Příloha č.9 Smlouvy

Směrnice bezpečnosti ICT _ verze 2.3.

Příloha č.9 Xxxxxxx

" BEZPEČNOSTNÍ POŽADAVKY VE SMLUVNÍCH VZTAZÍCH "

pro projekt Nástavba budovy ZAO 370/1

-

Letiště Praha, a.s.

Datum:

1 Úvod

Účelem tohoto dokumentu je definovat závazné bezpečnostní požadavky pro poskytovatele, jejichž předmětem plnění pro objednatele je (výhradně či jako součást předmětu plnění jiné služby) vývoj, implementace a/nebo servis software či hardware (dále také jen „SW“ či „HW“), a/nebo kteří v souvislosti s plněním pro objednatele přistupují do informačního a komunikačního systému objednatele (dále také jen „systém ICT“), a/nebo kteří v rámci poskytovaného plnění pro objednatele zpracovávají, a/nebo přenášejí a/nebo ukládají a/nebo archivují jakákoli data a informace objednatele a/nebo jeho zákazníků (dále také jen „Bezpečnostní požadavky“). Účelem tohoto dokumentu je současně definovat požadavky na dodavatele dle platné právní úpravy, především pak dle ustanovení § 5 odst. 2 písm. e) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) a § 7 vyhlášky č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti), přičemž zohledňuje také ostatní související platné právní předpisy týkající se dané problematiky.

2 Obecné požadavky

Poskytovatel se při poskytování plnění pro objednatele zavazuje plnit následující povinnosti:

a) pokud poskytovatel využívá při poskytování plnění subdodavatele, poskytovatel se zavazuje zajistit dodržování Bezpečnostních požadavků rovněž ve smluvních vztazích se svými subdodavateli; přičemž tuto skutečnost se poskytovatel zavazuje doložit objednateli na vyžádání předložením příslušného smluvního vztahu uzavřeného s tímto subdodavatelem poskytovatele, případně předložením čestného prohlášení o řádném naplňování této povinnosti;

b) nestanoví-li dohoda stran jinak, poskytovatel jmenuje nejpozději do 3 dnů po uzavření smlouvy zodpovědnou kontaktní osobu pro potřeby zajištění plnění Bezpečnostních požadavků a související komunikace mezi smluvními stranami (dále také jen „Kontaktní osoba“).

c) Pokud při plnění předmětu smlouvy dochází ke zpracování osobních údajů, poskytovatel se zavazuje zajistit uzavření samostatných smluv ve smyslu příslušných ustanovení zákona č. 101/2000 Sb., o ochraně osobních údajů, v platném znění, zejména pak jeho ustanovení § 6;

d) dodržovat příslušná ustanovení bezpečnostních politik, metodik a postupů společnosti objednatele resp. platné řídící dokumentace objednatele či její části, pokud byl s takovými dokumenty nebo jejich částmi seznámen.

3 Bezpečnostní požadavky na vývoj SW

3.1. Poskytovatel se při poskytování plnění pro objednatele zavazuje:

a) poskytovat objednateli v termínech stanovených objednatelem, resp. bez zbytečného odkladu požadovanou součinnost na provedení bezpečnostního testování v průběhu vývoje SW či po jeho předání;

b) k dodání systémové a provozní bezpečnostní dokumentace nejpozději do doby předání a převzetí SW způsobem uvedeným ve smlouvě, a to minimálně v rozsahu stanoveném v odst. 4 této přílohy;

c) že plnění bude obsahovat jen ty součásti, které jsou objektivně potřebné pro řádné provozování SW a/nebo které jsou specifikovány výslovně ve smlouvě (zejména, že SW nebude obsahovat žádné nepotřebné komponenty, žádné programové vzorky apod.);

d) že pokud součástí plnění je i instalace operačního systému případně SW třetích stran, v průběhu jeho instalace budou použity nejnovější aktualizované verze těchto produktů;

e) že veškeré důvěrné informace1 poskytnuté objednateli při realizaci plnění nebudou uchovávány v nešifrovaném tvaru a budou chráněna vůči neautorizovanému přístupu, nebude li mezi smluvními stranami v konkrétním případě dohodnuto jinak;

f) že v rámci poskytovaného plnění bude instalovat SW nebo jejich upgrade podle hardeningových bezpečnostních politik a v souladu s bezpečnostními standardy objednatele (platí pro poskytovatele, pokud byl s takovými bezpečnostními standardy seznámen);

g) že v produkčním prostředí systému ICT bude obsažen jen kompilovaný, respektive spustitelný kód a další nezbytná data pro provozování systému ICT;

h) že před spuštěním SW v produkčním prostředí daného systému ICT provede kontrolu souladu daného SW s bezpečnostními požadavky hardeningových bezpečnostních politik a v případě zjištění nesouladu zajistí bez zbytečného odkladu soulad dodávaného SW s bezpečnostními požadavky hardeningových politik (platí pro poskytovatele, pokud byl s takovými bezpečnostními standardy seznámen).

i) že bude instalovat nový SW nebo nové verze SW pouze na základě objednatelem předem schválených migračních postupů2;

j) že ověří integritu zdrojového kódu a předá zdrojový kód objednateli bezpečnou formou zajištující integritu zdrojového kódu, přičemž bude průběžně evidovat a bezpečné ukládat zdrojové kódy provozovaných aplikací, a to i v případě, že budou zdrojové kódy předávány objednateli, přičemž při vývoji SW se poskytovatel zavazuje, že

o zdrojový kód programů vyvíjených poskytovatelem bude předmětem procesu řízení verzí;

o zdrojový kód programů je zálohován a uložen mimo produkční prostředí a současně je stanoven postup, jak sestavit systém ze zdrojového kódu.

o provádění konfiguračních změn je v souladu s procesem změnového řízení objednatele.

o konfigurační soubory jsou pravidelně průběžně zálohovány;

o eviduje každou změnu konfigurace;

4 Požadavky na systémovou a provozní bezpečnostní dokumentaci.

Nedílnou součástí poskytovaného plnění je zdokumentování všech bezpečnostních nastavení, funkcí a mechanismů formou zpracování bezpečnostní dokumentace. Poskytovatel se v rámci poskytovaného plnění pro objednatele zavazuje předat objednateli dokumentaci minimálně v následujícím nebo obdobném rozsahu:

o strategie obnovy,

o dokumentace skutečného provedení,

o popis autorizačního konceptu a oprávnění,

o zálohovací a archivační postupy,

o instalační a konfigurační postupy;

o bezpečností nastavení;

5 Fyzická ochrana a bezpečnost prostředí

a) Poskytovatel se zavazuje dodržovat provozní řády budov (režimová opatření) a využívaných prostor, zejména pak v oblasti fyzické ochrany bezpečnostních zón, kde jsou umístěny komponenty systémů ICT anebo datové nosiče (dále také jen „Pracoviště“).

b) Poskytovatel se zavazuje, že na Pracovišti neponechá volně dostupná instalační, záložní nebo archivní média ani dokumentaci k systému ICT, který je předmětem plnění dle této smlouvy.

1 Za důvěrné informace se ve smyslu této přílohy považují zejména identifikační údaje certifikátu, hesla, konfigurační soubory, systémové programy, kritické knihovny, obnovovací procedury apod.

2 Migrační postup – soubor kroků definující převod dat mezi dvěma nebo více systémy ICT.

6 Řízení přístupu

a) Poskytovatel bere na vědomí, že přístup k systému ICT je možné povolit pouze fyzické identitě zaměstnance poskytovatele / poddodavatele poskytovatele zaevidované v registru identit objednatele, a to na základě požadavku poskytovatele na přístup.

b) Poskytovatel bere na vědomí, že zaměstnanec poskytovatele musí prokazatelně souhlasit se zpracováním osobních údajů potřebných pro zřízení přístupu, v opačném případě objednatel není povinen přístup k systému ICT zaměstnanci poskytovatele povolit. Zaměstnanec poskytovatele s přiděleným přístupem (fyzickým, logickým) k systému ICT musí prokazatelně souhlasit se zpracováním osobních údajů zpracovávaných během vyhodnocování údajů o pohybu a prováděných aktivitách v prostorách objednatele (např.: monitoring pomocí řešení Security Incident and Event Monitoring), přičemž takový souhlas musí být proveden souhlasem písemným nebo digitálním formou emailu, není-li smluvními stranami dohodnuto jinak.

c) Poskytovatel bere na vědomí, že přidělení oprávnění zaměstnanci poskytovatele musí být řízeno principem nezbytného minima a není nárokové.

d) Poskytovatel se zavazuje, že udělený přístup nesmí být sdílen více zaměstnanci poskytovatele nebo subdodavatele poskytovatele.

e) Poskytovatel se zavazuje, že přístup do systému ICT prostřednictvím mobilní aplikace bude vždy uskutečněn pouze prostřednictvím zabezpečeného připojení VPN.

f) Poskytovatel se zavazuje, že před připojením koncového zařízení, mobilní koncového zařízení nebo aktivního síťového prvku jako síťové switche, WiFi access pointy, routery či huby do počítačové sítě zažádá o schválení připojení kontaktní osobu na straně objednatele

g) Poskytovatel se zavazuje, že bez zbytečného odkladu deaktivuje všechny nevyužívané zakončení sítě anebo nepoužívané porty aktivního síťového prvku.

h) Poskytovatel se zavazuje, že nebude instalovat a používat tyto typy nástrojů:

• Keylogger,

• Sniffer,

• Analyzátor zranitelností a Port Scanner,

• Backdoor, rootkit a trojský kůň nebo jinou podobu malware.

i) Poskytovatel se zavazuje, že všechny ICT systémy poskytovatele, které se připojují do síťové infrastruktury objednatele, jsou a budou chráněny proti malware.

j) Poskytovatel se zavazuje, že nebude vyvíjet, kompilovat a šířit v jakékoliv části systému ICT programový kód, který má za cíl nelegální ovládnutí, narušení, nebo diskreditaci systému ICT nebo nelegální získání dat a informací.

k) Poskytovatel se zavazuje zajistit, aby osoby podílející se na poskytování plnění objednateli:

• nenavštěvovali internetové stránky s eticky nevhodným obsahem3;

• neukládali a/nebo nesdíleli data i informace eticky nevhodného obsahu, odporující dobrým mravům nebo poškozující jméno objednatele;

• nestahovali, nesdíleli, neukládali, nearchivovali a/nebo neinstalovali datové a spustitelné soubory v rozporu s licenčními podmínkami nebo autorským zákonem;

• neukládat a/nebo nesdíleli data a informace společnosti na nepovolených datových úložištích nebo médiích;

• nezasílali řetězové emaily.

3 Data a informace obsahující prvky extrémismu, terorismu, pornografie anebo podněcování k nesnášenlivosti a společenským předsudkům vztahujícím se ke společenské skupině identifikované na základě rasy, náboženství nebo víry, pohlaví, sexuální orientace, národnostní a etnické příslušnosti či jiné odlišnosti.

l) Poskytovatel se zavazuje zajistit, aby osoby podílející se na poskytování plnění objednateli, kteří přistupují do interní sítě a/nebo systému ICT objednatele, respektovali a dodržovali následující omezení:

• Zařízení typu notebook/počítač musí mít:

o aplikovány bezpečnostní záplaty (operačního systému, internetového prohlížeče a Javy)

o nainstalovanou, spuštěnou a aktualizovanou antivirovou ochranu;

m) Poskytovatel se zavazuje zajistit, aby osoby podílející se na poskytování plnění objednateli, kteří přistupují do interní sítě a/nebo systému ICT objednatele chránili autentizační prostředky a údaje k systémům ICT objednatele. Poskytovatel bere na vědomí, že v případě neúspěšných pokusů o autentizaci uživatele může být příslušný účet zablokován a řešen jako bezpečnostní incident ve smyslu příslušné řídící dokumentace a mohou být uplatněny příslušné postupy zvládání bezpečnostního incidentu (např. okamžité zrušení přístupu k informačním aktivům fyzických osob externího subjektu). Poskytovatel bere na vědomí, že postup zvládání bezpečnostního incidentu či jiný důsledek porušení Bezpečnostních požadavků nebude posuzován jako okolnost vylučující odpovědnost poskytovatele za prodlení s řádným a včasným plněním předmětu smlouvy a nebude důvodem k jakékoli náhradě případné újmy poskytovateli či jiné osobě ze strany objednatele.

7 Monitorování

a) Poskytovatel bere na vědomí, že veškerá aktivita poskytovatele a jeho plnění realizované v systémovém prostředí objednatele budou objednatelem průběžně a pravidelně monitorovány a vyhodnocovány s ohledem na obsah smlouvy a interních dokumentů objednatele, se kterými byl poskytovatel seznámen.

b) Poskytovatel se zavazuje, že záznamy/logy obsahující výsledky monitorování, úspěšná a neúspěšná přihlášení do ICT systému a záznamy o správě uživatelů je povinen na vyžádání a bez zbytečného odkladu předložit objednateli, a to po celou dobu trvání smlouvy i o jejím ukončení.

8 Předání a převzetí plnění

a) Poskytovatel bere na vědomí, že nedodržení Bezpečnostních požadavků včetně požadavku na předání kompletní systémové a provozní dokumentace je vadou bránící převzetí předmětu smlouvy (je vadou kategorie A), přičemž objednatel není do doby odstranění příslušné vady plnění povinen plnění převzít.

b) Poskytovatel odpovídá za to, že systémy ICT budou obsahovat nejnovější bezpečnostní aktualizace (patche)4.

9 Výměna informací

a) Pokud je předmětem smlouvy výměna informací mezi smluvními stranami, musí být mezi smluvními stranami uzavřena dohoda o ochraně předmětných informací, zejména při jejich výměně, uložení, archivaci a ukončení smlouvy.

b) Poskytovatel se zavazuje, že veškerý přenos dat a informací musí být dostatečně zabezpečen z pohledu bezpečnostní klasifikace a tedy požadavků na důvěrnost, integritu a dostupnost dat a informací.

c) Poskytovatel se zavazuje, že on-line transakce realizované prostřednictvím webových technologií budou chráněny SSL certifikáty.

10 Zvládání bezpečnostních incidentů5

Poskytovatel se při poskytování plnění pro objednatele zavazuje, že:

4 Aktualizace software na vyšší vývojovou verzi.

5 Pojem bezpečnostní incident a bezpečnostní událost je ekvivalentní pojmům Kybernetická bezpečnostní událost / Kybernetický bezpečnostní incident, vydefinovaných zákonem č. 181/2014 Sb. o kybernetické bezpečnosti. Pro potřeby tohoto dokumentu jsou pojmy vydefinovány takto:

a) neprodleně nahlásí bezpečnostní událost přes Kontaktní osobu objednatele uvedenou ve smlouvě;

b) v případě vzniku bezpečnostní události a následného zvládání a vyhodnocování bezpečnostního incidentu a/nebo v případě podezření na bezpečnostní incident, poskytne objednateli požadovanou součinnost (např.: poskytne logy a identifikační údaje (např. IP adresa, MAC adresa, HW typ, sériové číslo případně IMEI) dotyčného koncového zařízení nebo mobilního koncového zařízení zaměstnance poskytovatele nebo zaměstnance poddodavatele podílející se na realizaci plnění, k analýze obsahu, případně bez zbytečného odkladu zrealizuje opatření požadovaná objednatelem).

provede analýzu příčin bezpečnostního incidentu a navrhne opatření s cílem zamezit jeho opakování v případě, že

poskytovatel bezpečnostní incident zapříčinil nebo se na jeho vzniku podílel.

Bezpečnostní událost: možné porušení bezpečnostní politiky nebo na selhání bezpečnostních opatření. Může se také jednat o jinou situaci, která dříve nenastala a může být z pohledu bezpečnosti informací důležitá. Může být příčinou nebo mít vliv na vznik bezpečnostního incidentu.

Bezpečnostní incident: jedna nebo více nežádoucích nebo neočekávaných bezpečnostních událostí, u kterých existuje vysoká pravděpodobnost kompromitace procesů/činností společnosti objednatele a ohrožení bezpečnosti informací.