SMLOUVA
Evidenční číslo smlouvy ČNB:00-000-00
Příloha č. 1 ZD
SMLOUVA
o poskytování služby SOC
uzavřená podle § 1746 odst. 2 zákona č. 89/2012 Sb., ve znění pozdějších předpisů (dále jen “OZ“) mezi:
Českou národní bankou
Na Příkopě 28
115 03 Praha 1
zastoupenou: Ing. Xxxxxxxxxx Xxxxxxxxx, ředitelem sekce informatiky
a
Xxx. Xxxxxxx Xxxxxxxx, ředitelem sekce správní
IČO: 48136450
DIČ: CZ48136450
(dále jen „objednatel“ nebo „ČNB“)
a
………………..
………………..
………………..
č. účtu: ......................./kód banky ……..
(plátce DPH uvede svůj účet, který zveřejněn podle § 98 zákona o DPH)
(doplní účastník zadávacího řízení)
(dále jen „poskytovatel“)
Preambule
Objednatel provozuje systém managementu bezpečnostních informací a událostí SIEM (dále jen „SIEM") založený na produktu HP ArcSight.
Vzhledem k celosvětově stoupajícímu trendu kybernetických útoků je potřeba zajistit nepřetržitý monitoring a analýzu bezpečnostních událostí s využitím systému SIEM objednatele včetně návrhu na protiopatření v režimu 7x24x365. Rovněž je potřeba zajistit průběžnou úpravu pravidel v systému SIEM, aby byl schopen odhalovat nové hrozby, případně se zrychlilo jejich odhalení.
Vzhledem k důležitosti této služby nezbytné pro zabezpečení ostatních informačních systémů ČNB v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů, stanovuje objednatel dále uvedené požadavky, lhůty, platební podmínky, smluvní pokuty a další smluvní ujednání, které z této důležitosti vycházejí.
Článek I
Předmět smlouvy
Poskytovatel se touto smlouvou zavazuje poskytovat objednateli za sjednaných podmínek na vlastní náklady a na své nebezpečí službu zahrnující:
nepřetržitý vzdálený dohled/monitoring bezpečnostních událostí s využitím systému SIEM objednatele, a to 24 hodin denně 7 dnů v týdnu po celý rok,
analýzu bezpečnostních událostí (KBU) zachycených systémem SIEM objednatele, včetně návrhu na protiopatření (řešení),
upozornění objednatele na zjištěné bezpečností incidenty (KBI) dle jejich závažnosti a v této smlouvě dohodnuté komunikační matice,
poskytování pravidelného měsíčního reportu zabezpečeným způsobem (bude definitivně stanoven v realizační studii), který bude obsahovat minimálně:
statistiku sbíraných událostí a typů zdrojů těchto událostí,
seznam a způsob řešení jednotlivých zjištěných bezpečnostních událostí a incidentů (KBU/KBI),
návrhy na vylepšení bezpečnostního monitoringu o další scénáře v systému SIEM objednatele (pravidla, reporty, apod.) formou balíčků pro nástroj HP ArcSight nebo připravených filtrů s podrobným popisem jejich implementace,
počet skutečně odpracovaných hodin plnění dle odst. 1 písm. e), včetně podrobného rozpisu,
poskytování konzultačních služeb při případné úpravě pravidel, reportů a filtrů pro systém SIEM objednatele, které nespadají do plnění uvedeného v písm. a) – d) výše, v rozsahu 10 člověkodnů ročně,
poskytování konzultačních služeb při případné úpravě pravidel, reportů a filtrů pro systém SIEM objednatele, které jsou nad rámec rozsahu člověkodní dle písm. e) tohoto odstavce. V případě potřeby budou tyto služby prováděny na základě nabídky poskytovatele, jejíž součástí bude předpokládaná pracnost a harmonogram realizace požadované služby. V případě akceptace nabídky objednatelem bude na tyto služby vystavena samostatná objednávka.
Podrobná specifikace a parametry poskytované služby jsou uvedeny v příloze č. 1, která je nedílnou součástí této smlouvy.
Předmětem této smlouvy je dále závazek poskytovatele provést před zahájením poskytování služby dle odst. 1 přípravné činnosti specifikované v čl. II.
Služba uvedená v odst. 1 písm. a) až c) tohoto článku bude poskytována výhradně formou vzdáleného přístupu. Definice a parametry vzdáleného přístupu jsou uvedeny v příloze č. 7, která je nedílnou součástí této smlouvy. Náklady na zajištění vzdáleného přístupu až k přístupovému bodu VPN na perimetru ČNB hradí poskytovatel.
Předmětem této smlouvy je závazek objednatele poskytnout potřebnou součinnost a zaplatit za poskytnutá plnění cenu dle čl. V.
Článek II
Přípravné činnosti
Před zahájením poskytování služby dle č. 1 odst. 1 písm. a) – d) budou realizovány níže uvedené přípravné činnosti rozdělené do dvou etap, které budou předmětem akceptace dle čl. IV.
1. etapa – Realizační studie
První etapa je zaměřena na detailní analýzu požadavků objednatele (příloha č. 2) a navrženého řešení služby poskytovatelem (příloha č. 1) s cílem ověřit realizovatelnost nabízené služby v podmínkách objednatele, ověřit a dokladovat soulad s požadavky objednatele, podrobně specifikovat technickou realizaci služby a případně identifikovat technické problémy či dosud neidentifikované změny a požadavky, které by vznikly v souvislosti s implementací a provozováním služby v prostředí objednatele.
Výstupem této etapy bude podrobná realizační studie, pro jejíž tvorbu využije poskytovatel šablonu realizační studie uvedenou v příloze č. 6.
Sběr informací, které bude poskytovatel potřebovat pro vytvoření objednatelem požadované realizační studie, bude probíhat formou interview mezi odbornými pracovníky obou smluvních stran v místě plnění.
Ze studie musí být objednatel schopen ověřit, že navrhovaná služba a způsob jejího poskytování splňuje požadavky objednatele, vyhovuje jeho potřebám, jeho provozním zvyklostem a je implementovatelné ve lhůtách uvedených v této smlouvě. Dále u případně nově identifikovaných požadavků či změn souvisejících s implementací a provozováním služby v prostředí objednatele neuvedených v příloze č. 2 této smlouvy, musí realizační studie obsahovat návrh vypořádání takových požadavků či změn.
Tato etapa v sobě zahrnuje zejména následující činnosti:
seznámení odborných pracovníků poskytovatele s výpočetním prostředím ČNB, kritičností jednotlivých dozorovaných IS a aplikací,
seznámení se s konfigurací systému SIEM objednatele (reporty, alerty, pravidla, korelace, atd.),
návrh případné úpravy pravidel v SIEM objednatele formou balíčků pro nástroj HP ArcSight nebo připravených filtrů s podrobným popisem jejich implementace a připojení nových zdrojů událostí, je-li to potřeba pro zajištění kvality poskytované služby,
definování způsobů vzájemné komunikace obou smluvních stran (komunikační matice) a eskalace,
definování struktury a obsahu měsíčního reportu,
vytvoření realizační studie,
ve spolupráci obou smluvních stran akceptaci realizační studie,
uzavření ujednání o zpracování osobních údajů v souladu s přílohou č. 4.
Akceptovaná realizační studie je pro poskytovatele závazná a stává se volně připojenou přílohou č. 8 této smlouvy.
Činnosti prováděné v rámci této etapy se realizují v pracovní dny během standardní pracovní doby objednatele (7:45 až 16:15 - časové pásmo místa plnění), pokud se obě smluvní strany nedohodnou jinak.
2. etapa – Implementace a ověřovací provoz
Tato etapa je zaměřena na technické zprovoznění služby spočívající v potřebné konfiguraci zabezpečeného vzdáleného přístupu (dále jen „VPN“) a systému SIEM v prostředí objednatele a instalaci a konfiguraci VPN v prostředí poskytovatele, dále pak nastavení a aktivaci monitorovacích a reportovacích procesů, a to vše v souladu s akceptovanou realizační studií. Součástí této etapy je i jednoměsíční poskytování služby – ověřovací provoz.
Druhá etapa zahrnuje následující činnosti:
zajištění přístupů jednotlivých pracovníků poskytovatele, kteří se budou podílet na poskytování služby dle čl. I odst. 1 písm. a) až c):
aktivace přístupů do webové konzole SIEM objednatele formou VPN,
předání certifikátů pracovníkům poskytovatele na jejich vlastní čipovou kartu (token) dle specifikace uvedené v příloze č. 2 (požadavek S33) pro zajištění bezpečného přihlášení ke konzoli SIEM objednatele prostřednictvím VPN,
zprovoznění VPN u poskytovatele dle návodu od objednatele,
úprava pravidel v SIEM objednatelem, dle doporučení a podrobného návodu poskytovatele uvedeného v realizační studii,
poskytování služeb dle čl. 1 odst. 1 písm. a) – d) po dobu jednoho měsíce (dále jen „ověřovací provoz“),
ve spolupráci obou smluvních stran akceptaci měsíčního reportu ověřovacího provozu.
Článek III
Lhůty, místo plnění a pověřené osoby
Poskytovatel se zavazuje zahájit poskytování služby dle čl. I odst. 1 do 4 měsíců ode dne podpisu této smlouvy s tím, že první etapa dle čl. II bude dokončena nejpozději do 2 měsíců od podpisu smlouvy.
Smluvní strany se dohodly, že pokud bude nutno před uzavřením smlouvy o zpracování osobních údajů uvedené v čl. II odst. 2.5 písm. h) požádat Úřad pro ochranu osobních údajů o stanovisko, staví se lhůta pro ukončení 1. etapy a lhůta pro zahájení poskytování služby do doby obdržení tohoto stanoviska.
Za místo plnění se považuje sídlo objednatele na adrese Xx Xxxxxxx 00, Xxxxx 0.
Pověřenými osobami jsou pro:
akceptaci jednotlivých etap:
za objednatele: … bude doplněno objednatelem před uzavřením smlouvy …
za poskytovatele: … bude doplněno před uzavřením smlouvy s vybraným dodavatelem
provoz služby:
za objednatele: … bude doplněno objednatelem před uzavřením smlouvy …
za poskytovatele: … bude doplněno před uzavřením smlouvy s vybraným dodavatelem
otázky smluvní:
za objednatele: … bude doplněno objednatelem před uzavřením smlouvy…
za poskytovatele: … bude doplněno před uzavřením smlouvy s vybraným dodavatelem
Smluvní strany se zavazují ohlásit změnu pověřených osob nebo kontaktních údajů podle předchozího odstavce nejpozději následující pracovní den po provedení změny na e-mailové adresy pověřených osob, přičemž taková změna se nepovažuje za změnu smlouvy.
Článek IV
Akceptace přípravných činností
Před ukončením každé etapy uvedené v článku II se uskuteční akceptační řízení. Akceptační řízení začne předložením všech potřebných podkladů k příslušnému předmětu akceptace kterékoliv pověřené osobě objednatele uvedené v čl. III odst. 4 písm. a).
Při akceptačních řízeních budou vady odstraňovány a připomínky vypořádány bez zbytečného odkladu.
O ukončení každého akceptačního řízení bude sepsán akceptační protokol, který vyhotoví objednatel. K akceptačnímu protokolu se vyjádří poskytovatel nejpozději do 3 pracovních dnů po jeho obdržení. Pokud tak neučiní, má se za to, že s uvedeným závěrem souhlasí. Akceptační protokoly podepisují pověřené osoby uvedené v čl. III odst. 4 písm. a) (postačuje jedna z nich za každou smluvní stranu).
Xxxxxxxxxx etapa bude považována za úspěšně provedenou, pokud bude prostá vad, nerozhodne-li se objednatel akceptovat danou etapu s výhradami. Akceptační protokol v případě akceptace s výhradami musí obsahovat výčet vad, způsob a lhůtu pro jejich odstranění. Pokud objednatel pro vady kteroukoliv etapu neakceptuje, uvede to v akceptačním protokolu spolu s odůvodněním.
Poskytovatel je oprávněn zahájit další etapu až poté, co objednatel akceptoval předchozí etapu.
Akceptace 1. etapy
Po realizaci všech činností v rámci 1. etapy předloží poskytovatel objednateli realizační studii k připomínkám. Objednatel uplatní písemně (poštou nebo elektronicky) připomínky nejpozději do 5 pracovních dnů od obdržení realizační studie.
Za vadu realizační studie se považuje zejména:
chybějící textová část dokumentace nebo nevyplněná či nevypracovaná část realizační studie, jejíž předepsaná struktura je uvedena v příloze č. 6,
textová část studie neodpovídá skutečnosti popisované entity (např. systému, procesu, chybové zprávě, požadavkům uvedeným v přílohách 1 až 2) nebo je v rozporu s některým z povinných požadavků dle přílohy č. 2.
Rozhodnutí o akceptaci či neakceptaci realizační studie provede objednatel do 5 pracovních dnů od obdržení vypořádání připomínek. Během této doby si objednatel vyhrazuje právo pokládat další dotazy a návrhy na doplnění a úpravy studie (např. formou e-mailu) poskytovateli, které budou zodpovězeny či vypořádány poskytovatelem bez zbytečného odkladu.
Podmínkou akceptace 1. etapy je uzavření smlouvy o zpracování osobních údajů (příloha č. 4).
Objednatel je oprávněn kdykoliv před akceptací první etapy využít výhradu uvedenou v článku IX odst. 5, a to zejména v případech, kdy je z realizační studie zřejmé, že kvalita nabízené služby neodpovídá zvyklostem a standardům objednatele či v případě detekce dodatečných změn a nákladů uvedených v realizační studii, které by měly velké dopady na očekávaný rozpočet objednatele či zatížení jeho lidských zdrojů.
Akceptace 2. etapy
Po realizaci všech činností v rámci 2. etapy předloží poskytovatel objednateli report z měsíčního ověřovacího provozu k připomínkám, které objednatel uplatní písemně (poštou nebo elektronicky) nejpozději do 5 pracovních dnů.
Za vadu reportu z měsíčního ověřovacího provozu se považuje zejména:
absence některých částí podle struktury uvedené v realizační studii,
opomenutí detekovaného KBI včetně návrhu protiopatření,
neúplné, chybné nebo nekonzistentní údaje.
Rozhodnutí o akceptaci či neakceptaci reportu provede objednatel do 5 pracovních dnů od obdržení vypořádání připomínek.
Podmínkou akceptace 2. etapy je úspěšně provedený ověřovací provoz, ve kterém nebyly detekovány vady, nebo byly všechny vady odstraněny do jeho ukončení.
Za vadu v ověřovacím provozu se považuje zejména:
nedostupnost SIEM objednatele pro poskytovatele z důvodů na straně poskytovatele v rozsahu větším než 2 hodiny,
nedetekované KBU/KBI poskytovatelem, ačkoliv je objednatel detekoval.
Dnem podpisu akceptačního protokolu druhé etapy bude zahájeno poskytování služby dle čl. I odst. 1 písm. a) až e).
Článek V
Cena a platební podmínky
(účastník zadávacího řízení nevyplňuje, bude doplněno před uzavřením smlouvy z nabídky vybraného dodavatele)
Cena za přípravné činnosti dle článku II činí celkem ….. Kč bez DPH, z toho činí cena za realizaci 1. etapy ........ Kč bez DPH a cena za realizaci 2. etapy ............Kč bez DPH.
Cena za poskytování služby podle čl. I odst. 1 písm. a) až e) činí ……. Kč bez DPH měsíčně.
Cena za poskytování konzultačních služeb dle článku I odst. 1 písmene f) bude stanovena jako součin počtu skutečně poskytnutých hodin konzultací a hodinové sazby, která činí …. Kč bez DPH.
Cena dle odst. 1 za přípravné činnosti bude uhrazena na základě daňového dokladu, který je poskytovatel oprávněn vystavit nejdříve v den podpisu akceptačního protokolu o ukončení 2. etapy.
Cena dle odst. 2 za poskytování služby dle čl. I odst. 1 písm. a) až e) bude hrazena na základě daňového dokladu, který je poskytovatel oprávněn vystavit nejdříve poslední den kalendářního měsíce, za který se platí. Výše paušální ceny za období kratší než kalendářní měsíc se vypočte jako alikvotní část měsíčního paušálu.
Úhrada ceny dle odst. 3 bude prováděna na základě daňového dokladu, který je poskytovatel oprávněn vystavit nejdříve poslední den kalendářního měsíce, ve kterém byly konzultační služby poskytnuty. Přílohou daňového dokladu bude časový a věcný rozpis konzultací podepsaný pověřenou osobou objednatele.
Všechny ceny jsou uvedeny bez DPH; daň z přidané hodnoty bude účtována v sazbě platné ke dni vzniku daňové povinnosti. Ceny zahrnují veškeré náklady poskytovatele spojené s plněním podle této smlouvy včetně nákladů na činnost, kterou poskytovatel vykonává jakožto zpracovatel osobních údajů podle smlouvy o zpracování osobních údajů.
Doklady k úhradě (faktury) budou obsahovat údaje podle § 435 občanského zákoníku, evidenční číslo smlouvy ČNB a bankovní účet, na který má být placeno a který je uveden v záhlaví této smlouvy nebo který byl později aktualizován poskytovatelem (dále jen „určený účet“). Daňový doklad bude nadto obsahovat náležitostí stanovené v zákoně o dani z přidané hodnoty. V případě, že doklad k úhradě bude postrádat některou ze stanovených náležitostí nebo bude obsahovat chybné údaje, je objednatel oprávněn jej vrátit poskytovateli, a to až do lhůty splatnosti. Nová lhůta splatnosti začíná běžet dnem doručení bezvadného dokladu k úhradě.
V případě, že bude v dokladu k úhradě uveden jiný než určený účet, je pověřená osoba poskytovatele povinna na základě výzvy objednatele sdělit na e-mailovou adresu, ze které byla výzva odeslána, zda má být zaplaceno na bankovní účet uvedený v dokladu k úhradě, nebo na určený účet. V tomto případě se doklad k úhradě nevrací s tím, že lhůta splatnosti začíná běžet až dnem doručení sdělení poskytovatele podle předchozí věty.
Doklady bude poskytovatel zasílat elektronicky na adresu xxxxxxx@xxx.xx, přičemž doklad musí být vložen jako příloha mailové zprávy ve formátu PDF. V jedné mailové zprávě smí být pouze jeden doklad. Mimo vlastní doklad může být přílohou mailové zprávy jedna až tři přílohy k dokladu ve formátech PDF, DOC, DOCX, XLS, XLSX. Nebude-li možné zaslat doklad k úhradě elektronicky, zašle poskytovatel doklad na adresu:
Česká národní banka
sekce rozpočtu a účetnictví
odbor účetnictví
Na Příkopě 28
115 03 Praha 1
Splatnost dokladů je 14 dnů ode dne jejich doručení objednateli. Povinnost zaplatit je splněna odepsáním příslušné částky z účtu objednatele ve prospěch účtu poskytovatele.
Smluvní strany se dohodly, že objednatel je oprávněn započíst jakoukoli svou peněžitou pohledávku za poskytovatelem, ať splatnou či nesplatnou, oproti jakékoli peněžité pohledávce poskytovatele za objednatelem, ať splatné či nesplatné.
Článek VI
Mlčenlivost, bezpečnostní požadavky objednatele
Poskytovatel se zavazuje zajistit, že jeho pracovníci či poddodavatelé a jejich pracovníci, kteří se budou na plnění podle této smlouvy podílet, zachovají mlčenlivost o všech skutečnostech, se kterými se u objednatele seznámí a které nejsou veřejně dostupné.
Poskytovatel se zavazuje použít informace získané v souvislosti s plněním dle této smlouvy výhradně pro účely plnění této smlouvy.
Povinnost mlčenlivosti není časově omezena.
Poskytovatel, jeho pracovníci či poddodavatelé poskytovatele a jejich pracovníci se zavazují v plném rozsahu dodržovat bezpečnostní požadavky objednatele, které jsou uvedeny v přílohách č. 2 a 3 této smlouvy.
Článek VII
Odstraňování vad služby
V případě, že poskytování služby nebude odpovídat funkční specifikaci (příloha č. 1 a 2) nebo realizační studii (příloha č. 8) dle této smlouvy, půjde o vadu. Odstraněním vady se rozumí též poskytnutí řešení, které vykazuje z pohledu uživatele shodnou nebo obdobnou funkčnost.
Zjištěnou vadu oznamuje objednatel poskytovateli buď telefonem s následným potvrzením elektronickou poštou, nebo ohlášení provede prostřednictvím Help-deskového systému poskytovatele. Konkrétní kontaktní údaje budou uvedeny v komunikační matici uvedené v realizační studii (příloha č. 8).
Poskytovatel potvrdí příjem oznámení o vadě nejpozději do 4 hodin od jejího zaslání objednatelem. Vady mohou být odstraňovány jen v pracovní dny v době od 8:00 do 16:15 hodin a pracovníci poskytovatele jsou povinni vadu odstranit bez zbytečného odkladu, a to bez neodůvodněného přerušení v poskytování služby.
Kontaktní údaje uvedené v tomto článku mohou být měněny jednostranným oznámením (písemně nebo e-mailem) příslušné smluvní strany doručeným druhé smluvní straně.
Článek VIII
Smluvní pokuty, úrok z prodlení
V případě prodlení poskytovatele v kterékoliv lhůtě uvedené v čl. III odst. 1 je objednatel oprávněn požadovat smluvní pokutu ve výši 1 000 Kč za každý den prodlení. To neplatí, pokud k prodlení poskytovatele došlo z důvodů na straně objednatele.
V případě prodlení poskytovatele ve lhůtě uvedené v bodě 2. písm. b) přílohy č. 2 je objednatel oprávněn požadovat smluvní pokutu ve výši 2000 Kč za každou i započatou hodinu prodlení, nejvýše však 48 000 Kč za měsíc.
V případě porušení povinnosti stanovené v bodě 3. písm. a) přílohy č. 2 je objednatel oprávněn požadovat smluvní pokutu ve výši 5 000 Kč za každé takové porušení.
V případě porušení kterékoliv povinnosti poskytovatele, která bude předmětem písemného dodatku dle čl. XI odst. 3, poskytovatelem, je objednatel oprávněn požadovat smluvní pokutu ve výši 20 000 Kč za každé jednotlivé porušení.
V případě prodlení poskytovatele ve lhůtě stanovené v čl. VII odst. 3 je objednatel oprávněn požadovat smluvní pokutu ve výši 500 Kč za každou i započatou hodinu.
V případě prodlení objednatele s uhrazením daňového dokladu je poskytovatel oprávněn požadovat úrok z prodlení podle předpisů občanského práva.
V případě porušení povinnosti mlčenlivosti pracovníky poskytovatele či jeho poddodavatele dle čl. VI má objednatel právo požadovat smluvní pokutu ve výši 20 000,- Kč za každý jednotlivý zjištěný případ porušení této povinnosti.
V případě prodlení poskytovatele se splněním smluvní povinnosti ve stanovené lhůtě dle čl. XI odst. 2 smlouvy se poskytovatel zavazuje zaplatit objednateli smluvní pokutu ve výši 500,- Kč za každý den prodlení.
Smluvní pokuta a úrok z prodlení jsou splatné do 14 dnů od doručení dokladu k úhradě povinné smluvní straně. Povinnost zaplatit je splněna odepsáním příslušné částky z účtu povinného ve prospěch účtu oprávněného.
Smluvní pokutou není dotčen nárok na náhradu škody. Případná odpovědnost poskytovatele za škodu způsobenou neplněním povinností vyplývajících z této smlouvy je omezena celkovou částkou ve výši 20 000 000,- Kč, kterou smluvní strany považují za předvídatelnou škodu.
Článek IX
Trvání a výpověď smlouvy, odstoupení od smlouvy,
zrušení smlouvy zaplacením odstupného
Smlouva se uzavírá na dobu neurčitou.
Smlouvu lze ukončit písemnou výpovědí bez uvedení důvodu. Výpovědní doba činí v případě objednatele 3 měsíce, v případě poskytovatele 6 měsíců. Výpovědní doba počíná běžet prvním dnem kalendářního měsíce následujícího po doručení písemné výpovědi druhé smluvní straně. Poskytovatel může vypovědět smlouvu nejdříve za 2 roky od zahájení poskytování služby.
Smluvní strany se dohodly, že objednatel je oprávněn kdykoliv v průběhu insolvenčního řízení zahájeného na majetek poskytovatele vypovědět tuto smlouvu, a to ve 14 denní výpovědní době, která počíná běžet dnem následujícím po doručení písemné výpovědi poskytovateli.
Poruší-li kterákoliv strana podstatným způsobem závazky vyplývající z této smlouvy, má druhá strana právo odstoupit od smlouvy, a to písemným oznámením o odstoupení. Takové odstoupení je účinné dnem doručení oznámení druhé smluvní straně. Za podstatné porušení smlouvy strany považují zejména tyto případy:
poskytovatel je v prodlení v kterékoliv lhůtě uvedené v článku III odst. 1 této smlouvy delším než 30 dnů,
neuzavření, ukončení nebo porušení podmínek sjednaných ve smlouvě o zpracování osobních údajů,
objednatel je v prodlení s úhradou kterékoliv platby dle této smlouvy delším než 30 dnů.
V souladu s ust. § 1992 OZ si smluvní strany sjednávají, že objednatel je oprávněn zrušit tuto smlouvu zaplacením odstupného ve výši 50 000,- Kč na účet poskytovatele, a to kdykoliv před akceptací realizační studie (1. etapa). Zrušení smlouvy je účinné zaplacením sjednaného odstupného na bankovní účet poskytovatele, č. ú.: (doplní účastník zadávacího řízení). Zaplacením odstupného zanikají všechna práva a povinnosti obou smluvních stran vyplývající ze zrušené smlouvy s výjimkou závazku mlčenlivosti poskytovatele.
Článek X
Uveřejnění smlouvy a skutečně uhrazené ceny za plnění smlouvy
Poskytovatel si je vědom zákonné povinnosti objednatele uveřejnit na svém profilu tuto smlouvu včetně všech jejích případných změn a dodatků a výši skutečně uhrazené ceny za plnění této smlouvy.
Profilem objednatele je elektronický nástroj, prostřednictvím kterého objednatel, jako veřejný zadavatel dle zákona č. 134/2016 Sb., o zadávání veřejných zakázek (dále jen „ZZVZ“) uveřejňuje informace a dokumenty ke svým veřejným zakázkám způsobem, který umožňuje neomezený a přímý dálkový přístup, přičemž profilem objednatele v době uzavření této smlouvy je xxxxx://xxxx.xxx.xx/.
Povinnost uveřejňování dle tohoto článku je objednateli uložena § 219 ZZVZ.
Uveřejňování bude prováděno dle ZZVZ a příslušného prováděcího předpisu k ZZVZ.
Článek XI
Ostatní ujednání
Poskytovatel je povinen mít po dobu účinnosti této smlouvy uzavřeno pojištění pro případ vzniku odpovědnosti za škodu způsobenou v souvislosti s plněním této smlouvy, a to s pojistným plněním ve výši nejméně 20 000 000 Kč (slovy: dvacet milionů korun českých) a jeho spoluúčast nepřevyšuje 5 %.
Poskytovatel se zavazuje, že pojištění v uvedené výši a rozsahu zůstane účinné po celou dobu účinnosti této smlouvy, a do 5 pracovních dnů od výzvy objednatele je poskytovatel povinen toto objednateli prokázat.
Smluvní strany se zavazují uzavřít písemný dodatek k této smlouvě, jehož předmětem bude úprava a doplnění práv a povinností smluvních stran vyplývajících z nově připravované vyhlášky o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), a to bez zbytečného odkladu poté, co předmětná vyhláška nabyde platnosti. Neuzavření tohoto dodatku v souladu s vyhláškou o kybernetické bezpečnosti je důvodem pro odstoupení objednatele od smlouvy.
Použije-li poskytovatel při své činnosti poddodavatele, nahradí škodu jím způsobenou, jakoby ji způsobil sám.
Poskytovatel je povinen:
5.1 v souladu s ust. § 105 odst. 3 ZZVZ poskytnout objednateli identifikační údaje všech poddodavatelů, kteří nebyli identifikováni dle věty první uvedené v § 105 odst. 3 ZZVZ a kteří se následně zapojí do plnění předmětu dle této smlouvy, a to nejpozději před zahájením plnění předmětu dle této smlouvy poddodavatelem,
5.2 mít po celou dobu účinnosti této smlouvy platný certifikát ČSN ISO/IEC 27001:2014 (či jiný rovnocenný certifikát nebo doklad), který objednatel požadoval v zadávacích podmínkách zadávacího řízení na předmět této smlouvy. Poskytovatel je povinen kdykoliv po dobu účinnosti této smlouvy na požádání objednateli tuto skutečnost doložit, a to do 5 pracovních dnů ode dne doručení požadavku objednatele,
5.3 zajistit, aby jeho pracovníci, kteří se budou podílet na plnění této smlouvy, splňovali kvalifikační kritéria, která objednatel požadoval v kvalifikačních požadavcích zadávacího řízení na předmět této smlouvy. Poskytovatel je po dobu účinnosti této smlouvy povinen na požádání kvalifikaci jednotlivých osob objednateli doložit, a to do 5 pracovních dnů ode dne doručení požadavku objednatele. Změna v těchto osobách může být provedena pouze se souhlasem objednatele, a to po prokázání splnění kvalifikačních požadavků objednatele ve stejném rozsahu, jaký byl stanoven v zadávací dokumentaci veřejné zakázky na poskytování služeb uvedených v této smlouvě. Odsouhlasení změny osoby bude provedeno e-mailem alespoň jednou kontaktní osobou objednatele, bez povinnosti uzavřít dodatek k této smlouvě.
5.4 V případě poskytování služeb prostřednictvím poddodavatele platí všechna ustanovení tohoto článku také pro poddodavatele a jeho pracovníky, kteří se budou na plnění smlouvy podílet. V případě, že poskytovatel splnil některý z požadavků stanovených objednavatelem v zadávací dokumentaci zadávacího řízení na předmět této smlouvy prostřednictvím poddodavatele, je povinen v případě změny tohoto poddodavatele požádat objednatele o souhlas a prokázat, že nový poddodavatel tento požadavek splňuje, a to do 5 pracovních dnů přede dnem zahájení poskytování plnění dle této smlouvy poddodavatelem. Odsouhlasení změny poddodavatele bude provedeno e-mailem alespoň jednou kontaktní osobou objednatele, bez povinnosti uzavřít dodatek k této smlouvě,
5.5 Za plnění poskytovaná poddodavatelem je poskytovatel odpovědný jako by toto plnění poskytoval sám. Poskytovatel se zavazuje, že poskytne objednateli, pokud bude i část plnění poskytována poddodavatelem, seznam kontaktních údajů na osoby provádějící plnění za poddodavatele. Objednatel je oprávněn průběh plnění realizovaný poddodavatelem řešit napřímo s jeho pracovníky a poskytovatel není oprávněn tuto komunikaci s poddodavatelem či jeho pracovníky jakkoliv omezovat nebo mařit.
Nesplnění kteréhokoliv požadavku objednatele uvedeného v odst. 5.1 až 5.5 je považováno za podstatné porušení smlouvy.
Poskytovatel se zavazuje, že nebude využívat plnění pro objednatele (resp. označení České národní banky) jako veřejně dostupnou referenci bez předchozího písemného souhlasu objednatele.
Článek XII
Závěrečná ustanovení
Tuto smlouvu lze měnit pouze dohodou smluvních stran písemným dodatkem, není-li ve smlouvě stanoveno jinak.
Smluvní strany se dohodly, že případný spor, který vznikne z této smlouvy nebo v souvislosti s ní, bude rozhodován výlučně podle českého práva obecnými soudy v České republice.
Tato smlouva je sepsána v českém jazyce. Veškerá komunikace mezi smluvními stranami vztahující se k této smlouvě bude probíhat v českém nebo slovenském jazyce, nebude-li smluvními stranami v konkrétním případě dohodnuto jinak.
Práva a povinnosti vzniklé z této smlouvy mohou být postoupena pouze po předchozím písemném souhlasu druhé smluvní strany. Za písemnou formu se nepovažuje e-mail či jiné elektronické zprávy.
Odpověď stran této smlouvy podle § 1740 odst. 3 občanského zákoníku s dodatkem nebo odchylkou není přijetím nabídky, ani když podstatně nemění podmínky nabídky.
Uplatnění domněnky doby dojití dle § 573 občanského zákoníku se vylučuje.
V případě rozporu mezi některými ustanoveními smlouvy a jejími přílohami se smluvní strany dohodly na tom, že přednost má smlouva.
Tato smlouva je vyhotovena ve čtyřech stejnopisech s platností originálu, z nichž objednatel obdrží tři stejnopisy a poskytovatel jeden stejnopis.
Smlouva nabývá platnosti a účinnosti dnem podpisu oprávněnými zástupci obou smluvních stran.
Přílohy: Příloha č. 1 Podrobný popis parametrů služby
Příloha č. 2 Technické požadavky objednatele
Příloha č. 3 Bezpečnostní požadavky objednatele
Příloha č. 4 Ujednání o zpracování osobních údajů
Příloha č. 5 Cenová tabulka (bude doplněna před uzavřením smlouvy z nabídky vybraného dodavatele)
Příloha č. 6 Šablona realizační studie
Příloha č. 7 Popis systémového prostředí objednatele
Příloha č. 8 Realizační studie (volně připojená příloha)
V Praze dne: ……………. 2018 V Praze dne: .......................2018
Za objednatele: Za poskytovatele:
…………………………….. ……………………………..
Xxx. Xxxxxxxx Xxxxxxxx (doplní účastník zadávacího řízení)
ředitel sekce informatiky
……………………………..
Xxx. Xxxxxx Xxxxxx
ředitel sekce správní
Příloha č. 1
Podrobný popis parametrů služby
(Účastník zadávacího řízení doplní tuto přílohu tak, aby z uvedeného popisu služby (její proces, personální zajištění apod.), případného výčtu použitých HW/SW produktů či licencí na straně poskytovatele a na základě dokumentace použité v nabídce účastníka či volně dostupné na internetu bylo možno ověřit splnění funkčních požadavků uvedených v příloze č. 2 této smlouvy.)
……………………………
……………………………
……………………………
……………………………
……………………………
Příloha č. 2
Technické požadavky objednatele
Níže jsou uvedeny základní věcné funkční požadavky na poptávanou službu SOC. Z pohledu objednatele se jedná o nejdůležitější požadavky, které mají umožnit splnit cíle uvedeného v preambuli této smlouvy.
U každého požadavku je uveden jak jeho název a definice dle objednatele, tak i popis tohoto požadavku. Dále jsou pak případně uvedeny konkrétní komponenty či produkty, které by dle objednatele umožňovaly splnění daných požadavků.
U všech požadavků se jedná o závazné požadavky.
Definice, akronymy a zkratky
Zkratka/Xxxxxx
Xxxxx/Definice
Alert
Emailová notifikace systému SIEM, která informuje o podezření na detekovonou KBU/KBI
KBU
Kybernetická bezpečnostní událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací.
KBI
Kybernetický bezpečnostní incident je narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetické bezpečnostní události.
KBI vzniká po analýze pouze z některých KBU.
SOC
Security operations center zajišťující monitoring bezpečnostních událostí, jejich analýzu a návrh protiopatření k detekovaným událostem. V případě ČNB externí SOC neobsahuje reakční složku, tu stále zajišťuje ČNB.
SIEM
Security Information and Event Management.
Management bezpečnostních informací a událostí, jejich monitoring a vyhodnocování.
Požadavky na monitoring a analýzu bezpečnostních událostí
Poskytovatel provádí nepřetržitý vzdálený dohled/monitoring bezpečnostních událostí s využitím systému SIEM objednatele a to 24 hodin denně 7 dnů v týdnu po celý rok.
Poskytovatel vyhodnocuje alerty detekované systémem SIEM objednatele do 2 hodin od jejich detekce, tj. okamžiku zobrazení alertu v seznamu v konzoli SIEMu, bez ohledu na to zda a kdy došlo k zaslání nebo doručení avíza ze systému SIEM objednatele emailem poskytovateli.
Do doby dle bodu b) rozhoduje Poskytovatel o tom, zda se z alertu stává KBU nebo KBI v definované kategorii, či se jedná o „false positive“ alert, kterým se již obě smluvní strany dále nezabývají.
Při vyhodnocování závažnosti KBU/KBI poskytovatel zohledňuje důležitost jednotlivých technických aktiv (serverů, aktivních prvků, stanic, databází…), mj. klasifikaci provozovaných informačních systémů podle zákona o kybernetické bezpečnosti.
V případě vyhodnocení detekované události jako KBI, nebo v případě podezření na KBI a nebo to není jednoznačné, odešle poskytovatel objednateli zprávu a pokračuje dále v analýze. O nově zjištěných podstatných skutečnostech neprodleně informuje objednatele.
Během analýzy KBI i po jejím ukončení, poskytovatel informuje objednatele v souladu s komunikační a eskalační maticí o opatřeních, které je potřeba udělat v informačních systémech objednatele, aby se zamezilo útoku, minimalizovaly škody, případně další související informace.
Poskytovatel musí garantovat vyhodnocení minimálně 50 událostí detekovaných systémem SIEM za kalendářní měsíc
Poskytovatel monitoruje výpadky zdrojů logů z kritických systémů (určené v Realizační studii) a v případě že je delší než 2 hodiny, informuje o tom objednatele dle komunikační matice v Realizační studii.
Veškerá komunikace probíhá dle závažnosti KBI a komunikační matice.
Pravidla pro určení závažnosti bezp. incidentu (KBI)
Závažnost bezp. incidentu |
Popis |
Komunikace |
Kritický |
Incident, při kterém je přímo a významně narušena bezpečnost poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být všemi dostupnými prostředky zabráněno dalšímu šíření bezpečnostního incidentu včetně minimalizace vzniklých i potenciálních škod. |
Telefonicky a e-mailem |
Střední |
Incident, při kterém je narušena bezpečnost poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být vhodnými prostředky zabráněno dalšímu šíření incidentu včetně minimalizace vzniklých škod. |
Emailem a SMS |
Nízký |
Incident, při kterém dochází k méně významnému narušení bezpečnosti poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje zásahy obsluhy s tím, že musí být vhodnými prostředky omezeno další šíření bezpečnostního incidentu včetně minimalizace vzniklých škod. |
Emailem |
3. Požadavky na pravidelný měsíční report
Poskytovatel odešle objednateli do 5. dne v měsíci report s informacemi za předchozí měsíc.
Report bude obsahovat minimálně:
statistiku sbíraných událostí,
počet alertů ze systému SIEM objednatele analyzovaných poskytovatelem
seznam a způsob řešení zjištěných incidentů (KBI),
seznam nových hrozeb, o kterých se poskytovatel dozvěděl se stručným popisem, případně odkazem na podrobnosti, pokud je k dispozici
návrhy na vylepšení bezpečnostního monitoringu o dalších scénáře v systému SIEM (pravidla, reporty, apod.) tak, aby byl schopen reagovat na nové hrozby, případně zpřesnit detekci stávajících a to formou balíčků pro nástroj HP ArcSight (v ČNB používaný SIEM) nebo připravených filtrů s podrobným popisem jejich implementace,
návrh na nastavení sběru logů z nových zdrojů, které jsou pro detekci KBI významné, vlastní sběr zajistí objednatel
počet skutečně odpracovaných hodin plnění dle čl. 1 odst. e), včetně podrobného rozpisu
návrh úpravy sběru logů systémem SIEM, který vyplyne z expertního posouzení logů dle odst. 3c) této přílohy
Poskytovatel provede expertní posouzení logů v SIEM, které zahrnuje zejména:
Kontrolu úplnosti logů z jednotlivých zdrojů potřebných pro zajištění kvality služby,
vyhledávání anomálií v počtu a typu logů z jednotlivých zdrojů,
pravidelně se opakující chybové záznamy.
4. Bezpečnostní požadavky
ID |
Název |
Popis požadavku |
S1 |
Bezpečnost u subdodavatelů |
Bezpečnostní požadavky na poskytovatele poskytovatel přenáší na subdodavatele jako součást smlouvy v rozsahu, který odpovídá charakteru dodávky. |
S2 |
Certifikace řízení bezpečnosti |
Poskytovatel má a udržuje po celou dobu plnění certifikovaný systém řízení bezpečnosti informací podle ISO/IEC 27001 nebo ekvivalentní, v jehož rozsahu jsou služby poskytované odběrateli a zařízení, která slouží k poskytování těchto služeb. |
S3 |
Hlášení incidentu |
Poskytovatel oznámí odběrateli co nejdříve každé narušení bezpečnosti systémů poskytovatele, které způsobilo nebo by mohlo způsobit prozrazení informací, které získal od odběratele, nebo neoprávněný přístup k systémům odběratele. Při tom použije stejný způsob informování jako při detekování bezpečnostní incidentu kategorie kritický u odběratele. |
S5 |
Poučení uživatelů |
Pracovníky poskytovatele, kteří mají přístup k systémům a informacím odběratele, poskytovatel před umožněním takového přístupu prokazatelně poučí o jejich povinnostech k zajištění bezpečnosti a o bezpečnostních opatřeních. |
S6 |
Smazání informací |
Nejpozději při ukončení smluvního vztahu poskytovatel odstraní ze svých informačních systémů (případně zlikviduje tištěné materiály) informace o bezpečnostních událostech a incidentech, informačních systémech objednatele a jejich konfiguracích. |
Bezpečnostní požadavky na systém, ze kterého pracovníci poskytovatele přistupují k SIEM, případně k dalším systémům odběratele:
ID |
Název |
Popis požadavku |
S10 |
Jednoznačný identifikátor uživatele |
Každý uživatel má jednoznačný uživatelský účet. Sdílené účty (pokud jsou použity) jsou schváleny a dokumentovány a jejich použití monitorováno. |
S11 |
Správa práv |
Přidělování a odebírání přístupových práv uživatelským účtům se řídí dokumentovaným procesem. Přístupová práva jsou evidována. |
S12 |
Řízení privilegovaných účtů |
Uživatelské účty s privilegovaným oprávněním jsou schválené a dokumentované. Uživatelské účty s privilegovaným oprávněním jsou odlišné od uživatelských účtů. Uživatelské účty s privilegovaným oprávněním jsou pravidelně revidovány. |
S13 |
Dočasná hesla |
Dočasné tajné autentizační údaje (např. heslo) jsou předány uživatelům pouze po předchozí identifikaci uživatele, nesmí být uhodnutelné a musí být změněny po prvním použití. |
S14 |
Defaultní účty |
Defaultní účty jsou odstraněny nebo uzamčeny. Pokud to není možné, jsou změněny tajné autentizační údaje (např. hesla) k nim. |
S15 |
Odebrání přístupu |
Při ukončení pracovního poměru (nebo jiné smlouvy opravňující k přístupu) jsou uživateli odebrána všechna přístupová práva a deaktivován uživatelský účet. |
S16 |
Autorizace |
Před přístupem k datům a funkcím systému mimo těch, které jsou veřejné, je uživatel autentizován a je ověřen rozsah jeho oprávnění. |
S17 |
Žádná nezměnitelná hesla |
K žádné části systému není možné získat přístup s využitím autentizačních informací (hesel, kryptografických klíčů apod.), které není možné změnit. Tj. systém neobsahuje „hardcoded“ hesla, „maintenance backdooor“ apod. |
S18 |
Bezpečná hesla |
Používaná hesla musí splňovat požadavky zákona o kybernetické bezpečnosti č. 181/2014 Sb. a navazujících předpisů. |
S19 |
Fyzická bezpečnost |
Systémy mají zajištěnou fyzickou bezpečnost, tj. jsou chráněny před krádeží a přístupem neoprávněných osob. |
S20 |
Likvidace médií |
Média (flash disky, pevné disky atd.), na kterých byly uloženy informace získané od objednatele, jsou před dalším použitím bezpečně smazána. Po skončení životnosti jsou bezpečně zlikvidována. |
S21 |
Logování |
Systém zaznamenává informace o provozních a bezpečnostních činnostech. Tyto záznamy jsou chráněny proti pozdější modifikaci a neoprávněnému smazání. |
S22 |
Synchronizace času |
Čas na všech technických aktivech systému je synchronizován se zdrojem přesného času nejméně jednou za 24h. |
S23 |
Pouze podporovaný software |
Je provozovaný pouze dodavatelem podporovaný software nebo software s otevřeným kódem. (Není provozován software, který už není dodavatelem podporován.) |
S24 |
Žádné modifikace software |
Software dodaný výrobcem není před instalací modifikován. |
S25 |
Instalace kritických aktualizací |
Bezpečnostní aktualizace programového vybavení systému, které jeho výrobce označil jako kritické, jsou aplikovány do … dnů od vydání. |
S26 |
Odstraňování zranitelností |
Systém je pravidelně skenován na přítomnost známých zranitelností. Vysoce závažné zranitelnosti (Common Vulnerability Scoring System score 7 a vyšší ) jsou odstraněny do 90 dnů. Není-li možné takovou zranitelnost v této lhůtě odstranit, poskytovatel o ní informuje odběratele. |
S27 |
Ochrana před škodlivým kódem |
Je zajištěna ochrana před škodlivým kódem, například nasazením pravidelně aktualizovaného antivirového programu prověřujícího spouštěné a otevírané soubory. |
S28 |
Ochrana přenášených dat |
Důvěrnost a integrita dat přenášených po sítích mimo prostory pod správou poskytovatele jsou chráněny kryptografickými opatřeními. |
S29 |
Ochrana dat na médích |
Důvěrnost a integrita dat ukládaných na vyměnitelná média a mobilní zařízení přenášené mimo prostory pod správou poskytovatele jsou zajištěny kryptografickými opatřeními. |
S30 |
Bezpečná kryptografie |
Použité kryptografické algoritmy, schémata a protokoly splňují požadavky zákona o kybernetické bezpečnosti č. 181/2014 Sb. a navazujících předpisů. |
S31 |
Procesní zabezpečení VPN poskytovatelem |
|
S32 |
Hlášení změny u osoby |
Poskytovatel je povinen neprodleně oznámit objednateli rozvázání pracovního poměru se zaměstnancem SOC, změnu pracovního zařazení, případně ztrátu certifikátu, na jehož základě Objednatel zneplatní certifikát tohoto zaměstnance. |
S33 |
Standard pro čipovou kartu či token poskytovatele |
Poskytovatel v rámci karet či tokenů pro VPN si zajistí vlastní zařízení: Čipové karty od firmy SafeNet/Gemalto model eToken 4100/MD 840 nebo usb tokeny 5100/5110 |
Příloha č. 3
BEZPEČNOSTNÍ POŽADAVKY OBJEDNATELE
Poskytovatel odpovídá za to, že do objektů objednatele (dále jen „ČNB“) budou vstupovat nebo vjíždět pouze jeho pracovníci, kteří jsou jmenovitě uvedeni v písemném seznamu, schváleném ČNB (dále jen „seznam“). Tato povinnost se vztahuje i na posádky vozidel poskytovatele vjíždějících do garáží ČNB za účelem složení a naložení nákladu. Seznam poskytovatel předloží ČNB nejpozději v den podpisu smlouvy.
Seznam bude obsahovat tyto položky: jméno, příjmení a číslo průkazu totožnosti pracovníků poskytovatele. Součástí seznamu je ,,Prohlášení o získání souhlasu subjektů osobních údajů se zpracováním osobních údajů v ČNB ve smyslu zákona č.101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů“. Poskytovatel v něm prohlásí a nese odpovědnost za to, že jeho pracovníci uvedení v seznamu vydali souhlas se zpracováním osobních údajů Českou národní bankou v rozsahu: jméno, příjmení a číslo průkazu totožnosti. Důvodem předání těchto osobních údajů je zajištění evidence osob vstupujících do objektu ČNB a správy přístupového systému ČNB.
Požadavky na případné doplňky a změny schváleného seznamu pracovníků poskytovatele je nutno neprodleně oznámit ČNB. Případné doplňky a změny podléhají schválení ČNB. Osoby neschválené ČNB nemohou vstupovat do objektů ČNB, přičemž ČNB si vyhrazuje právo neuvádět důvody jejich neschválení.
Při příchodu do objektů ČNB pracovníci poskytovatele sdělí důvod vstupu, prokáží se osobním dokladem a podrobí se bezpečnostní kontrole. Osoby, které nejsou uvedeny na seznamu, nebudou do objektu ČNB vpuštěny.
Schválení pracovníci poskytovatele musí dbát pokynů bankovních policistů, které se týkají režimu vstupu, pohybu a vjezdu do objektu ČNB. Pracovníci poskytovatele budou do prostorů ČNB vstupovat a v těchto prostorách se pohybovat v režimu návštěv, to znamená vždy pouze v doprovodu zaměstnance ČNB nebo zaměstnance referátu bankovní policie ČNB.
V případě mimořádné události se pracovníci poskytovatele musí řídit pokyny bankovních policistů nebo dozorujícím zaměstnancem ČNB a dále instrukcemi vyhlašovanými vnitřním rozhlasem.
Pracovníci poskytovatele nesmí vnášet do prostor ČNB nebezpečné předměty, jako jsou střelné zbraně, výbušniny apod. O tom co je a není nebezpečný předmět, rozhodují bankovní policisté v souladu s vnitřními předpisy ČNB.
ČNB si vyhrazuje právo nevpustit do objektů ČNB pracovníka poskytovatele, který je zjevně pod vlivem alkoholu, drog nebo jiné omamné látky.
Bez písemného povolení ČNB je zakázáno fotografování a pořizování videozáznamů z interiéru objektů ČNB.
Ve všech prostorech objektů ČNB je přísný zákaz kouření a používání otevřeného ohně. O povolení práce se zvýšeným požárním nebezpečím požádá poskytovatel písemnou formou vždy nejpozději jeden pracovní den před zahájením prací, dozorujícího zaměstnance ČNB. Dále se pracovníci poskytovatele musí zdržet poškozování či zcizení majetku ČNB, a dále zdržet se nevhodného chování vůči zaměstnancům a návštěvníkům ČNB.
Pracovníci poskytovatele uvedení na seznamu se musí před započetím výkonu práce v objektech ČNB prokazatelně seznámit, ve smyslu předpisů o požární ochraně, bezpečnosti a hygieně práce, se specifikami daných objektů ČNB (např. způsob vyhlášení požárního poplachu, určení ohlašovny požáru, seznámení s únikovými cestami, poplachovými směrnicemi, evakuačním plánem, umístěním věcných prostředků požární ochrany apod.). ČNB je oprávněna kdykoliv podrobit kontrole kterékoliv pracovníka poskytovatele uvedeného na seznamu z dodržování těchto předpisů a ustanovení.
Příloha č. 4
Ujednání o zpracování osobních údajů
v souvislosti s poskytováním služeb “Security Operations Center“____________________
(dále také jen „ujednání“)
Objednatel a poskytovatel se dohodli na tomto ujednání, které splňuje požadavky na smlouvu o zpracování osobních údajů podle ustanovení § 6 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „ZOOÚ“).
Úvodní ustanovení
1. Objednatel v souladu se smlouvou o poskytování služeb “Security Operations Center“, evidenční číslo: ............ (bude doplněno před podpisem smlouvy s vybraným dodavatelem) (dále také jako „smlouva“) určuje účel a prostředky zpracování osobních údajů subjektů údajů, kterými jsou uživatelé informačních systémů v systémovém prostředí objednatele a zaměstnanci objednatele (společně dále také „subjekty údajů“), kdy objednatel je v postavení správce osobních údajů ve smyslu § 4 písm. j) ZOOÚ.
2. Poskytovatel bude na základě smlouvy zpracovávat osobní údaje subjektů údajů a bude v postavení zpracovatele osobních údajů ve smyslu § 4 písm. k) ZOOÚ .
Článek II
Účel ujednání
Účelem tohoto ujednání je úprava práv a povinností smluvních stran při zpracování a v souvislosti se zpracováním osobních údajů zpracovatelem při plnění povinností ze smlouvy tak, aby zpracování probíhalo v souladu s právními předpisy o ochraně osobních údajů.
Článek III
Předmět ujednání
Toto ujednání upravuje vztahy mezi správcem a zpracovatelem osobních údajů, zejména pak vymezuje rozsah osobních údajů, které bude zpracovatel zpracovávat, prostředky a účel, pro který bude osobní údaje zpracovávat, dobu zpracování osobních údajů a podmínky a záruky zpracovatele osobních údajů z hlediska technického a organizačního zabezpečení ochrany osobních údajů.
Článek IV
Účel a rozsah zpracování osobních údajů
Zpracovatel bude zpracovávat veškeré osobní údaje subjektů údajů pouze v rozsahu nezbytném pro zajištění realizace smlouvy, ve znění pozdějších dodatků. Za osobní údaje jsou podle tohoto ujednání považovány veškeré informace v níže uvedených výčtech (dále také jako „osobní údaje“).
Zpracovatel je oprávněn zpracovávat osobní údaje získané od správce pro účely řádného plnění povinností podle smlouvy, tj. zejména zajištění řádného provedení bezpečnostních auditů pouze v následujícím rozsahu nezbytném pro výkon práv a povinností podle smlouvy:
adresní a identifikační údaje (např. jméno, příjmení, datum a místo narození, rodinný stav, rodné číslo, státní příslušnost, adresa trvalého bydliště, telefonní spojení domů, do zaměstnání apod.)
údaje o jiné osobě (např. adresní a identifikační údaje člena rodiny, manžel/manželka, dítě apod.)
Zpracovatel bude osobní údaje zpracovávat pouze ve formě možného nahlédnutí zpracovatele do osobních údajů ve smyslu § 4 písm. e) ZOOÚ. Toto nahlédnutí přitom není cílem plnění smlouvy, ale může k němu v rámci spolupráce správce se zpracovatelem docházet.
Zpracovatel je ve všech případech při zpracování osobních údajů subjektů údajů vázán prokazatelnými pokyny správce. Zpracovatel nesmí bez předchozího prokazatelného výslovného souhlasu anebo pokynu správce zpracovávané osobní údaje nijak upravit nebo pozměnit, třídit nebo kombinovat, zpřístupnit ani předat třetí osobě, šířit ani zveřejňovat, ani jakýmkoli způsobem použít pro vlastní potřebu.
Článek V
Doba zpracování
Zpracovatel bude všechny osobní údaje zpracovávat pouze způsobem podle čl. IV odst. 3 po dobu nezbytně nutnou pro účel bezprostředního plnění smlouvy ve vztahu ke konkrétnímu informačnímu systému obsahujícímu osobní údaje.
Článek VI
Práva a povinnosti smluvních stran
Správce pověřuje zpracovatele zpracováním osobních údajů výhradně za účelem zajištění služeb bezpečnostního auditu informačních systémů a infrastruktury a za účelem splnění povinností stanovených platnými právními předpisy.
Zpracovatel se zavazuje, že osobní údaje nebudou zpracovatelem použity, zpřístupněny, zpracovávány či poskytnuty třetím osobám, nebudou předávány mimo území EU či s nimi nebude nakládáno jinak, než pouze za účelem, pro který byly osobní údaje zpřístupněny a v souladu s pokyny správce.
Zpracovatel je povinen zabezpečit osobní údaje a zachovávat mlčenlivost o osobních údajích a řídit se pokyny správce ve všech případech, kdy se jedná o zpracování či zabezpečení osobních údajů. Zpracovatel přijme technická, organizační a personální opatření adekvátní způsobu zpracování a v souladu s pokyny správce – přičemž toto zabezpečení bude odpovídat příslušným aktuálním používaným bezpečnostním standardům (podrobněji v odst. 5 a násl. tohoto článku VI. ujednání).
Správce stanoví opatření, která považuje za dostatečná pro technické a personální zabezpečení osobních údajů následovně:
Technické zabezpečení osobních údajů se zajistí pomocí prostředků:
počítačové bezpečnosti; zpracovatel se zavazuje ke zpracování používat výhradně takové technické a programové prostředky, jejichž používání při vyloučení nepředvídatelných okolností eliminuje možnost narušení, neoprávněného přístupu k osobním údajům či neoprávněného nakládání s osobními údaji;
(ii) komunikační bezpečnosti; zpracovatel se zavazuje dodržovat taková opatření k zabezpečení ochrany osobních údajů při jejich přenosu telekomunikačními kanály, jejichž povaha eliminuje při vyloučení nepředvídatelných okolností možnost narušení (šifrování);
(iii) fyzické bezpečnosti; v tomto ohledu zpracovatel prohlašuje, že místo, ve kterém budou osobní údaje zpracovávány a ve kterém budou uchovávány spisy a dokumenty, bude mít charakter prostoru zabezpečeného před možností narušení.
Zpracovatel bude plnit všechny povinnosti stanovené v ustanovení tohoto písm. a) využíváním prostředků odpovídajících dosaženému stupni technického pokroku a možnostem zpracovatele.
Personální zabezpečení:
osobní údaje budou zpřístupněny pouze určeným osobám z oprávněného personálu zpracovatele a případně oprávněným osobám, které odpovídají za zajištění bezpečnosti systémů, kde jsou osobní údaje uloženy, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby;
zpracovatel je povinen zabezpečit poučení všech osob, které mají v rámci zpracování osobních údajů přístup k těmto údajům, aby tyto osoby byly řádně poučeny o svých povinnostech při zpracovávání osobních údajů, zejména pak o povinnosti mlčenlivosti ve vztahu k těmto osobním údajům.
Dále je zpracovatel povinen zabránit neoprávněným osobám v přístupu k osobním údajům a k prostředkům pro jejich zpracování a dále zabránit neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje.
Zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu s právními předpisy, zejména se ZOOÚ a dalšími předpisy regulujícími ochranu osobních údajů, jakož i provádět nejméně jednou ročně hodnocení efektivnosti přijatých opatření, a to včetně vedení a zpřístupnění následující dokumentace:
seznamu osob, které jsou oprávněny přistupovat k osobním údajům (včetně rozsahu oprávnění);
elektronického přehledu informací o veškerých přístupech jednotlivých osob k osobním údajům;
elektronického přehledu informací o nakládání s osobními údaji.
Zpracovatel bude neprodleně písemně informovat správce v případě jakýchkoliv potíží při plnění povinností z tohoto ujednání a o všech okolnostech týkajících se porušení povinností při zpracování a ochraně osobních údajů, zejména pokud dojde k neoprávněnému přístupu k osobním údajům, či k jejich ztrátě nebo zničení. V takovém případě zpracovatel přijme v nejkratším možném termínu veškerá nezbytná opatření k zajištění ochrany osobních údajů, notifikuje správce o těchto skutečnostech prostřednictvím kontaktní osoby/osob uvedených ve smlouvě a následně postupuje v souladu se ZOOÚ a pokyny správce, budou-li mu sděleny.
Zpracovatel plní informační povinnost vůči subjektům údajů v souladu se ZOOÚ a dle požadavků správce. V případě, že v souvislosti se zpracováním osobních údajů zpracovatelem bude zahájeno řízení ze strany orgánu veřejné správy, zpracovatel poskytne správci v těchto řízeních veškerou potřebnou součinnost.
Zpracovatel je správci na jeho žádost nápomocen při posuzování vlivu zpracovávání osobních údajů na ochranu osobních údajů a při konzultacích správce s dozorovým orgánem, při zohlednění povahy zpracovávání a informací, jež má zpracovatel k dispozici.
Zpracovatel je správci na jeho žádost nápomocen při výkonu práv subjektů osobních údajů, a to zejména při výkonu práva na přístup k osobním údajům, práva na opravu, výmaz a omezení zpracovávání osobních údajů, práva na přenositelnost údajů a práva vznést námitku vůči zpracovávání osobních údajů.
Zpracovatel nezapojí do zpracovávání osobních údajů dalšího zpracovatele bez předchozího písemného povolení správce. V případě, že jakákoliv část zpracovávání osobních údajů bude vykonávaná dalším zpracovatelem po předchozím písemném povolení správce, zůstává zpracovatel plně odpovědný vůči správci za zpracovávání osobních údajů. Správce si vyhrazuje právo uzavřít s dalším potencionálním zpracovatelem zvláštní smlouvu o zpracovávání osobních údajů.
Správce je oprávněn kontrolovat dodržování pravidel stanovených pro zpracování ZOOÚ či tímto ujednáním u zpracovatele, resp. na jiném místě, kde dochází ke zpracování údajů. Zpracovatel za tímto účelem zajistí zástupcům správce, kteří budou k provedení kontroly pověřeni, přístup ke všem relevantním informacím a na příslušná místa tak, aby mohlo dojít k hodnocení oprávněnosti zpracování. Zpracovatel poskytne správci na jeho vyžádání veškeré podklady o přijatých a provedených technicko-organizačních opatřeních k zajištění ochrany osobních údajů.
Po ukončení poskytování služeb dle smlouvy zpracovatel vrátí veškeré osobní údaje správci, s výjimkou těch údajů, které je zpracovatel povinen uchovávat na základě platných právních předpisů.
Článek VII
Odpovědnost za škodu a smluvní pokuty
Tento článek upravuje odpovědnost za škodu a smluvní pokuty pro případ porušení tohoto ujednání. Znění tohoto článku VII. se nevztahuje na smluvní pokuty a úrok z prodlení podle smlouvy, který zůstává zachován.
Zpracovatel se zavazuje odškodnit správce za jakékoliv nároky, a to zejména zadostiučinění, peněžité náhrady nebo pokuty, úspěšně uplatněné v soudním popř. správním řízení třetími osobami, a to zejména subjekty údajů nebo Úřadem na ochranu osobních údajů, které vznikly v příčinné souvislosti s porušením povinností stanovených ZOOÚ nebo tímto ujednáním ze strany zpracovatele.
Pokud dojde k prokazatelnému porušení ZOOÚ pouze v důsledku jednání té smluvní strany, které je uložena pokuta podle § 45 ZOOÚ, hradí náklady na uhrazení pokuty plně ta strana, která ZOOÚ porušila a jíž současně byla uložena pokuta.
V případě, že zpracovatel správci neumožní kontrolu ohlášenou v souladu s čl. VI. odst. 12 tohoto ujednání, anebo během ní správci neposkytne pro předmět kontroly potřebnou součinnost, je správce oprávněn po zpracovateli požadovat smluvní pokutu ve výši 1.000,- Kč za každý započatý pracovní den takto trvajícího prodlení na straně zpracovatele.
Zpracovatel je povinen odstranit kontrolou zjištěné nedostatky neprodleně, nejpozději ve lhůtě 5 dnů, nedohodnou-li se smluvní strany jinak. V případě, že zpracovatel neodstraní kontrolou zjištěné nedostatky ve lhůtě stanovené dle předchozí věty, je správce oprávněn po zpracovateli požadovat smluvní pokutu ve výši 1.000,- Kč za každý započatý den prodlení na straně zpracovatele.
V případě, že zpracovatel poruší kteroukoli z povinností sjednaných v čl. VI. (vyjma čl. VI. odst. 12) tohoto ujednání, je správce oprávněn po zpracovateli požadovat smluvní pokutu ve výši 5.000,- Kč za každý jednotlivý případ takového porušení.
Ujednáním o smluvní pokutě podle tohoto článku VII. není dotčeno právo správce na náhradu škody vzniklé z porušení povinnosti v plné výši.
Článek VIII
Trvání závazků
Povinnost zpracování osobních údajů se sjednává pouze na dobu existence závazkového vztahu vzniklého ze smlouvy, nejpozději do dne likvidace posledního zpracovávaného osobního údaje zpracovatelem ve smyslu povinnosti zlikvidovat osobní údaje podle ZOOÚ.
Článek IX
Další ujednání
Zpracovatel se zavazuje plnit veškeré povinnosti vyplývající z obecného nařízení o ochraně osobních údajů (Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES), a to ode dne jeho účinnosti (25. května 2018).
Smluvní strany se zavazují vstoupit v jednání o doplnění tohoto ujednání, jehož potřeba případně vzejde z účinnosti obecného nařízení podle odst. I tohoto čl. IX., a poskytnout si veškerou potřebnou součinnost ke sjednání dodatku smlouvy, pokud bude pro potřeby plnění požadavků tohoto obecného nařízení potřebný.
Za písemnou formu se pro účely tohoto ujednání nepovažuje e-mailová či jiná elektronická forma. Výjimkou je situace, v níž zpracovatel informuje správce ve smyslu čl. VI. odst. 7 tohoto ujednání (potíže při plnění povinností z tohoto ujednání a okolnosti týkající se porušení povinností při zpracování a ochraně osobních údajů) a oznámení kontroly ve smyslu čl. VI. odst. 12 ujednání, které lze provést i elektronickým oznámením prokazatelně doručeným druhé smluvní straně. V případě oznámení kontroly postačuje prokazatelné odeslání oznámení správcem na e-mailovou adresu uvedenou pro tento účel zpracovatelem. V případě oznámení kontroly postačuje prokazatelné odeslání oznámení správcem na e-mailovou adresu zpracovatele uvedenou ve smlouvě.
Příloha č. 5
Cenová tabulka (bude doplněna před uzavřením smlouvy z nabídky vybraného dodavatele)
Příloha č. 7
Popis systémového prostředí objednatele
Položka |
Popis |
Název |
HP ArcSight Express |
Verze |
6.11 |
Moduly |
Konektory 7.7.x (cca 50, instalovány na 3 serverech) |
Licence |
Denní průměr 1000 EPS |
Počet všech pravidel |
628 |
Počet pravidel generujících kybernetické bezpečnostní události v rozhraní SIEM systému |
426 Very-high 82 pravidel High 76 pravidel Medium 135 pravidel Low 132 pravidel unknown 1 |
Do SIEM systému jsou posílány logy z cca 900 datových zdrojů. Systém je zaměřen zejména (cca 2/3 všech datových zdrojů) na sběr logů aplikačních serverů, jejich databází a frontendů.
Vstupní logy jsou tvořeny událostmi z běžně používaných informačních technologií a systémů a událostmi ve specifickém formátu z unikátních aplikací zadavatele. Na první typ událostí jsou aplikovány parsery a pravidla ze standardní výbavy ArcSight, dodaná výrobcem. Pro druhý typ událostí jsou připraveny parsery na míru.
Množství logů produkovaných jednotlivými systémy kolísá podle aktivity uživatelů.
Statistika sběru dat do SIEM systému ČNB
Parametr |
Hodnota |
Předpokládaný počet pro následující období |
Denní průměr EPS
|
000-000 |
000 |
Maximum EPS |
cca 700 (ve špičkách >2500) |
1000 (ve špičkách >3500) |
Minima EPS |
000-000 |
000 |
Počet bezpečnostních událostí nahlášených SIEM systémem (za posledních 12 měsíců) |
300 |
600 |
EPS = počet událostí za vteřinu
Standardní systémové prostředí objednatele
Níže je uveden stručný výtah z popisu standardního systémového prostředí objednatele. Nejedná se o úplný popis, ale o výtah informací relevantních k danému zadávacímu řízení.
Obecné informace
V ČNB jsou v provozu dvě výpočetní střediska. Obě tato střediska jsou provozována systémem aktiv-aktiv, tj. v obou střediscích jsou zpracovávány různé informační systémy. Obě střediska mají konektivitu do Internetu a tato konektivita je provozována v režimu active-passive; mezi středisky je zřízeno několik síťových příček v různých úrovních.
Běžný uživatel není schopen rozlišit, ve kterém středisku je jeho požadavek zpracován.
Komunikační infrastruktura
Obě výpočetní střediska jsou propojena optickými vlákny (single mode) dvěma nezávislými trasami.
Standardní komunikační vybavení
LAN - strukturovaná kabeláž pro připojení uživatelů umožňující připojení rychlostí minimálně 100 Mbit/s. Standardní provedení je metalické (RJ-45), optická vlákna jsou typem doplňkovým;
Páteřní LAN – Gigabit Ethernet až 10 Gbps;
Připojení každé lokality do Internetu – 1 Gbps (provider T-mobile) v režimu active-passive;
aktivní síťové prvky – platforma CISCO, plně přepínaná síť;
LAN, MAN, WAN – multiplexory typu DWDM;
Ethernet dle ISO 802.3 pro připojení uživatelských stanic;
Protokol TCP/IP;
Jmenné služby - DNS;
Přesný čas – NTP.
Jako zdroj přesného času je použit SNTP (Simple Network Time Protocol) server MTS (Moba Time Server). Server je synchronizován externím časovým signálem s GPS (Global Positioning System). Protokolem NTP (Network Time Protocol) se pak synchronizují další síťová zařízení. Struktura synchronizace je hierarchická.
Aplikace a systémové služby
SIEM – viz kapitola 1.1 této přílohy
MS Active Directory – provozováno na MS Windows 2008 R2 serveru
Pozn.: Verze aplikací a služeb jsou platné ke dni vyhlášení zadávacího řízení. Později může být aplikován minoritní update či patch, který může uvedenou verzi povýšit.
Popis vzdáleného přístupu (VPN)
Technická realizace
Vzdálený přístup prostřednictvím VPN je realizován pomocí produktů platformy CITRIX, konkrétně se jedná o vypublikovanou aplikaci (webovská konzole SIEM) prostřednictvím Citrix XenApp 6.5 provozovaném na MS Windows Serveru 2008R2 Standard s aktuálními SP a záplatami.
Na perimetru ČNB je instalována Citrix Access Gateway (Netscaler), který slouží jako bezpečný vstupní bod mezi klientským zařízením, objednatele, který používá pro zobrazení konzole SIEM objednatele.
Tento vstupní bod zajišťuje:
Šifrovaný komunikační kanál mezi ČNB a Poskytovatelem
Prostřednictvím EPA agenta kontrolu bezpečnostní kvality koncového zařízení Poskytovatele (aktuálnost patchů, antivirové ochrany apod.).
Ověřovací bod pro přihlášení uživatelů Poskytovatele.
K přihlášení pracovníka Poskytovatele se využívá dvoufaktorová autentizace – certifikát uložený na čipové kartě nebo tokenu aktivovaný PINem. Při vytváření VPN spojení je nejprve provedena kontrola bezpečnostních prvků klientského zařízení a poté je uživatel připojen na vypublikovaný desktop nebo konzole SIEM.
30