Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
Příloha č. 2 - bezpečnostní pravidla pro dodavatele
Cílem těchto bezpečnostních pravidel je snižování kybernetických rizik a zvyšování účinnosti
bezpečnostních
opatření chránící Aktiva KÚ JK, ke kterým mají přístup Dodavatelé.
Základní odpovědnosti Dodavatele
Dodavatel řešení:
a) Je povinen dodržovat požadavky na bezpečnost informací v souladu s platnými zákony ČR.
b) Odpovídá za své řešení/dodávku/správu tak, aby respektovalo požadavky na bezpečnost
KÚ JK, zabránilo bezpečnostním incidentům a stavu kybernetického nebezpečí.
c) Odpovídá za dodávku a implementaci řešení v požadované kvalitě i z pohledu bezpečnosti.
d) Ručí za trvalé zachování mlčenlivosti všech svých pracovníků i po ukončení smluvního vztahu
s úřadem.
Dodavatel je povinen akceptovat použití prostředků bezpečnostního auditu, které mohou být útvarem
IT využity k sledování aktivit v prostředí ICT/IS či aktivity procházejících přes toto prostředí.
Ochrana Aktiv
Dodavatel se před vlastním přístupem k datům a informacím KÚ JK musí zavázat mlčenlivostí. Tzn., že
platí povinnost Dodavatele se zavázat a také povinnost pracovníků KÚ JK (prioritně ve smlouvě,
prohlášením Dodavatele, formulářem, …) zavázat Dodavatele a nezpřístupnit data a informace
Dodavateli dříve, než dojde k jeho závazku mlčenlivosti (tj. podpisu NDA – Non Disclosure Agreement
či CA – Confidentiality Agreement).
Přístup k ICT/IS
Přihlášení Dodavatele do sítě KÚ JK musí podléhat kontrole přístupu na základě autorizace po předchozí
autentizaci, včetně autentizace přes VPN v případě užití VPN klienta. Přihlašovací proces do VPN a do
Windows domény poskytuje základní bezpečnostní funkce – nikdy se nezobrazuje vkládané heslo a heslo
není nikde přenášeno a ukládáno v nezašifrované formě. Přístup ke službám ICT/IS je vždy zajištěn přes
proces autentizace, autorizace a bezpečnostního auditu.
Ochrana před škodlivým softwarem
Dodavatel je povinen:
a) Centrálně organizovat zabezpečení svých koncových stanic v připojeních do své infrastruktur y
(např. řízení personálních firewallů, antivirového SW atd.) a to minimálně na úrovni standardů
KÚ JK. Standardy KÚ JK se řídí zákonem č. 181/2014 Sb. Zákon
o kybernetické bezpečnosti a zejména vyhláškou č. 82/2018 Sb. Vyhláška o kybernetické
bezpečnosti a dále bezpečnostními doporučeními NCKB pro administrátory v aktuálně platné
verzi. Dodavatel by měl v přiměřené míře splňovat požadavky uvedených dokumentů.
b) Obsahem antivirové ochrany jsou taková opatření technického a administrativního charakteru,
která vedou k detekci a následnému odstranění infiltrujícího software u všech prostředků
provozovaných v rámci infrastruktury Dodavatele.
c) Dodavatel musí na své straně definovat zásady bezpečného užívání Internetu a s těmito
zásadami seznámit veškerý personál užívající ICT prostředky infrastruktury Dodavatele.
d) Dodavatel musí na pracovních stanicích v jeho odpovědnosti zajistit bezpečné nakonfigurování
prohlížečů obsahu Internetu (např. www prohlížeče).
Řízení bezpečnostních rizik
Dodavatel je povinen zajistit, že:
a) Hesla pracovníků Dodavatele nebudou zaznamenávána v otevřené podobě.
b) Vzájemnou spolupráci a komunikaci mezi Dodavatelem a KÚ JK při řešení ICT bezpečnostní rizik
Hlášení
Dodavatel je povinen KÚ JK hlásit:
a) nestandardní situace při práci v ICT/IS;
b) bezpečnostní události nad ICT/IS;
c) bezpečnostní slabiny v ICT/IS Objednatele.
Kontrola a audit Dodavatele
KÚ JK má obecné právo auditu prostředí Dodavatele za účelem ověření dodržování Bezpečnostních
pravidel Objednatele či za účelem ověření zabezpečení dat a informací na ICT prostředcích Dodavatele,
a to minimálně 1x za 12 měsíců.
Ošetření výjimek
Ve výjimečných případech je možno vyhlásit výjimku z dodržování bezpečnostních pravidel. Udělení
výjimek ze stanovených pravidel se provádí na základě požadavku zaslaného manažerovi kybernetické
bezpečnosti, který má právo výjimku udělit.
Schváleno: Bezpečnostní komise – Výbor pro řízení kybernetické bezpečnosti