpečnostních politik,
o stanovení strategií postupů k přístupu a stanovení priorit, okamžitých oprav a oprav vedoucích k posílení zabezpečení a ochrany systémů v oblasti software, firmware, BIOS (serverů, sítí a jejich prvků, aplikací, databází, operačních systémů a nepotřebných účtů a oprávnění),
o odpovědnost za řízení procesu zabezpečení konfigurace systémů vedoucí k omezení výskytu zranitelnosti,
o odpovědnost za návrhy hardeningu zabezpečení a ochrany systémů,
o odpovědnost za hardening aplikací s kontrolou vzájemných integrací s jinými aplikacemi a systémy s odstraněním nebo omezením nepotřebných integračních komponent a oprávnění.
3.2.2 Moravskoslezské datové centrum, p. o.
Moravskoslezské datové centrum v procesu aktivní kybernetické bezpečnosti plní role odpovídající činnostem manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti a auditora kybernetické bezpečnosti definovaných legislativně.
Pro implementaci ISMS představuje organizace v systému prvek řešící korporátní úroveň systému řízení bezpečnosti informací. Současně poskytuje služby těchto rolí řízeným organizacím. Je v této oblasti řídící složkou pro ostatní příspěvkové organizace v roli povinných osob, které spadají pod dikci zákona a vyhlášky o KB.
Konkrétně pak MSDC zodpovídá za:
• definici strategie řízení kybernetické bezpečnosti korporace, řízení systému managementu informační bezpečnosti a plní vyjmenované specifické role uvedené v dále popisovaných modelech,
• návrh a kontrolu opatření,
• řízení a kontrolu IT procesů z hlediska kybernetické bezpečnosti,
• koordinaci činností.
V rámci MSDC jsou zastoupeny role, které jsou do zdravotnických zařízení outsourcovány. Jedná se o role s následujícími kompetencemi a příslušnou zodpovědností:
Manažer kybernetické bezpečnosti
Manažer kybernetické bezpečnosti MSDC (dále také „manažer KB“) je osoba odpovědná za systém řízení bezpečnosti informací (ISMS). Z hlediska ISMS je pro zdravotnická zařízení osobou, která je pro tuto činnost vyškolena a má předepsanou způsobilost. Manažer KB je hlavním řídícím a výkonným prvkem, který aplikuje kybernetickou bezpečnost v intencích strategického směrování určeného Výborem korporátního řízení kybernetické bezpečnosti, resp. Výborem pro řízení kybernetické bezpečnosti na úrovni zdravotnických zařízení. Manažer KB zajišťuje a odpovídá za to, že všechny aktivity související s informačními technologiemi jsou prováděny v souladu s korporátní bezpečnostní politikou a z ní vycházejícími interními předpisy, dále zajišťuje přípravu a schválení těchto předpisů, identifikuje významné změny v rizicích, zajišťuje podporu vzdělávání a bezpečnostního povědomí a zajišťuje vyřešení zjištění identifikovaných v rámci auditů a kontrol. Manažer KB udržuje seznam aktiv a garantů aktiv a seznam pracovníků a jim přidělených bezpečnostních rolí, má výkonnou pravomoc v rámci schválených předpisů a pracovních postupů vůči všem dotčeným pracovníkům.
Manažer KB vykonává zejména tyto činnosti:
• koordinaci činností v oblasti kybernetické bezpečnosti,
• iniciování, sledování a vyhodnocování implementace opatření kybernetické bezpečnosti,
• informování Výboru korporátního řízení kybernetické bezpečnosti, odboru zdravotnictví KÚ, vedení zdravotnických zařízení a vedení oddělení informatiky o aktuálním stavu systému řízení bezpečnosti informací,
• koordinaci tvorby bezpečnostního konceptu řízených zdravotnických zařízení, na základě přijaté strategie kybernetické bezpečnosti korporace, konceptu plánu obnovy a ostatních dílčích konceptů a systémových bezpečnostních pravidel, jakož i vydávání doplňujících pravidel a vodítek celkové kybernetické bezpečnosti,
• úzce spolupracuje s CSIRT – SOC
• ověřování, vyšetřování a hlášení kybernetických bezpečnostních incidentů předkládaných SOC včetně závěrů CSIRT – SOC,
• iniciování a koordinování opatření ke zvýšení bezpečnostního povědomí ve zdravotnických zařízeních a školení kybernetické bezpečnosti ve spolupráci s vedoucím personalistou zdravotnického zařízení,
• iniciování a koordinování opatření ke zvýšení fyzické bezpečnosti ve zdravotnickém zařízení ve spolupráci s vedoucím úseku údržby zdravotnického zařízení,
• provedení identifikace a hodnocení aktiv. Je koordinátorem pro jednotlivé garanty aktiv, kteří hodnocení konkrétních primárních a podpůrných aktiv v rámci hodnocení provádějí,
• hodnocení a řízení rizik, jakož i provádění a aktualizaci Plánu zvládání rizik,
• udržování a aktualizace dokumentace ISMS,
• komunikaci s příslušnými státními orgány a ústředním správním orgánem pro kybernetickou bezpečnost včetně ochrany utajovaných informací v oblasti informačních a komunikačních systémů a kryptografické ochrany (dále také „NÚKIB“) ve věcech kybernetické bezpečnosti,
• přímá spolupráce s manažerem kybernetické bezpečnosti krajského úřadu, zejména v oblasti technologických celků a sdílených služeb využívaných zdravotnickými zařízeními.
Předpokladem je, že role manažera KB (z důvodů oddělení pravomocí, jelikož je nelze kombinovat s rolí auditora kybernetické bezpečnosti), je v rámci zapojených subjektů personálně plně oddělena.
Auditor kybernetické bezpečnosti
(dále jen „auditor KB“) provádí audit kybernetické bezpečnosti a vyhodnocování účinnosti bezpečnostních opatření. Vykonává svoji roli nestranně a odděleně od dalších rolí v oblasti kybernetické bezpečnosti, hodnotí správnost a účinnost zavedených opatření. Auditor KB je osoba, která je pro tuto činnost vyškolena a má předepsanou odbornou způsobilost. Auditor KB vykonává zejména tyto činnosti:
• plánování auditu podle specifických podmínek řízených organizací,
• vedení dokumentace o průběhu auditu podle stanovených implementovaných metodik,
• vyhodnocování shromážděných nálezů z auditu a jejich srovnávání s kritérii auditu,
• sdělování výsledků auditu a navrhování doporučení (opatření),
• zpracování závěrečných zpráv z auditu,
• kontrola účinnosti přijatých opatření,
• kontrolní činnost naplňování smluvního vztahu v oblasti procesů, kvality a rozsahu dodávaných služeb SOC,
• re-auditní činnost,
• kontaktní osoba pro externí audit NÚKIB, je zodpovědná za dodání všech informací auditorům
Předpokladem je, že role auditora KB (z důvodů oddělení pravomocí, jelikož ji nelze kombinovat s rolemi manažera kybernetické bezpečnosti a architekta kybernetické bezpečnosti), je v rámci organizace personálně plně oddělena.
Architekt kybernetické bezpečnosti
(dále jen „architekt KB“) zajišťuje návrh a implementaci technických bezpečnostních opatření a po schválení Výborem korporátního řízení kybernetické bezpečnosti / Výborem pro řízení kybernetické bezpečnosti na úrovni zdravotnických zařízení se podílí na jejich implementaci. Architekt KB je osoba, která je pro tuto činnost vyškolena a má předepsanou odbornou způsobilost. Architekt KB vykonává zejména tyto činnosti:
• návrh bezpečnostních opatření pro snižování rizik, příprava pravidel a standardů pro oblast kybernetické bezpečnosti,
• určování nástrojů či technických opatření směřujících ke zvýšení kybernetické bezpečnosti, realizovaných v rámci MSDC, nebo zdravotnických zařízení a požadavků na specifické výstupy služeb SOC, v rámci plnění této veřejné zakázky, které rovněž směřují ke zvýšení kybernetické bezpečnosti,
• definice klíčových projektů, které vedou k naplnění bezpečnostní politiky a k cílovému stavu modelu architektury kybernetické bezpečnosti, dohled na jejich realizaci a vyhodnocení,
• analýzu úrovně architektury kybernetické bezpečnosti korporace, definici metrik a identifikaci existujících rizik s návrhem strategie na zmírnění rizik,
• vytváření plánů implementace architektury kybernetické bezpečnosti jednotlivých zdravotnických zařízení podle schválené bezpečnostní politiky, určovaní části a milníků k dosažení očekávaného cílového stavu.
Předpokladem je, že role architekta KB (z důvodů oddělení pravomocí) není slučitelná s rolemi odpovědnými za provoz informačních a komunikačních systémů.
3.2.3 Zdravotnická zařízení
Jednotlivá zdravotnická zařízení jsou konzumenty služeb aktivní kybernetické bezpečnosti v definovaném rozsahu a hranicích. Současně jsou povinnou osobou2. V naplňování procesu aktivní kybernetické bezpečnosti disponují těmito personálními rolemi:
Vedení zdravotnického zařízení
Jednotliví členové vedení jsou odpovědní za zajišťování bezpečnostního povědomí a dodržování bezpečnostních pravidel v rámci svých útvarů. Podílí se a naplňují tyto cíle:
• podílí se na definici strategie bezpečnostní politiky a aktivně podporují korporátní kybernetickou bezpečnost v rámci zdravotnického zařízení,
• přezkoumávají aktuálnost a účinnost implementace bezpečnostní politiky,
• poskytují zpětnou vazbu a viditelnou podporu bezpečnostním iniciativám,
• zajišťují dostatečné zdroje k realizaci bezpečnostních opatření.
Systémový IT administrátor
Je pracovní pozice na úrovni zdravotnického zařízení. Je odpovědná za administraci související s realizaci opatření plynoucích z události kybernetických incidentů. Mezi jeho odpovědnosti v rámci procesu patří zejména následující:
• koordinace činností v rámci realizace opatření v oblasti kybernetické bezpečnosti,
• vyhodnocování měsíčních zpráv SOC a návrh konkrétních podnětů k realizaci pro zvýšení KB ve vztahu k jednotlivým provozovaným ICT systémům,
• součinnost a oponentura bezpečnostního konceptu zdravotnického zařízení zpracovávaných MSDC, konceptu plánu obnovy a ostatních dílčích konceptů a systémových bezpečnostních pravidel, jakož i doplňujících pravidel a vodítek celkové kybernetické bezpečnosti pro konkrétní dotčené zdravotnické zařízení,
• operativně vydává souhlas k aktivnímu zásahu při řešení kybernetického incidentu SOC,
• realizace bezpečnostních opatření kybernetických bezpečnostních incidentů předkládaných SOC,
• iniciování a spolupráce při koordinaci opatření ke zvýšení bezpečnostního povědomí ve zdravotnickém zařízení a součinnost při školení kybernetické bezpečnosti,
• udržování a aktualizace provozní dokumentace k jednotlivým provozovaným systémům.
Garant aktiva – garantem aktiva je osoba, která má vnitřním předpisem zdravotnického zařízení stanovenu odpovědnost za rozvoj, za evidenci aktiva a aktuálnost této evidence, použití a bezpečnost přiděleného aktiva v souladu s bezpečnostní politikou implementovaného ISMS a vnitřními předpisy zdravotnického zařízení. Garant aktiva je jmenován vedením zdravotnického zařízení.
Správa aktiva může být delegována, odpovědnost vždy nese garant aktiva.
2 Zadavatel požaduje, aby ke všem zdravotnickým zařízení v rámci plnění veřejné zakázky bylo přistupováno, jako k povinným osobám v oblasti kybernetické bezpečnosti, a to i pokud tyto povinnosti plynoucí z platné a účinné legislativy nemají Národním úřadem pro kybernetickou a informační bezpečnost stanovené.
Garant aktiva odpovídá za primární aktiva nebo podpůrná aktiva dle odpovědnosti, vymezené vnitřním předpisem zdravotnického zařízení.
Vedoucí úseku údržby
Jedná se o pozici, která je na úrovni zdravotnických zařízení v gesci technického náměstka. Role je odpovědná za zajištění činnosti v oblasti facility managementu na úrovni zdravotnického zařízení. Plynoucí odpovědností je především zajištění realizace opatření dotčených žádanou úrovní fyzické bezpečnosti.
Vedoucí personalista
Je pracovní pozice na úrovni jednotlivého zdravotnického zařízení. Plynoucí odpovědností je zejména správa a účinnost elektronických identit zaměstnanců a ostatních osob s pracovně právním vztahem ke zdravotnickému zařízení. Dále koordinuje a eviduje vzdělávání nových zaměstnanců v oblasti kybernetické bezpečnosti. Svou činností se rovněž spolupodílí na vytváření prostředí pro vytvoření takového bezpečnostního povědomí, aby se bezpečnost stala neoddělitelnou součástí každodenního chodu zdravotnického zařízení.
3.3. Krajský úřad
Zdravotnická zařízení využívají technologické centrum, které provozuje Krajský úřad Moravskoslezského kraje. V rámci tohoto centra jsou jednotlivými zdravotnickými zařízeními využívány sdílené služby krajské korporace a technologické celky centrálně provozované infrastruktury.
Z pohledu využívání služeb technologického centra kraje jednotlivými zdravotnickými zařízeními a jejich vztahů, je technologické centrum postaveno do role dodavatele, který má řešenou kybernetickou bezpečnost na své úrovni. V rámci požadavků kladených na řešení kybernetické bezpečnosti jsou v rozsahu shodné s požadavky, které jsou kladené na jakéhokoliv dodavatele.
Pak z pohledu řešení kybernetické bezpečnosti jsou v rámci krajského úřadu plně provozovány technologie a implementována opatření zajišťující kybernetickou bezpečnost provozovaných celků a sdílených služeb.
Z pohledu rolí jsou legislativou naplněné předpokládané pozice. V rámci centrálně provozovaných systémů a poskytovaných sdílených služeb bude v případně vzniklých bezpečnostních incidentů docházet k přímé spolupráci na úrovni manažerů kybernetické bezpečnosti. Zajištění komunikačních vazeb je realizováno z pozice role manažera kybernetické bezpečnosti v rámci působnosti Výboru korporátního řízení kybernetické bezpečnosti popisovaném dále v organizačním modelu.
V rámci této veřejné zakázky je předpokládáno, že v předmětu rozsahu poskytovaných služeb, může být ze strany dodavatele požadována součinnost v případě, že vyřešení incidentu bude nutno koordinovat a řešit v širších souvislostech. Tato součinnost bude ze strany Krajského úřadu dodavateli poskytnuta. V každém případě je jednoznačnou rolí, která má právo vyžadovat tuto součinnost v rámci plnění služeb SOC, role manažera KB MSDC.
4. Organizační model
Je úzce provázán s kompetenčním modelem. Je tvořen kolektivními orgány plnicí v tomto modelu specifické funkce vycházející z potřeb řízení aktivní kybernetické bezpečnosti a platné legislativy v řízených organizacích.
Pro rozsah této veřejné zakázky jsou jednotlivé výbory/týmy zřízeny na úrovni MSDC, jednotlivých zdravotnických zařízení a SOC.
Výbory pro řízení kybernetické bezpečnosti jsou tvořeny osobami s příslušnými pravomocemi a odbornou způsobilostí pro rozvoj systému řízení bezpečnosti informací a osobami významně se podílejícími na řízení a koordinaci činností spojených s kybernetickou bezpečností, jehož členem musí být alespoň jeden zástupce vrcholového vedení nebo jím pověřená osoba a manažer kybernetické bezpečnosti MSDC.
Nutno však mít jednoznačně na zřeteli, že i při existenci kolektivních orgánů a předpokládaných smluvních závazcích určující vztahy mezi zapojenými subjekty, vždy legislativní odpovědnost nesou příslušně odpovědné statutární orgány.
Ustanovené výbory z odborného pohledu reflektují rozdělení odpovědností, výkon kompetencí a podpůrných činnosti při plánování, řízení vztahů a realizaci v oblasti kybernetické bezpečnosti spolupracujících subjektů. Konkrétně vyjádřené povinnosti, kompetence a součinnost apod. mezi zapojenými subjekty budou stanoveny na úrovni smluvních vztahů.
1) Výbor korporátního řízení kybernetické bezpečnosti
Výbor pro řízení kybernetické bezpečnosti na korporátní úrovni koordinuje a vykonává dohled nad kybernetickou bezpečností v korporaci v rámci zapojených subjektů a plní tyto funkce v rámci své působnosti:
• odpovědnost za definici strategie Korporátní bezpečnostní politiky ISMS v rámci celkového řízení a rozvoje kybernetické bezpečnosti na úrovni korporace dle informační koncepce MSK,
• koordinaci postupu zajištění bezpečnosti informací a realizace bezpečnostní politiky v korporaci,
• realizace určených cílů strategii kybernetické bezpečnosti, příprava aktualizací Korporátní bezpečnostní politiky ISMS,
• vyhodnocení auditních zpráv a zprávy o stavu implementace Korporátní bezpečnostní politiky ISMS od Výborů pro řízení kybernetické bezpečnosti v jednotlivých zapojených subjektech v této oblasti,
• zajištění potřebné součinnosti mezi zapojenými subjekty,
• plánování a předkládání požadavků na potřebné zdroje pro provozování a rozvoj ISMS v resortu zdravotnictví,
• informování o změnách legislativy a standardů souvisejících s kybernetickou bezpečností,
• souhrnné hodnocení kybernetických bezpečnostních incidentů v resortu zdravotnictví a projednání návrhů řešení,
• přípravu podkladů pro vedení resortu zdravotnictví.
Za svolání výboru a jeho řízení odpovídá předseda výboru. Za stanovení jeho programu odpovídá manažer kybernetické bezpečnosti. Předseda výboru je volen členy výboru na jeho prvním zasedání.
V odůvodněných případech, na žádost kteréhokoli člena výboru, předseda výboru přizve na jednání výboru:
• zástupce klíčových dodavatelů,
• zástupce dodavatelů dílčích služeb,
• další zaměstnance organizací, kteří mají k řešené problematice znalostní či kompetenční vztah.
Stálými členy Výboru korporátního řízení kybernetické bezpečnosti jsou:
• zástupce vedení MSDC,
• delegovaný zástupce zdravotnického zařízení pro oblast KB, který je současně členem vedení zdravotnického zařízení (zpravidla vedoucí ICT zdravotnického zařízení) za každou povinnou organizaci, dle zákona č.181/2014 Sb. Delegovaného zástupce jmenuje statutárním orgán zdravotnického zařízení,
• zástupce odvětvového odboru zřizovatele (odbor zdravotnictví),
• zástupce právního a organizačního odboru (na jednání je dle programu přizýván),
• manažer kybernetické bezpečnosti MSDC,
• manažer kybernetické bezpečnosti KÚ MSK,
• auditor korporace – není členem výboru, ale má právo se kdykoli účastnit jednání výboru.
Výbor je ve své působnosti odpovědný za aktivní Korporátní bezpečnostní politiku ISMS a koordinaci činností mezi řízenými organizacemi.
2) Výbor pro řízení kybernetické bezpečnosti ve zdravotnickém zařízení
Výbor pro řízení kybernetické bezpečnosti ve zdravotnickém zařízení koordinuje a vykonává dohled nad kybernetickou bezpečností konkrétního zdravotnického zařízení a plní tyto funkce:
• odpovídá za implementaci Korporátní bezpečnostní politiky ISMS v rámci zdravotnického zařízení,
• vytváří koncept bezpečnosti informací ve zdravotnickém zařízení,
• vyhodnocuje stav a účinnost bezpečnosti informací ve zdravotnickém zařízení,
• vypracovává podklady o stavu a účinnosti implementace Korporátní bezpečnostní politiky ISMS pro Výbor korporátního řízení kybernetické bezpečnosti,
• schvaluje návrhy a implementace bezpečnostních opatření ve zdravotnickém zařízení,
• pomáhá zajistit součinnost jednotlivých útvarů při prosazování kybernetické bezpečnosti v rámci zdravotnického zařízení, podporuje vzdělávání v oblasti kybernetické bezpečnosti.
Za svolání výboru a jeho řízení odpovídá předseda výboru. Za stanovení jeho programu a podkladů odpovídá manažer kybernetické bezpečnosti. Zde je pravidlem, že delegovaný zástupce za zdravotnické zařízení do Výboru korporátního řízení kybernetické bezpečnosti je současně předsedou Výboru pro řízení kybernetické bezpečnosti ve zdravotnickém zařízení. V odůvodněných případech, na žádost kteréhokoli člena výboru, předseda výboru přizve na jednání výboru:
• zástupce klíčových dodavatelů,
• zástupce dodavatelů dílčích služeb,
• další zaměstnance organizace, kteří mají k řešené problematice znalostní či kompetenční vztah.
Stálými členy Výboru pro řízení kybernetické bezpečnosti ve zdravotnickém zařízení jsou:
• zástupce vedení zdravotnického zařízení,
• zástupce vedení organizačního útvaru informatiky,
• zástupce právního oddělení,
• manažer kybernetické bezpečnosti (MSDC),
• garanti aktiv určených významných informačních systémů dle zákona č.181/2014 Sb.,
• vedoucí úseku údržby, je přizýván na jednání, pokud je na programu problematika fyzické bezpečnosti
• vedoucí personalista
• auditor korporace (MSDC), není členem výboru, ale má právo se kdykoli účastnit jednání výboru
Výbor je odpovědný za implementaci Korporátní bezpečnostní politiky ISMS a prosazování zásad bezpečnosti informací v konkrétním zdravotnickém zařízení.
3) CSIRT – SOC
Vyžadovaným předpokladem je, že Computer Security Incident Response Team je ustanoven v rámci SOC (dále také „CSIRT – SOC“) a je předmětem plnění služeb této veřejné zakázky.
Sehrává klíčovou roli při ochraně kritické informační infrastruktury zdravotnických zařízení. Jeho cílem je zlepšovat bezpečnost, obranu a ochranu infrastruktury a dat, minimalizovat dopad, který mohou způsobit průniky nebo kompromitace.
Současně vyžadovaným předpokladem je, že v rámci své působnosti řeší synergie plynoucí ze své činnosti vůči všem subjektům. Uvedené znamená, že pokud bude dotčena kybernetická bezpečnost jakéhokoli subjektu, který je předmětem plnění služeb této veřejné zakázky, bude vždy současně z preventivních důvodu shodně postupováno vůči všem zdravotnickým zařízením.
V organizačním modelu plní tyto funkce:
• řeší všechny typy IT bezpečnostních incidentů, které vznikly nebo mohou potenciálně vzniknout, v rámci jeho působnosti,
• může poskytnout přímou podporu koncovým uživatelům,
• informuje o potenciálních zranitelnostech, a tam, kde je to možné, informuje cílovou skupinu ve své působnosti o takových zranitelnostech ještě před jejich zneužitím,
• jeho cílem je pomáhat místním správcům při řešení technických a organizačních aspektů incidentů,
• provádí třídění (věrohodnost, priority), koordinaci stran (kontaktování zúčastněných, informování CSIRT týmů) při řešení incidentu a vlastní řešení incidentu (poskytování poradenství o postupech, poskytování pomoci při shromažďování důkazů a interpretaci dat, včasné informování o možných útocích a napomáhání při ochraně proti známým útokům),
• v rámci proaktivního přístupu shromažďuje seznamy bezpečnostních kontaktů pro každou entitu v rámci svého pole působnosti, publikuje oznámení o závažných bezpečnostních hrozbách, aby se v nejvyšší možné míře zabraňovalo incidentům v oblasti informačních a komunikačních technologií a snížil se tak co nejvíce jejich dopad. V případě pozitivního
nálezu zajišťuje předání relevantní informace garantu aktiva odpovědnému za postižený systém,
• provádí aktivní zásahy vedoucí ke snížení závažnosti incidentů,
• úzce spolupracuje s manažerem KB MSDC,
• řeší synergie vůči všem subjektům zdravotnických zařízení
• zajišťuje komunikaci s GovCERT/CSIRT, případně Hospital SOC.
5. Provozní/procesní model
Základním strukturovaným postupem pro řízení kybernetické bezpečnosti je řešení tohoto životního cyklu od:
• predikce kybernetických rizik – formou dlouhodobé analytické činnosti s cílem predikce vzniku situací vedoucích k bezpečnostním incidentům (analýza pokročilých hrozeb a behaviorální analýze chování uživatelů),
• prevence kybernetických rizik – činnost vedoucí k identifikaci bezpečnostních slabin před vznikem bezpečnostního incidentu (penetračního testování a testování zranitelností),
a v případě vzniku:
• detekování, hlášení a vyhodnocení kybernetických bezpečnostních událostí a incidentů – identifikace a monitorování kybernetických událostí v reálném čase nad platformami SIEM (které jsou součástí poskytované služby), doplněné o další korelační a analytické nástroje provozované v rámci SOC,
• reakci na kybernetické bezpečnostní incidenty a jejich řízení – evidence, eskalace, analýza (včetně analýzy dopadů) a návrh opatření,
• realizace opatření – aktivní zásah ze strany SOC na základě určených pravidel a postupů obsažených v ISMS.
až po závěrečnou dokumentaci kybernetického bezpečnostního incidentu a nahlášení příslušným orgánům.
Cílem realizace tohoto modelu je stanovit postupy a nástroje ke snížení dopadů kybernetických bezpečnostních incidentů a včasné zastavení jejich šíření, omezení jejich dopadů a předcházení jejich opakování.
Tento model je v rámci potřeb řešených touto veřejnou zakázkou nutně provázán s kompetenčním a organizačním modelem, jelikož výstupy poskytovaných služeb zasahují do hierarchických struktur více subjektů. Základem pro realizaci tohoto provozního modelu je implementace ISMS.
5.1. Procesní část modelu
Procesní část modelu je vyjádřena s pomocí RACI matice. V této matici jsou uvedeny příklady popisů procesů ve vztahu k potřebám řešení předmětu této veřejné zakázky. Vlastní RACI matice představuje matici aktivit (procesů) a rolí, které mají k dané aktivitě předem definovaný vztah.
Tento vztah je tvořen z písmen R, A, C, I, která mají tento význam:
• R (Responsible) – procesní role má fyzickou odpovědnost za vykonání dané aktivity v rámci své působnosti.
• A (Accountable) – procesní role má odpovědnost za fakt, že daný proces je vykonáván tak, jak bylo předdefinováno. U každého procesu může být jen jedna tato role (většinou se jedná o vedoucího pracovníka, který je odpovědný za práci svého týmu).
• C (Consulted) – procesní role podílející se na výkonu procesu, avšak nepřebírá za výkon procesu odpovědnost (jde o konzultační či spolupracující roli).
• I (Informed) – procesní role, která musí být o výstupech procesu informována.
Výbor korporátního
řízení KB
Výbor pro řízení KB
Bezpečnostní role
MSDC
Role SOC
Garant Aktiva
Operátor SOC
CSIRT tým
Hierarchická úroveň ZZ
Manažer KB
Architekt KB
Auditor KB
korporace
Analytik
Expert
Forenzní
analytik
Vedení organizace
systémový
administrátor
vedoucí úseku
údržby
Vedoucí
personalista
Příklady procesů týkajících se kybernetické bezpečnosti v návaznosti na popisované modely
strategická úroveň
řízení KB
Strategické řízení a rozvoj KB na úrovni
korporace
Implementace, řízení a rozvoj KB na úrovni ZZ
Audit KB
Taktická úroveň
Systém řízení bezpečnosti informací Návrh bezpečnostních opatření
R, A ,I
I A, C, I
A, C, I C, I
R, I
R, I I
R, C, I C,I
C, I
R, C, I
C, I R C, I
C, I
R,C,I C, I
C, I R
C, I
C,I
R C I
C, I - -
C,I - -
C, I -
C, I I
C, I
- - C,I
- - A,C,I
I I
I -
A I
-
C I
-
C,I
-
C I
-
C,I
-
C I
-
C,I
Implementace bezpečnostních opatření
C, I
C, I
R, C, I R
I C, I -
I A,I
R,C
R,C
R,C
Zajištění rozvoje, použití a bezpečnosti
aktiva
Operativní úroveň (ZZ)
Detekce incidentu, přidělení k řešení Vyhodnocení incidentu
Realizace opatření (z oblasti fyzické bezpečnosti)
Realizace opatření z behaviorální analýzy chování uživatelů
Vyhodnocení účinnosti
C, I
-
-
-
I I
C, I
- I
I, R
A
I
I
I
I
I
I
I I
R, C, I I
I R
R,I
C ,I C R -
- - I R
- - I -
- - I -
I I - -
I R,A
R,A I
I
A,I
- I
A, I
A,I
C, I I
I R,C
I, C
C, I I
I R,C
I
C, I I
I I
R I
Tabulka č. 14 - RACI matice – příklad popisu základních procesů spojených s bezpečnostními rolemi
Dílčím cílem v této oblasti je, že v rámci implementace ISMS bude RACI matice obsahovat relevantní pravidelně se opakující procesy, které doplní o aktivity a vztahy k jednotlivým rolím vzhledem k prostředí, do kterého je implementována.
5.2. Prevence a predikce kybernetických hrozeb
V této části modelu jsou popsány požadavky na procesní přístup a rozsah pro hodnocení kybernetických hrozeb. Aktiva si označíme jako A (assets), hrozby jako T (threat) a zranitelnosti jako V (vulnerability). Základní otázkou obvykle je, v jakém pořadí hodnotit tyto faktory.
Je možné začít hodnocením aktiv (A), pokračovat s hodnocením hrozeb (T) a zranitelností (V). Dalším adekvátním přístupem je identifikace hrozeb (T) a zranitelností (V) a stanovení pravděpodobnosti zneužití dané zranitelnosti hrozbou se stanovením jejího dopadu na aktivum (A). Rovněž nabízenou možnosti přístupu je postup, kde je započato s hodnocením zranitelnosti (V) s hledáním hrozeb (T), které by mohly nalezenou zranitelnost využít a hodnocením aktiv (A) stanovit velikost dopadu.
Pro predikci kybernetických hrozeb je možno využít jakýkoli procesní postup. Vyžadovanou podstatou a výsledkem je predikce pro stanovení pravděpodobnosti na základě vztahu, mezi aktivem, hrozbou a zranitelností, kdy existuje vysoká pravděpodobnost rizika, a současně se vyskytuje zranitelnost, které by hrozba mohla využít.
Předpokladem je, že v případě pokročilých přetrvávajících hrozeb (Advanced Persistent Threat dále také „APT“) je nutné vyhodnotit také faktory jako je velikost, významnost, známost a oblíbenost daného zdravotnického zařízení, neboť je zřejmé, že vždy se najde někdo, kdo bude mít motiv, příležitost i schopnost danou hrozbu realizovat. Uvedené pak vede k tomu, že pravděpodobnost hrozby je ve značných případech úměrná hodnotě aktiva.
V rámci předmětu poskytovaných služeb v oblasti prevence a predikce kybernetických hrozeb a s tím souvisejících rizik je požadováno, aby v rozsahu poskytovaných služeb SOC byla pro zdravotnická zařízení zajišťována:
• analýza rizik – je vyžadován nelineární proces, ve kterém interaktivně dochází v čase k přehodnocení výše uváděných (A, V, T) faktorů včetně pokročilých přetrvávajících hrozeb (APT),
• predikce kybernetických hrozeb a s tím souvisejících rizik – soustavný analytický přístup s cílem predikce a stanovení pravděpodobnosti vzniku možných bezpečnostních incidentů,
• prevence – identifikace slabých bezpečnostních míst, které by mohly být využity ke zranitelnosti kybernetickým útokem,
• vulnerability management – služba prováděna SOC musí zajistit kontinuální skenování aktiv zadavatele definovaných danou sítí/sítěmi a zranitelnostmi relevantními pro daná aktiva. Minimálně na začátku poskytování služby budou provedeny a vyhodnoceny plné skeny (asset discovery skeny všech sítí a aktívní nedestruktivní skeny zranitelnosti všech zařízení vyjma klientských a speciálních zdravotnických zařízení) a dále vždy 1x měsíčně skeny rozdílové (technicky se jedná o stejné skeny jako plné skeny, ale jejich výsledek je interpretován a zobrazován i v komparaci k předchozím skenům). Plné skeny boudou rovněž provedeny při implementaci, upgrade, či update provozovaných ICT celků v reakci na požadavek zadavatele.
Penetrační testy jsou předmětem plnění této veřejné zakázky. Je však požadováno, aby je prováděla na systému řízení zcela nezávislá organizace. Dodavatel má povinnost smluvně zajistit
nezávislou organizaci, která před každým prováděným penetračním testem musí prokázat svou nezávislost. Současně je dodavatel povinen toto učinit kdykoli je objednatelem o to požádán. V případě prokazatelných pochybností Objednatele o nezávislosti organizace provádějící penetrační testování si Objednatel vyhrazuje právo požadovat změnu této organizace.
Výsledky jsou silnou zpětnou vazbou pro hodnocení účinnosti implementované kybernetické bezpečnosti.
5.3. Provozní část modelu pro řízení kybernetických bezpečnostních incidentů
V provozním modelu jsou dále popsány podmínky pro procesní reakci na členění, kategorizaci, stavy řešení a realizaci technických opatření v případě vzniku kybernetických bezpečnostních událostí a incidentů.
5.3.1 Typy kybernetických bezpečnostních incidentů
Typy kybernetických bezpečnostních incidentů jsou děleny podle dvou kritérií, a to podle příčiny a dopadu. Podle příčiny se kybernetické bezpečnostní incidenty dělí na následující:
1. kybernetický bezpečnostní incident způsobený kybernetickým útokem nebo jinou událostí vedoucí k průniku do systému nebo k omezení dostupnosti služeb,
2. kybernetický bezpečnostní incident způsobený škodlivým kódem,
3. kybernetický bezpečnostní incident způsobený překonáním technických opatření,
4. kybernetický bezpečnostní incident způsobený porušením organizačních opatření,
5. kybernetický bezpečnostní incident spojený s projevem trvale působících hrozeb,
6. ostatní kybernetické bezpečnostní incidenty způsobené kybernetickým útokem.
Podle dopadu jsou kybernetické bezpečnostní incidenty rozděleny do následujících typů:
1. kybernetický bezpečnostní incident způsobující narušení důvěrnosti primárních aktiv,
2. kybernetický bezpečnostní incident způsobující narušení integrity primárních aktiv,
3. kybernetický bezpečnostní incident způsobující narušení dostupnosti primárních aktiv,
4. kybernetický bezpečnostní incident způsobující kombinaci dopadů uvedených v bodech 1. až 3 tohoto odstavce.
5.3.2 Kategorizace kybernetických bezpečnostních incidentů
Podle následků, negativních projevů a předpokládaného dopadu na primární a podpůrná aktiva řešených subjektů se kybernetické bezpečnostní incidenty dělí do následujících kategorií:
Kategorie I – méně závažný kybernetický bezpečnostní incident, při kterém dochází k méně významnému narušení bezpečnosti poskytovaných služeb nebo primárních a podpůrných aktiv.
Jeho řešení vyžaduje zásahy obsluhy s tím, že musí být vhodnými prostředky omezeno další šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých škod. V rámci této kategorie je předpokládán aktivní zásah po kontaktování a souhlasu IT administrátora dotčeného subjektu.
Kategorie II – závažný kybernetický bezpečnostní incident, při kterém je narušena bezpečnost poskytovaných služeb nebo primárních a podpůrných aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být vhodnými prostředky zabráněno dalšímu šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých škod. V rámci této kategorie je předpokládán aktivní zásah po kontaktování a souhlasu IT administrátora dotčeného subjektu.
Kategorie III – velmi závažný kybernetický bezpečnostní incident, při kterém je přímo a významně narušena bezpečnost poskytovaných služeb nebo primárních a podpůrných aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být všemi dostupnými prostředky zabráněno dalšímu šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých i potenciálních škod. V rámci této kategorie je předpokládáno provedení aktivního zásahu a poté kontaktování administrátora IT dotčeného subjektu s předanou informací o realizovaných opatřeních v rámci aktivního zásahu.
Pro určení kategorií kybernetického bezpečnostního incidentu jsou zohledněny zejména následující atributy kybernetického bezpečnostního incidentu:
• důležitost dotčených aktiv informačního systému,
• dopady na poskytované služby informačního systému,
• dopady na služby poskytované jinými informačními systémy,
• předpokládané škody a další dopady.
5.3.3 Fáze analýzy, rozhodnutí a zvládání
V této fázi procesu členové CSIRT-SOC určí přesný rozsah kybernetického bezpečnostního incidentu, tedy primární a podpůrná aktiva, která jsou nebo mohou být zasažena, možný dopad na základní služby. Zvolí vhodnou strategii pro řešení kybernetického bezpečnostního incidentu.
1) V závislosti na kategorii bezpečnostního incidentu
Kybernetické bezpečnostní incidenty (Kategorie I) - pokud je kybernetická bezpečnostní událost vyhodnocena jako méně závažný kybernetický bezpečnostní incident, určuje člen CSIRT- SOC jeho stav a může jej vyřešit ve spolupráci s operátorem.
Závažné kybernetické bezpečnostní incidenty (Kategorie II a III) - pokud je kybernetickému bezpečnostnímu incidentu přidělena kategorie II nebo III, je jeho řešení předáno všem členům CSIRT-SOC, kteří musí:
• Shromáždit všechny další potřebné informace – jak vzniknul, kdo a čím ho způsobil, co zasahuje nebo by mohl zasáhnout, dopad nebo potenciální dopad kybernetického bezpečnostního incidentu na činnost zdravotnického zařízení.
• Aspekty případného záměrného technického útoku – jak hluboko do systému, služby, nebo sítě útočník pronikl a jakou má úroveň kontroly, jakým primárním a podpůrným aktivům se útočníkovi podařilo získat přístup, zda je mohl zkopírovat, pozměnit nebo zničit.
• Přímé a nepřímé následky kybernetického bezpečnostního incidentu – například umožnění přístupu do budovy z důvodu požáru, nebo zranitelnost informačního systému z důvodu závady softwaru nebo komunikační linky nebo lidské chyby.
• Souvislost s případnými dalšími kybernetickými bezpečnostními incidenty.
• Provést samostatně aktivní opatření, pokud by odkladem hrozilo další šíření škodlivého kódu, nedostupnost kritických služeb apod. Takový zásah musí být vykonán v souladu se znalostí dopadu aktiva na provozované služby a aplikace, podle nastavených pravidel součinnosti u jednotlivých aktiv vycházející z implementace ISMS.
• Řešit v rámci synergie otázky, zda nemůžou být ohroženy šířením škodlivého kódu další zdravotnická zařízení.
• Uvědomit manažera KB, IT administrátora.
• Uvědomit garanty dotčených primárních a podpůrných aktiv a dalších subjektů podílejících se na řešení incidentu.
V těchto fázích bude poskytována součinnosti v režimu 24x7 ze stran provozovatelů ICT celků z jednotlivých zdravotnických zařízeních. V rámci součinnosti zadavatel poskytne veškerou nutnou součinnost potřebnou pro poskytování služeb v rámci specifikovaného plnění.
2) Analýza a návrh opatření
V závislosti na typu a závažnosti kybernetického bezpečnostního incidentu vybere CSIRT-SOC vhodný postup pro řešení incidentu. Prvním krokem reakce musí být vždy zastavení šíření kybernetického bezpečnostního incidentu, a tedy omezení dalších škod. Současně se informuje a následně přiděluje řešiteli.
3) Řešení kybernetického bezpečnostního incidentu
Po identifikaci a stanoveném postupu řešení jsou započaty činnosti na odstranění, nebo snížení dopadů bezpečnostního incidentu. Dochází ke koordinaci činností a k monitorovaní průběhu řešení.
5.3.4 Dokumentace kybernetického bezpečnostního incidentu
• Záznam o kybernetickém bezpečnostním incidentu – všechna získaná data a informace o kybernetických bezpečnostních incidentech včetně realizovaných opatřeních jsou vedeny v provozovaném informačním systému v rámci SOC a objednatel má do systému vytvořen přístup.
• Důkazní materiál – CSIRT-SOC je zodpovědný za sběr všech informací týkajících se kybernetického bezpečnostního incidentu a bezpečné uložení veškerého důkazního materiálu. Musí být náležitě zdokumentováno, jak byl veškerý důkazní materiál včetně zasažených systémů uchován. Aby byl důkazní materiál přípustný pro použití v soudním řízení, musí být shromažďován v souladu se všemi obecně závaznými právními předpisy a interními předpisy zapojených subjektů. Vždy musí být zřejmé, kde a u koho se důkazní materiál nachází. Kdykoliv je důkazní materiál někomu předán, vyplní předávající osoba příslušný předávací formulář, který podepíší obě strany. Podrobný záznam k veškerému
důkaznímu materiálu vede osoba, u níž je materiál uložen. Obsah záznamu bude stanoven interním předpisem zapojených subjektů v rámci implementace ISMS.
5.4. Stavy kybernetického bezpečnostního incidentu
Kybernetický bezpečnostní incident má po celou dobu svého životního cyklu přidělený stav, který určuje, v které fázi své existence se nachází. Tyto stavové veličiny kybernetického bezpečnostního incidentu jsou zaznamenávány v SW nástroji, který je provozován v rámci SOC a objednatel má do systému vytvořen přístup.
Stav incidentu | Popis | Reakce (změna stavu) |
Registrován | Hlášení o události bylo přijato SOC a událost byla zanesena do databáze | Operátor SOC |
Přidělen | Kybernetický bezpečnostní incident byl přidělen týmu CSIRT – SOC | Operátor SOC |
Neadekvátní | Stav pro nahlášené události, které nenabyly charakteru kybernetického bezpečnostního incidentu | CSIRT – SOC |
Přijat | Řešitel kybernetického bezpečnostního incidentu ho přijal a plánuje řešení | CSIRT – SOC |
Řešen | Kybernetický bezpečnostní incident je dle smluvních podmínek analyzován a v reakci je stanoven návrh opatření, případně je prováděn aktivní zásah | CSIRT – SOC |
Vyřešen | Řešením kybernetického bezpečnostního incidentu bylo zastaveno jeho další šíření | CSIRT – SOC |
Vyhodnocen | Vyhodnocení účinnosti řešení incidentu a stanovení nutných opatření | MSDC, manažer kybernetické bezpečnosti |
Realizace | Realizace přijatých nápravných opatření | MSDC, manažer kybernetické bezpečnosti |
Uzavřen | Řízení kybernetického bezpečnostního incidentu bylo ukončeno | MSDC, manažer kybernetické bezpečnosti |
Tabulka č. 15 – Stavové veličiny bezpečnostního incidentu
6. Předmět plnění veřejné zakázky
Předmětem plnění této veřejné zakázky je implementace systému řízení bezpečnosti informací ISMS (Information Security Management System) a komplexní zajištění služeb centra kybernetické bezpečnosti (SOC) k zajištění dohledu operátory, provozu nástrojů pro sběr a vyhodnocování kybernetických bezpečnostních událostí v provozovaných systémech a v komunikačních sítích zapojených subjektů se zajištěním prevence a aktivní reakce na případné kybernetické incidenty.
Předmětem plnění této veřejné zakázky je závazek dodavatele:
1) Implementovat systém řízení bezpečnosti informací ISMS, a to s využitím popsaných modelů v rámci zapojených subjektů:
- Moravskoslezské datové centrum, p. o.
- Nemocnice Xxxxxxx, p. o.
- Nemocnice ve Frýdku-Místku, p. o.
- Nemocnice Karviná-Ráj, p. o.
- Sdružené zdravotnické zařízení Krnov, p. o.
- Slezská nemocnice v Opavě, p. o.
- Nemocnice Třinec, p. o.
- Bílovecká nemocnice a.s.
2) Poskytovat služby aktivní kybernetické bezpečnosti prostřednictvím SOC pro jednotlivá zdravotnická zařízení v rámci popsaných modelů v rámci plnění pro zdravotnická zařízení zřizované nebo založené Moravskoslezským krajem s podporou činností MSDC.
Služby budou poskytované 7 zdravotnickým zařízením kraje:
- Nemocnice Xxxxxxx, p. o.
- Nemocnice ve Frýdku-Místku, p. o.
- Nemocnice Karviná-Ráj, p. o.
- Sdružené zdravotnické zařízení Krnov, p. o.
- Slezská nemocnice v Opavě, p. o.
- Nemocnice Třinec, p. o.
- Bílovecká nemocnice a.s.
Poskytování služeb bude rozsahem a kvalitou plně vyhovovat kladeným požadavkům zadavatele – Moravskoslezského datového centra a zřizovaných příspěvkových organizací, nebo založených organizací MSK, dotčených touto veřejnou zakázkou.
3) Prováděcí projekt – v rámci předmětu plnění bude dodán Prováděcí projekt, který bude předmětem akceptačního řízení a jehož obsahem bude:
- detailní projektový plán
- rozdílová analýza výchozí stav/aktuální stav – bude obsahovat rozdíl mezi popsaným stavem v této Technické specifikaci a skutečností v době po nabytí účinnosti smluvního vztahu. Rozdílová analýza je nástrojem pro přesné stanovení východisek. Pro zpracování této analýzy zadavatel poskytne příslušnou součinnost
- výstupy z adaptační fáze – prvotní analýza, Identifikace zdrojů dat, návrh modifikace nastavení monitorovacích nástrojů, scénáře pro řešení bezpečnostních a provozních incidentů a událostí s dodržením požadovaných SLA včetně návrhu hardeningových bezpečnostních politik
- popis realizace integrací – návrh komunikace SOC se systémy třetích stran na základě standardizovaného API a podpory skriptování.
- detailní technická specifikace implementace HW a SW prvků implementovaných do prostředí jednotlivých zdravotnických zařízení
- reporting (pravidelné, on-demand reporty) – rozpracování v detailu nejvyšší granularity pro grafické interaktivní zobrazení obsahu prezentovaných hodnot v jednotlivých oblastech
- exit plan s detailním popisem činností pro ukončení poskytovaných služeb s rozsahem předání dat, nastavení apod.
Implementační projekt podléhá vlastní akceptační proceduře. Po předání implementačního projektu může objednatel do 5 pracovních dnů předat v písemné podobě zhotoviteli své výhrady. Zhotovitel neprodleně, nejpozději však do 5 kalendářních dnů, nedohodnou-li se smluvní strany jinak, zapracuje objednatelem uvedené nedostatky a připomínky. Proces akceptace lze opakovat, dokud zhotovitel nezapracuje veškeré výhrady vznesené objednatelem.
A to v těchto základních milnících a za stanovených ostatních podmínek specifikovaných v zadávací dokumentací:
• Zpracování, připomínkování a akceptace Prováděcího projektu
• Základní implementace v zapojených subjektech
• Implementace ISMS v zapojených subjektech
o ustanovení ISMS v zapojených subjektech
o zavedení ISMS
o životní cyklus řízené dokumentace pro splnění legislativních potřeb dle ZoKB
• Monitorování a přezkoumání účinnosti ISMS v rámci provozní fáze
• Poskytování služeb SOC
o adaptační fáze
o provozní fáze
o exit fáze