Smlouva č 40287
ČEPRO, a s 095/16/OCN
Smlouva č 40287
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí - SIEM
strana 1/18
č. objednatele: 40287 č. dodavatele:....................
uzavřená mezi
CEPRO, a.s.
se sídlem Xxxxxxxx 000/00, Xxxxxxxxxx, 000 00 Xxxxx 0
IČ 60193531
DIČ CZ60193531
zapsaná v obchodním rejstříku Městského soudu v Praze, oddíl B, vložka č 2341 jednající. Xxx Xxx Xxxxxxx, předseda představenstva a
Xxx Xxxxxxxx Xxxxxx, člen představenstva
oprávněni v rámci uzavřené smlouvy jednat ve věcech smlouvy bez oprávnění k jejím změnám
(dále jen „objednatel") a
AXENTA a.s.
se sídlem- IČ
DIČ
č účtu
Xxxxxxx 000/00, Xxxxxx, 000 00 Xxxx
28349822
CZ28349822 4291128001/5500
zapsaná. B 5888 vedená u Krajského soudu v Brně
jednající- Xxx Xxxxx Xxxxxx, předseda představenstva
oprávněni komunikovat v rámci uzavřené smlouvy ve věcech smlouvy bez oprávnění k jejím změnám
(dále jen „dodavatel")
Objednatel a dodavatel (dále též „smluvní strany") níže uvedeného dne, měsíce a roku uzavírají na základě výběrového řízení vyhlášeného objednatelem dne 4 4 2016 pod ev č 095/16/OCN tuto smlouvu o dodávce a implementaci nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí (dále též jen „smlouva")
ČI. 1. Účel smlouvy
1 1 Účelem, pro který je tato smlouva mezi smluvními stranami uzavírána, je potřeba objednatele získat nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí vyhovující a splňující požadavky objednatele a požadavky platné legislativy, zejména v době uzavření smlouvy požadavky dle § 23 vyhlášky č 316/2014 S b , o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti, v platném znění (vyhláška o kybernetické bezpečnosti), neboť objednatel je ve smyslu zákona č 181/2014 S b , o kybernetické bezpečnosti a o změně souvisejících zákonů, v platném znění (zákon o kybernetické bezpečnosti), správcem informačního systému kritické informační infrastruktury
1 2. Předmět plnění dle této smlouvy v souladu s účelem, pro který je tato smlouva uzavírána, spočívá v dodávce, instalaci a implementaci nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí a poskytování souvisejících služeb v oblasti údržby dotčeného nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí (dále též jen „řešení")
ČI. 2. Předmět plnění
2.1. Dodavatel se touto smlouvou zavazuje, že objednateli poskytne plnění spočívající v kompletní dodávce řešení a ve službě údržby (tzv maintenance) poskytované dodavatelem po dobu dvou (2) kalendářních let od data implementace řešení u objednatele
4
ČEPRO, a s Smlouva č 40287 strana 2/18 095/16/OCN Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí - SIEM
2 2 Předmět plnění dle této smlouvy zahrnuje
2.21 dodávku hardwaru (HW) a příslušného softwaru (SW) pro řešení, jejich instalaci a implementaci,
2.2 2 provedení odzkoušení řešení před jeho uvedením do provozu (testovací období v délce čtrnácti (14ti) kalendářních dnů),
2.2 3 uvedení implementovaného řešení do provozu,
2 2.4. předání nezbytné dokumentace nutné k užívání a sjednané mezi smluvními stranami,
2.2 5 provedení jednoho (1) školení určeného pro zaměstnance objednatele týkající se provozu a užívání řešení před uvedením řešení do provozu
2 2.6 službu tzv maintenance řešení, jež zahrnuje jednak služby rutinní a pravidelné správy a služby spočívající v ostatních servisních činnostech nespadající do předchozí kategorie služby rutinní a pravidelné správy
(souhrnně dále předmět plnění označen jako „dílo" či též „činnosti")
2 3 Podkladem pro plnění dodavatele jsou požadavky objednatele specifikované dodavateli v zadávací dokumentaci zakázky č 095/16/OCN (dále též jen „zadávací dokumentace"), jež dodavatel získal od objednatele j iž v rámci výběrového řízení, jehož výsledkem je tato mezi smluvními stranami uzavřená smlouva Přesný popis, včetně uvedeného množství a vlastnosti řešení jsou uvedeny v příloze č 1 této smlouvy - nabídka ze dne 21.4 2016 (dále též jen „nabídka") Dodavatel odpovídá za to, že jeho nabídka odpovídá a splňuje veškeré požadavky uvedené objednatelem v zadávací dokumentaci
2 4. Dodavatel se zavazuje objednateli dodat HW a SW produkt dle nabídky včetně příslušných práv objednatele nutných k užívání řešení objednatelem v rozsahu dohodnutém v této smlouvě a z této smlouvy vyplývající
2 5. Dodavatel je povinen objednateli dodat příslušný HW a SW řešení dle nabídky do místa plnění a převést na kupujícího vlastnické právo k HW a oprávnění k užití (licence) SW dle podmínek uvedených v příloze č 1 této smlouvy - licenční podmínky Dodavatel podpisem této smlouvy objednateli zaručuje, že řešení bude instalováno a implementováno u objednatele v rozsahu pokrývajícím požadavky objednatele plynoucí z této smlouvy a ze zadávací dokumentace, přičemž rovněž udělená licence dle licenčních podmínek dodavatele uvedených v příloze č 1 této smlouvy zaručuje bezvadné užívání řešení objednatelem a osob na jeho straně v rozsahu potřeb objednatele vyplývajících z této smlouvy, jejích součástí a dokumentů, na které smlouva odkazuje
2 6. Dodavatel se touto smlouvou zavazuje, že objednateli poskytne rovněž služby maintanence pro implementované řešení zahrnující jednak službu rutinní a pravidelné správy řešení a službu spočívající v poskytování ostatních servisních činností dodavatele na základě požadavků - jednotlivých výzev objednatele
2 6 1 Služby rutinní a pravidelné správy budou vykonávány dodavatelem pravidelně či dle potřeby při nahlášení chyby řešení a budou ze stran objednatele hrazeny paušální částkou za kalendářní měsíc. Ostatní servisní služby budou poskytovány na výzvu objednatele a budou fakturovány na základě sjednané sazby za člověkohodinu dle skutečně provedených výkonů ze strany objednatele odsouhlasených dle výkazu činnosti
2 6 2 Rutinní a pravidelnou správou se pro účely této smlouvy rozumí udržení parametrů a provozního výkonu řešení v bezchybném stavu a v úrovni požadované objednatelem dle smlouvy, a to zejména poskytováním servisních zásahů pro odstranění chyb SW, provádění oprav a záplat SW, jakož i odstraňování chyb a vad, či poruch HW (nejedná-li se o vady odstraňované dodavatelem v rámci záruky) a běžná údržba a profylaxe řešení Smluvní strany se dohodly, že nad uvedený rozsah vnímají jako součást služby rutinní a pravidelné správy i drobná objednatelem vyžádaná vylepšení řešení nebo jeho komponent bez dopadu na celkovou charakteristiku řešení
2.6.3. Ostatní servisní činnosti dodavatele, jež dle výčtu podle výše uvedeného nespadají, do rutinní a pravidelné správy bude dodavatel objednateli poskytovat pouze a výhradně dle aktuálních potřeb objednatele na základě požadavků - jednotlivých výzev objednatele Předmětem této části služby spočívající v provádění a poskytování ostatních servisních činností budou zejména plnění spočívající v nastavení nových funkcionalit, úprav či rozšíření SW požadovaných objednatelem nad rámec zakoupeného SW a jeho rutinní a pravidelné
ČEPRO, a s 095/16/OCN
Smlouva č 40287
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí - SIEM
strana 3/18
správy či zpracování kompletních nových projektů souvisejících s užíváním SW objednatelem apod
2 7 Dodavatel je povinen provádět služby dle jejich charakteru soustavně a nepřetržitě po dobu trvání této smlouvy a služby prováděné dle požadavků objednatele, tj na základě výzvy objednatele ve stanoveném místě a čase plnění Vybrané služby se zavazuje dodavatel provádět operativně podle požadavků objednatele velmi flexibilně, termín plnění může být stanoven i „ze dne na den"
2 8 Služby požadované objednatelem jsou specifikovány touto smlouvou, jejími nedílnými součástmi, dokumenty, na které smlouva odkazuje Rozsah poskytovaných služeb je obecně definován touto smlouvou a konkrétně v jednotlivých případech aktuálními požadavky objednatele, tj v písemné výzvě k poskytnutí plnění
ČI. 3. Zadání požadavků objednatele
3 1 Dodavatel souhlasí, že služby v rámci maintenance dle této smlouvy spočívající v poskytování ostatních servisních činností dodavatele, nevyplývá-li výslovně z této smlouvy či z jejího kontextu, že dodavatel je povinen provádět dotčené služby i bez výslovného požadavku, tj výzvy objednatele, nepřetržitě po celou dobu trvání této smlouvy, budou dotčené činnosti objednatelem požadovány a zadávány na základě písemné výzvy k poskytnutí plnění dodavatele (dále a výše též jen „výzva“, „výzva objednatele" či „objednávka") a potvrzení této výzvy objednatele dodavatelem, přičemž dodavatel se zavazuje objednávku neprodleně akceptovat, a to tak, že objednávku písemným potvrzením akceptuje či za potvrzení objednávky se má za to provedení jakéhokoliv úkonu - jednání dodavatele vůči objednateli, ze kterého je bez pochyb zřejmé, že dodavatel objednávku přijal a hodlá na základě ní plnit
3 1 1 Smluvní strany v této souvislosti konstatují, že dílčí smlouva mezi stranami není uzavřena, pokud dodavatel objednávku potvrdí s dodatkem nebo odchylkou proti požadavkům objednatele. Potvrzení objednávky dodavatelem s dodatkem anebo odchylkou od znění objednávky nezakládá povinnost objednatele takovou odchylku či dodatek akceptovat
3.2. Objednávka bude objednatelem dodavateli zasílána.
3 | 2 1 | e-mailem Objednatele zasílaným na adresu | |
3 | 2 2. | v listinné podobě na adresu sídla dodavatele |
3.2.3 či jiným vhodným způsobem výslovně písemně mezi smluvními stranami dohodnutým.
3 3 Písemná výzva objednatele bude doručena dodavateli postupem sjednaným v této smlouvě a bude obsahovat zejména-
3 3.1. specifikaci ostatní servisní činnosti požadované objednatelem dle této smlouvy,
3 3 2 specifikaci místa plnění, specifikaci přístupu k řešení,
3.3.3. požadovaný termín zahájení, ukončení a předání plnění dodavatele,
3 | 3 4 |
3 | 3 5 |
3 | 3 6 |
další požadavky objednatele v případě potřeby - požadavek na vypracování harmonogramu, termíny předání pracoviště, jména osob pověřených za objednatele konat ve věcech technických týkající se objednané služby, není-li stanoveno smlouvou atd ,
osoby oprávněné jednat za objednatele v rámci dílčí smlouvy, osoby oprávněné převzít plnění
otázky vztahující se k fakturačním podmínkám v souladu s touto smlouvou (právo na vytavení faktury dodavatelem).
3 4 Přijetím objednávky objednatele dodavatelem je uzavřena mezi stranami dle charakteru a specifikace předmětu plnění dílčí smlouva o dílo a/nebo dílčí smlouva na služby s odkazem na § 1746 odst 2 zákona č 89/2012 Sb , občanský zákoník, v platném znění (dále a výše též jen „dílčí smlouva")
3.5. Dílčí smlouva musí odpovídat této smlouvě
3 6 Objednatel se zavazuje řádně poskytnuté služby provedené objednatelem převzít za podmínek stanovených touto smlouvou a za služby poskytnuté dodavatelem dle dílčí smlouvy se objednatel zavazuje dodavateli uhradit odměnu dodavatele - cenu vypočtenou dle skutečně provedených
Č E P R O ,a s 095/16/OCN
Smlouva č 40287
Nastroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí - SIEM
strana 4/18
činností vypočtených na základě sjednané sazby za člověkohodinu pro provádění ostatních servisních činností
Cl. 4. Práva a povinnosti smluvních stran
4 1 Dodavatel prohlašuje, že je oprávněn uzavřít tuto smlouvu a že je oprávněn k poskytnutí plnění
4 2. Dodavatel prohlašuje a objednateli zaručuje, že je výrobce/osoba vlastnící autorská práva k řešení či není-li výrobce/osoba vlastnící autorská práva k řešení, je oprávněný distributor - certifikovaný partner výrobců//osob vlastnící autorská práva k řešení dodavatelem dodávaného, a dále zaručuje, že veškeré zboží v rámci předmětu plnění dodávané dodavatelem je určeno pro český trh
4 | 3 |
4 | 4 |
4 | 5 |
Dodavatel prohlašuje, že je dostatečně vybaven k plnění této smlouvy a příp dílčích smluv Dodavatel prohlašuje, že se zavazuje zajistit dostatečnou personální i technickou kapacitu pro provádění plnění dle a na základě této smlouvy, a zavazuje se, že bude mít po celou dobu trvání této smlouvy uzavřené s objednatelem potřebnou techniku a pomůcky požadované objednatelem a platnou legislativou
Dodavatel je povinen dodržovat při provádění předmětu plnění veškeré obecně závazné předpisy českého právního řádu a rovněž vnitřní předpisy objednatele, se kterými byl seznámen
Dodavatel je povinen provádět plnění a následně poskytovat služby v čase a rozsahu tak, jak vyplývá z této smlouvy a z výzev objednatele Služby dodavatele budou vykonávány v souladu, podle a na základě této uzavřené smlouvy a nepřekročí rámec stanovený touto smlouvou a dílčími smlouvami
4.6. Dodavatel je povinen plnění a zejména konkrétní dále stanovené služby prováděné na základě této smlouvy a dílčích smluv, anebo výsledky služby v materiální podobě, předat objednateli, a to formou protokolu o předání a převzetí ve smyslu této smlouvy či bude-ll mezi stranami dohodnuto formou písemných zpráv či akceptačních protokolů, jež svým obsahem odpovídají protokolu o předání a převzetí Takové dokumenty musí být vždy stvrzeny podpisem osoby oprávněné v dané záležitosti jednat za objednatele
4.7 Dodavatel se zavazuje zachovávat mlčenlivost v souladu s ustanovením této smlouvy a žádné informace, data či jiné výsledky ze služeb prováděných dodavatelem na základě a dle této smlouvy neposkytne třetím osobám
4.8. Dodavatel je povinen chránit zájmy objednatele
4 9 Dodavatel se zavazuje při plnění předmětu této smlouvy a dílčích smluv brát zřetel na potřeby objednatele a jednotlivé činnosti se dodavatel zavazuje provádět v úzké součinnosti s objednatelem
4 10 Dodavatel prohlašuje, že provedl odborné posouzení a zhodnocení technických parametrů předmětu plnění v souladu s požadavky objednatele uvedenými v zadávací dokumentaci, a prohlašuje, že veškeré údaje k řádnému plnění této smlouvy jsou mu známy před uzavřením této smlouvy.
4 1 Objednatel výslovně dodavatele upozorňuje, že nemá zájem na jakémkoliv vadném plnění a proto dodavatel výslovně objednatele ujišťuje, že předmět plnění bude vždy bez vad
4.12 Za podstatné porušení této smlouvy se považuje vždy vadné plnění dodavatele, v jehož důsledku nelze řádně a bez obtíží (neplynoucích z obvyklého způsobu užívání věci nebo způsobů použití, který si objednatel v této smlouvě vymíníl) užívat dodaný předmět plnění nebo jeho jednotlivou část
4.13. Dodavatel je povinen dodat a objednatel předat předmět plnění výhradně splňující všechny podmínky stanovené touto smlouvou a jejími nedílnými součástmi a rovněž splňující povinné podmínky platné legislativy.
414 Objednatel se zavazuje řádně provedený předmět plnění převzít, rozpozná-li však objednatel vadu (včetně vady v dokladech nutných pro užívání věci či v množství, provedení apod), nemá objednatel povinnost předmět plnění převzít
4 15 Dodavatel se zavazuje řídit se veškerými pokyny objednatele, je však povinen neprodleně upozornit objednatele na případnou nevhodnost jeho pokynů a navrhnout objednateli alternativní, dle odborného názoru dodavatele vhodnější postup a objednatel dodavateli neprodleně sdělí, zda s
ČEPRO, a s 095/16/OCN
Smlouva č 40287
Nástroj pro sběr a vyhodnoceni kybernetických bezpečnostních událostí - SIEM
strana 5/18
navrženým alternativním postupem souhlasí, anebo zda na svých původních pokynech trvá, anebo zda případně navrhuje jiný postup Dodavatel je povinen objednateli poskytnout potřebnou součinnost k učinění rozhodnutí
4 16 Není-li to v rozporu s obecně závaznými předpisy českého právního řádu, uvedené činnosti dodavatele mohou být v průběhu trvání této smlouvy rozšířeny - doplněny po vzájemné domluvě podle požadavku objednatele, uzavřením dodatku ktéto smlouvě či může být rozsah díla či konkrétních služeb v rámci maintenance naopak zúžen, a to vždy na základě požadavků objednatele a dodatku uzavřeného ktéto smlouvě či k dílčí smlouvě, bude-li se předmětná záležitost týkat pouze služeb poskytovaných dodavatelem na základě a dle této smlouvy v souladu s dílčí smlouvou uzavřenou dle postupu sjednaného smlouvou
4 17 Dílo dodavatelem prováděné bude vždy splňovat kvalitativní požadavky definované platnými normami ČSN či EN v případě, že příslušné české normy neexistují Doporučené ustanovení norem ČSN či EN se pro dodavatele považují vždy za závazná
4 18 Objednatel je povinen poskytovat potřebná dostupná data a informace, příp materiály, které dodavatel nezbytně potřebuje k plnění činností
4 19 Objednatel se dále zavazuje umožnit dodavateli pro plnění jeho povinností operativní konzultaci se svými kompetentními odbornými pracovníky
4 20 Objednatel se zavazuje informovat dodavatele o všech důležitých skutečnostech a změnách, které by mohly mít vliv na realizaci díla dodavatelem
4.21 Objednatel umožní pro plnění díla dodavatelem vstup osobám na straně dodavatele na nezbytné místa plnění nacházející se v areálu provozu objednatele, tj do skladu objednatele, a zavazuje se předat dodavateli pracoviště.
4 22 Objednatel seznámí dodavatele se specifickými předpisy v oblasti ochrany a bezpečnosti zdraví při práci, s vnitřními předpisy objednatele a dalšími požadavky a omezujícímu podmínkami platnými pro pohyb osob v areálech skladů pohonných hmot objednatele Dodavatel je povinen seznámit s výše uvedenými skutečnostmi všechny osoby, prostřednictvím kterých či s jejich pomocí bude své služby provádět
4 23 Objednatel se zavazuje dle této smlouvy poskytnout nezbytnou součinnost pro plnění této smlouvy, zejména
4 23 1 v případě potřeby zabezpečit pro dodavatele funkční vzdálené připojení do příslušné části počítačové sítě objednatele v rozsahu potřebném k plnění předmětu dle této smlouvy,
4.23 2 poskytnout nezbytnou součinnost v době testovacího provozu řešení,
4.23.3 k nahlašování chyb či zadávání požadavků využívat výhradně prostředky určené touto smlouvou
4 24 Dodavatel prohlašuje, že veškeré činnosti bude provádět sám bez subdodavatelů či prostřednictvím subdodavatelů, jejichž identifikační údaje oznámí objednateli a objednatel tyto subdodavatele schválí
4 24 1 Dodavatel je oprávněn pověřit prováděním činností subdodavatele, kteří byli předem písemně schváleni objednatelem nebo kteří byli uvedeni v nabídce doručené objednateli ve výběrovém řízení 095/16/OCN (na předmět plnění smlouvy) Schválení subdodavatele nesmí objednatel bezdůvodně zdržovat nebo jej bezdůvodně odpírat
4 24 2 Změna subdodavatele, s jehož pomocí dodavatel prokazoval kvalifikaci ve výběrovém řízení 095/16/OCN (na předmět plnění smlouvy), je možná pouze za takového subdodavatele, který prokáže splnění kvalifikace ve stejném rozsahu jako subdodavatel, jehož má nahradit
4.24.3 Dodavatel je povinen ve svých subdodavatelských smlouvách zabezpečit splnění povinností vyplývajících ze smlouvy, a to přiměřeně k povaze a rozsahu subdodávky.
4 25 V případě, že dojde ke změně v osobách oprávněných jednat a pověřených objednatelem a/nebo dodavatelem, je dotčená smluvní strana tuto skutečnost neprodleně oznámit druhé smluvní straně písemným oznámením Změna dotčených osob nabude účinnosti doručením oznámení do sféry dispozice dotčené smluvní strany - oznámení bude doručeno osobně či bude zasláno na adresu sídla dotčené smluvní strany, které je oznámení určeno
4 26 Smluvní strany se zavazují jednat tak a přijmout taková opatření, aby nevzniklo jakékoliv důvodné podezření na spáchání či nedošlo k samotnému spáchání trestného činu (včetně formy
ČEPRO, a s 095/16/OCN
Smlouva č 40287
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí - SIEM
strana 6/18
účastenství), který by mohlo být jakékoliv ze smluvních stran přičteno podle zákona č 418/2011 Sb , o trestní odpovědnosti právnických osob a řízení proti mm nebo nevznikla trestní odpovědnost fyzických osob (včetně zaměstnanců) podle trestního zákona č 40/2009 S b , případně nebylo zahájeno trestní stíhání proti jakékoliv ze smluvních stran včetně jejích zaměstnanců podle platných právních předpisů Dodavatel prohlašuje, že se seznámil s Etickým kodexem ČEPRO, a s a zavazuje se tento dodržovat na vlastní náklady a odpovědnost při plnění svých závazků vzniklých z této smlouvy a na jejím základě Etický kodex ČEPRO, as je uveřejněn na httos //www ceproas cz/public/data/etickv kodex-fmal.pdf Povinnosti vyplývající z Etického kodexu se vztahují zejména na trestné činy přijetí úplatku, nepřímého úplatkářství, podplácení a legalizace výnosů z trestné činnosti, přičemž důvodné podezření ohledně možného naplnění skutkové podstaty těchto trestných činů je příslušná smluvní strana povinna neprodleně oznámit druhé smluvní straně bez ohledu a nad rámec splnění případné zákonné oznamovací povinnosti
4 27 Smluvní strany se zavazují a prohlašují, že splňují a budou po celou dobu trvání této smlouvy a dílčích smluv dodržovat a splňovat kritéria a standardy chování společností ČEPRO, a s v obchodním styku, specifikované a uveřejněné na adrese https //www ceproas cz/vyberova-rlzeni a etické zásady, obsažené v Etickém kodexu ČEPRO, a s
ČI. 5. Obchodní tajemství, důvěrné informace a mlčenlivost
5 1. Smluvní strany se zavazují, že budou veškeré informace, předané v jakékoliv podobě vážící se k této smlouvě a dílčím smlouvám, informace, které smluvní strana přímo nebo nepřímo získala od druhé smluvní strany v souvislosti s uzavřením a plněním této smlouvy a dílčích smluv a/nebo informace, které jsou obsaženy v této smlouvě či jí v souvislosti se smlouvou druhá smluvní strana sdělí, jakož i informace tvořící obchodní tajemství či které mohou mát povahu obchodního tajemství (dále jen „Důvěrné informace“) a dále informace utajované dle zákona č 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, v platném znění, zachovávat v tajnosti Smluvní strana je povinna zachovávat mlčenlivost o Důvěrných informacích a zavazuje se, že Důvěrné informace nezneužije Důvěrné informace jsou pokládány za důvěrný údaj ve smyslu ustanovení § 1730 zákona č 89/2012 S b , občanský zákoník, v platném znění, a současně za obchodní tajemství ve smyslu § 504 téhož zákona
5.2. Obchodní tajemství a Důvěrné informace podle této Smlouvy tvoří všechny skutečnosti obchodní, ekonomické a právní povahy v hmotné nebo nehmotné formě, které byly jednou ze smluvních stran takto označeny a byly poskytnuty druhé smluvní straně Tyto skutečnosti nejsou v příslušných obchodních kruzích zpravidla běžně dostupné a obě smluvní strany mají zájem na jejich utajení a na odpovídajícím způsobu jejich ochrany
5 3. Smluvní strany této smlouvy se zavazují zajistit utajování informací spadající do oblasti obchodního tajemství a Důvěrné informace též všemi zaměstnanci smluvních stran i dalšími osobami, které pověří dílčími úkoly v souvislosti s realizací této smlouvy Smluvní strany se zavazují, že všechny skutečnosti, spadající do oblasti obchodního tajemství a Důvěrné informace použijí pouze pro činnosti související s přípravou a plněním této smlouvy a dílčích smluv, a že je nebudou dále rozšiřovat nebo reprodukovat, nezpřístupní je třetí straně a ani je nevyužijí pro sebe či pro třetí stranu Současně se zavazují, že zabezpečí, aby převzaté dokumenty a případné analýzy, obsahující obchodní tajemství nebo Důvěrné informace, byly řádně evidovány
5 4 Poskytnutí všech informací spadajících do oblasti obchodního tajemství nebo Důvěrných informací nezakládá žádné právo na licenci, ochrannou známku, patent, právo užití nebo šíření autorského díla, ani jakékoliv jiné právo duševního nebo průmyslového vlastnictví Informace, které mohou být zveřejněny kteroukoliv ze smluvních stran, a to za předpokladu udělení souhlasu druhé smluvní strany nebo způsobem, který je v souladu s touto smlouvou, nebudou obsahovat žádné údaje, záruky, jistiny, ručení nebo stimuly jakéhokoliv druhu, které jsou v rozporu s právy ochranných známek, patentovými právy, autorskými právy nebo nějakými dalšími právy duševního vlastnictví zveřejňující smluvní strany.
5 5 Za porušení povinností týkajících se ochrany obchodního tajemství a/nebo Důvěrných informací podle této smlouvy má poškozená smluvní strana právo uplatnit u druhé smluvní strany, která tyto povinnosti porušila, smluvní pokutu Uplatněním smluvní pokuty není dotčeno právo na náhradu škody Výše smluvní pokuty je stanovena částkou 100 000,- Kč (slovy jedno sto tisíc korun českých) za každý jednotlivý případ porušení povinnosti mlčenlivosti
ČEPRO, a s 095/16/OCN
Smlouva č 40287
Nástroj pro sběr a vyhodnoceni kybernetických bezpečnostních událostí - SIEM
strana 7/18
5 6 Závazky stanovené touto smlouvou k ochraně skutečností, tvořících obchodní tajemství a Důvěrné informace, se vztahují jak na období účinnosti této smlouvy, tak i na období pěti (5) let po jejím ukončení.
5 7 Ustanoveními tohoto článku smlouvy není dotčena povinnost dodavatele vyplývajících ze zákona č 412/2005 Sb , o ochraně utajovaných informací a o bezpečnostní způsobilosti, v platném znění, a dodavatel je povinen ochraňovat utajované informace v souladu a za podmínek platné legislativy.
ČI. 6. Vlastnické právo k dílu
6 1. Objednatel nabývá vlastnické právo k dílu instalací v místě plnění
6 2 Dodavatel nese nebezpečí na díle do okamžiku jeho předání objednateli stvrzeného podpisem objednatele na protokolu o předání a převzetí
ČI. 7. Čas (doba) a místo plnění, pracoviště
7 | 1 |
7 | 2 |
7 | 3 |
7 | 4 |
Dodavatel je povinen provádět činnosti dle a na základě této smlouvy řádně a včas Služby prováděné v souladu s touto smlouvou dle potřeb objednatele, tj na základě výzvy objednatele je povinen provádět v místě a čase plnění sjednaném ve výzvě, tj v dotčené dílčí smlouvě
Smluvní strany se dohodly, že lhůta pro komplexní dodávku, instalaci a implementaci řešení (dodávku HW a SW, instalaci HW a implementaci SW včetně provedení souvisejících činností a příp dodávek) činí 74 dnů (včetně 14ti denního testovacího období předcházejícím akceptaci převzetí předmětu plnění zadavatelem) po podpisu a nabytí účinnosti smlouvy
Služby spočívající v maintenance a souvisejících činnostech dle sjednaného rozsahu plnění dodavatele bude dodavatel následně poskytovat po dobu dvou (2) (kalendářních) let od data implementace řešení stvrzeného protokolem o předání a převzetí
Služby spočívající v rutinní a pravidelné správě řešení je povinen dodavatel provádět po celou dobu trvání této smlouvy bez výzvy objednatele Dodavatel touto smlouvou souhlasí a zavazuje se, že bude po dobu trvání této smlouvy vykonávat v rámci rutinní a pravidelné správy své činnosti jednak průběžně (záplaty SW, běžná údržba, pofylaxe řešení apod ) a činnosti spočívající zejména v servisních zásazích u odstraňování chyb, vad či poruch HW nebo SW v reakčních dobách dle níže uvedeného, nebude-li pro konkrétní případy sjednáno jinak
7.5. Reakční lhůty pro servisní zásahy
7 5 1 Servisní zásahy budou řešeny v těchto maximálních reakčních dobách pět (5) hodin kritické chyby
(stav řešení znemožňující plnění povinností dle platné legislativy, zejména dle zákona č 181/2014
Sb a souvisejících předpisů)
- jeden (1) pracovní den závažné chyby (stav řešení ztěžující plnění povinností dle platné legislativy, zejména dle zákona č 181/2014 Sb a souvisejících předpisů)
tři (3) pracovní dny nezávažné chyby (jakýkoliv stav řešení odchylný od bezchybně funkčního stavu)
7.5.2 Pro vyloučení všech pochybností a právní jistotu smluvních stran smluvní strany uvádějí, že shora uvedené reakční lhůty se mají chápat jako 1) lhůty pro zahájení odstraňování chyb/plnění dodavatele a 2) od jeho zahájení servisního zásahu pak znovu rovněž jako lhůty pro odstranění chyby/uvedení do bezvadného stavu/dokončení a splnění požadavku objednatele Tzn , že např reakční lhůta uvedená dle výše uvedeného činí 5 hodin pro zahájení odstraňování kritické chyby řešení, přičemž zároveň do 5 hodin po zahájení jejího odstraňování musí být dodavatelem kritická chyb odstraněna a řešení uvedeno do bezvadného funkčního stavu
7 5.3. V případě, že kritická nebo závažná chyba bude takového rozsahu, případně technického charakteru, že dodavatel nebude schopen výše uvedené reakční lhůty pro odstranění chyb dodržet, bude dodavatel o této skutečnosti neprodleně informovat objednatele a ve spoluprácí obou smluvních stran (tj objednatele a dodavatele) bude stanoven dohodou nový
ČEPRO, a s 095/16/OCN
Smlouva č 40287
Nástroj pro sběr a vyhodnoceni kybernetických bezpečnostních událostí - SIEM
strana 8/18
termín k odstranění a/resp případné provozní provizorium pro překlenutí doby vady náhradním způsobem dle návrhu dodavatele
7 6. Bližší specifikace k ostatním servisním činnostem bude vždy ve výzvě objednatele, kde objednatel mj, specifikuje termín pro dokončení a předání služby objednateli
7 6 1 Výzva objednatele bude vždy obsahovat konkretizaci požadavku na službu ve smyslu této smlouvy a návrh termínu pro vyřešení tohoto požadavku Termín pro dokončení a předání plnění bude stanoven na pracovní den a v případě, že by datum určené jako termín pro dokončení a předání plnění dodavatelem objednateli nedopadalo na pracovní den, má se za to, že termínem pro dokončení a předání plnění je poslední pracovní den předcházející označenému datu, nebude-li v konkrétních případech sjednáno jinak.
7 6 2 Nedohodnou-li se smluvní strany v jednotlivých případech jinak, je stanovena lhůta pro splnění služby (tj včetně předání výsledků služby) specifikované v dílčí smlouvě délkou sedmi (7) pracovních dnů
7 7. Smluvní strany se dohodly, že dodavatel objednateli zaručuje dostupnost dodavatele pro nahlášení chyb, vad či poruch HW nebo SW, které je dodavatel povinen odstranit v rámci rutinní a pravidelné správy řešení, jež je stanovena dle následujícího
7.7 1 Dostupnost dodavatele pro nahlašování chyb, vad či poruch HW nebo SW, které je dodavatel povinen odstranit v rámci rutinní a pravidelné správy řešení, a dostupnost dodavatele pro zjednání nápravy dle stanovených reakčních lhůt, bude realizována v tomto režimu
Typ/Prostředek | Telefon | E-mail | Helpdesk |
Dostupnost prokritickévady | |
Dostupnost proostatní hlášení chyb, vadči poruchHW/SW | pracovní dny, 9-17hod |
7 8 Dostupností se pro účely této smlouvy rozumí doba, ve které bude poskytovatel povinen reagovat na výzvu oprávněných osob objednatele Po nahlášení chyby začíná běžet doba pro provedení a ukončení servisního zásahu dle ustanovení 7 5 výše
7 9 Objednatel je oprávněn nařídit písemně zastavení a/nebo dočasné přerušení prací na plnění služeb podle příslušné dílčí smlouvy. V takovém případě se lhůty pro plnění dodavatele dotčené přerušením plnění prodlouží o dobu, po níž byly práce zastaveny v souladu s touto smlouvou
7 10 Místo plnění se nachází na území České republiky ve skladu pohonných hmot Hněvice
7 1 Objednatel se zavazuje předat dodavateli, je-li to nutné pro plnění činnosti, pracoviště v den, který bude jako den předání pracoviště vždy, není-li sjednáno jinak, určen ve výzvě objednatele, prosté jakýchkoliv překážek, které by bránily zahájení provedení díla O předání a převzetí pracoviště bude mezi smluvními stranami sepsán protokol o předání a převzetí pracoviště Pokud se dodavatel k přejímce pracoviště nedostaví, nemá právo uplatňovat posunutí termínu plnění z titulu pozdního předání pracoviště
7.11 1 Práce na pracovišti budou vždy probíhat za provozu objednatele, což je dodavatel povinen při provádění díla zohlednit Dodavatel je na pracovišti dodržovat všechny bezpečnostní předpisy a vnitřní předpisy objednatele platné v areálu provozu, se kterými byl dodavatel předem seznámen
7 112 Objednatel nezajišťuje uzavřený sklad, poskytne dodavateli pouze možnost umístění zařízení, strojů a materiálu nezbytného k realizaci díla na pracovišti dle možnosti v době provádění prací na díle Objednatel rovněž neposkytuje pro dodavatele šatny, ani WC
7113 Dodavatel je povinen udržovat pořádek na pracovišti V případě, že dodavatel nezajistí likvidaci odpadu a zbytků materiálu, odstraní je objednatel sám na náklady dodavatele a dodavatel je povinen uhradit objednateli veškeré náklady, které mu budou objednatelem v této souvislosti vyúčtovány
ČI. 8. Odměna dodavatele - cena a platební podmínky
8 1 Objednatel se zavazuje uhradit dodavateli za řádně a včas poskytnutý předmět plnění na základě a dle této smlouvy odměnu Odměna dodavatele za služby poskytnuté dodavatelem objednateli na
ČEPRO, a s 095/16/OCN
Smlouva č 40287
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí - SIEM
strana 9/18
základě a dle dílčích smluv je stanovena dohodou smluvních stran a bude účtována na základě jednotkové ceny - sazby za člověkohodinu ostatních servisních činností za skutečně provedené činnosti dle přehledu provedených činností (dále a výše též jen „výkaz činnosti") a jejich rozsahu schváleného ze strany objednatele
8 2 Veškeré ceny uvedené v této smlouvě jsou uvedeny v korunách českých bez daně z přidané hodnoty a jsou závazné a konečné K uvedeným cenám bude vždy účtována daň z přidané hodnoty (DPH) v zákonem stanovené výši ke dm uskutečnění zdanitelného plnění
8 3. Smluvní strany se dohodly, že odměna dodavatele je sjednána jako cena smluvní, přičemž
8 3 1 objednatel je povinen při splnění podmínek smlouvy uhradit dodavateli cenu v celkové výši 403 000,- Kč bez DPH (slovy čtyřistatřitisícekorunčeských bez DPH) za kompletní dodávku, instalaci a implementaci řešení stanovenou na základě nabídky dodavatele součtem příslušných položkových cen plnění,
8 3 2 objednatel je povinen při splnění podmínek smlouvy uhradit dodavateli odměnu dodavatele- cenu za licenci - oprávnění užití objednatele k řešení ve výši 1 309 000,- Kč bez DPH (slovy jedenmiliontřistadevěttisíckorunčeských bez DPH),
8 3 3 objednatel je povinen při splnění podmínek smlouvy uhradit dodavateli cenu za maintenance, kde služba rutinní a pravidelné správy poskytovaná dodavatelem bude hrazena formou paušální částky ve výši ve výši 25 000,- Kč bez DPH (slovy dvacetpěttisíckorunčeských bez DPH) za kalendářní měsíc, služby spočívající v poskytování ostatních servisních činností budou objednatelem hrazeny dle skutečně provedených činností schválených ve výkazu činnosti na základě jednotkové ceny - sazby za člověkohodinu ve výši 1 500,- Kč bez DPH (slovy tisícpětsetkorunčeských bez DPH)
8.4 Jednotkové ceny uvedené v této smlouvě v nabídce, na základě kterých je vždy vypočtena příslušná odměna dodavatele, jsou po celou dobu trvání této smlouvy pevné, nejvýše přípustné a neměnné (s výjimkou části pospané v ustanovení 8 5 níže) a zahrnují veškeré náklady spojené s plněním dodavatele dle této smlouvy a dílčích smluv
8.5. Smluvní strany se dohodly, že odměna dodavatele stanovující cenu v celkové výši 403 000,- Kč bez DPH (slovy čtyřistatřitisícekorun českých bez DPH) za kompletní dodávku, instalaci a implementaci řešení stanovenou na základě nabídky dodavatele součtem příslušných položkových cen plnění, jakož i odměna dodavatele (- cena za licenci) - oprávnění užití objednatele k řešení ve výši 1 309 000,- Kč bez DPH (slovy jedenmiliontřistadevěttisíckorunčeských bez DPH) je neměnná a dodavatel j i garantuje po celou dobu trvání této smlouvy Týká-li se části odměny dodavatele zahrnující odměny dodavatele za služby maintenance, je tato část odměny dodavatele pro smluvní strany závazná, konečná, nejvýše přípustná a neměnná po minimální dobu trvání jednoho (1) kalendářního roku trvání smlouvy a dodavatel není oprávněn změnit výši této části odměny po dobu jednoho (1) kalendářního roku trvání této smlouvy Po uplynutí této doby, jsou smluvní strany oprávněny jednat o výši odměny dodavatele v dotčené části (odměna za služby maintenance) a její změně, není-li to v rozporu s platnou legislativou Po uplynutí doby jednoho (1) kalendářního roku trvání této smlouvy je dodavatel rovněž oprávněn využít svého práva upravit výši dotčené části odměny o výši stanovenou tzv inflační doložkou Tj smluvní strany se dohodly, že příslušnou část odměny dodavatele je dodavatele oprávněn po uplynutí sjednané doby zvýšit o procento odpovídající kladnému procentu meziroční inflace (případně kladnému vývoji indexu spotřebitelských cen), vyhlášené (vyhlášenému) Českým statistickým úřadem za předchozí kalendářní rok, a to vždy s účinností od prvního dne měsíce následujícího po měsíci, v němž bude takové vyhlášení oficiálně učiněno
8 6 Objednatel neposkytuje dodavateli zálohy.
8.7. Nabídka, na jejímž základě byla sjednaná odměna dodavatele dle výše uvedeného, má povahu úplného a závazného rozpočtu ve smyslu ust § 2621 zákona č 89/2012 Sb , občanský zákoník, v platném znění
8 8 Není-li v konkrétních případech sjednáno jinak, objednatel není povinen hradit v průběhu plnění smlouvy přiměřenou část odměny ve smyslu ust § 2611 zákona č 89/2012 Sb , občanský zákoník, v platném znění
8.9 Smluvní strany se dohodly, že odměnu dodavatele
8.9 1 v celkové výši 403.000,- Kč bez DPH za kompletní dodávku, instalaci a implementaci řešení stanovenou na základě nabídky dodavatele vázající se k této části předmětu plnění je objednatel povinen uhradit dodavateli na základě faktury - daňového dokladu vystaveného
ČEPRO, a s 095/16/OCN
Smlouva č 40287
Nástroj pro sběr a vyhodnoceni kybernetických bezpečnostních událostí - SIEM
strana 10/18
dodavatelem po předání a převzetí řešení stvrzeného podpisem protokolu o předání a převzetí oběma smluvními stranami,
8 9 2 ve výši 1 309 000,- Kč bez DPH odpovídající ceně za licenci - oprávnění užití objednatele k řešení uhradí objednatel na základě faktury - daňového dokladu vystaveného dodavatelem jednorázově po předání a převzetí řešení stvrzeného podpisem protokolu o předání a převzetí oběma smluvními stranami,
8 9 3 ve výši 25 000,- Kč bez DPH za kalendářní měsíc za poskytování rutinní a pravidelné správy je objednatel povinen při splnění podmínek smlouvy uhradit na základě faktury - daňového dokladu vystaveného dodavatelem do pátého (5 ) kalendářního dne měsíce následujícího po kalendářním měsíci, za které je účtováno, a
8 9 4 za služby spočívající v poskytování ostatních servisních činností ve výši odpovídající skutečně provedeným činnostem objednatelem schválených ve výkazu činnosti vypočtené na základě jednotkové ceny uvedené v ustanovení 8.3.3 smlouvy výše, přičemž dodavatel je oprávněn vystavit fakturu - daňová doklad znějící na částku ve výši odpovídající skutečně provedeným činnostem objednatelem schválených ve výkazu činnosti vypočtené na základě jednotkové ceny uvedené v ustanovení 8 3.3 smlouvy výše po provedení příslušných činností a jejich předání či jejich výsledků, resp stvrzení jejich provedení ze strany objednatele, nebude-li dohodnuto výslovně jinak
8 10. Pro faktury vystavené dodavatelem na základě a dle této smlouvy je stanovena lhůta splatnosti třicet (30) dní od prokazatelného doručení faktury objednateli, tj na fakturační adresu objednatele
8 1 Každá faktura dle této smlouvy bude obsahovat náležitosti daňového a účetního dokladu dle platné legislativy a další náležitosti dle této smlouvy Na faktuře bude vždy uvedeno interní č objednávky objednatele sdělené objednatelem dodavateli
8 12 Závazek úhrady faktury objednatelem se považuje za splněný dnem odepsání fakturované částky z účtu objednatele ve prospěch účtu dodavatele, uvedeného v záhlaví této smlouvy a shodně na faktuře uvedeným.
8 13. Platba objednatele na základě a dle této smlouvy bude vždy provedena bezhotovostně na účet dodavatele používaný pro jeho ekonomickou činnost a uvedený v záhlaví této smlouvy, přičemž dodavatel prohlašuje, že uvedený bankovní účet splňuje náležitosti platné legislativy a bude po celou dobu platnosti této smlouvy uveden v souladu s právními předpisy na úseku daní, zejména v souladu se zákonem č 235/2004 S b , o dam z přidané hodnoty, ve znění pozdějších předpisů („zákon o DPH"), tj zejména bude číslo bankovního účtu dodavatele uvedeného ve smlouvě zveřejněno způsobem umožňujícím dálkový přístup V případě, že se vyskytnou důvodné pochybnosti objednatele o dodržování pravidel na úseku daňových předpisů dodavatelem (zejména v případě, že dodavatel bude označen za nespolehlivého plátce, v případě, že bankovní účet dodavatele uvedený v záhlaví této smlouvy nebude odpovídat údajům zveřejněným způsobem umožňujícím dálkový přístup dle zákona o DPH, atp), je objednatel oprávněn pozastavit platbu dodavateli do doby učinění nápravy, přičemž pozastavení platby dodavateli oznámí a objednatel v pozici ručitele za odvedení daně z přidané hodnoty bude postupovat způsobem uvedeným níže v tomto článku smlouvy V případě pozastavení platby objednatelem zvýše uvedených důvodů není objednatel v prodlení s platbou a dodavatel nemá nárok uplatňovat vůči objednatelovi jakékoli sankce z důvodu neprovedení platby objednatelem, ani nárok na náhradu škody
8.14 V případě, bude-li faktura vystavená dodavatelem dle a na základě této smlouvy obsahovat chybné či neúplné údaje či bude jinak vadná nebo nebude obsahovat veškeré údaje vyžadované závaznými právními předpisy České republiky a náležitosti a údaje v souladu se smlouvou nebo v ní budou uvedeny nesprávné údaje, údaje neodpovídající závazným právním předpisům České republiky nebo bude požadována úhrada faktury způsobem, kdy se objednatel stane či může stát ručitelem za odvod daně z přidané hodnoty dodavatelem, je objednatel oprávněn vrátit fakturu dodavateli zpět bez zaplacení Dodavatel je povinen vystavit novou opravenou fakturu s novým datem splatnosti a doručit j i objednateli V tomto případě od učinění výzvy objednatele k předložení bezvadné faktury dle první věty tohoto odstavce do doby doručení bezvadné faktury objednateli na fakturační adresu objednatele nemá dodavatel nárok na zaplacení fakturované částky, úrok z prodlení ani jakoukoliv jinou sankci a objednatel není v prodlení se zaplacením fakturované částky Lhůta splatnosti v délce třiceti (30) dnů počíná běžet znovu až ode dne doručení bezvadné faktury objednateli na fakturační adresu objednatele.
8 15 Fakturu na základě a dle této smlouvy dodavatel vystaví v písemné listinné podobě a doručí objednateli na objednatelem písemně stanovenou fakturační adresu, v době uzavření smlouvy
ČEPRO, a s 095/16/OCN
Smlouva č 40287
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí - SIEM
strana 11/18
stanovil objednatel tuto fakturační adresu ČEPRO, a s , FÚ, odbor účtárny, Hněvice 62, Stětí, PSČ 411 08. V případě, že dodavatel využije možnosti vystavit fakturu v elektronické podobě, je povinen si vyžádat souhlas objednatele a/nebo případně bude mezi stranami uzavřena samostatná dohoda o elektronické fakturaci
8 15 1 Smluvní strany se dohodly, že oznámení nebo změnu adresy v předchozím ujednání objednatel provede písemným oznámením podepsaným osobami oprávněnými k uzavření nebo změnám této smlouvy doručeným dodavateli na adresu uvedenou v záhlaví této smlouvy s dostatečným předstihem
8 16 Smluvní strany sjednávají, že
8 16 1 V případech, kdy objednatel je, nebo může být ručitelem za odvedení daně z přidané hodnoty dodavatelem z příslušného plnění, nebo pokud se jím objednatel stane nebo může stát v důsledku změny zákonné úpravy, je objednatel oprávněn uhradit na účet dodavatele uvedený ve smlouvě pouze fakturovanou částku za poskytnuté plnění bez daně z přidané hodnoty dle další věty Částku odpovídající dam z přidané hodnoty ve výši uvedené na faktuře, případně ve výši v souladu s platnými předpisy, je-li tato vyšší, je objednatel v takovém případě oprávněn místo dodavateli jako poskytovateli zdanitelného plnění uhradit v souladu s příslušnými ustanoveními zákona o DPH, (tj zejména dle ustanovení §§ 109, 109a, event dalších) přímo na příslušný účet správce daně dodavatele jako poskytovatele zdanitelného plnění s údaji potřebnými pro identifikaci platby dle příslušných ustanovení zákona o DPH Úhradou daně z přidané hodnoty na účet správce daně dodavatele tak bude splněn závazek objednatele vůči dodavateli zaplatit sjednanou odměnu v částce uhrazené na účet správce daně dodavatele
8 16 2 O postupu objednatele viz výše bude objednatel písemně bez zbytečného odkladu informovat dodavatele jako poskytovatele zdanitelného plnění, za nějž byla daň z přidané hodnoty takto odvedena
8 16 3 Uhrazení závazku učiněné způsobem uvedeným výše je v souladu se zákonem o DPH a není porušením smluvních sankcí za neuhrazení finančních prostředků ze strany objednatele a nezakládá ani nárok dodavatele na náhradu škody
8 17 Smluvní strany se dohodly, že objednatel je oprávněn pozastavit úhradu faktur dodavateli, pokud bude na dodavatele podán návrh na insolvenční řízení Objednatel je oprávněn v těchto případech pozastavit výplatu do doby vydání soudního rozhodnutí ve věci probíhajícího insolvenčního řízení Pozastavení výplaty faktury z důvodu probíhajícího insolvenčního řízení, není prodlením objednatele Bude-li insolvenční návrh odmítnut, uhradí objednatel fakturu do třiceti (30) dnů ode dne, kdy obdrží od dodavatele rozhodnutí o odmítnutí insolvenčního návrhu s vyznačením právní moci V případě, že bude rozhodnuto o úpadku a/nebo o způsobu řešení úpadku, bude objednatel postupovat v souladu se zákonem č 182/2006 Sb , insolvenční zákon, v platném znění
ČI. 9. Vadné plnění, záruka a záruční doba
91 Práva z vadného plnění a ze záruky poskytnuté dodavatelem bude uplatňovat objednatel postupem sjednaným ve smlouvě mezi stranami a v souladu s platnou legislativou
9 2 Dodavatel ručí za řádné provedení díla a dalšího poskytnutého plnění (služby a jejího výsledku) ve všech jeho vyhotoveních po dobu dvaceti čtyř (24) měsíců
9 3 Záruční doba na předmět plnění činí dvaceti čtyř (24) měsíců (2 kalendářní roky) ode dne podpisu protokolu o předání a převzetí smluvními stranami či jiné písemnosti stvrzující převzetí příslušného plnění dodavatele objednatelem Objednatel se zavazuje po tuto dobu bezplatně odstranit veškeré vady zjištěné v době záruky včetně jejich následků, tj opravit nebo vyměnit neprodleně a na své náklady a odpovědnost jakékoli vadné součásti či celý předmět plnění za bezvadný Ke stejné povinnosti se dodavatel zavazuje v případě vad zjištěných při převzetí předmětu plnění objednatelem Objednatel má právo namísto bezplatného odstranění vady žádat v reklamaci slevu přiměřenou nákladům na odstranění vady, pro odstoupení od smlouvy z důvodu vad předmětu plnění platí ustanovení zákona č 89/2012 S b , občanský zákoník, v platném znění, není-li touto smlouvou stanoveno jinak
9 4 Práva objednatele z vadného plnění a záruka za jakost se řídí příslušnými ustanoveními zákona č 89/2012 Sb , občanský zákoník, v platném znění, není-li v této smlouvě výslovně stanoven postup odlišný
ČEPRO, a s 095/16/OCN
Smlouva č 40287
Nastroj pro sběr a vyhodnoceni kybernetických bezpečnostních událostí - SIEM
strana 12/18
9 5 Dodavatel se touto smlouvou zavazuje, že předmět plnění bude během záruční doby dle této smlouvy
a) bez jakýchkoliv vad a způsobilý k užívání pro účel, pro nějž je určen
b) splňovat všechny požadavky stanovené touto smlouvou a mít všechny vlastnosti touto smlouvou požadované nebo, pokud tato smlouva takové vlastnosti výslovně nestanoví, vlastnosti obvyklé k účelu sjednanému ve smlouvě
c) splňovat všechny požadavky stanovené platnými zákony a ostatními obecně závaznými právními předpisy, a bude odpovídat platným technickým pravidlům, normám a předpisům platným na území České republiky
9 6 Dodavatel prohlašuje, že veškeré dodané zboží v rámci předmětu plnění je nové, nepoužívané a odpovídá platné dokumentaci a předpisům výrobce, a že zboží není zatíženo žádnými právy třetích osob
9.7 Vady, které budou zjištěny po převzetí předmětu plnění objednatelem, může objednatel reklamovat písemně v listinné formě poštou či elektronicky e-mailem u dodavatele, jak je uvedeno dále, do konce záruční doby V reklamaci musí být vada popsána Objednatel oznámí dodavateli vadu písemně na adresu sídla dodavatele, e-mailem na Dodavatel je povinen se ke každé doručené reklamaci písemně bez zbytečného odkladu vyjádřit Ve vyjádření buď vadu uzná a v případě, že vadu neuzná, musí uvést konkrétní důvod, z kterého vadu neuznává Xxxxxxxx se prodávající do jednoho (1) dne ode dne doručení reklamace nevyjádří, má se za to, že vadu uznává.
9 8 Dodavatel se zavazuje odstranit vadu oznámenou objednatelem dodavateli ve lhůtě do sedmi (7) pracovních dnů od oznámení vady objednatelem, nebude-li mezi smluvními stranami dohodnuto jinak Tato lhůta neplatí pro vady SW, které jsou dodavatelem odstraňovány a odstraněny v souladu a dle lhůt uvedených v ustanovení 7 5 této smlouvy
9 9 Neodstraní-li dodavatel reklamované vady ve lhůtě dle této smlouvy, je objednatel oprávněn podle vlastního uvážení odstranění vad provést sám, pověřit jejich odstraněním jiný subjekt nebo jeho prostřednictvím vyměnit vadný komponent či součást předmětu plnění Takto vzniklé náklady je objednatel dodavateli povinen uhradit na základě jeho písemné výzvy a ve lhůtě určené objednatelem ve výzvě V případě, že vady předmětu plnění odstraní kupující nebo jím navržená třetí osoba, nemá tato skutečnost vliv na záruku poskytnutou dodavatelem dle této smlouvy.
9 10 Smluvní strany touto smlouvou stvrzují následující práva z odpovědnosti za vady
a) právo na bezplatné odstranění vady
b) právo na doplnění chybějícího množství v případě, kdy dodané množství je v rozporu s množstvím uvedeným na průvodních dokladech k předmětu plnění
c) poskytnutí slevy z odměny dodavatele
d) odstoupení od smlouvy v případě, že předmět plnění bude vykazovat v průběhu záruční doby více než pět (5) různých vad
Objednatel má právo odstoupit od smlouvy v případě, kdy bude vada bezplatně odstraněna nebo bude odstraněna výměnou vadného předmětu plnění za bezvadný a po dodání nového bezvadného předmětu plnění nebo po odstranění vady, dojde k opětovnému výskytu stejné vady po opravě či dodání nového předmětu plnění Za opakovanou vadu pokládají obě smluvní strany výskyt opakované vady nejméně 3x po sobě
9 1 Záruční doba neběží po dobu, po kterou nemůže objednatel předmět plnění řádně užívat pro vady, za které zodpovídá dodavatel Záruční doba dále neběží po dobu ode dne, kdy objednatel uplatní na dodavateli oprávněné nároky z vad, do dne, kdy dodavatel objednateli uplatněné nároky z oznámené vady zcela neuspokojí
9.12. Kromě povinností dodavatele vyplývajících z výše uvedeného je dodavatel povinen uhradit objednateli vzniklé prokázané škody, které objednateli vzniknou v souvislosti s vadným plněním dodavatele.
ČEPRO, a s 095/16/OCN
Smlouva č 40287
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních události - SIEM
strana 13/18
ČI. 10. Pojištění, náhrada újmy
10 1. Dodavatel prohlašuje, že má ke dm podpisu této smlouvy platně uzavřeno příslušné pojištění pro případ odpovědnosti za škodu způsobenou třetí osobě vzniklou v souvislosti s výkonem jeho podnikatelské činnosti s pojistným plněním ve výši min 2 000 000,- Kč (slovy dvamilionykorun)
10 | 2 |
10 | 3 |
10 | 4 |
10 | 5 |
Dodavatel předloží objednateli nejpozději při podpisu této smlouvy originál pojistné smlouvy a/nebo pojistný certifikát prokazující skutečnosti o pojištění požadovaném v ustanovení této smlouvy výše s tím, že objednatel je oprávněn udělat si kopu předloženého originálu pojistné smlouvy či certifikátu.
Dodavatel je povinen mít platně uzavřeno příslušné pojištění pro případ odpovědnosti za škodu způsobenou třetí osobě vzniklou v souvislosti s výkonem jeho podnikatelské činnosti ve smyslu ustanovení 10 1 výše po celou dobu trvání této smlouvy a dílčích smluv a dodavatel je pro prokázání této skutečnosti povinen kdykoli na požádání objednatele předložit objednateli doklady o tom, že požadované pojištění má sjednáno
Povinnost nahradit újmu / škodu se řídí příslušnými ustanoveními zákona č 89/2012 Sb , občanský zákoník, v platném znění Smluvní strany jsou povinny nahradit způsobenou škodu v rámci a dle platných právních předpisů a této smlouvy
Smluvní strany se zavazují k vyvinutí maximálního úsilí k předcházením škodám a k minimalizaci vzniklých škod
10.6. Veškeré škody způsobené dodavatelem, které nelze uhradit pojištěním, jdou na vrub dodavatele
10.7 Nárok na úhradu škody musí být uplatněn písemnou formou u smluvní strany povinné kjejí náhradě Škoda se nahrazuje uvedením do předešlého stavu, nepožádá-li objednatel o náhradu škody uvedením v penězích
ČI. 11. Smluvní pokuty a úrok z prodlení
11.1 Smluvní strana je oprávněna v případě prodlení druhé smluvní strany s úhradou peněžitého plnění požadovat úhradu úroku z prodlení v zákonné výši podle občanskoprávních předpisů
112. V případě, že dodavatel nedodrží lhůtu stanovenou pro komplexní dodávku, instalaci a implementaci řešení (dodávku HW a SW, instalaci HW a implementaci SW včetně provedení souvisejících činností a příp dodávek), tj bude v prodlení s předáním díla v požadovaném rozsahu ve lhůtě/termínu sjednané na základě a dle této smlouvy, je objednatel oprávněn po dodavateli požadovat smluvní pokutu ve výši 10 000,- Kč (slovy deset tisíc korun českých) za každý i započatý den prodlení
11.3. V případě, že dodavatel nedodrží lhůtu stanovenou pro plnění poskytované dodavatelem dle dílčí smlouvy, tj. bude v prodlení s předáním předmětu plnění dle dílčí smlouvy v požadovaném rozsahu ve lhůtě/termínu sjednané na základě a dle dílčí smlouvy, je objednatel oprávněn po dodavateli požadovat smluvní pokutu ve výši 1 000,- Kč (slovy jeden tisíc korun českých) za každý i započatý den prodlení
11.4. V případě, že dodavatel nedodrží reakční lhůty pro zahájení servisních zásahů sjednané v této smlouvě, je objednatel oprávněn po dodavateli požadovat a dodavatel je povinen objednateli zaplatit smluvní pokutu ve výši 5 000,- Kč (slovy pět tisíc korun českých) za každou i započatou hodínu/den prodlení se zahájením provádění servisního zásahu
11.5 V případě, že dodavatel nedodrží reakční lhůty pro servisní zásahy sjednané v této smlouvě, je objednatel oprávněn po dodavateli požadovat a dodavatel je povinen objednateli zaplatit smluvní pokutu ve výši 10 000,- Kč (slovy deset tisíc korun českých) za každou í započatou hodinu/den prodlení s odstraněním chyby nahlášené objednatelem dodavateli
1 5.1 Smluvní strany sjednávají dvojnásobnou výši pokut, pokud dodavatel nedodrží reakční dobu pro servisní zásah u kritické a závažné chyby definované v této smlouvě.
116. Nedostaví-lí se dodavatel k převzetí pracoviště ve stanoveném termínu, je objednatel oprávněn po dodavateli požadovat úhradu smluvní pokuty ve výši 10 000,- Kč (slovy deset tisíc korun českých).
11.7 Pokud dodavatel neodstraní nedodělky či vady zjištěné při přejímacím řízení předmětu plnění v dohodnutém termínu, je objednatel oprávněn požadovat po dodavateli úhradu smluvní pokuty 500,- Kč (slovy pět set korun českých) za každý nedodělek či vadu a za každý den prodlení
ČEPRO, a s 095/16/OCN
Smlouva č 40287
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí - SIEM
strana 14/18
118 V případě porušení právních a ostatních obecně závazných předpisů k zajištění bezpečnosti a ochrany zdraví při práci, požární ochrany, prevenci závažných havárií, nakládání s odpady a vnitřních předpisů objednatele, je objednatel oprávněn požadovat po dodavateli úhradu smluvní pokuty ve výši 1 000,- Kč (slovy jeden tisíc korun českých) za každý jednotlivý případ porušení
119 V případě, že dodavatel postoupí tuto smlouvu jako celek či jednotlivé části bez souhlasu objednatele či dílčí smlouvu jako celek či jednotlivé části bez souhlasu objednatele, je objednatel oprávněn požadovat po dodavateli úhradu smluvní pokuty ve výši 50 000,- Kč (slovy padesát tisíc korun českých)
1 00.Xxx všechny smluvní pokuty sjednané v této smlouvě platí, že dodavatel je kromě zaplacení smluvní pokuty povinen nahradit objednateli v celé výši škodu vzniklou porušením povinnosti utvrzené smluvní pokutou, a rovněž náklady vzniklé objednateli z důvodu porušení povinnosti dodavatelem, nedohodnou-li se smluvní strany písemně jinak
1111 Povinnost zaplatit smluvní pokutu vzniká dodavateli doručením písemné výzvy k zaplacení smluvní pokuty s uvedením důvodu a výše smluvní pokuty Smluvní pokutu, na kterou vznikne poškozené smluvní straně nárok dle této smlouvy, je druhá smluvní strana povinna uhradit do patnácti (15) kalendářních dnů ode dne doručení výzvy k úhradě smluvní pokuty
ČI. 12. Další ujednání převzetí předmětu plnění,
12 1 Smluvní strany se zavazují vzájemně spolupracovat a poskytovat si veškeré informace potřebné pro řádné plnění svých závazků
12 2 Smluvní strany jsou povinny informovat druhou smluvní stranu o veškerých skutečnostech, které jsou nebo mohou být důležité pro řádné plnění této smlouvy
12 3 Za řádné předání a převzetí předmětu plnění se považuje předání předmětu plnění specifikovaného touto smlouvou, příp dílčí smlouvou a převzetí předmětu plnění specifikovaného touto smlouvou, příp dílčí smlouvou pověřeným zástupcem objednatele v místě plnění a podpisem dokumentu, jež stvrzuje předání a převzetí předmětu plnění oběma smluvními stranami Pro potvrzení předání předmětu plnění dodavatelem a převzetí dotčeného předmětu plnění od dodavatele objednatelem oprávněnou osobou objednatele musí být oběma smluvními stranami podepsán protokol o předání a převzetí, jež bude obsahovat prohlášení objednatele, že předmět plnění přejímá
12 4 Pro účely předání předmětu plnění dle této smlouvy spočívající v kompletní realizaci řešení (tj dodávce, instalaci, implementaci nezbytného HW a SW včetně souvisejících činností a předání dokladů) bude dodavatelem organizováno přejímkové řízení, jež proběhne po provedení testovacího provozu řešení
12 4 1 Dodavatel se zavazuje ve stanovené lhůtě v místě plnění předat objednateli kompletní řešení, u kterého bude nejprve proveden zkušební, resp testovací provoz.
12.4.2 Testovací provoz řešení slouží k ověření funkčnosti díla a jeho vlastností Záznam o provedení a průběhu testovacího období provozu řešení bude přílohou protokolu o předání a převzetí
12 5. Předání a převzetí díla spočívající v kompletní realizaci řešení (tj dodávce, instalaci, implementaci nezbytného HW a SW včetně souvisejících činností a předání dokladů) se uskuteční po řádném dokončení díla v příslušné části Přejímky díla dle této smlouvy se za stranu objednatele budou účastnit oprávnění zástupci objednatele - konkrétní jména osob budou dodavateli objednatelem sdělena před konáním přejímky díla v místě plnění
12 6 Pro účely přejímky a před přejímkou je dodavatel povinen včas připravit a předložit v českém jazyce kromě veškerých dokladů sjednaných jinde ve smlouvě a plynoucích z obecně závazných právních a technických předpisů i následující doklady
atesty, prohlášení o shodě, certifikáty a osvědčení o jakosti materiálů a výrobků použitých pro realizaci,
záruční listy,
záznam o provedení testovacího provozu řešení, záznam o provedení školení zaměstnanců objednatele
ČEPRO, a s 095/16/OCN
Smlouva č 40287
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí - SIEM
strana 15/18
Není-li v jiných ustanoveních smlouvy uvedeno jinak, dodavatel předá objednateli dokumenty v tomto počtu vyhotovení 2 x v listinné podobě a 1 x v elektronické podobě ve formátu docx / xlsx / pdf / dle charakteru dokumentu
12 7. Smluvní strany souhlasí a zavazují se, že veškerá komunikace v rámci této smlouvy a v rámci dílčích smluv bude mezi stranami probíhat výhradně v českém, příp slovenském jazyce
12 8 Pro účely komunikace mezi smluvními stranami určují smluvní strany své kontaktní osoby
12 8 1 Kontaktní osoby ve věcech smluvních a provozních za dodavatele byli jmenováno osoby uvedené v záhlaví smlouvy u identifikačních údajů dodavatele
12 8 2 Kontaktní osoby za objednatele byly uvedené v záhlaví smlouvy u identifikačních údajů objednatele Tyto osoby (každá samostatně) jsou oprávněny zadávat požadavky objednatele dodavateli (tj činit za objednatele objednávky), přebírat předmět plnění od dodavatele a podepisovat dokumenty potvrzující převzetí předmětu plnění objednatelem, jakož jsou i oprávněny sdělovat dodavateli požadavky objednatele vztahující se k reklamaci plnění dodavatele a/nebo plnění povinností dodavatele v oblasti rutinní a pravidelné správy (jedná se např o nahlašování vad, chyb, poruch HW, SW apod )
12 9 Smluvní strany se dohodly, že komunikace mezi dodavatelem a objednatelem dotýkající se oblasti rutinní a pravidelné správy bude probíhat výhradně přes prostředky komunikace sjednané mezi stranami, pro něž se dodavatel zavazuje dodržovat dostupnost
12 9 1 Komunikačním prostředkem pro nahlašování chyb, vad či poruch HW nebo SW, které je dodavatel povinen odstranit v rámci rutinní a pravidelné správy řešení, jsou
-
ČI. 13. Zaměstnávání zaměstnanců, náhradní plnění
13 1 Smluvní strany se touto smlouvou zavazují, že po dobu platnosti a účinnosti této smlouvy, ani po dobu jednoho (1) kalendářního roku po ukončení její platnosti neučiní pokus, ani nebudou zaměstnávat zaměstnance druhé smluvní strany, případě je jakýmkoliv jiným způsobem angažovat, ledaže by k tomu obdržely od druhé strany písemný souhlas Smluvní strana, která poruší tyto povinnosti je na výzvu druhé smluvní strany povinna zaplatit smluvní pokutu ve výši 1 000 000,- Kč (slovy jeden milion korun českých) Toto ustanovení se týká zaměstnanců, kteří jsou v období plnění smlouvy zaměstnanci některé ze smluvních stran
13 1 V případě, že je či se stane dodavatel organizací zaměstnávající více než 50% zaměstnanců se zdravotním postižením, včetně zaměstnanců s těžkým zdravotním postižením a u dotčeného zaměstnavatele tyto osoby pracují na vymezených nebo zřízených chráněných pracovních místech, a je oprávněn poskytovat výrobky a služby v rámci tzv náhradního plnění povinného podílu zaměstnanců se zdravotním postižením dle zákona č 435/2004 S b , o zaměstnanosti, ve znění pozdějších předpisů (dále „Zákon o zaměstnanosti") či dle obecně závazného předpisu tento zákon nahrazující, zavazuje se dodavatel poskytnout objednateli tzv náhradní plnění dle níže sjednaných ustanovení.
13 1 1 Dodavatel prohlašuje, že je organizací zaměstnávající více než 50% zaměstnanců se zdravotním postižením, včetně zaměstnanců s těžkým zdravotním postižením a u dotčeného zaměstnavatele tyto osoby pracují na vymezených nebo zřízených chráněných pracovních místech, a že na základě této skutečnosti je oprávněn poskytovat výrobky a služby v rámci tzv náhradního plnění povinného podílu zaměstnanců se zdravotním postižením dle Zákona o zaměstnanosti Dodavatel prohlašuje, že je zároveň povinen poskytnout v kalendářním roce své výrobky a služby nebo splnit zadané zakázky ve smyslu § 81 odst 2 písm b) Zákona o zaměstnanosti pouze do výše odpovídající 36násobku průměrné mzdy v národním hospodářství za první až třetí čtvrtletí předcházejícího kalendářního roku za každého přepočteného zaměstnance se zdravotním postižením zaměstnaného v předchozím kalendářním roce („Limit“), přičemž za tímto účelem si dodavatelem vede vlastní evidenci všech svých zákazníků, odběratelů a kontroluje, zda nedochází v překročení Limitu
13 12 Dodavatel prohlašuje a touto smlouvou se zavazuje, že objednateli poskytne náhradní plnění pro kalendářní rok 2016 ve výši 100 % částky ceny za plnění dodavatele dle této smlouvy, které je ve výši Limitu a dodavatel je objednateli oprávněn jej poskytnout.
ČEPRO, a s 095/16/OCN
Smlouva č 40287
Nastroj pro sběr a vyhodnocení kybernetických bezpečnostních události - SIEM
strana 16/18
13 13 Pro následující roky trvání této smlouvy se dodavatel zavazuje, že v souladu a dle výše uvedeného dodavatel objednateli poskytne náhradní plnění v maximální možné míře V případě nedodržení sjednaného objemu náhradního plnění na dotčený kalendářní rok (tj r 2016) a následně pro roky následující se dodavatel zavazuje k povinnosti uhradit objednateli prokazatelné škody a náklady, které mu vzniknou nedodržením povinností dodavatele dle této smlouvy (tj zejména jedná se o úhradu povinného odvodu do státního rozpočtu a příslušenství, úhradu pokuty pro případ správních deliktů objednatele coby odběratele v důsledku mylných či zavádějících informací dodavatele apod )
13.2 Smluvní strany se v souvislosti s výše uvedeným dohodly, že faktura - daňový doklad vystavený dodavatelem v souladu s touto smlouvou bude označena slovy „Toto plnění je náhradním plněním podle ustanovení § 81 odst 2 zákona č 435/2004 S b , o zaměstnanosti" Smluvní strany se zároveň dohodly, nebude-li v jednotlivých případech sjednáno jinak, že součástí faktury (např jako příloha faktury či v textu faktury apod , je-li to přípustné) vystavené dodavatelem bude oznámení, kde dodavatel v případě poskytnutí náhradního plnění objednateli uvede své identifikační údaje, cenu plnění bez daně z přidané hodnoty, datum převzetí plnění objednatelem a číslo dokladu, tj této smlouvy či dílčí smlouvy, na základě kterého byl odběr plnění od dodavatele objednatelem uskutečněn
13 3. Dodavatel se zavazuje a je povinen kdykoli na vyžádání objednatele objednateli prokázat, že objednatel je osobou oprávněnou poskytovat tzv náhradní plnění dle Zákona o zaměstnanosti Dodavatel se zavazuje Informovat objednatele o všech změnách a skutečnostech, jež by mohly vést k porušení právních povinností smluvních stran, a to zejména v oblasti legislativní úpravy otázek zaměstnanosti
141. Tato smlouva zaniká
ČI. 14. Ukončení smlouvy
14.1 1 buď to splněním, resp v části smlouvy dle charakteru smlouvy dobou, na kterou je uzavřena, přičemž tím není dotčena platnost ani účinnost dílčích smluv, které byly uzavřeny před uplynutím doby, na kterou je smlouva uzavřena, nebo
14.1 2 písemnou dohodou smluvních stran či
14.1 3. jednostranným právním úkonem jedné ze smluvních stran učiněným v souladu s touto smlouvou a obecně závaznými předpisy
14.2. Objednatel má právo písemně odstoupit od smlouvy, kromě důvodů uvedených v zákoně č 89/2012 Sb , občanský zákoník, v platném znění, též z důvodu
14.2.1. prodlení dodavatele s plněním této smlouvy;
14 2 2. dodavatel vstoupí do likvidace nebo;
14.2.3. bude vůči němu (dodavateli) podán návrh dle zákona č 182/2006 S b , insolvenční zákon, v platném znění;
14 2 4. nedodržení podmínek stanovených smlouvou ze strany dodavatele,
14 2 5 dodavateli zanikne živnostenské oprávnění dle zákona č 455/1991 Sb , živnostenský zákon, ve znění pozdějších předpisů, nebo jiné oprávnění nezbytné pro řádné plnění této smlouvy či dílčích smluv,
14 2 6. pravomocné odsouzení dodavatele pro trestný čin podle zákona č 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti mm, ve znění pozdějších předpisů
14 3 Dodavatel je oprávněn písemně odstoupit od smlouvy, kromě důvodů uvedených v zákoně č 89/2012 Sb , občanský zákoník, v platném znění, též z důvodu
14.3.1. objednatel bude v prodlení s úhradou odměny dodavatele,
14 3 2 objednatel vstoupí do likvidace nebo;
14 3 3. bude vůči němu (objednateli) podán návrh dle zákona č 182/2006 S b, insolvenční zákon, v platném znění;
14 3 4 nedodržení podmínek stanovených smlouvou ze strany objednatele,
ČEPRO, a s 095/16/OCN
Smlouva č 40287
Nastroj pro sběr a vyhodnocení kybernetických bezpečnostních události - SIEM
strana 17/18
14 3 5 pravomocné odsouzení objednatele pro trestný čin podle zákona č 418/2011 Sb , o trestní odpovědnosti právnických osob a řízení proti mm, ve znění pozdějších předpisů
14 4 Odstoupení od smlouvy je účinné dnem doručení písemného oznámení o odstoupení na adresu sídla druhé smluvní strany
ČI. 15. Závěrečná ustanovení
15 1 Tato smlouva a veškeré právní vztahy z ní vzniklé se řídí ustanoveními zákona č 89/2012 S b , občanský zákoník, v platném znění (zejména ustanoveními § 2586 a násl), a ostatními obecně závaznými předpisy českého právního řádu
15 2 Ustanovení této smlouvy jsou oddělitelná v tom smyslu, že případná neplatnost některého z ustanovení této smlouvy nezpůsobuje neplatnost celé smlouvy Smluvní strany se v tomto případě zavazují nahradit neplatné ustanovení ustanovením platným, které nejlépe odpovídá zamýšlenému účelu neplatného ustanovení Do té doby platí odpovídající úprava obecně závazných právních předpisů České republiky
15 3 Tato smlouva je vyhotovena v českém jazyce Smlouva včetně jejích příloh je vyhotovena ve čtyřech výtiscích, z nichž každý má sílu originálu Dvě vyhotovení obdrží dodavatel a dvě objednatel
15 4 Smluvní strany se výslovně dohodly, že na vztah smluvních stran založený touto smlouvou se neuplatní ustanovení zákona č 89/2012 S b , občanský zákoník, v platném znění, uvedená v
§§ 1764, 1765 a 1766 Tzn , že smluvní strany výslovně sjednávají, že změna okolností, která nastane po uzavření této smlouvy s tím, že by taková změna okolností mohla podstatně založit hrubý nepoměr v právech a povinnostech stran, nebude uplatněna a smluvní strany nebudou oprávněny žádným způsobem domáhat se v takových případech vůči druhé smluvní straně obnovení jednání o smlouvě a o změnu smlouvy
15 5 Smluvní strany se dohodly, že na vztah založený touto smlouvou se neuplatní § 2126 zákona č 89/2012 Sb , občanský zákoník, v platném znění, týkající se svépomocného prodeje, tj smluvní strany sjednávají, že v případě prodlení jedné strany s převzetím předmětu plnění či s placením za předmět plnění nevzniká druhé smluvní straně právo tuto věc po předchozím upozornění na účet prodlévající strany prodat
15 6 Smluvní strany se dohodly, že dodavatel není oprávněn bez předchozího písemného souhlasu objednatele postoupit tuto smlouvu/dílčí smlouvu či její část či převést jakákoli svá práva a/nebo povinnosti ze smlouvy/dílčí smlouvy nebo z jejího porušení na třetí osoby
15 7 Smlouva není převoditelná rubopisem
15 8 Smluvní strany prohlašují, že veškeré podmínky plnění, zejména práva a povinnosti, sankce za porušení smlouvy, které byly mezi nimi v souvislosti s plněním ujednány, jsou obsaženy v textu této smlouvy včetně jejích příloh, a dokumentech, na které smlouva výslovně odkazuje Smluvní strany výslovně prohlašují, že ke dm uzavření této smlouvy se ruší veškerá případná ujednání a dohody, které by se týkaly shodného předmětu plnění a tyto jsou v plném rozsahu nahrazeny ujednáními obsaženými v této smlouvě, tj k datu podpisu smlouvy neexistuje žádné jiné ujednání, které by tuto smlouvu ve vztahu k předmětu plnění doplňovalo nebo měnilo
15.9. Jakékoliv jednání předvídané v této smlouvě, musí být učiněno, není-li ve smlouvě výslovně stanoveno jinak, písemně v listinné podobě a musí být s vyloučením ustanovením § 566 zákona č 89/2012 S b , občanský zákoník, v platném znění, řádně podepsané oprávněnými osobami Jakékoliv jiné jednání, včetně e-mailové korespondence, je bez právního významu, není-li ve smlouvě výslovně stanoveno jinak
15 10 Veškeré změny a doplnění této smlouvy mohou být provedeny se souhlasem obou smluvních stran pouze číslovanými, písemnými dodatky
15.11.Smlouva nabývá platnosti a účinnosti dnem podpisu oběma smluvními stranami
15 12 Smluvní strany se zavazují řešit případné spory vzniklé na základě této smlouvy přednostně dohodou, nebude-li spor vyřešen smírnou cestou, jsou k řešení sporů smluvních stran příslušné soudy v České republice
15 13. Nedílnou součástí této smlouvy jsou její přílohy
• Příloha č 1 - Nabídka vč licenčních podmínek
ČEPRO, a s 095/16/OCN
Smlouva č 40287
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí - SIEM
strana 18/18
V případě rozporu ustanovení přílohy smlouvy a ustanovení této smlouvy mají přednost ustanovení smlouvy.
15 14.Smluvní strany shodně prohlašují, že si smlouvu před jejím podepsáním přečetly, že s jejím obsahem souhlasí, že byla sepsána podle jejich pravé, svobodné a vážné vůle, a že nebyla uzavřena v tísni nebo za jednostranně nevýhodných podmínek
V Praze dne 06 -06" 2016 V W d n e ^ e i o < e
za objednatele za dodavatele.
ČEPRO, a í
*
U â X ë IM T â
Bezpečnost informaci je pro nás na prvním místě
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí pro ČEPRO, a. s.
6. TECHNICKÁ SPECIFIKACE PŘEDMĚTU ZAKÁZKY
Dle našeho „best practice" je tato nabídka rozdělena do několika částí v souladu s požadovanými kapitolami zadávací dokumentace:
) ) High Level Architektura
) ) Technické údajové listy (datasheets)
) ) Katalogové listy s vyznačením odpovídajících parametrů
» Implementace
6.1 High Level Architektura
Dle požadavků/zadání a dle našeho „best practice" jsme navrhli následující řešení, které staví na stávajícím nezávislém Log Managementu, kde se využívají stávající RELAY servery pro SIEM konektory stávající RELAY servery jsou dostatečně dimenzovány pro běh konektorů).
"Relay Server"
«
^ &
SRS1
r o u - r e l a y l
*
i
Hi A
t
Ü Ü H H
*
Brojiljfj
i
•
PIDSyne
1
• * '
t
l o g y
Log Management
♦- r o u - ! o g m a n
m«
$ &
SRS2
»lfaecto!r*
, W M l f l E A M
Eventy
r o u - r e l a y 2
ÈliNsî; p f 5'
Jako kolektor v HA zapojení se využívá sada dvou výkonných RELAY serverů s operačním systémem CENTOS. Nad těmito servery budou formou SW provozovány konektory pro sběr, parsování a normalizaci logů pro SIEM. Je realizováno speciální HA zapojení tak, aby zajištovalo následující funkcionality:
» Virtuální HA adresa pro sběr syslog a SNMP logů (logy, které se odesílají ze zdrojů do LM a SIEMu). Tedy sběr logů typu „PUSH". Konfigurace HA bude typu LIVE-LIVE. Na obou serverech běží konektory se stejnou konfigurací.
) ) Master/Slave HA pro sběr logů, které je potřeba stahovat, tedy sběr logů typu „PULL" pro zdroje typu Checkpoint LEA, ODBC, W M I. Na master serveru běží konektor, který zajištuje sběr a informace (kde skončil/co zpracoval) ukládá do konfiguračního „PID" souboru. Tento soubor se okamžitě synchronizuje do slavě serveru. Toto řešení zajistí maximální dostupnost sběrů bez rizika duplikací logů.
Jako SIEM/korelátor je využita ArcSight ESM Express appliance EE7600-1000. Jedná se o HW appliance, která má licencovaný výkon na 1000 EPS. Teoretický výkon této appliance je desítky tisíc EPS. Tato appliance je v navrhovaném řešení zapojena bez HA s ohledem na cenu a komplikovanost řešení HA u korelátoru. Toto řešení je „best practice", jelikož všechny konektory obsahují výstupní cache, tak v případě výpadku samotné appliance nebo síťového spojení mezi konektory a Expressem, jsou všechna data dočasně uložena v cache až do obnovení konektivity/provozu Express appliance.
Jako Vulnerability scaner je využit Xxxxxx „Profesionál Feed" software, který nemá omezení na počet skenovaných zařízení a je vhodným řešením pro identifikaci assetů a automatizované plnění těchto informací do SIEMu.
Bezpečnost informaci je pro nás na prvním místě
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí pro ČEPRO, a. s.
6.2 Naplnění požadavků1
1. ZKB - stávající LM + ArcSight Express poskytují komplexní řešení pro sběr logů, jejich transformaci na eventy, korelace a pokročilé analytické funkce pro možnosti analýzy těchto dat. Tím je splněn požadavek ZKB na ukládání a vyhledávání logů/eventů a detekci kybernetických bezpečnostní událostí, neboli splňuje požadavky §6 ZKB, odstavec (3) - technická opatření, písmeno f, g, h.
2. Spolehlivost - Navrhované řešení se skládá z HW a SW komponent pro enterprise řešení
s HW podporou pro výměnu komponent typu NBD*. HW zařízení obsahují záložní zdroje, HDD jsou zapojeny do RAID svazků. Z pohledu architektury je navíc celé řešení navrhnuto pro minimalizaci výpadků sběru a uchovávání logů (ZERO DROP) pomocí nasazení v „HA" zapojení.
3. Napájení - Všechny HW komponenty mají dva napájecí zdroje s podporou výměny za běhu
serveru.
Technické specifikace jednotlivých komponent:
» Konektor servery - 2x 800 W /900 W Gold AC Pwr Input
4. NIC teaming - Všechny HW komponenty obsahují více (4x) síťových interface, které je možné nakonfigurovat do dvojic formou BONDING (TEAMING) konfigurace. Dokumentace této konfigurace:
» https.//xxxxxxx000.xx.xxx/xxxxxxx/00000#00000
y) xxxxx://xxxxxxx000.xx.xxx/xxxxxxx/00000#00000
» xxxxx://xxxxxxx000.xx.xxx/xxxxxxx/00000#00000
) } xxxx://xxxx.xxxxxx org/TipsAndTricks/Bondinglnterfaces
5. Životnost systému - Životnost daného řešení je definována životností licence jednotlivých produktů. U ArcSight produktů je licence poskytována na dobu bez omezení, zákazník tedy po zakoupení může využívat funkce daného řešení bez omezení.
6. Management/Správa - Pro každodenní práci s Expressem se využívá webGUI rozhraní, je opět dostupné z jakýchkoli operačních systémů. Pro pokročilou konfiguraci ArcSight Express se využívá výhradně plné grafické aplikační rozhraní (tzv. těžký klient), které je dostupné pro všechny základní operační systémy:
» Windows
} } Linux
» OS.X
7. Informační bezpečnost - Všechny produkty v rámci nabízeného řešení splňují následující požadavky:
yy Důvěrnost - jak uživatelský přístup, tak admimstrátorský (na úrovni OS) přístup, je zabezpečen minimálně formou uživatelského jména a hesla. U přístupu k OS je často využíván navíc SSH challenge přístup (je tedy nutné zažádat si o potvrzení/povolení od výrobce).
■ Veškerá přenášená data (komunikační kanály) vSIEM/Log management komunikační infrastruktuře jsou šifrována.
» Celistvost - Všechna data v Loggeru a Expressu jsou interně hashována. Hashování je řetězeno a tedy není možné vložit/odebrat nějaké logy/eventy bez toho, aby byl poškozen hash chain (poškození je možné detekovat).
» Dostupnost - Dle požadavků klienta na dostupnost řešení jsou vybrané komponenty zapojeny v „HA".
» Autentizace - Pro přístup ke všem komponentám je nutné realizovat autentizaci. Je taktéž možné realizovat přepojení na Microsoft AD/RADIUS (i LDAPs).
1Některe popisy/řešení odkazují na portál Protect724, jelikož vkládat danou dokumentaci do této nabídky by způsobilo neúnosný nárůst velikosti samotného souboru Portál Project724 je volně přístupný po zaregistrování pro kohokoli
Bezpečnost informaci je pro nás na prvním místě
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí pro ČEPRO, a. s.
) ) Autorizace - řešení podporuje pokročilý systém práv a uživatelských rolí, které je možné navázat na proces autentizace. Samozřejmostí je správa rolí v rámci ArcSight produktu. Není teda možné přes LDAP upravovat skupiny/práva uživatelů, což je bezpečnostně správně (systém s vyšší bezpečnostní politikou nemůže být řízen/ovládán systémem s nižší bezpečnostní politikou).
» Nepopiratelnost - řešení podporuje hashování a TSA (Time Stamping Authority) pro zajištění jednoznačnosti/nepopiratelnosti při uložení dat.
8. Multi-uživatelský přístup
) ) Express - Express také podporuje přístup více uživatelů současně. Navíc ještě rozlišuje, jestli se jedná a uživatelský (webGUI) nebo konfigurační přístup (těžká konzole). Samozřejmostí je podpora nezávislých/virtuálních systémů, tedy přístup multi-tenant, nejčastěji využíván v rámci MSSP (Managed Security Service Providers) pro zpracování dat více zákazníků jedním systémem.
9. Autentizace uživatelů - Všechny uživatelské přístupy je možné napojit na Microsoft
AD/RADIUS (i LDAPs). Správa rolí je však z bezpečnostních důvodů realizována výhradně v rámci ArcSight produktu.
10. Redundance
» Sběrač - Navrhované řešení využívá zapojení dvou standardní linuxových serverů (CENTOS) v primární lokalitě v zapojení HA pomocí standardních linuxových nástrojů (heartbeat, peacemaker a jiné.), pro minimalizaci výpadků při sběru logů. Sběrač využívá navíc lokální cache při nedostupnosti cíle (logger, express).
■ HA řešení je konfigurováno tak, aby zajistilo HA příjem logů, které jsou posíláhy syslog protokolem. A zároveň zajištuje synchronizaci konfigurace a stavu načítání jednotlivých konektorů z primárního na sekundární server.
11. Obnova - U všech komponent bude realizována systémová konfigurační záloha. Zálohují se
denně všechny konfigurace a nastavení jak samotných komponent, tak uživatelské nastavení. Dle potřeb je možné realizovat i datovou zálohu, která se realizuje nezávisle od systémové. Pro zálohy se využívají speciální skripty (či už skripty výrobce, nebo partnera), které obsahují možnost jednoduché automatizované obnovy.
12. H W - Všechny navrhované komponenty jsou typu HW appliance s dostatečným výkonem.
13. Vulnerability scanner - Součástí dodávky je Tenable NESSUS „Profesionál Feed", který patří mezi špičku v rámci Vulnerability Assesment. Jedná se o SW, který bude nakonfigurován pro pravidelné skenování zranitelností. Výstup této akce bude importován do SIEMu pro zajištění minimalizace FALŠE POSITIVE v rámci korelací. NESSUS SW bude instalován na RELAY/KONEKTOR server.
14. Rozšiřitelnost-Jednotlivé komponenty je možné rozšířit bez ztráty dat, a to následovně:
» Konektor Server - jedná se o HW server s průměrných výkonem 5.000 EPS. Vzhledem na 16GB RAM je v defaultním nastavení (512MB RAM pro konektor) možné hostovat na tomto serveru 32 konektorů.
» Express - jedná se o appliance s výkonem 1.000 EPS (10.000 EPS v nárazech).
■ Z pohledu výkonu mají všechny verze Expressu stejný HW, který je schopný zpracovat maximálně +-40.000 EPS dlouhodobě (a 100.000 EPS v nárazech). Rozdíl je jenom v licenci, kterou je možné navýšit dle potřeby v krocích po 50 EPS, nebo při dosáhnutí 2.500 EPS je možné realizovat upgrade na ESM výměnou licenčního klíče.
15. WAN - Navrhované řešení není nijak limitováno (licenčně/technicky) pro rozšíření o další lokality. Do daných vzdálených lokalit bude možné nasadit jak SW konektory (RHEL/CENTOS server a na něm běží konektory), tak HW connector server appliance. Dané „sběrače" budou obsahovat lokální cache pro zajištění bezeztrátového sběru logů při výpadku konektivity mezi lokalitami.
16. IPv6
» Komunikace - Všechny konektory podporují komunikaci pro sběr logů přes IPv6.
Bezpečnost informaci je pro nás na prvním místě
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí pro ČEPRO, a. s.
Všechny produkty je možné nakonfigurovat pro „duál stack" IPv4/IPv6, není to ale oficiálně otestováno/podporováno.
) ) Normalizace - Všechny konektory podporují sběr a parsování IPv6 adres. Express
podporuje práci (korelace/reporting) s IPv6 adresami.
) ) Whitepaoer - xxxxx://xxxxxxx000.xx.xxx/xxxx/XXX-000X0 17. ISO 27000
» Reporting - Logger i Express obsahují „Out of the Box" předpřipravené regulatorní
reporty pro PCI-DSS, SOX, IS02700 atd.
» Incidenty - Express obsahuje pokročilý způsob práce alerty (výsledek korelace) a to systém zvaný „Workflow". Tento systém podporuje všechny požadavky standardu ISO 27000 na práci s incidenty, možnosti anotace, vícestupňový proces zpracování incidentů, notifikace atd.
18. Auditní log - Všechny komponenty ArcSight řešení vytváří interní auditní log (transakční log),
který je možné zpracovat/uložit v Loggeru. Data uložena v Loggeru jsou chráněny jeho interním mechanizmem proti modifikaci.
19. Řízení incidentů - Express obsahuje pokročilý způsob práce alerty (výsledek korelace) a to
systém zvaný „Workflow". Tento systém podporuje práci s incidenty, možnosti anotace, vícestupňový proces zpracování incidentů, notifikace atd.
6.2.1 Obecné hodnotící požadavky
20. Výkonová nezávislost - Logy jsou uložené a dostupné pro vyhledávání vstávajícím Log Managementu. Alerty/lncidenty jsou výstupem Expressu. Jedná se tedy o dvě autonomní, na sobě nezávislé, appliance a tedy nehrozí ztráta výkonu Expressu při vysoké zátěži Log Managementu, nebo opačně.
21. HW nezávislost / Virtualizace
» Konektory - Samotné konektory je možné instalovat, na jakýkoli podporovaný OS, jako JAVA aplikaci. Počet instalovaných konektorů není nijak licenčně omezen.
» Express - jedná se o plnohodnotnou appliance, která existuje jak v HW provedení, tak i v provedení Virtual appliance.
■ xxxx://xxx0.xx.xxx/xx/xx/xxxxxxxx-xxxxxxxxx/xxxxxxxx-xxxxxxx-xxxx-
22. Grafické rozhraní
» Pro dennodenní práci s Expressem se využívá webGUI rozhraní, je tedy dostupné zjakýchkoli operačních systémů. Pro pokročilou konfiguraci se využívá plné grafické rozhraní (těžký klient), které je dostupné pro všechny základní operační systémy - WIN, LINUX, OS.X.
23. Netflow - Schopnost pracovat s netflow je v Expressu dostupná. Pro zpracování se využívá
Netflow parser / Smart konektor (instaluje se jako SW na vybraný server, nebo jako součást Connector Serveru), z kterého se data posílají do Expressu.
» xxxxx://xxxxxxx000.xx.xxx/xxxx/XXX-00000
24. Komprese dat - Data na výstupu z konektorů směrem do Expresu jsou komprimována pomocí standardní HTTP komprese. Dle potřeby je možné využít navíc následující vlastnosti komunikace konektorů:
» Bandwith Limit - možnost omezit maximální přenosovou kapacitu.
) ) Agregace - možnost agregovat stejné logy v rámci definovaného časového okna.
) ) Filtering - možnost filtrovat logy, které nejsou potřebná.
» Batch zpracování - možnost odesílání nekritických (nízká priorita) dat v rámci jiného časového okna (např. v noci).
xxxxx://xxxxxxx000.xx.xxx/xxxx/XXX-0000 strana 92 a strana 52.
25. Šifrování dat - Logy se do Expresu odesílají šifrovaně jako defaultní nastavení.
» xxxxx://xxxxxxx000.xx.xxx/xxxx/XXX-0000 strana 88.
26. Nepopiratelnost dat - Všechny logy sesbírané konektorem, jsou opatřeny časovým údajem,
Bezpečnost informacíje pro nás na prvním místě
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí pro ČEPRO, a. s.
kdy došlo k sběru tohoto logu (nezávisle na čase, kdy log vznikl) a také informací o identifikaci odesílatele logu (IP adresa).
27. Filtrace dat - Dle potřeb je možné definovat filtr pro každý destination pomocí pokročilých
filtrů (obdoba logických operátorů).
» xxxxx://xxxxxxx000.xx.xxx/xxxx/XXX-0000 strana 67.
Z pohledu licence jsou započteny jenom události/logy, které se finálně uloží do Expressu. Počet logů na úrovni sběrače (filtrování probíhá na sběrači) tedy nemá vplyv na licenci.
6.2.2 Výkonové a kapacitní požadavky
28. Rychlost sběru - Námi navrhovaný Konektor Server, je HW server s parametry pro sběr logů s průměrných výkonem 5.000 EPS a špičkovým výkonem přes 10.000 EPS.
29. Rychlost zpracování - Námi navrhovaný Express je HW appliance s licencovaným výkonem
1000 EPS.
» Z pohledu výkonu mají všechny verze Expressu stejný HW, který je schopný zpracovat maximálně +-40.000 EPS dlouhodobě (a 100.000 EPS v nárazech). Rozdíl je jenom v licenci, kterou je možné navýšit dle potřeby klienta v krocích po 50 EPS.
6.2.3 Požadavky na škálovatelnost
30. Distribuovanost sběračů - Licenční model ArcSight produktů nelimituje počet instalovaných/využívaných konektorů, ani jejich výkon. Konektory se instalují formou SW2 nad operačním systémem RHEL/CENTOS a jejich výkon je závislý jenom od výkonu poskytnutého serveru. V našem návrhu pro sběr logů ve vzdálených lokalitách (pokud by to bylo potřeba) tedy počítáme s využitím virtuálního serveru, kde budou instalovány jednotlivé konektory.
31. Škálovatelnost
» Sběrač - Dle potřeby je možné nasadit Connector Server appliance3 nebo SW konektory nad RHEL/CENTOS pro zajištění potřebného výkonu (bez omezení licenčního na jejich počet nebo výkon - tedy navrhované řešení je možné škálovat nad rámec požadovaného výkonu 6000 /15000 EPS).
» Výkon Expresu - Jedná se o appliance s licencovaným výkonem 1.000 EPS. Z pohledu výkonu mají všechny appliance Expressu stejný HW, který je schopný zpracovat maximálně +-40.000 EPS dlouhodobě (a 100.000 EPS v nárazech). Rozdíl je jenom v licenci, kterou je možné navýšit dle potřeby v krocích po 50 EPS.
) ) Všechny tyto navýšení je možné realizovat buď upgrade licence, nebo rozšířením/dokoupením potřebného HW/appliance a nemají žádný vliv na běžící systém - nedochází k výpadkům/ztrátě dat.
6.2.4 Požadavky na sběr a zpracování dat
32. Technologie sběru - ArcSight využívá systém FLEX konektorů. Jedná se o jeden instalační balíček, který obsahuje přes 400 konektorů, které zajišťují sběr logů z podporovaných zařízení. Součásti sběru je automaticky podpora požadovaných komunikačních protokolů:
) ) Syslog, UDP, TCP, TLS konektory
» Checkpoint LEA (API konektory)
) ) Windows W M I (RPC) konektory
» SNMP konektory
» ODBC (Database) konektory
) ) FILÉ konektory
» Scanner konektory
33. Base line analýza - Z pohledu ArcSight Correlation Engine se jedná o standardní „DEVIATION"
2 Stávající produktové portfolio ArcSight produktů se změnilo a už neobsahuje Virtuální Appliance pro konektory a je nahrazeno nasazením SW konektorů na RHEL server.
3 V souladu s poznámkou 2 nejsou nově Connector Servery (kdysi ConApp) licencovány dle výkonu, ale dle počtu konektorů.
\
Bezpečnost informaci je pro nás na prvním místě
Nástroj pio sběr a vyhodnocení kybernetických bezpečnostních událostí pro ČEPRO, a. s.
korelaci, kde se nadefinuje, co je „BASELINE" a při jaké percentuální odchylce dochází k alertu. Tato funkcionalita se konfiguruje pomocí funkce „DATAMONITOR", která slouží pro krátkodobý monitoring/výpočet statistik, které je možné zobrazit do dashboardů, nebo alertovat jejich změnu (tedy korelovat).
Také je možné využít pokročilé funkce „TRENDS", která zároveň počítá trendy/chování v dlouhém období (měsíce/roky) a je možné spustit akci při odchylce. Také je možné použít několik dalších způsobů s využitím Aktivních listů nebo použitím addonu „Threat Detector" atd.
34. Členění aktiv - ArcSight Express využívá detailní „ASSET Model" pro členění jednotlivých aktiv do skupin pomocí „Asset Tree":
» Customer <-- Networks <-• Zones < - Asset ranges & Assets
) ) Zákazník má jednu nebo více sítí (to se využívá, pokud existují sítě, které se IP adresním rozsahem překrývají). Do sítí jsou přiděleny jednotlivé zóny (zónu si lze představit jako skupinu aktiv se stejným účelem, např. emailové servery, databázové servery,atp. Jedná se tedy o něco jako „TAGy nad assety"). A do zón jsou již přiděleny jednotlivé aktiva nebo celé skupiny aktiv.
) ) Samozřejmostí je podpora Multi-tenant (MSSP) přístupu, kde uživatelé daných
„zákazníků" (nebo taky nazývané „Umts") nevidí data jiných „zákazníků".
» Assety, Asset Grupy a Zóny je možné kategorizovat, tedy přidělit jim uživatelské kategorie (např. Adresu, Business roli, Compliance requirement, OS, Aplikaci, atd.)
35. Relevance zranitelnosti aktiv - V Expresu se každý vstupní event ohodnocuje/taxonomizuje/kategorizuje pokročilým systémem. Tento systém využívá všechny dostupné informace o zranitelnostech aktiva a upravuje tím výslednou hodnotu PRIORITY eventu, čímž minimalizuje FALŠE POSITIVE. Výpočet PRIORITY ovlivňuje několik vstupních hodnot, z pohledu zranitelnosti se jedná o tyto hodnoty:
) ) CONFIDENCE - určuje zda pro daný TARGET (IP adresa) existuje asset v rámci asset modelu, následně zda-li byl tento asset skenován VA systémem a jestli existuje zranitelnost na tomto assetu.
) ) RELEVANCE - určuje, jestli evidované zranitelnosti na daném TARGETu jsou v příchozím eventu - určuje tedy relevanci daného eventu vůči zranitelnostem na dotčeném assetu.
36. Kategorizace aktiv/zdrojů - Dle ArcSight systému Assetů (viz bod 44), který podporuje uživatelské kategorie, je možné rozdělit assety/zdroje na TEST a PRODUKCI, a následně s těmito uživatelskými kategoriemi pracovat na úrovni korelací a reportů.
37. Manuální parsovací pravidla - Součástí dodávky je licence a SDK pro tvorbu vlastních „Flex" konektorů.
38. Historické korelace - ArcSight proces tvorby/úpravy korelačních pravidel automaticky po uložení nové pravidlo neaktivuje jako produkční. Testování nových korelačních pravidel tedy neovlivňuje aktivní chod stávajících korelačních pravidel. Pomocí „pár kliků myší" je následně možné nové pravidlo otestovat/spustit nad libovolnými (je možnost definovat vstupní filtr i časové okno) historickými eventy. Taktéž je možné pomocí scheduleru definovat automatické spouštění korelací nad vybranými historickými daty (např. lx denně v noci spustit historickou korelaci nad daty za poslední den).
39. Reporty - ArcSight podporuje ručně spouštět korelační pravidla nad libovolnými (je možnost
definovat vstupní filtr i časové okno) eventy. Dané korelační pravidlo tedy není typu REALTIME. Výstup je možné zpracovat ve formě dashboardů nebo reportu. Taktéž je možné vytvořit „scheduler" pro pravidelné spuštění této akce.
40. Maintenance - Pomocí „pár kliků myší" v Expressu je možné všechna korelační pravidla označit a zakázat (dát do stavu „DI5ABLED").
41. Automatické rozpoznání zařízení - Syslog konektor obsahuje unikátní speciální regulární logiku, dle které rozezná, z jakého zařízení jsou přicházející logy a ty interně přepošle na vhodný Syslog sub-konektor, který zajistí pokročilý parsing.
Bezpečnost informaci je pro nás na prvním místě
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí pro ČEPRO, a. s.
42. Agentless - Navrhované řešení počítá s instalací všech konektorů na Connector Server appllance a tedy nebude využívat žádné agenty pro sběr logů. I pro Windows logy bude využit agentless konektor pro sběr logů přes W M I.
» Od Q 2/2015 je k dispozici velice efektivní WINC Smart Connector, který nahrazuje zastaralý W M I sběr (sběr přes W M I je bezagentový, ale způsobuje nejvyšší zátěž pro Windows servery) a zajištuje kompletně sběr přes nativní Windows rozhraní. Nevýhodou je, že je nutné jej instalovat alespoň na jeden vybraný Windows server (tento Windows server se nakonfiguruje jako sběrač logů ze všech Windows serverů). Z pohledu řešení navrhujeme toto téma rozdiskutovat v rámci vstupní implementační analýzy.
43. Session logy - Pro zajištění identifikace uživatele při „admin hoppingu" (kdy uživatel mění
svou identitu, např. příkazem SUDO) je automaticky využíván systém „session listů", kde se automaticky ukládají informace o daných aktivitách uživatele a zajištují přepojení mezi danými uživatelskými účty.
) ) Výhodou navrhovaného řešení je, že ArcSight Express obsahuje bezplatně speciální addon „Identity View", který všechny tyto informace o uživatelích (uložených v „session listech" a „active listech") automaticky přepojuje do uživatelsky jednotného pohledu. Samozřejmostí je možnost přepojit nalezené/poskládané informace z logů s detailními uživatelskými informacemi do kontextových zdrojů typu Identity Management nebo Microsoft AD.
44. Sdílené účty - Podobně jako v předchozím bodu je pomocí „session listů" a „active listů" možné vytvářet mapy přepojení - tedy např. kteří uživatelé m ají práva/možnost stát se root uživatelem? - lz e tedy vytvořit seznam uživatelů, kteří sdílejí stejný administrátorský účet.
» Výhodou navrhovaného řešení je, že ArcSight Express obsahuje bezplatně speciální addon „Identity View", který všechny tyto informace o uživatelích (uložených v „session" a „active listech") automaticky přepojuje do uživatelsky jednotného pohledu. Samozřejmostí je možnost přepojit nalezené/poskládané informace z logů s detailními uživatelskými informacemi z kontextových zdrojů typu Identity Management nebo Microsoft AD.
45. NAT - ArcSight na úrovni eventů rozlišuje, jestli se jedná o originální IP adresu nebo
NATovanou IP adresu. Spolu s využitím „session listů" je tedy možné jednoznačně určit o jakou IP /jaký asset) se jedná.
6.2.5 Konfigurační a integrační požadavky
46. SAT - Pro ověření funkčnosti všech integračních, korelačních a konfiguračních položek bude využita sada akceptačních dokumentů dle našeho „best practice". Akceptační scénáře rozdělujeme do tří kategorií s následujícím obsahem/přístupem:
) ) Napojení zdrojů - pro každý napojený zdroj bude provedena kontrola/test:
■ jestli jsou všechny logy korektně napojeny na konektor server (konektivita, autentizace, šifrování)
■ jestli jsou všechny logy úspěšně uloženy do obou Loggerů
■ jestli jsou všechny logy úspěšně parsovány/taxonomizovány a doručeny do Expressu
■ jestli je u daného zdroje korektně parsována časová značka
) ) Assety a NESSUS - budou realizovány následující kontroly/testy:
■ Assety - jestli jsou vyplněny parametry asset modelu - customers, zones, asset_groups/assets
■ Assety - jestli jsou vyplněny všechny uživatelsky definované kategorie
■ Assety - jestli pro příchozí eventy jsou korektně přiděleny asset informace - tedy jakou hodnotu má parametr CONFIDENCE
Bezpečnost informacíje pro nás na prvním místě
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí pro ČEPRO, a. s.
■ NESSUS - jestli jsou skenovány všechny rozsahy/sítě
■ NESSUS - jestli jsou správně identifikovány a do SIEMu transformovány a mapovány nalezené hrozby
■ NESSUS - jestli vznikající eventy (po napojení zdrojů), jsou správně normalizovány vůči zranitelnostem, tedy jestli jsou správně vyplněny následující parametry/kategorie:
o CONFIDENCE - určuje zda-li pro daný TARGET (ip adresa) existuje asset v rámci asset modelu, jestli byl tento asset skenován VA systémem a jestli existuje zranitelnost na tomto assetu.
o RELEVANCE - určuje, jestli zranitelnosti na daném TARGETu jsou v příchozím eventu - určuje tedy relevanci daného eventu vůči zranitelnostem na dotčeném assetu.
Korelace/Reporting - pro každý požadovaný realizační scénář (body 68 až 76) bude vypracován detailní akceptační/testovací scénář. Tento scénář bude vycházet ze základního popisu této nabídky a bude detailně dopracován po napojení zdrojů tak, aby obsahoval přesné informace:
■ detailní popis podmínek pro spuštění scénáře (vznik alertu), jaké uživatelské akce jsou nutné pro spuštění scénáře (např. zakázání uživatelského účtu v Microsoft AD)
■ jaké vstupy (přesný popis - vstupní log) jsou nutné pro spuštění scénáře
■ jaké uživatelské výstupy jsou očekáváné, jak bude výstup graficky zrealizován (alert, report...)
Testovací scénáře druhé a třetí kategorie se nebudou testovat dřív, než budou akceptovány všechny scénáře první kategorie - napojení zdrojů. Testovací scénáře třetí kategorie se nebudou testovat dřív, než budou akceptovány všechny scénáře první a druhé kategorie.
6.2.6 Integrace
47. Vulnerability Scan
Na konektor serveru běží NESSUS daemon. Jednotlivé skenovací politiky jsou konfigurovány přes webové rozhraní Nessusu. Tyto politiky jsou spuštěny pomocí speciálního „AXENTA" skriptu, který pravidelně spouští tyto scany. Výstupy scanu ve formátu .xml jsou předány do ArcSight Vulnerability Assesment Smart Connectoru, který daný .xml soubor zkonvertuje/parsuje/normalizuje a odesílá jako logy do Loggeru a jako kontextové data do Express SIEMu, kde jsou tyto data uložena jako zranitelnosti assetů. Využití těchto dat pro snížení false-positive alertů popisuje bod 63. a 45.
48. Model Aktiv
Pro naplnění modelu aktiv bude vybrána vhodná kombinace níže uvedených možností (jak načíst model aktiv do SIEMu) na základě detailní vstupní analýzy:
» Asset Import Connector - Jedná se o speciální Flex konektor, který dokáže zpracovat informace o assetech v jakémkoli formátu a zkonvertovat je do .csv formátu vhodného pro ArcSight Express. Samozřejmostí je podpora vlastních kategorií.
) ) Vulnerability Scanner - VA Smart Connector je možné nakonfigurovat tak, aby jeho výstupem byli základní informace typu IP adresa, MAC adresa, typ OS, aktivní porty ve formě .csv, který následně zpracuje ArcSight Express pro naplnění modelu aktiv.
) ) Auto Asset Creation by Smart Connectors - Jedná se jednoduchou možnost, kde ArcSight Express automaticky vytvoří Asset na pro všechny zařízení, které posílají logy. Bude vyplněna IP adresa, MAC adresa a HOSTNAME.
Vzhledem ktom u, že konektor server je realizován jako standardní Linux server je možné vhodně tyto způsoby sběru kombinovat, automatizovat a plánovat.
49. Sdílené účty
Všechny úspěšně parsované a následně kategorizované eventy, které jsou přijaty do ArcSight SIEMu (Expresem) jsou interně zpracovány systémem SESSION LISTŮ. Tyto „session listy"
*
V
Bezpečnost informaci je pro nás na prvním místě
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí pro ČEPRO, a. s.
obsahují informace o aktuálně přihlášených uživatelích na serverech a zároveň evidují změny uživatelských práv (např. „su"). Pokud tedy nastane přihlášení uživatele z aktiva 1 na aktivum 2, je tato událost zanesena do „session listu". Pokud uživatel následně změní svá práva změnou uživatele je tato událost také zaznamenána. Následně, když dojde k přihlášení z aktiva 2 na aktivum 3, tak se pomocí pokročilé korelace tyto informace přepojí (tzv. „JOIN" korelace) a daná aktivita je identifikována/alertována.
50. Model uživatelů
Uvedené zadání lze realizovat dvěma způsoby:
» Funkcionalitou „Identity View", která je v současné verzi ArcSight Expressu jako bezplatná součást, kde je možné vytvářet (či už manuálně nebo automaticky nebo načtením zlD M systémů) seznam všech účtů (v detailu nejen název účtu, ale samozřejmě i spjaté jméno serveru a typ účtu, tedy jeho práva) reálného uživatele/člověka (v ArcSight také nazývané „ACTOR"). Tato funkcionalita bude rozpracována ve větším detailu na základě vstupní analýzy reálného stavu prostředí zadavatele.
o Popis: xxxx://xxx0.xx.xxx/x00000/X0/XxxXXX.xxxx/0XX0-0000XXX.xxx
» Využitím nového placeného plug-inu „User Behavioral Analytics" (nahrazuje a výrazně rozšiřuje funkcionalitu „Identity View"), jehož vlastnosti jsou výrazně širší a jeho základem je právě jednotný user management (tedy identifikace všech uživatelských účtů pod jedním reálným člověkem).
51. Matice komunikace
Uvedené zadání je vSIEMu ArcSight možné zrealizovat rozšířením/přidáním nových „aktivních listů", do scénáře popsaného v bodu 69, ve kterých bude definovaná matice uživatelských přístupů. Tímto řešením bude možné nejen definovat povolené/zakázané uživatelské účty na daných aktivech, ale bude možné přímo definovat zakázané lidi („actors").
52. Session logy
Téměř identický scénář jako je požadovaný, byl našimi pracovníky realizován bez jakýchkoliv problémů u jiných zákazníků, nemůžeme však bohužel přiložit screenshoty (vzhledem
k závazkům mlčenlivosti), proto uvedené dokládáme ukázkou a popisem konfigurace. V případě potřeby jsme připraveni předvést dané řešení naživo formou společného workshopu.
Všechny úspěšně parsované a následně kategorizované eventy, které jsou přijaty do ArcSight SIEMu (Expresem) jsou interně zpracovány systémem SESSION LISTŮ. Tyto „session listy" obsahují informace o aktuálně přihlášených uživatelích na serverech, zároveň evidují změny uživatelských práv (např. „su"). Pokud tedy nastane přihlášení uživatele z aktiva 1 na aktivum
2 je tato událost zanesena do „session listu". Pokud uživatel následně změní své práva změnou uživatele je tato událost také zaznamenána. Následně když dojde k přihlášení z aktiva 2 na aktivum 3, tak se pomocí pokročilé korelace tyto informace přepojí (tzv. „JOIN" korelace) a daná aktivita je identifikována/alterována.
53. Korelace
Identifikace uživatele logujícího se jako ROOT - bude realizováno základní korelací, kde bude korelační podmínka/definice:
» Input Filter
o AND
■ Category Behaviour = /Authentication/Verify
■ Category Outcome = / Success
■ Target User Name = root
Identifikace vícenásobného špatného přihlášení - bude realizováno základní korelací, kde bude korelační podmínka/definice:
» Input Filter
o AND
■ Category Behaviour = /Authentication/Verify
Bezpečnost informaci je pro nás na prvním místě
ý
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí pro ČEPRO, a. s.
■ Category Outcome = /Success
■ Target User Name LIKE %
» Aggregatíon
o # ofMatches = 5 (příklad)
o Time Frame = 2 Minutés
Identifikace neobvyklého datového toku, objemu přihlášení - bude upřesněno v rámci vstupní analýzy. Předpokládáme využití DATA MONITORU, který bude uchovávat informace o standardním/průměrném toku, tedy počet přihlášení. V rámci DATA MONITORU bude nastaven treshold, po jehož překročení dojde k vygenerování korelovaného eventu, který bude zachycen korelací a vyhodnocen jako bezpečnostní alert/incident. (Také viz 33.)
Definice Data Monitoru (příklad):
) ) Type = Moving Average
» Input Filter
o AND
■ Category Behaviour= /Authentication/Verify
■ Category Outcome = /Success
■ Target User Name LIKE %
» Group By = Target User ID
) ) Alarm Treshold = 20%
» Number ofSamples = 10
) ) Sampllng Interval = 60 seconds Ostatní korelace jsou variantami předchozích korelací.
54. Reporty - VArcSightu se výslední report plní datový zdrojem, který může být jeden
z následujících typů:
» Queries - AD-HOC dotaz do interní databáze eventů ala SQL.
» Trends - sumarizační dotaz, který denně ukládá vypočítavá/sumarizuje informace s eventů do trendů. Je určen pro trendové, historické reporty za dlouhé časové období.
Dalším důležitým faktorem při vytváření reportů je zdroj dat, z kterého se budu reportovat. Je možné využít následující zdroje dat:
» Active list
» Actor
» Asset
» Čase
» Event
» Session list
» Trend
Z výše uvedeného je jasné, že je možné zvolit více způsobů jak dosáhnout výsledku a až dle detailních požadavků na základě vstupní analýzy zvolit ten správný typ reportu (jak typ dotazux tak typ zdroje). Následující popisy reportů jsou tedy typové příklady jak tyto informace zobrazitAale nepředstavují jediné a správné řešení.
Výpis všech uživatelů a jejich identifikovaných přístupů (příklad s využitím zpracování informací z eventů, taktéž je možné vyrobit report/výstup z „Active listu", který obsahuje tyto informace, nebo také kombinovaným dotazem na eventy vůči globálním proměnným z „Identity View")
» Vstupní formulář / Condition
o Časové okno
) ) Zdroj dat
o Event
» Filtr
4
a
Bezpečnost informaci je pro nás na prvním místě
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí pro ČEPRO, a. s.
o AND
■ Category Behaviour = /Authentication/Verify
* Category Outcome = /Success
■ Target User Name LIKE % (není prázdné)
) ) Definice Query
o SELECT
■ Attacker User Name
■ Target User Name o GROUP BY
■ Attacker User Name
■ Target User Name
o SORT BY
■ Attacker User Name
■ Target User Name
Výpis uživatelských přístupů mezi jednotlivými aktivy
Vstupní formulář / Condition
o Časové okno
o Source = @Attacker Address=
o Target = @ Target Address=
) ) Zdroj dat
o Event
» Filtr
o AND
■ Category Behaviour= /Authentication/Verify
■ Category Outcome = /Success
■ Target User Name LIKE %
» Definice Query
o SELECT
■ Attacker Address
■ Attacker User Name
■ Target Address
" Target User Name
o GROUP BY
■ Attacker Address
■ Attacker User Name
■ Target Address
■ Target User Name
o SORTBY
■ Attacker Address
■ Target Address
■ Attacker User Name
■ Target User Name
Aktíva s největším počtem incidentů
Na základě názvosloví této zadávací dokumentace pro tento scénář považujeme za „incident" výstup korelace, tedy „correlated_event", též zvaný „alert".
(V tomto příkladě považujeme za aktivum zařízení v eventu popsané proměnnými TARGET.)
» Vstupní formulář / Condition
o Časové okno
) ) Zdroj dat
o Event
» Filtr
o AND
Bezpečnost informaci je pro nás na prvním místě
*
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí pro ČEPRO, a. s.
■ Type = Correlation
■ Target Address LIKE %
) ) Definice Query
o SELECT
■ Target Address
■ COUNT (Target Address)
o GROUP BY
■ Target Address
o SORT BY
■ COUNT (Target Address) DESC
Nejčastější incident s výčtem jednotlivých aktiv
Na základě názvosloví této zadávací dokumentace pro tento scénář považujeme za „incident" výstup korelace, tedy „correlated_event", též zvaný „alert".
(V tomto příkladě považujeme za aktivum zařízení v eventu popsané proměnnými TARGET.)
Vstupní formulář / Condition
o Časové okno
) ) Zdroj dat
o Event
» Filtr
o AND
■ Type = Correlation
) ) Definice Query
o SELECT
■ COUNT (Name)
■ Name
■ Target Address
o GROUP BY
■ Target Address
■ Name
o SORTBY
■ COUNT (Target Address) DESC
■ Target Address
) ) Definice reportu (zobrazení)
o GROUP
■ Name
Aktiva s největším počtem zranitelností
Jedná se o vstavěný report „Out of the box".
) ) Zdroj dat
o Asset
» Filtr
o AND
■ Assets INGROUP /AU Asset Categories/Scanned/Vulnerabilities
Definice Query
o SELECT
■ Name (jméno aktiva)
■ COUNT (Vulnerability)
o GROUP BY
■ Name
o SORTBY
■ COUNT (Vulnerability) DESC
Nejčastější zranitelnost s výčtem jednotlivých aktiv
Pomocí query se vytáhne seznam všech zranitelností a knim příslušně relevantní aktiva. Na
Bezpečnost informaci je pro nás na prvním místě
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí pro ČEPRO, a. s.
úrovni reportu se provede identifikace/výpočet četnosti jednotlivých zranitelností a pomocí agregace se zobrazí jen první nejčastější.
) ) Zdroj dat
o Asset
» Filtr
o AND
■ Assets INGROUP/AU Asset Categories/Scanned/Vulnerabilities
) ) Definice Query
o SELECT
■ Vulnerability
■ Name (jméno aktiva)
) ) Definice reportu (zobrazení)
o GROUP
■ Vulnerability
o Function
■ COUNT (Name) as Asset Name ,
o Aggregation
■ TOP 1 by means o f COUNT (Name)
Využívání VPIM, dle uživatelů, včetně neúspěšných
Jedná se o základní report, který poskytne seznam uživatelských účtů a jejich četnost za vybrané časové období.
Výsledek dotazu je možné zobrazit, jak do reportu, tak do dashboardu a to jak ve formě tabulky, nebo grafu (PIE, TILE atd.)
) ) Vstupní formulář / Condition
o Časové okno
) ) Zdroj dat
o Event
» Filtr
o AND
■ Category Behaviour= /Authentication/Verify
■ Device Product = VPN
■ Target User Name LIKE %
» Definice Query
o SELECT
■ Target User Name
■ COUNT (Target User Name)
o GROUP BY
■ Target User Name
o SORTBY
■ COUNT (Target User Name) DESC
6 .3 Technické údajové listy (datasheets)
HPE ArcSight ESM Express All-in-one SIEM appliance v sobě spojuje to nejlepší ze správy bezpečnostních událostí. Tato SIEM appliance poskytuje komplexní náhled a účinné nástroje k identifikaci a prioritizaci hrozeb a k zvýšení kvality procesu Incident Response.
Bezpečnost informaci je pro nás na prvním místě
^ -
Nástroj pro sběr a vyhodnocení
kybernetických bezpečnostních událostí pro ČEPRO, a. s.
^ * \ +
fi f\i ItWXřřJIJ— i --
■1 GnwJ 1_> 2. U j 1 «*> I- tä Irjyw V>4rci US JetOp t 9w>«DmM (3 Sf*ir A>cVj*2 lofTr-,
o coraffOiO-ivru 0 h? cp »m c h o w . n > t
* Ú 4- f, 4 □
«I /4e*Vln?f«3cr Cj
- o|
•h o =
t SfKt »*«-<».
( f y ArcSight Command Center Dashboards Search Reports
Cases «ppuations AüminlstfäTion
t iifi tOmtn 0 Hf<o iMnul
* *3*yvic»in*-*-a
1 i &»rti‘?xLin*siitíen \
Vuay
fcZ*<ß»Jürw.ijes«
é ¿m Haa H '•
I E rr*4j. L a i
. ^ I n n R ^ k M i {
l • ÖS» elftem*»«
[ 0 H P5D»m»
r i t>vn*e*on«3 |
, t ¿Jftnetsl i
{]»#>
t ' i3urcsr<3
¡Top IQAIsmtyEtplaHType
Al»k3./><tl U»«_ 1
IDS IPS Merl Counts
|Top IQAIcm byTag*! Objeti
(«MMnt Wal
(H. i str-orrfcniu UJÍM
(Mm |?i
ntX*XÍ£4!3H* Ul»rt 1»J
7«
m n/*n»»(TU It
ÍToplOWetAttackeis Iw W
im j-T U 'U i Ü lW U U-IMJIiM
t m a tasvnuitiui. cm tiJi
É U l r M l a l (a>9_ (M ^. («try—Wul
fcsil1l4j*ora. (Sw (On. »cc-v. e> WJ-M IM lx-U - (tet (teu *»-<_ 71
*P*I9U.!W0>>J.TSUS- 130.tli.211 IXfsM
l7ítrt»-tE»«íf0r(in» Xxxxxx.xX .ll IMwan
[Top tO/tferlTaigpts
t W t M W n lW W
rtu.09-i't2iU]*itui>.. m o iic rm
i n u i r m t u s
rtAM -tlUtUtW SttU. HUH4C7Jt on»ie.iatn a-iaiH Z!i_ it A iu tt«
2IHSC. Awnaw. ,
Xxxxx«* Itemru- (tninsl HITS
i*:»-?» 12M
U U w Kem<v_ /*T»o« Mi
□ E ď n t & n t & n c i t g i i F a j i
HP ArcSight ESM Express je především nástrojem pro správu bezpečnosti ÍT. Kombinuje řešení SIEM se zpracováním logů a sledováním aktivity uživatelů na jediném zařízení a přináší zákazníkům kompletní visíbilitu IT jejích organizace. Umožňuje snadno vyhledat kritické informace potřebné k ochraně jejich podnikání Sbírá logy z jakéhokoli zdroje dat, konsoliduje informace pro maximální efektivitu úložiště a koreluje události v mnoha rovinách: podle identity, zranitelnosti, preferencí a v reálném čase je ukazuje v uživatelském rozhraní. Posílá upozornění a reporty, takže zákaznici z malých a středních podniků mohou detekovat pokročilé hrozby dříve, než způsobí škodu.
ArcSight ESM Express je komplexní SIEM řešení nejvyšší úrovně ve formě HW appliance, která zajištuje následovně funkce SIEM (neobsahuje Log Management):
• All-ín-one SIEM zařízení pro univerzální log management, compliance a event management
• shromažďuje, ukládá a analyzuje bezpečnostně relevantní události prostřednictvím jediného zařízení
• Analyzuje miliardy bezpečnostně relevantních událostí z firewallů, IPS, koncových bodů, aplikací a datových toků
• Zabudované volitelné auditní zprávy, které pomáhají kontrolovat soulad s požadavky legislativy nebo norem a standardů
• Detekce podezřelého nebo škodlivého chování, které nezaznamenaly ostatní zabezpečovací zařízení
• Boj proti útokům malware a vnitřním hrozbám
• Ochrana proti zero-day útokům
• Pokročilé možnosti korelací pomocí pár kliků
• Pokročilé možností tvorby reportů a dashboardů
• Trendové/Agregační politiky
• Vestavěný systém pro řešení Incidentů (Cases)
• Licenční model jenom dle počtu zpracovaných logů (EPS)
o
Bezpečnost informaci je pro nás na prvním místě
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí pro ČEPRO, a. s.
• Počítá se „sustained" EPS, tedy průměr za 24hodin
• Největší aktivní uživatelská základna / fórum
• SW výbava je stejná jako ArcSight ESM, rozdíl je jen v licenčním omezení
• Možnost importovat pokročilé korelační pravidla, funkce a reporty od třetích stran
• Jedinečná funkce importu a exportu „Contentu"
6.4 Katalogové listy s vyznačením odpovídajících parametrů
6.4.1 Co znamená EPS, Sustained EPS, Max/Peak EPS
Terminologie:
„Sustained EPS" představuje průměrnou hodnotu EPS v rámci a 24-hodinového intervalu.
Konkurenční SIEM-y jsou licencovány podle hodnoty EPS ve špičce, co může být mnohem více, typicky dvojnásobek hodnoty sustained EPS.
1600
1400
1200
1000
800
600
400
200
0
WSSSSSĚSt
feioaoaitíMrpíliD
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
6.4.2 ESM Express Appliance - katalog HW /SW a licenční model
HP Gen 9 hardware
Rozšiřitelné do 2,500 Sustained EPS v krocích po 50 EPS. Filtrované a agregované EPS podobně jako u ESM Express Žádné omezení co se týče zařízení, konzol anebo aktiv Limitovaná funkcionalita vs. ESM (viz dále)
Upgrade nad 2,500 vyžaduje upgrade na ESM appliance
On-box upgrade odemyká funkcionalitu ESM a jeho možnosti
Bezpečnost informacije pro nás na prvním místě
ESM Express verze
6.4.3 Addony a porovnání ESM Express vs ESM
Porovnání ESM vs. ESM Express
0
r
Nástroj pro sběr a vyhodnocení
kybernetických bezpečnostních událostí pro ČEPRO, a. s.
ESM Express EE7600 | ESM ApplíanceE7600 | ESM Software (EPSbased) | |
Upgrade a migrace | Pouze upgrade licence na ESM appliance | Není k dispozici | |
Threat detector | Není podporováno | K dispozici | |
Risk insight | Není podporováno | K dispozici | |
Peering | Není podporováno | Podporováno | |
Maximum EPS | 2,500 | 10,000 | Omezeno pouze HW |
Dual feed HA | K dispozici | Může být použito, ale vyžaduje nákup druhé appliance | K dispozici |
Actors a AD connector | Není podporováno | Bez omezení | Bez omezení |
Active/Passive HA | Není podporováno | K dispozici | |
Placené funkční doplňky - Add-ony:
ADP | Express | ESM HW | ĚSM SW | Licenční metriky |
Compliance Packs | ✓ | ✓ | ✓ | Jeden na implementaci |
Threat Detector | N/A | N/A | ✓ | %z ceny SIEM |
RepSM | N/A | ✓ | ✓ | %z ceny SIEM |
ě
Bezpečnost informacíje pro nás na prvním místě
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí pro ČEPRO, a. s.
Threat Central | N/A | ✓ | ✓ | Velikost organizace + počet uživatelů |
ApplicationView | ✓ | ✓ | ✓ | Monitorované aplikace |
Risk Insight | N/A | N/A | ✓ | Monitorované aktiva |
Interactive Discovery | ✓ | ✓ | ✓ | Uživatelé AID |
Dual feed HA | ✓ | ✓ | ✓ | % z ceny produkce |
Adive / Passive HA | N/A | N/A | ✓ | Obvykle 70% z ceny produkce. |
Non Produdion (NP) | ✓ | ✓ | ✓ | Obvykle 50% z ceny produkce. |
6.5 Implementace
6.5.1 Harmonogram
Dle zadání má být implementace realizována do 74 dní včetně 14 denní akceptační/testovací fáze. Dle tohoto zadání předkládáme základní (high level) harmonogram implementace:
» dodávka SIEMu (0 až 30 dní)
o Vstupní analýza prostředí - sběr detailních požadavků zákazníka, tvorba harmonogramu, skladba/detail projektové dokumentace (detailní cílový koncept)
o Dodávka a instalace a implementace HW serverů
o Napojení zdrojů - sběr detailních informací o zdrojích logů, tvorba dokumentace
o Napojení kontextových dat - analýza, konfigurace a dokumentace pro ASSETY
o Napojení VA dat - analýza, konfigurace a dokumentace pro zranitelnosti
» instalace a úspěšný SAT (30 až 74 dní)
o Dodávka a instalace a implementace ArcSight Express appliance
o Testy
o Tvorba dokumentace
o Zaškolení
o Celková akceptace projektu
Tento harmonogram bude v rámci vstupní analýzy rozpracován na detailní fáze s termíny ve standardní formě pro projektový harmonogram (typicky v MS Projed formátu).
6.5.2 Požadovaná součinnost od zadavatele
) ) Komentáře a schvalování scénářů po provedení vstupní technické analýzy
) ) Pravidelné status meetingy (nebo CONF CALL) lx za dva týdny
) ) VPN přístupy k instalovaným systémům a implementovaným aplikacím
» Součinnost techniků klienta při nasazovaní HW do racků
» Součinnost při konfiguraci zdrojů logů
) ) Součinnost při konfiguraci nessus scanů
» Součinnost při konfiguraci importu assetů a uživatelských účtů
) ) Součinnost při napojení instalovaných systémů na provozní monitoring klienta
6.5.3 Licence/HW/SW Pro projekt bude dodáno:
» P0J91CA - HP ArcSight ESM Express appliance EE7600-1000 (1000 EPS)
» NESSUS software - Professional Feed Subscription
6.5.4 Dokumentace
Nabízený rozsah dokumentace odpovídá „best practice" AXENTA:
V rámci vytvářené dokumentace budou popsané minimálně následující oblasti (oblasti mohou být sloučené do konsolidované dokumentace):
) ) Projektová dokumentace, minimálně v rozsahu:
) ) Cílový koncept projektu včetně:
*
fk *
Bezpečnost informaci je pro nás na prvním místě
Nástroj pro sběr a vyhodnocení e .
kybernetických bezpečnostních 1
událostí pro ČEPRO, a. s.
■ Popisu integrační dokumentace popisující ovlivnění integrace na ostatní systémy.
■ Specifikace zákaznických modifikací.
■ Testovací scénáře.
» Případné změnové požadavky v projektu
) ) Uživatelská dokumentace
» Zde ve smyslu dokumentace k produktu
) ) Provozní dokumentace (dokumentace skutečného provedení)
) ) Systémová dokumentace včetně popisu dávkových úloh, systémových účtů a oprávnění
) ) Konfigurační manuál popisující konfiguraci prostředí, služeb a jednotlivých komponent, která je nutná pro provoz řešení
» Doporučené provozní postupy za účelem dlouhodobého provozu řešení Způsob dodavatelské podpory
) ) Doporučení pro provoz a konfiguraci infrastruktury a souvisejícího SW
6.5.5 Školení
Součásti řešení bude jedno uživatelské školení (zaškolení uživatelů), které představí uživatelům celkový funkční stav a naučí uživatele jak základy, tak pokročilé možnosti práce s webovým rozhraním i těžkým klientem ArcSight Expressu. Školení bude v rozsahu 2 dnů pro neomezený počet uchazečů.
ü a Xe n t a
Bezpečnou informaci je pro fías na prvním místě
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí pro ČEPRO, a. s.
4. NABÍDKOVÁ CENA UCHAZEČE
Pořadové číslo | Položka předmětu zakázky | Měrná jednotka | Počet MJ | Xxxx/MJ | Xxxx celkem |
1 | Dodávka nástroje - HW | komplet | 1 | 24.000,- Kč | 24.000,- Kč |
2 | Dodávka nástroje - SW | komplet | 1 | 55.000,- Kč | 55.000,- Kč |
3 | Licence | komplet | 1 | 1.309.000,- Kč | 1 .309 ,000 ,-Kč |
4 | Instalace HW | komplet | 1 | 24.000,- Kč | 24.000,- Kč |
5 | Implementace SW | komplet | 1 | 300.000,- Kč | 300.000,- Kč |
6 | Maintenance paušál | měsíc | 24 | 25.000,- Kč | 600.000,- Kč |
7 | Maintenance ČHD | člověko-hodina | 192 | 1.500,- Kč | 288.000,- Kč |
Celková nabídková cena pro účely hodnocení ve výběrovém řízení 095/16/OCN | |||||
2 .600 .000 ,-Kč | |||||