Smlouva o realizaci expertních školení v oblasti informační a síťové bezpečnosti financovaná z projektu: Rozvoj kapacit a adaptace na nové formy učení na UHK, NPO_UHK_MSMT-16601/2022
Smlouva o realizaci expertních školení v oblasti informační a síťové bezpečnosti
financovaná z projektu: Rozvoj kapacit a adaptace na nové formy učení na UHK, NPO_UHK_MSMT-16601/2022
Smluvní strany
Univerzita Hradec Králové, Fakulta informatiky a managementu (FIM)
Se sídlem: Xxxxxxxxxxxx 00/00, 000 00, Xxxxxx Xxxxxxx
Zastoupená: prof. RNDr. Xxxxx Xxxxx, MBA, Ph.D., děkanem
IČ: 62690094
DIČ: CZ62690094
Bankovní spojení: Česká spořitelna, a.s.
Číslo účtu: 0000000/0800
Kontakt: Xxx. Xxxxx Xxxxxxx, Ph.D., katedra informačních technologií; xxxxx.xxxxxxx@xxx.xx
(dále jen „Objednatel“)
a
XXX
se sídlem XXX
zastoupená XXX
IČ: XXX
DIČ: XXX
bankovní spojení: XXX
číslo účtu: XXX
(dále jen „Dodavatel ")
uzavírají podle zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, následující smlouvu.
I. Předmět smlouvy
Dodavatel se zavazuje realizovat vzdělávací akce, konkrétně: 3 expertní školení v oblasti informační a síťové bezpečnosti (dále též jen „Školení“), a to v souladu s Přílohou č. 1, v níž jsou identifikovány požadavky na jednotlivá Školení, a Objednatel se zavazuje za tato Školení uhradit cenu sjednanou v čl. IV této Smlouvy.
Dodavatel prohlašuje, že má odbornou způsobilost pro splnění předmětu této Smlouvy a tato musí být platná po celou dobu trvání plnění dle této Smlouvy.
II. Místo plnění
Místem plnění je území České republiky, konkrétní místo plnění je u každého školení uvedeno v Příloze č. 1.
III. Doba plnění
Tato smlouva se uzavírá na dobu určitou; je splněna v souladu s harmonogramem (viz Příloha č. 1) realizací posledního Školení dle této smlouvy.
Konkrétní termín bude písemně dohodnut tak, že min. 4 týdny před konáním jednotlivého nebo více Školení dle Přílohy č. 1 zástupce Dodavatele a zástupce Objednatele dohodnou konkrétní den, čas a místnost konání jednotlivého nebo více Školení podle Přílohy č. 1.
IV. Cena
Cena za předmět plnění je sjednána dohodou smluvních stran a činí pro jednotlivá Školení dle přílohy:
1) Školení A ……………………. Kč bez DPH
DPH … % …………….
Xxxx v Kč včetně DPH …………….
2) Školení B ……………………. Kč bez DPH
DPH … % ……………..
Xxxx v Kč včetně DPH……………
3) Školení C ……………………. Kč bez DPH
DPH … % ………………..
Xxxx v Kč včetně DPH…………………..
Výše uvedené ceny pro jednotlivá školení je maximální a konečná. Cena zahrnuje veškeré náklady poskytovatele, a to zejména náklady spojené s realizací plnění, včetně ceny daní, inflačních vlivů, cestovného aj.
V. Platební podmínky
Objednatel se zavazuje uhradit cenu za předmět plnění na základě daňových dokladů- faktur vystavených poskytovatelem, který je oprávněn fakturovat cenu za plnění po nabytí účinnosti této smlouvy, a to vždy po bezvadné realizaci toho kterého Školení.
Dodavatel vystaví fakturu, které bude obsahovat a) označení zrealizovaného Školení s odkazem na přílohu s uvedením konkrétního data realizace, b) název projektu, z něhož je financováno, tj. „Rozvoj kapacit a adaptace na nové formy učení na UHK, NPO_UHK_MSMT-16601/2022“. Faktura musí mít náležitosti daňového dokladu dle obecně závazných právních předpisů se dnem zdanitelného plnění určeným ke dni vydání faktury. Splatnost faktur činí 30 kalendářních dní od prokazatelného doručení Objednateli.
V případě, že faktura nebude mít stanovené náležitosti (příp. bude obsahovat chybné údaje), je objednatel oprávněn tuto fakturu vrátit ve lhůtě splatnosti poskytovateli, jenž je povinen vystavit novou fakturu se správnými náležitostmi. Do doby, než je vystavena nová faktura, není objednatel v prodlení se zaplacením ceny za plnění. Lhůta splatnosti nově vystavené faktury je rovněž 30 dní ode dne jejího doručení.
Stane-li se Dodavatel nespolehlivým plátcem ve smyslu § 106a zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů (zákon o DPH), je povinen neprodleně o tomto informovat Objednatele.
Bude-li Dodavatel ke dni poskytnutí zdanitelného plnění veden jako nespolehlivý plátce ve smyslu § 106a zákona o DPH, je Objednatel oprávněn část ceny odpovídající dani z přidané hodnoty uhradit přímo na účet správce daně v souladu s ust. § 109a zákona o DPH. O tuto část bude ponížena fakturovaná cena a poskytovatel obdrží pouze cenu za plnění bez DPH.
7. Dojde-li po uzavření smlouvy ke změně účtu Dodavatele, který je zveřejněn na stránkách České daňové správy, je poskytovatel povinen o tom neprodleně informovat Objednatele. Smluvní strany se dohodly, že v takovém případě není nutné uzavírat dodatek ke smlouvě.
VI. Práva a povinnosti smluvních stran
Objednatel má právo na informace o průběhu vzdělávací akce, a to v kterékoliv fázi se právě nachází. Informace si může vyžádat telefonicky, e-mailem, písemně.
Objednatel má právo obdržet výsledky testování, pokud toto proběhlo.
Objednatel má právo znát jména lektorů na konkrétní vzdělávací akci. Má právo vyžádat si profil lektora. Rovněž má právo vyžádat si změnu lektora, pakliže má k tomu závažný důvod.
Dodavatel předá po skončení každého školení každému účastníkovi osvědčení o absolvování Školení, kde bude uveden název a číslo projektu, z něhož je Školení hrazena, tedy „Rozvoj kapacit a adaptace na nové formy učení na UHK, NPO_UHK_MSMT-16601/2022“.
Dodavatel se zavazuje realizovat Školení dle svého nejlepšího vědomí s patřičnou odbornou způsobilostí, v požadovaném rozsahu a termínu.
Dodavatel zaručuje a odpovídá za to, že předané plnění odpovídá sjednané specifikaci, je
bez faktických vad a právních vad i za to, že plněním této Smlouvy nebude zasaženo do práv třetích osob, a to včetně práv k předmětům duševního vlastnictví. Uplatněním nároku z odpovědnosti za vady není dotčen nárok Objednatele na náhradu újmy.
VII. Smluvní sankce
Smluvní strany se dohodly na následujících sankcích za porušení smluvních povinností:
a) v případě, že Xxxxxxxxx nezrealizuje Školení v den, který byl předem písemně odsouhlasen, má Objednatel právo na zaplacení smluvní pokuty ve výši 0,1 % z celkové dohodnuté ceny v Kč s DPH za toto Školení a současně má nárok na odstoupení od smlouvy bez náhrady za již uskutečněná školení, pokud se smluvní strany nedohodnou jinak
b) smluvní strany mají v případě nedodržení sjednaného termínu splatnosti kteréhokoliv
peněžitého závazku nárok na zaplacení úroku z prodlení ve výši 0,05 % z neuhrazené
částky do jejího zaplacení.
VIII. Závěrečná ustanovení
Smluvní strany shodně prohlašují, že si tuto smlouvu před jejím podpisem přečetly, že byla uzavřena po vzájemném projednání podle jejich pravé a svobodné vůle, určitě, vážně a srozumitelně.
Dodavatel bere na vědomí, že je osobou povinou spolupůsobit při výkonu finanční kontroly dle § 2 písm. e) zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě, v platném znění. Prodávající se zavazuje, že umožní všem subjektům oprávněným k výkonu kontroly projektu, z jehož prostředků je dodávka hrazena, provést kontrolu dokladů souvisejících s plněním zakázky, a to po dobu danou právními předpisy ČR k jejich archivaci (zákon č. 563/1991 Sb., o účetnictví, a zákon č. 235/2004 Sb., o dani z přidané hodnoty).
Dodavatel potvrzuje, že se na zpracování jeho nabídky nepodílel zaměstnanec Objednatele či člen statutárního orgánu Objednatele, statutární orgán Objednatele, člen řídicího orgánu Objednatele, člen realizačního týmu projektu či osoba, která se na základě smluvního vztahu podílela na zadání předmětné zakázky; prodávající rovněž prohlašuje, že s ohledem na plnění na základě své nabídky není ve střetu zájmu (viz ustanovení § 44 zák. č. 134/2016 Sb. ve znění novel).
Dodavatel prohlašuje, že veškeré práce na plnění této smlouvy budou prováděny v souladu s pracovněprávními předpisy (zejména při odměňování, organizaci pracovní doby, doby odpočinku, pravidel bezpečnosti a ochrany zdraví při práci), že všichni cizí státní příslušníci, kteří se budou podílet na plnění smlouvy, splňují podmínky pobytu a výkonu příslušné výdělečné činnosti cizinců (tedy zejm. mají potřebná povolení k pobytu na území České republiky, pracovní povolení, atp.) a všechny osoby podílející se na plnění smlouvy jsou řádně vedeny v příslušných registrech (vztahujících se zejm. k agendě daně z příjmů fyzických osob, veřejného zdravotního pojištění a sociálního zabezpečení); rovněž prodávající prohlašuje, že jako poddodavatelé budou k plnění smlouvy využívány výhradně právnické či fyzické osoby s příslušným oprávněním k podnikání. Poskytovatel podpisem této Smlouvy též čestně prohlašuje, že vůči němu není orgánem veřejné moci zahájeno řízení pro porušení pracovněprávních předpisů a/nebo zákona č. 198/2009 Sb., antidiskriminační zákon, ve znění pozdějších předpisů a že řádně a včas splní finanční závazky vůči svým poddodavatelům, přičemž za řádné a včasné plnění se považuje plné uhrazení poddodavatelem vystavených faktur za plnění poskytnutá k plnění veřejné zakázky v souladu se Smlouvou uzavřenou s poddodavatelem. Porušení povinnosti uvedené v tomto článku je porušením Xxxxxxx se všemi z toho plynoucími důsledky.
Dodavatel prohlašuje, že se na nabízené plnění nevztahují sankce EU a rovněž že on sám, jeho poddodavatel, nebo dodavatel, se kterým podává společnou nabídku, není osobou, subjektem či orgánem uvedeným na sankčním seznamu EU, nebo jinak sankcionovanou osobou, subjektem či orgánem, na které se vztahuje zákaz zadat nebo dále plnit veřejnou zakázku podle evropské legislativy s ohledem na opatření vzhledem k činnostem Ruska destabilizující situaci na Ukrajině, tj. vůči mezinárodním sankcím (např. nařízení Rady č. 269/2014 či 208/2014 či 765/2014, 576/2022). Rovněž prohlašuje, že není veřejným funkcionářem dle § 4b) zákona č. 159/2006 Sb. ve znění novel.
Smlouva bude uzavírána elektronicky - smlouva bude uzavřena připojením elektronických podpisů obou Smluvních stran. V případě listinné verze je vyhotovena ve dvou stejnopisech s platností originálu, z nichž jedno vyhotovení obdrží Dodavatel a jedno vyhotovení obdrží Objednatel.
Tuto smlouvu lze měnit a doplňovat pouze písemnými dodatky podepsanými oběma stranami.
Smlouva nabývá platnosti dnem podpisu smluvních stran.
IX. POVINNOSTI DLE ZÁKONA Č. 340/2015 Sb.
v platném znění (dále jako „zákon o registru smluv“)
Tato smlouva bude zveřejněna ve veřejně dostupném registru smluv a nabývá účinnosti tímto dnem zveřejnění, s nímž obě smluvní strany svým podpisem souhlasí.
Zápis do Registru smluv bude dále obsahovat údaje v souladu se zákonem o registru smluv.
Zveřejnění smlouvy provede smluvní strana Objednatele v souladu se zákonem o registru; až bude registrace provedena, Objednatel bude Dodavatele informovat.
Příloha č. 1 : Popis a požadavky na jednotlivá Školení
V Hradci Králové dne: V ………………….. dne:
(Objednatel) (Poskytovatel)
Příloha 1: Popis a požadavky na jednotlivá Školení
Školení kryptografie a SSL/TLS
Neustále se rozvíjející oblast ICT, ICS, IoT a umělé inteligence sebou neodmyslitelně s sebou nese zvyšující se požadavky na zabezpečení dat a informací přenášených v rámci počítačových sítí a jejich ukládáním. Z tohoto pohledu je neodmyslitelnou součástí zajištění odpovídající míry bezpečnosti využití kryptografií. Porozumění této oblasti je nezbytnou podmínkou pro efektivní zajištění bezpečnosti jak na teoretické, tak praktické úrovni s dopady do zajištění plnění požadavků norem a legislativy. Cílem školení je tedy zvýšení znalostí v oblasti principů kryptografie, jejich praktickém nasazení v rámci operačních systémů, webových serverech, poštovních serverech a databázových serverech a přenášených dat v prostředí internetu. Znalosti principů tohoto oboru a jeho správného použití výrazně napomáhá k zajištění bezpečnosti a chráně dat, tedy oblasti, které jsou podstatnou součástí informační a síťové bezpečnosti.
Předpokládaný počet účastníků: 10
Místo školení: prostory zadavatele
Typ školení: prezenční
Ukončení kurzu: Certifikát o absolvování
Časová dotace: 40 hodin (8výukových hodin/den)
Pozn. Výuková hodina = 45 min.
Cíle školení:
Seznámení se základy kryptografie
Objasnění vztahů a principů v kryptografii
Analýza omezení jednotlivých mechanismů z hlediska rychlosti a architektury
Základní problémy při používání kryptografie
Seznámení s architekturou SSL/TLS
Omezení jednotlivých ciphersuit
Obeznámení se základními útoky a slabin SSL/TLS
Základy práce s certifikáty a certifikačními autoritami
Úvod do eIDAS
Legislativní rámec kryptografie
Představení principů kvantové a post kvantové kryptografie
Minimální obsah kurzu:
Základní pojmy
Generátory náhodných čísel
Hashovací funkce
Symetrické šifrování, proudové a blokové šifry, módy operací
Standardy, porovnání nejznámějších symetrických algoritmů, jejich omezení
Asymetrické a post-quantum asymetrické algoritmy, principy a porovnání rychlostí
Algoritmy pro digitální podpis, principy a porovnání rychlostí (RSA apod.)
Architektura SSL/TLS
Vývoj, podpora a bezpečnost cipher suites
Protokoly pro výměnu klíčů
Útoky na kryptografii v SSL/TLS
Verze SSL/TLS
Inspekce SSL
CA, PKI a služby zajištění důvěry v prostředí elektronické komunikace
Využití certifikátu
Certifikát a jeho struktura a parametry
Normy rozšiřující vlastnosti certifikátu
Metod kontroly platnosti certifikátu (path validation, CRL, OCSP apod.)
Křížové certifikáty a křížová certifikace autorit
eIDAS
Standardy a národní normy, zákony a jejich vztah k nařízením EU
Implementace SSL/TLS v hardware– ASIC/FPGA, Intel QuickAssist, CPU instrukce a vliv na rychlost šifrování, porovnání CPU, šifrování disků
Softwarové nasazení SSL/TLS/STARTTLS, implementace VPN
Další aplikace v reálném životě: GSM, WiFi, Bluetooth, NFC a RFID, SIM a EMV, 3D-Secure atd.
Praktická implementace kryptografie a SSL/TLS v prostředí:
Microsoft a Linux (MacOS)
Webových serverech
Poštovních serverech
Databázových serverech
Implementace VPN (OpenVPN) a SSH
Základní principy kvantové a post kvantové kryptografie a její dopady na zajištění důvěrnosti a integrity dat a informací.
Školení v rozsahu CompTIA Security+
V oblasti informační a kybernetické bezpečnosti je nutné stanovit základní úroveň bezpečnostní maturity a rozvíjet pak jednotlivé dílčí kompetence dle specializace jednotlivých akademických pracovníků s ohledem na jejich specializaci a vědecko-výzkumné zaměření. V oblasti stanovení základní bezpečnostní maturity je odbornou veřejností obecně uznávaný kurz CompTIA Security+. S ohledem na připravovaný studijní program informační a síťová bezpečnost, který vyžaduje od zapojených akademických pracovníků do výuky tohoto programu, odpovídají znalost bezpečnostních principů, požadavků a jejich implementaci s ohledem na aktuální vývoj dané oblasti je právě rozsah znalostí a kompetencí daný rozsahem celosvětově uznávaným kurzem CompTIA Security+, který je vhodným standardem pro stanovení minimální obecné úrovně znalostí v oblasti informační a síťové bezpečnosti.
Předpokládaný počet účastníků: 10
Místo školení: prostory zadavatele
Typ školení: prezenční
Ukončení kurzu: Certifikát o absolvování
Časová dotace: 40 hodin (8výukových hodin/den)
Pozn. Výuková hodina = 45 min.
Cíle školení:
Školení CompTIA Security+ zaměřené na oblast správy bezpečnosti počítačových sítí a operačních systémů na platformě OS Windows. Důraze je kladen na získání souhrnného přehledu IT bezpečnostních řešení včetně jejich praktické implementaci.
Porozumění základním konceptům identifikace a řešení bezpečnostních rizik
Porozumění základním konceptům kryptografie a jejich využití
Získání přehledu nejzranitelnějších částí síťové infrastruktury TCP/IP a možnostmi jejich řešení
Seznámení s principy ochrany e-mailové komunikace, vzdálených připojení VPN, bezdrátových sítí a dalších metod moderní komunikace
Porozumění principům ověřování identity
Seznámení se s principy a pravidly nastavování uživatelských skupin, jejich práv a přístupových oprávnění
Implementovat bezpečnostní opatření a updaty
Porozumění základním konceptům bezpečnostních politik od fyzické bezpečnosti po zachování chodu firmy
Principy vytváření bezpečnostní dokumentace a security incident handling
Minimální obsah kurzu:
Základy bezpečnosti
Cyklus informační bezpečnosti
Základy bezpečnostních politik
Ověřovací metody
Bezpečnostní hrozby a zranitelnosti
Definice hrozeb a zranitelsnotí
Úvod do metod sociální inženýrství
Hrozby fyzického přístupu a síťového prostředí
Rizika a zranitelnosti bezdrátových sítí
Rizika chybně naprogramovaných aplikací
Síťová bezpečnost
Přehled síťových zařízení z pohledu bezpečnosti
Koncept síťové bezpečnosti
Ukázky síťových útoků
Zabezpečení běžného síťového provozu
Úvod do zabezpečení infrastruktury bezdrátových sítí
Zabezpečení aplikací, dat a prvků
Základní pravidla zabezpečení stanic a serverů
Zabezpečení dat
Zabezpečení mobilních zařízení
Možnost zabezpečení aplikací
Správa identit a přístupu
Typy autentizací
Smart karty a tokeny
Strategie návrhu a správy skupin
Správa přístupu pomocí ACL
RADIUS server a 802.1x
VLAN management
Správa přístupu do VPN
WPA1/2 Enterprise
Správa PKI a certifikátů
Koncept PKI
Možnost využití certifikátů
Instalace Enterprise certifikační autority a správa šablon
Zálohování a obnova certifikační autority
Automatické vs. ruční vydávání certifikátů
Správa a zálohování privátních klíčů
Monitoring bezpečnosti
Auditování v OS
Auditování sítě
IDS/IPS
Honeypots
Antiviry
Zajištění dostupnosti, zachování chodu firmy a incident response
Základní koncepty zajištění funkčnosti firmy
SLA
Vysoká dostupnost
Zálohování a obnova
Best practice postupy při napadení firemní infrastruktury
Ochrana před kybernetickými útoky v LAN síti
Úkolem informační a síťové bezpečnosti je navrhnout, dokumentovat a implementovat vhodná bezpečnostní opatření. Aby byly navržené a implementované postupy a technologie efektivně využívány je nutné znát principy a postupy nejčastějších útoků vedených na systémy a sítě klienta. Cílem tohoto školení je právě získání odborných znalostí a dovedností o různých druzích útoků a získá zkušenosti potřebné k eliminaci těchto útoků na spravovaných aktivech.
Předpokládaný počet účastníků: 10
Místo školení: prostory zadavatele
Typ školení: prezenční
Ukončení kurzu: Certifikát o absolvování
Časová dotace: 40 hodin (8výukových hodin/den)
Pozn. Výuková hodina = 45 min.
Cíle školení:
Cílem školení je získat odborné znalosti a dovednosti v oblasti zajištění kybernetické bezpečnosti LAN sítě vůči nejběžnějším útokům vedeným na tento typ sítě a standardních služeb provozovaných na LAN sítích.
Minimální obsah kurzu:
Útoky na druhé vrstvě OSI modelu a jejich eliminace
Řízení komunikace na hranici sítě
Útoky na e-mail komunikaci a její zabezpečení
Zabezpečení komunikace na webové stránky
Útoky na zranitelná místa běžně používaných síťových služeb
Útoky na web aplikace
Útoky na „clear textové“ protokoly
DoS útoky
Autentifikace a autorizace uživatelů
Útoky na wifi sítě
Ochrana před malware
Bot sítě