Wymagania bezpieczeństwa Przykładowe klauzule

Wymagania bezpieczeństwa. System musi posiadać mechanizm definiowania profili użytkowników, które wykorzystywane są, między innymi, do zabezpieczenia przed nieuprawnionym dostępem do Systemu i poszczególnych jego funkcji. System musi jednoznacznie przypisać każdą wykonaną czynność użytkownikowi, który ją wykonał. Zapewnienie poufności danych (źródłowych, wyjściowych i archiwizowanych) tzn. brak możliwości udostępniania informacji lub ujawniana ich nieautoryzowanym osobom, podmiotom lub procesom. System musi realizować swoją zamierzoną funkcję w nienaruszalny sposób, wolny od nieautoryzowanej manipulacji, celowej lub przypadkowej Uprawnienia w Systemie muszą się opierać na poziomie dostępu do odpowiednich profili zdefiniowanych dla grup Użytkowników oraz ich ról w obsługiwanych procesach. Dostosowywanie uprawnień użytkowników i definiowanie ograniczeń dostępu musi być funkcjonalnością dostępną dla administratora technicznego Systemu. System musi zawierać funkcjonalność rejestrowania dostępu użytkowników i administratorów do aplikacji oraz ich działań w aplikacji (Dziennik zdarzeń) wraz z możliwością zarządzania systemowymi dziennikami zdarzeń System musi dostarczać funkcjonalność przeglądania dzienników zdarzeń w zakresie wykonywanych czynności przez użytkowników oraz usług systemowych (import, eksport danych, operacje z udziałem innych systemów). Komunikacja warstwy klienckiej z warstwą serwerową musi być szyfrowana z zastosowaniem protokołu HTTPS, siła szyfrowania min. 128 bitów. System musi spełniać wymogi prawa powszechnie obowiązującego w szczególności musi przetwarzać dane osobowe zgodnie z wymogami Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i rozporządzeniem MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim muszą odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych stosując zgodnie z § 6 ust. 4 „Środki bezpieczeństwa na poziomie wysokim” określone w załączniku C niniejszego rozporządzenia. System musi posiadać możliwość implementacji wymagań bezpieczeństwa w kontekście RODO. Wykonawca zapewni bieżącą aktualizację Systemu, przez okres obowiązywania umowy, w zakresie dostosowania Systemu do zmian przepisów prawa powszechnie obowiązującego System umożliwi zamykanie nieaktywnych sesji po przekroczeniu zdefiniowanego okresu braku aktywności użytkownika. Hasło nie może być eksponowane na ekranie w sposób czytelny. System musi posiadać mechanizmy lub procedury pozwalaj...
Wymagania bezpieczeństwa. System musi spełniać wymagania bezpieczeństwa jak w punkcie 3.2.2.2 oraz: Dane nie mogą być udostępniane lub ujawniane nieuprawnionym osobom, procesom lub innym podmiotom. Ochrona danych obejmuje również kryptograficzne środki ochrony transmisji, zabezpieczające informacje przed podsłuchaniem przez osoby niepowołane.
Wymagania bezpieczeństwa. Bezpieczeństwo aplikacji www musi być zgodne z wymaganiami zdefiniowanymi w standardzie OWASP (Open Web Application Security Project) Application Security Verification Standard w wersji 4.0.2 ASVS Poziom 1, rozumianych jako szereg wytycznych podczas tworzenia listy kontrolnej bezpiecznego kodowania specyficznej dla aplikacji, platformy lub organizacji: • wszystkie komponenty aplikacji są zidentyfikowane i istnieje powód dla których zostały tam umieszczone; • aplikacja weryfikuje cyfrową tożsamość nadawcy w trakcie komunikacji i zapewnia, że tylko upoważnione podmioty mogą się uwierzytelnić, a dane uwierzytelniające są transportowane w sposób bezpieczny; • sesje są unikalne dla każdego użytkownika i nie mogą zostać odgadnięte lub współdzielone, są unieważniane, gdy tylko przestają być niezbędne oraz przerywane, gdy nie są wykorzystywane; • osoby uzyskujące dostęp do aplikacji posiadają ważne dane uwierzytelniające; • użytkownicy są powiązani z dobrze zdefiniowanymi zestawami ról i uprawnień, role i uprawnienia są chronione przed ponownym wykorzystaniem lub modyfikacją; • wszystkie dane wejściowe są walidowane, aby zapewnić, że są poprawne i dostosowane do zamierzonych celów; • dane z zewnętrznych źródeł lub od klientów nigdy nie powinny być traktowane jako zaufane i powinny być odpowiednio traktowane; • wszystkie moduły kryptograficzne kończące pracę niepowodzeniem robią to w sposób bezpieczny; • w przypadku gdy wymagana jest losowość, jest wykorzystywany odpowiedni generator liczb losowych; • dostęp do kluczy jest zarządzany w bezpieczny sposób; • nie występuje gromadzenie lub logowanie informacji wymagających ochrony, jeżeli nie jest to niezbędnie wymagane; • jest zapewnione, że wszystkie logowane informacje są obsługiwane w sposób bezpieczny i chronione zgodnie z klasyfikacją tych danych; • jest zapewnione, że logi nie są przetrzymywane nieustannie, lecz mają zdefiniowaną ważność na okres tak krótki jak to możliwe; • aplikacja zapewnia poufność: dane powinny być chronione przed nieautoryzowanym podglądem lub ujawnieniem, zarówno podczas transmisji, jak i podczas przechowywania; • aplikacja zapewnia integralność: dane powinny być chronione przed, nieuprawnionym tworzeniem, zmianą lub kasowaniem przez osoby nieupoważnione; • aplikacja zapewnia dostępność: dane powinny być dostępne dla autoryzowanych użytkowników, gdy tylko są potrzebne; • gdy dane wymagające ochrony są transmitowane to zawsze wykorzystany jest TLS tylko w bezpiecznej wersji (np. TLS 1.2+);...
Wymagania bezpieczeństwa. System MSIM może być dostępny tylko dla uwierzytelnionych użytkowników, za wyjątkiem użytkowników anonimowych portalu informacyjnego. System musi umożliwiać uwierzytelnianie i autoryzację użytkowników na podstawie informacji przechowywanej w Active Directory. Wdrożenie tego typu uwierzytelnienia dotyczy wyłącznie Szpitali, w których obecnie jest wdrożone Active Directory. System musi umożliwiać resetowanie haseł użytkownikom poprzez wysyłanie na wskazany adres email użytkownika linku, który umożliwia zmianę hasła. System musi umożliwiać przypominanie haseł użytkownikom poprzez wysłanie przypomnienia na wskazany adres email użytkownika. System musi umożliwiać dostęp do logów zdarzeń systemowych z poziomu interfejsu administracyjnego ich segregowanie wg. parametrów tj. x.xx.: daty, definiowanego przedziału czasowego, użytkownika, identyfikatora, czynności, innych oraz zapewniać możliwość ich eksportu. System musi umożliwiać dostęp do logów zdarzeń tylko administratorowi. Musi być zapewniona wiarygodność i bezpieczeństwo logów. System musi umożliwiać odnotowanie daty wykonania każdej operacji oraz identyfikatora użytkownika wykonującego operację. System musi posiadać mechanizmy uniemożliwiające edycję i usuwanie plików zawierających logi zdarzeń systemowych oraz chroniące przed możliwością ich przepełnienia. System musi zapewniać synchronizację zegara systemowego ze źródłami czasu za pomocą protokołu NTP lub mechanizmów Active Directory w celu utrzymania wiarygodności logów systemowych. System musi umożliwiać korzystanie z protokołu SSL dla zabezpieczenia przesyłanych informacji lub w inny sposób zapewniać szyfrowanie przesyłania danych. System musi umożliwiać zdefiniowanie reguł określających wymaganą siłę stosowanych haseł dla różnych grup użytkowników w szczególności: minimalnej i maksymalnej dopuszczalnej długości hasła, stosowania znaków alfanumerycznych i specjalnych, maksymalnej długość okresu ważności hasła, liczby haseł zapamiętywanych w historii haseł (blokowanie możliwości ich ponownego użycia). System musi umożliwiać automatyczne zamykanie sesji dostępu użytkownika po upływie definiowanego w konfiguracji systemu czasu od momentu przerwania pracy z systemem (np. zamknięcia przeglądarki). System musi zapewniać monitorowanie prób naruszenia bezpieczeństwa systemu, w tym prób nieuprawnionego dostępu do Systemu (tj. próby nieudane, ostrzeżenia systemowe i błędy). System musi zapewniać monitorowanie operacji uprzywilejowanych, tj. wykorzystanie uprawnie...
Wymagania bezpieczeństwa. 3.1 PeU, we współpracy z SEOD, zapewnia system uwierzytelniania Interesantów, dla których udostępniana jest informacja (nie będąca informacją publiczną). 3.2 Możliwe jest skonfigurowanie przez Administratora PeU i SEOD w taki sposób, że dane osobowe (w tym dokumenty, x.xx. decyzje administracyjne, które mogą zawierać dane osobowe) nie są przechowywane na PeU, lecz każdorazowo pobierane z SEOD.
Wymagania bezpieczeństwa. 1. Bezpieczeństwo danych. Dzieło musi być zabezpieczone w trybie czasu rzeczywistego przed utratą danych w przypadku awarii pojedynczych urządzeń końcowych. 2. Tworzenie kopii zapasowych (back-up). Dzieło musi umożliwiać automatyczne tworzenie kopii zapasowych (back-up) danych na urządzenia archiwizujące, w tym musi umożliwiać automatyczne tworzenia kopii zapasowych (back-up) danych automatycznie dokonywanych nie rzadziej niż raz w tygodniu.
Wymagania bezpieczeństwa. Urządzenia muszą posiadać: − wszelkie, zgodne z obowiązującymi normami europejskimi, zabezpieczenia i/lub blokady uniemożliwiające jego pracę, w przypadku wystąpienia jakiegokolwiek zagrożenia dla operatora, produktu, bądź urządzenia; − osłony bezpieczeństwa z mikro wyłącznikami; Urządzenia muszą zapewniać: − emisję hałasu w pomieszczeniu produkcyjnym na poziomie nie przekraczającym 85 dB.
Wymagania bezpieczeństwa. 1. System MSIM może być dostępny tylko dla uwierzytelnionych użytkowników, za wyjątkiem użytkowników anonimowych portalu infomacyjnego. 2. System musi umożliwiać uwierzytelnianie i autoryzację użytkowników na podstawie informacji przechowywanej w Active Directory. Wdrożenie tego typu uwierzytelnienia dotyczy wyłącznie Szpitali, w których obecnie jest wdrożone Active Directory. 3. System musi umożliwiać uwierzytelnianie użytkowników za pomocą unikatowego identyfikatora użytkownika i niejawnego hasła. 4. System musi umożliwiać przypominanie haseł użytkownikom poprzez wysłanie przypomnienia na wskazany adres email użytkownika. 5. System musi umożliwiać dostęp do logów zdarzeń systemowych z poziomu interfejsu administracyjnego ich segregowanie wg. parametrów tj. x.xx.: daty, definiowanego przedziału czasowego, użytkownika, identyfikatora, czynności, innych oraz zapewniać możliwość ich eksportu. 6. System musi umożliwiać dostęp do logów zdarzeń tylko administratorowi. Musi być zapewniona wiarygodność i bezpieczeństwo logów.
Wymagania bezpieczeństwa. [Zamawiający nie wyklucza uzupełnienia wymagań w ostatecznej wersji Umowy] Wykonawca ma obowiązek zapewnić, że Łącza będą spełniać następujące parametry SLA: Dostępność – odsetek poprawnych odpowiedzi na pakiet kontrolny: Dostępność pojedynczego Łącza w ciągu doby: nie mniej niż 80%, Dostępność pojedynczego Łącza w ciągu miesiąca: nie mniej niż 90% Średnia dostępność wszystkich Łączy w ciągu doby: nie mniej niż 90% Średnia dostępność wszystkich Łączy w ciągu miesiąca: nie mniej niż 95% Opóźnienie pakietów – czas opóźnienia odpowiedzi na pakiet kontrolny: Średnie opóźnienie pakietów dla pojedynczego Łącza w ciągu doby: nie więcej niż 3000 ms, Średnie opóźnienie pakietów dla pojedynczego Łącza w ciągu miesiąca: nie więcej niż 2000 ms. Aby pomiar był miarodajny i dostępny w identyczny sposób dla obu Stron, sondy mierzące parametry Łącza zostaną zainstalowane w Punkcie Styku, a pomiar będzie realizowany od Punktu Styku w kierunku Urządzeń Końcowych. Parametry SLA będą obliczane w oparciu o wyniki pomiarów Dostępności i Opóźnienia pakietów w Próbkach. Próbką jest pomiar dostępności i jakości pojedynczego łącza, wykonany z wykorzystaniem protokołu ICMP, polegający na przesłaniu 5 pakietów kontrolnych ICMP Echo Request o wielkości 64 bajty, wysyłanych w odstępach jednosekundowych i badaniu parametrów odpowiedzi w przychodzących pakietach ICMP Echo Reply, przy czym jeśli pakiet nie powróci lub powróci w czasie dłuższym niż 10 000 ms, uważany jest za utracony. Po otrzymaniu odpowiedzi na pakiet kontrolny, weryfikowana jest liczba pakietów odebranych w stosunku do ilości pakietów wysłanych oraz czas odpowiedzi na poszczególne pakiety kontrolne.
Wymagania bezpieczeństwa. Za bezpieczeństwo informacji odpowiada Dostawca.