Kybernetická bezpečnost Požadavky na zajištění kybernetické bezpečnosti

Příloha č. 5 vzoru Servisní smlouvy – Kybernetická bezpečnost

Kybernetická bezpečnost



Požadavky na zajištění kybernetické bezpečnosti

Poskytovatelem zajišťovaný eSSL, je v souladu s § 2 odst. 1 písm. d) vyhlášky č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích, určen Objednatelem, jako významný informační systém (dále jen „VIS“) a Poskytovatel se tímto stává významným dodavatelem dle § 2 písm. n) vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (dále jen „VoKB“).

Za účelem plnění povinností stanovených Objednatelem, jakožto povinnou osobou ve smyslu zákona o kybernetické bezpečnosti a o změně souvisejících zákonů (dále jen „ZoKB“) a jeho prováděcího předpisu VoKB je Poskytovatel povinen nad rámec povinností stanovených smlouvou plnit níže uvedené povinnosti, a to zejména součinnostního a bezpečnostního charakteru dle této přílohy.

Poskytovatel je povinen plnit relevantní povinnosti v rozsahu a způsobem tak, aby byl naplněn účel právní úpravy v oblasti bezpečnostních opatření, kybernetických bezpečnostních incidentů, reaktivních opatření, náležitostí podání v oblasti kybernetické bezpečnosti a likvidaci dat ve vztahu k povinnostem, které tato právní úprava stanovuje Objednateli jakožto povinné osobě dle předpisů z oblasti kybernetické bezpečnosti, a to i v případě změny příslušné právní úpravy. V takovém případě je Objednatel oprávněn požadovat od Poskytovatele přiměřenou součinnost i nad rámec povinností stanovených v této příloze, avšak vždy pouze za účelem zajištění plnění povinnosti Poskytovatele z oblasti kybernetické bezpečnosti ve smyslu shora uvedeného.



  1. Systém řízení bezpečnosti informací



    1. Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 3 VoKB, které musí Objednatel, jakožto provozovatel a správce VIS a povinná osoba dle ZoKB plnit.



    1. Krom jiného se Poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:



  1. Prosadit bezpečnostní zásady a procesy, které budou pokrývat zabezpečení informačních aktiv Objednatele, které jsou zpracovávány na straně Poskytovatele při poskytování předmětu plnění.

  2. Na základě bezpečnostních potřeb a výsledků hodnocení rizik zavést příslušná bezpečnostní opatření v rozsahu poskytovaného předmětu plnění, monitorovat je a vyhodnocovat jejich účinnost.

  3. Vést záznamy o zpracování informačních aktiv Objednatele v rozsahu poskytovaného předmětu plnění, zaznamenávat veškeré podstatné okolnosti související se zajištěním bezpečnosti těchto aktiv a na vyžádání tyto záznamy Objednateli zpřístupnit.

  4. Stanovit a udržovat aktuální bezpečnostní politiku, která bude pokrývat zabezpečení informačních aktiv Objednatele, při poskytování předmětu plnění, přičemž bezpečnostní politika musí obsahovat hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací.

  5. Stanovit a udržovat aktuální bezpečnostní opatření ve formě procesů a technologií, které zajišťují naplnění bezpečnostní politiky.



  1. Řízení aktiv



    1. Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 4 VoKB, které musí splnit Objednatel, jakožto provozovatel a správce VIS a povinná osoba dle ZoKB.



2.2 Krom jiného se Poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména stanovit a udržovat rozsah a seznam aktiv využívaných pro plnění Servisní smlouvy (aktivy se rozumí např. data a informace k předmětu plnění dle Servisní smlouvy, systémy ICT, SW moduly, HW prvky - infrastruktura, aplikace, databáze, servery, úložiště, koncová zařízení – pracovní stanice typu osobní počítač, mobilní koncová zařízení – přenosná zařízení typu notebook, tablet, chytrý mobilní telefon, apod.), a tato aktiva strukturovaně popsat a Objednateli předložit kdykoliv na jeho vyžádání, a to po celou dobu trvání Servisní smlouvy.



  1. Řízení rizik



3.1 Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 5 VoKB, které musí splnit Objednatel, jakožto provozovatel a správce VIS a povinná osoba dle ZoKB.



3.2 Krom jiného se Poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

  1. Řídit vlastní rizika, která mohou ovlivnit poskytování předmětu plnění.

  2. Vytvářet a každých 6 měsíců, počínaje dnem účinnosti Servisní smlouvy Objednateli předkládat zprávu o řízení kybernetických bezpečnostních rizik, která bude minimálně pokrývat:

  1. Vyhodnocení aktuálního stavu kybernetické bezpečnosti s vazbou na předmět plnění.

  2. Identifikaci a hodnocení rizik s vazbou na předmět plnění.

  3. Realizovaná bezpečnostní opatření.

  4. Nepokrytá bezpečnostní rizika a návrh opatření.

  5. Vyhodnocení bezpečnostních událostí a incidentů.

  6. Aktuální stav souladu Poskytovatele s těmito požadavky v oblasti kybernetické bezpečnosti.



  1. Organizační bezpečnost

4.1 Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 6 VoKB, které musí splnit Objednatel, jakožto provozovatel a správce VIS a povinná osoba dle ZoKB.

    1. Krom jiného se Poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:



  1. Jmenovat nejpozději do 30 dnů od uzavření této Servisní smlouvy odpovědnou kontaktní osobu (dále jen „Kontaktní osoba“), pro potřeby zajištění plnění KB požadavků a související komunikace mezi smluvními stranami či mezi Poskytovatelem a Národním úřadem pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“). Kontaktní osobu sdělí v téže lhůtě Poskytovatel písemně Objednateli a stejně tak i NÚKIB, a to spolu s ostatními kontaktními údaji dle § 34 VoKB.

  2. Využívat pro poskytování předmětu plnění pouze oprávněných osob, které byly řádně seznámeny s příslušnými ustanoveními interních řídících aktů Objednatele a mají ověřenou kvalifikaci, znalosti a zkušenosti k řádnému poskytování předmětu plnění.



  1. Bezpečnostní role

5.1 Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 7 VoKB, které musí splnit Objednatel, jakožto provozovatel a správce VIS a povinná osoba dle ZoKB.

5.2 Krom jiného se Poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

  1. Určit roli manažera kybernetické bezpečnosti.

  2. Určit roli garanta aktiv využívaných pro plnění Servisní smlouvy.



  1. Řízení dodavatelů

6.1 Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 8 VoKB, které musí splnit Objednatel, jakožto provozovatel a správce VIS a povinná osoba dle ZoKB.

6.2 Krom jiného se Poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

  1. Využívá-li při poskytování předmětu plnění poddodavatele, zajistit adekvátní dodržování požadavků v oblasti kybernetické bezpečnosti rovněž ve smluvních vztazích se svými poddodavateli.

  2. Pokud při poskytování předmětu plnění dochází ke zpracování osobních údajů, zajistit uzavření samostatných smluv (tj. smluv se svými poddodavateli, zaměstnanci a případnými dalšími osobami podílejícími se na poskytování plnění ze Servisní smlouvy) ve smyslu příslušných ustanovení Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.



7 Bezpečnost lidských zdrojů

7.1 Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 9 VoKB, které musí splnit Objednatel, jakožto provozovatel a správce VIS a povinná osoba dle ZoKB.

7.2 Krom jiného se Poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

  1. Zajistit, aby Kontaktní osoba nejpozději do 30 dnů od uzavření Servisní smlouvy potvrdila písemně Objednateli, že všechny osoby podílející se na poskytování předmětu plnění za stranu Poskytovatele byly prokazatelně seznámeny s požadavky v oblasti kybernetické bezpečnosti a příslušnými ustanoveními interních řídících aktů Objednatele, byly-li takové Poskytovateli zpřístupněny.

  2. Dodržovat příslušná ustanovení interních řídících aktů Objednatele v rozsahu, v jakém byl s těmito akty seznámen. Za prokazatelné seznámení se považuje protokolární či elektronické předání příslušné dokumentace nebo Objednatelem zajištěný přístup na sdílené úložiště obsahující příslušné interní akty řízení. Současně s tím se Poskytovatel zavazuje k mlčenlivosti o informacích, které se v souvislosti s dokumentací poskytnutou Objednatelem dozvěděl.

  3. V případě, že je součástí předmětu plnění služba dohledu nad předmětem plnění, definovat a naplnit role a odpovědnosti pro monitoring sítě a zařízení v rozsahu předmětu plnění.

  4. Zajistit, aby osoby podílející se na poskytování plnění Objednateli v prostředí nebo s prostředky Objednatele, a to i tehdy, pokud jsou prostředky Objednatele používány mimo jeho prostředí:

  1. Pro uložení a sdílení dat a informací Objednatele využívali pouze k tomu schválené prostředky.

  2. V souvislosti s předmětem plnění neukládali ani nesdíleli data a informace eticky nevhodného obsahu, odporující dobrým mravům nebo jinak poškozující jméno Objednatele.

  3. Nestahovali, nesdíleli, neukládali, nearchivovali ani neinstalovali datové a spustitelné soubory v rozporu s licenčními podmínkami nebo autorským zákonem.

  4. Nerealizovali pokusy o neautorizovaný přístup ke zdrojům Objednatele ani ke zdrojům jiných subjektů.

  5. Nerealizovali pokusy o neoprávněnou modifikaci ani jiné neoprávněné zásahy do prostředků Objednatele, a to ani v případě, kdy jim byl prostředek Objednatele svěřen do správy.

  6. Nepodíleli se v souvislosti s předmětem plnění nebo prostředky Objednatele na šíření spamu ani škodlivého softwaru.

7.3 Poskytovatel si je vědom, že součástí podmínek pro získání přístupu ke zdrojům a aktivům (informačním / technickým) Objednatele je na straně Objednatele zpracování osobních údajů pracovníků Poskytovatele, kteří se podílejí na zajištění předmětu plnění. Pokud nebude Objednateli umožněno osobní údaje dotčených pracovníků Poskytovatele zpracovat, nebude těmto pracovníkům umožněn žádný přístup ke zdrojům Objednatele.



8 Řízení provozu a komunikací

8.1 Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 10 VoKB, které musí splnit Objednatel, jakožto provozovatel a správce VIS a povinná osoba dle ZoKB.

8.2 Krom jiného se Poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

  1. Zajistit bezpečný provoz aplikačního vybavení a podpůrné infrastruktury využívané pro poskytování předmětu plnění.

  2. Na vyžádání poskytnout Objednateli přehled, report, či jinou adekvátní informaci o bezpečnostních opatřeních zavedených v souvislosti s předmětem plnění.

  3. Zajistit, že pro poskytování předmětu plnění bude využíváno pouze aplikační vybavení a technologie, které jsou v souladu s platnými právními předpisy České republiky a Evropské unie, především s ohledem na licenční podmínky a autorský zákon.



9 Řízení změn

9.1 Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 11 VoKB, které musí splnit Objednatel jakožto provozovatel a správce VIS a povinná osoba dle ZoKB.

9.2 Krom jiného se Poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

  1. Přiměřeně reagovat na změny na straně Objednatele a upravit na své straně technická a organizační opatření tak, aby odpovídala novému stavu po provedení změny.

  2. Oznamovat významné změny Objednateli a aktivně spolupracovat při jejich testování.



  1. Řízení přístupu

10.1 Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 12 VoKB, které musí splnit Objednatel, jakožto provozovatel a správce VIS a povinná osoba dle ZoKB.

10.2 Krom jiného se Poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

  1. Přidělovat oprávnění svým jednotlivým pracovníkům ve smyslu oprávnění k výkonu činností tak, aby byla minimalizována rizika nežádoucího přístupu k informačním aktivům Objednatele.

  2. Zajistit, aby udělený přístup nebyl sdílen více osobami za strany Poskytovatele. V takovém případě musí Poskytovatel vést evidenci využívání sdílených přístupů a tuto na vyžádání předložit Objednateli kdykoli v průběhu trvání účinnosti Servisní smlouvy.

  3. Stanovit v požadavku na přístup rozsah dat/informací, služby a účely, pro které je přístup k informačním aktivům Objednatele požadován a časový údaj o délce platnosti přístupu (např.: na dobu neurčitou / 1 rok / 1 měsíc / 1 den).

  4. Zajistit, aby osoby podílející se na poskytování předmětu plnění a mající přístup k informačním aktivům Objednatele chránily autentizační prostředky a údaje a nikdy neposkytovaly neautorizovaný přístup dalším osobám.

  5. Průběžně kontrolovat a vyhodnocovat oprávněnost a potřebu přístupu, jak fyzického, tak i logického, u všech osob na straně Poskytovatele, které přistupují k informačním aktivům Objednatele.

10.3 Poskytovatel bere na vědomí, že přístup k informačním aktivům Objednatele je možné povolit pouze fyzické identitě zaměstnance Poskytovatele resp. poddodavatele Poskytovatele, a to na základě požadavku Poskytovatele na přístup.

10.4 Poskytovatel bere na vědomí, že přidělení oprávnění zaměstnanci Poskytovatele musí být realizováno na základě zásady nejnižšího oprávnění a principu need-to-know.

10.5 Poskytovatel bere na vědomí, že v případě neúspěšných pokusů o autentizaci uživatele (osoby za stranu Poskytovatele) může být příslušný účet zablokován a řešen jako bezpečnostní incident a mohou být uplatněny příslušné postupy zvládání bezpečnostního incidentu (např. okamžité zrušení přístupu k informačním aktivům Objednatele).



¨

  1. Akvizice, vývoj a údržba

11.1 Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 13 VoKB, které musí splnit Objednatel, jakožto provozovatel a správce VIS a povinná osoba dle ZoKB.

11.2 Krom jiného se Poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

  1. Zajistit bezpečnou implementaci, inovaci, aktualizaci a testování technologií, které jsou předmětem plnění.

  2. Předat Objednateli dokumentaci předmětu plnění minimálně v následujícím rozsahu:

  1. Dokumentaci všech bezpečnostních nastavení, funkcí a mechanismů.

  2. Dokumentaci obsahující popis autorizačního konceptu a oprávnění.

  3. Dokumentaci obsahující instalační a konfigurační postupy.

11.3 V případě, že předmět plnění zahrnuje též vývoj softwaru, zavazuje se Poskytovatel:

  1. Dodržovat a implementovat nejlepší praktiky pro bezpečný vývoj softwaru v rámci celého jeho životního cyklu.

  2. Na vyžádání umožnit Objednateli realizaci auditu prováděného nebo provedeného plnění a na vyžádání předložit Objednateli relevantní část zdrojového kódu k softwaru na provedení codereview, a to zejména za účelem ověření skutečnosti, zda Poskytovatel postupuje či postupoval při poskytování plnění v souladu se Servisní smlouvou a těmito požadavky v oblasti kybernetické bezpečnosti.

  3. Poskytnout Objednateli v jím stanoveném termínu, resp. bez zbytečného odkladu požadovanou součinnost na provedení bezpečnostního testování v průběhu vývoje softwaru či kdykoli po jeho dokončení.

  4. Zajistit, že plnění bude obsahovat jen ty součásti, které jsou objektivně potřebné pro řádné provozování softwaru a/nebo které jsou specifikovány výslovně v Servisní smlouvě (zejména, že software nebude obsahovat žádné nepotřebné či z pohledu Objednatele nežádoucí komponenty).

  5. Pokud je součástí plnění též instalace softwaru třetích stran, zajistit že budou použity aktuální, podporované a kompatibilní verze těchto softwarových produktů.

  6. Zajistit bezpečnost testovacího prostředí a ochranu Objednatelem poskytnutých testovacích dat.

  7. Zajistit, že do produkčního prostředí Objednatele bude dodán jen předmětem smlouvy specifikovaný kompilovaný, resp. spustitelný kód a další nezbytná data pro provozování předmětu plnění.

  8. Zajistit, že v rámci poskytovaného plnění bude dodávaný software/služba

  1. v souladu s bezpečnostními politikami a standardy Objednatele;

  2. otestován na soulad s bezpečnostními politikami Objednatele (platí pro Poskytovatele, pokud byl s takovými bezpečnostními politikami seznámen)

  1. Zajistit řízení verzí zdrojového kódu.

  2. Zajistit zálohování zdrojového kódu a jeho uložení mimo produkční prostředí.

  3. Nevyvíjet, nekompilovat a nešířit v prostředí Objednatele programový kód, který má za cíl nelegální ovládnutí, narušení dostupnosti, důvěrnosti nebo integrity nebo neautorizované či nelegální získání dat a informací.

  1. Zvládání kybernetických bezpečnostních událostí a incidentů

12.1 Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 14 VoKB, které musí splnit Objednatel, jakožto provozovatel a správce VIS a povinná osoba dle ZoKB.

12.2 Krom jiného se Poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

  1. Xxxxxxxx a popsat na své straně činnosti, role a jejich odpovědnosti a pravomoci vedoucí k rychlému a účinnému zvládání kybernetických bezpečnostních incidentů.

  2. Bez zbytečného odkladu hlásit Objednateli všechny kybernetické bezpečnostní události a incidenty s potenciálním negativním dopadem na informační aktiva Objednatele, a to stanoveným komunikačním kanálem nebo prostřednictvím Kontaktní osoby.

  3. Vyhodnocovat informace o kybernetických bezpečnostních incidentech a uchovávat je pro budoucí použití s ohledem na požadavky platných právních předpisů České republiky a Evropské unie.

  4. V případě vzniku kybernetické bezpečnostní události či incidentu a jeho následného zvládání a vyhodnocování a/nebo v případě podezření na kybernetický bezpečnostní incident poskytnout Objednateli bezodkladnou aktivní součinnost a veškeré relevantní informace.

  5. Bez zbytečného odkladu a po dohodě s Objednatelem realizovat bezpečnostní opatření požadovaná Objednatelem v dohodnutých termínech, ke snížení dopadu kybernetického bezpečnostního incidentu nebo zamezení jeho pokračování.

  6. Spolupracovat při analýze příčin vzniku kybernetického bezpečnostního incidentu a navrhnout opatření s cílem zamezit jeho opakování v případě, že Poskytovatel kybernetický bezpečnostní incident zapříčinil nebo se na jeho vzniku podílel.

12.3 Poskytovatel bere na vědomí, že postup zvládání kybernetického bezpečnostního incidentu či jiný důsledek porušení požadavků v oblasti kybernetické bezpečnosti, jehož příčina je na straně Poskytovatele, nebude posuzován jako okolnost vylučující odpovědnost Poskytovatele.



  1. Řízení kontinuity činností

13.1 Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 15 VoKB, které musí splnit Objednatel, jakožto provozovatel a správce VIS a povinná osoba dle ZoKB.

13.2 Krom jiného se Poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

  1. Zajistit adekvátní kontinuitu svých aktiv, které jsou potřebné k poskytování předmětu plnění.

  2. Pravidelně kontrolovat a testovat, že je schopen kontinuitu aktiv zajistit dle požadované úrovně služeb.





  1. Kontrola a audit

14.1 Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 8 a § 16 VoKB, které musí splnit Objednatel, jakožto provozovatel a správce VIS a povinná osoba dle ZoKB.

14.2 Krom jiného se Poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění poskytnout adekvátní součinnost při výkonu kontroly Objednatele ze strany NÚKIB dle § 23 ZoKB.



15 Fyzická bezpečnost

15.1 Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 17 VoKB, které musí splnit Objednatel, jakožto provozovatel a správce VIS a povinná osoba dle ZoKB.

15.2 Krom jiného se Poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

  1. Dodržovat provozní řády budov (režimová opatření) a využívaných prostor, zejména pak v oblasti fyzické ochrany bezpečnostních zón, kde jsou umístěny aktiva systémů ICT nebo datové nosiče.

  2. V rozsahu předmětu plnění zajistit fyzické zabezpečení, označení, uchování a likvidaci informačních aktiv Objednatele, instalačních, záložních nebo archivních médií a dokumentace v souladu s Přílohou č. 1 VoKB a klasifikací informačních aktiv Objednatele, pokud s ní byl Poskytovatel seznámen.



16 Bezpečnostní nástroje

16.1 Poskytovatel se v rozsahu předmětu plnění aktivně podílí na splnění povinností uvedených v § 18 až § 27 VoKB, které musí splnit Objednatel, jakožto provozovatel a správce VIS a povinná osoba dle ZoKB.

16.2 Krom jiného se Poskytovatel v tomto kontextu zavazuje v rozsahu předmětu plnění na své straně zejména:

  1. Realizovat opatření pro odstranění nebo blokování síťového spojení/síťových spojení, které/která neodpovídají požadavkům na ochranu integrity a bezpečnosti komunikační sítě.

  2. Realizovat přístup z mobilního zařízení do prostředí Objednatele pouze prostřednictvím zabezpečeného připojení virtuální privátní sítě (VPN), pokud mu takový přístup byl udělen.

  3. Nepřipojovat do infrastruktury, která je součástí dodaného řešení technické prostředky potenciálně rizikových výrobců, které jsou předmětem varování NÚKIB.

  4. Na technická aktiva, která jsou součástí dodaného řešení bez písemného souhlasu Objednatele neinstalovat a nepoužívat v prostředí dodaného řešení tyto typy nástrojů, pokud nejsou součástí předmětu plnění:

  1. Keylogger – software nebo hardware, který neautorizovaně zaznamenává stisky kláves s cílem narušit důvěrnost zadávaných dat a informací.

  2. Sniffer – software nebo hardware umožňující odposlouchávání síťového provozu.

  3. Backdoor – skrytý softwarový nebo hardwarový nástroj, který umožňuje obejití schválených autentizačních procedur, instalovaný s cílem budoucího snadnějšího a neautorizovaného přístupu do systému ICT.

  4. Malware a jiný škodlivý software, který narušuje, obchází či jinak omezuje bezpečnostní opatření v prostředí dodaného řešení.

  1. Připojovat do prostředí dodaného řešení pouze technická aktiva, která jsou chráněna proti malware a jinému škodlivému softwaru a která jsou v souladu s interními bezpečnostními předpisy Objednatele nebo jím schválená.

  2. Průběžně zaznamenávat a uchovávat data o provozu technických aktiv (provozní a lokalizační údaje) v rozsahu předmětu plnění a v souladu s požadavky platných právních předpisů České republiky a Evrospké unie.

  3. Na vyžádání poskytnout Objednateli report obsahující výsledky monitorování veškerých uživatelských a administrátorských aktivit a jiných událostí v rozsahu předmětu plnění, a to po celou dobu trvání Servisní smlouvy.

  4. Zajistit sběr informací o provozních a bezpečnostních činnostech v rozsahu předmětu plnění a ochranu získaných informací před jejich neoprávněným čtením nebo změnou.

  5. Pro on-line transakce realizované prostřednictvím webových technologií implementovat na aktuálně bezpečných kryptografických algoritmech založené TLS/SSL certifikáty, s cílem zajistit jejich důvěrnost, integritu a identitu komunikujících protistran.

  6. Veškeré neveřejné informace poskytnuté Objednatelem chránit proti neautorizovanému přístupu aktuálně bezpečnými kryptografickými nástroji.

16.3 Poskytovatel bere na vědomí, že v případě, kdy technické spojení ze strany Poskytovatele narušuje chod služeb Objednatele, může být toto spojení ihned ukončeno bez předchozího upozornění, pokud tato Serviní smlouva nestanoví jinak.



17 Využití cloud computingu

Poskytovatelem se v kontextu využití xxxxx computingu rozumí subjekt, který tuto službu (část dodaného řešení) přímo zajišťuje. Může jím být tedy jak samotný Poskytovatel dle Servisní smlouvy, tak některý z jeho poddodavatelů (který tuto část řešení zajišťuje).

17.1 Obecné podmínky v případě využití cloud computingu:

  1. Poskytovatel zajistí, aby měl Objednatel k dispozici dostatek jasných a srozumitelných informací o provozu dané služby cloud computingu, o geografické lokaci zpracování zákaznických dat a rizicích souvisejících se zpracováním zákaznických dat v dané geografické lokaci.

  2. Poskytovatel zajistí, že zákaznická data a provozní údaje jsou dlouhodobě a nepřetržitě uložena výlučně na území členských států EU/EHP.

  3. Poskytovatel zajistí, že zákaznická data a provozní údaje jsou zpracovávána výlučně na území členských států EU/EHP.

  4. Poskytovatel je držitelem platné certifikace ČSN ISO/IEC 27001 nebo ISO/IEC 27001, od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů IAF, a do jehož rozsahu certifikace náleží poskytovaná služba cloud computingu, provozovaná v souladu s postupy normy ČSN ISO/IEC 27017 nebo ISO/IEC 27017 a ČSN ISO/IEC 27018 nebo ISO/IEC 27018. V případě, že rozsah certifikace není uveden jednoznačně na certifikátu, Poskytovatel předloží čestné prohlášení, ve kterém bude uvedeno, na které služby se certifikace vztahuje.

17.2 Organizace bezpečnosti informací

  1. Poskytovatel musí mít zaveden systém řízení bezpečnosti informací (dále jen „ISMS“). Rozsah ISMS zahrnuje organizační jednotky Poskytovatele, lokality a procesy k poskytování služby cloud computingu. Opatření jsou dokumentována pro řízení, implementaci, údržbu a neustálé zlepšování ISMS. Dokumentace obsahuje rozsah ISMS, prohlášení o aplikovatelnosti, ve kterém jsou doložena, jaká bezpečnostní opatření byla vybrána pro mitigaci bezpečnostních rizik a výsledky posledního interního či certifikačního auditu Poskytovatele.

  2. Poskytovatel musí disponovat politikou bezpečnosti informací, kterou se řídí a kterou komunikuje interním a externím zaměstnancům a svým dodavatelům. Politika bezpečnosti informací popisuje význam bezpečnosti informací, bezpečnostní cíle, požadovanou bezpečnostní úroveň, nejvýznamnější aspekty bezpečnostní strategie k dosažení stanovených cílů a organizační strukturu Poskytovatele v rozsahu ISMS.

  3. Poskytovatel zavede na základě vlastní politiky bezpečnosti informací přiměřená bezpečnostní opatření.

17.3 Politiky

  1. Politika bezpečnosti informací Poskytovatele musí být v souladu s požadavky Objednatele na bezpečnost informací.

  2. Politiky Poskytovatele musí být v souladu s politikou bezpečnosti informací Poskytovatele, dokumentovány v jednotné struktuře a vhodným způsobem sdíleny a komunikovány všem interním i externím zaměstnancům Poskytovatele. Politiky musí být verzovány, kontrolovány a schvalovány vrcholovým vedením Poskytovatele.

  3. Politiky zahrnují alespoň následující oblasti:

  1. Cíle.

  2. Rozsah.

  3. Bezpečnostní role a odpovědnosti, včetně kvalifikačních požadavků a pravidel zastupitelnosti.

  4. Role a závislosti na jiných organizacích.

  5. Postupy pro implementaci politik v rámci bezpečnostní strategie.

  6. Platné právní a regulatorní požadavky.

17.4 Fyzická bezpečnost

  1. Poskytovatel zajistí, že bezpečnostní požadavky na budovy a prostory vztahujících se k poskytování služeb cloud computingu jsou založeny na bezpečnostních cílech politiky bezpečnosti informací, identifikovaných bezpečnostních požadavcích a posouzení rizik fyzické a environmentální bezpečnosti. Poskytovatel též zajistí, že tyto bezpečnostní požadavky jsou zdokumentovány, komunikovány a poskytovány ve formě bezpečnostních politik.

  2. Poskytovatel zajistí alespoň jedno záložní datové centrum, které je kapacitně dostatečné k převzetí služby poskytované z primárního datového centra.

  3. Poskytovatel zajistí, že primární i záložní datové centrum, ze kterého jsou poskytovány služby, jsou v dostatečné vzdálenosti od přírodních zdrojů rizik a zdrojů rizik vyvolaných činností člověka vedoucích k narušení nebo omezení poskytování služby cloud computingu nebo bezpečnosti informací, nebo je přijato adekvátní bezpečnostní opatření, nebo se primární a záložní datové centrum nacházejí ve vzájemné vzdálenosti nejméně 50 km, a jsou umístěna v lokalitách, které svým geografickým charakterem vylučují současné nebo následné škodlivé působení přírodních vlivů nebo jevů vyvolaných činností člověka vedoucích k poškození nebo zničení dat anebo vyžadujících provedení záchranných prací.

  4. Poskytovatel na vstupu do prostor a budov sloužících k poskytování služby cloud computingu kontroluje fyzický přístup, aby tak zabránil případnému neautorizovanému přístupu osob.

17.5 Provoz

  1. Poskytovatel zajistí, že nebude zákaznický obsah zpracovávat jiným způsobem, než se dohodl dokumentovaným způsobem s Objednatelem.

  2. Poskytovatel vyhodnocuje informace a podklady týkající se zranitelností a hrozeb poskytované služby cloud computingu a přijímá relevantní opatření.

  3. Poskytovatel bezpečně a striktně odděluje zákaznická data, která jsou uložená a zpracovávaná na sdílených virtuálních a fyzických strojích tak, aby byla zajištěna důvěrnost a integrita těchto dat.

17.6 Správa identit a řízení přístupu

  1. Poskytovatel umožní využívat pro přístup do správy služby cloud computingu vícefaktorovou autentizaci.

  2. Poskytovatel umožňuje řídit přístupy uživatelů do služby cloud computingu zejména ve smyslu:

  1. Přiřazovat jedinečná uživatelská jména.

  2. Udělovat a upravovat uživatelské účty a přístupová oprávnění na základě zásady nejnižšího oprávnění a pravidla need-to-know.

  3. Pravidelně kontrolovat přidělení uživatelských účtů a přístupových oprávnění, alespoň jednou za 90 dní.

  4. Blokovat a odebírat přístupové účty v případě nečinnosti.

  5. Odebírat nebo měnit přístupová oprávnění při ukončení nebo změně smluvního vztahu.

  1. Poskytovatel v rámci své organizace řídí přístupy k informačnímu systému využívaného k poskytování služeb cloud computingu Objednateli.

17.7 Správa klíčů a šifrování

  1. Poskytovatel má zavedené a zdokumentované politiky týkající se technických a organizačních opatření pro kryptografické procedury a správu kryptografických klíčů, ve kterých jsou popsány alespoň tyto činnosti a oblasti:

  1. Používání aktuálně odolných kryptografických postupů a bezpečných síťových protokolů zohledňujících nejnovější poznatky a postupy v dané oblasti.

  2. Šifrování, které je na základě risk-based analýzy přizpůsobeno povaze dat, komunikačním kanálům, typu, síle a kvalitě šifrování.

  3. Požadavků na zabezpečení generování, uchovávání, vyzvednutí, distribuci, stažení a výmaz šifrovacích klíčů.

  4. Zvážení relevantních právních a regulatorních závazků a požadavků.

  1. Poskytovatel má zavedeny procesy a technická opatření s aktuálně odolnými kryptografickými nástroji a autentizací pro přenos zákaznických dat po sítích mimo kontrolu Poskytovatele.

  2. Poskytovatel má zavedeny procesy a technická opatření pro šifrování zákaznických dat a uživatelů během uchovávání.

  3. Postupy a technická opatření pro bezpečné řízení klíčů a certifikátů v oblasti odpovědnosti Poskytovatele zahrnují zejména:

  1. Generování klíčů pro různé kryptografické systémy a aplikace.

  2. Vydávání a získávání certifikátů veřejného klíče.

  3. Poskytování a aktivace klíčů.

  4. Bezpečné ukládání klíčů (oddělení systému správy klíčů od úrovně aplikací a middlewaru) včetně popisu toho, jak oprávnění uživatelé získávají přístup.

  5. Změna nebo aktualizace kryptografických klíčů včetně politik definujících, za jakých podmínek a jakým způsobem mají být změny nebo aktualizace provedeny.

  6. Zacházení s klíči podezřelými z kompromitace.

  7. Zneplatnění a vymazání klíčů.

  8. Jsou-li použity předem sdílené klíče, specifická ustanovení týkající se bezpečného použití tohoto postupu jsou specifikována samostatně.

17.8 Zabezpečení komunikace

  1. Poskytovatel má zavedeny technické záruky, které jsou vhodné k rychlému odhalení a reakci na síťové útoky na základě nepravidelných vzorců příchozího nebo odchozího provozu a/nebo distribuované útoky typu Denial-of-Service (DDoS).

  2. Data Objednatele, přenášená do služby cloud computingu jsou chráněna proti neoprávněnému zásahu, kopírování, úpravě, přesměrování nebo vymazání v souladu s jeho požadavky na zajištění bezpečnosti informací.

  3. Poskytovatel chrání data Objednatele přenášená ze služby cloud computingu proti neoprávněnému zásahu, kopírování, úpravě, přesměrování nebo vymazání v souladu se svou politikou bezpečnosti informací.

17.9 Přenositelnost, propojení a exit strategie

  1. Poskytovatel vydá při ukončení využívání služby cloud computingu zákaznická data a provozní údaje, které souvisí s provozem služby cloud computingu Objednateli, nebo je zpřístupní přes definovaná rozhraní (formát a rozsah dat odpovídají smluvním dohodám, které byly uzavřeny před používáním služby cloud computingu).

  2. Poskytovatel má povinnost uhradit Objednateli náklady spojené s přenosem dat od Poskytovatele do systému určeného Objednatelem v případě, že je aktivování exit strategie způsobeno hrubým porušením smluvního vztahu, které nebylo způsobeno Objednatelem.

  3. Poskytovatel zajistí při ukončení využívání služby cloud computingu bezpečnou likvidaci informačních aktiv Objednatele (zákaznická data a provozní údaje) po bezprostředně po jejich vydání Objednateli, a to v souladu se smluvními ujednáními a relevantními právními a regulatorními požadavky.

17.10 Nákup, vývoj a úprava informačních systémů

  1. Poskytovatel má zaveden proces řízení změn.

  2. Produkční prostředí Poskytovatele je fyzicky nebo logicky odděleno od testovacích nebo vývojových prostředí, aby se zabránilo neautorizovanému přístupu k zákaznickým datům, šíření malwaru nebo změnám technických aktiv.

  3. Data obsažena v produkčních prostředích se nepoužívají v testovacích nebo vývojových prostředích, aby nedošlo k ohrožení jejich důvěrnosti.

17.11 Řízení dodavatelů

  1. Poskytovatel informuje o svých systematických zpracovatelích, a to jak před uzavřením smlouvy, tak vždy s dostatečným předstihem, než dojde k jejich změně.

  2. V případě nesouhlasu Objednatele se změnou systematického zpracovatele, Poskytovatel tuto změnu neprovede.

17.12 Správa kybernetických bezpečnostních událostí a incidentů

  1. Poskytovatel bez zbytečného odkladu informuje Objednatele stanoveným způsobem o každém kybernetickém bezpečnostním incidentu, který se týká zákaznických dat Objednatele a souvisejících provozních údajů.

  2. Poskytovatel má zaveden a využívá nástroj na sledování a vyhodnocování kybernetických bezpečnostních událostí.

17.13 Řízení kontinuity činností

Poskytovatel zajistí, že v jeho pohotovostních plánech je zahrnut případ neočekávaného omezení přístupu k datům Objednatele.





Document Metadata

Filed: October 4th, 2024