IIIIIIIIIIIIIimliWIIIIIIIIIII'

Save this PDF as:
 WORD  PNG  TXT  JPG

Rozměr: px
Začít zobrazení ze stránky:

Download "IIIIIIIIIIIIIimliWIIIIIIIIIII'"

Transkript

1 Smluvnl strany: SMLOUVA 0 DiLO ANECTa.s. zapis V OR: spis. zn. S 2113 vedena u Krajskeho soudu V Srne se sldlem: Vlder"lska 204/125, Prfzreniee, Srno zastoupen: Janem Zinkem a Pavlem Srnkou, prokuristy Ie: Ole: CZ UVN Doru6eno; /2015_(IVN t l&t;;: 16 drun: l!ifi'llofw IIIIIIIIIIIIIimliWIIIIIIIIIII' uvnses50639a96 bankovni spojenl: Komercnf banka, a.s. c. U /100 a (dale tei jen.dodavatel") Ustiedni vojenska nemocnice - Vojenska fakultni nemocnice Praha pflspevkova organizaee zrrzena Ministerstvem obrany er se sldlem: U Vojenske nemoeniee 1200, Praha 6 Ie: Ole: CZ bank. spojeni: /0710, ens Praha 1 zastoupena: prof. MUDr. Miroslavem Zavoralem, Ph.D., reditelem (dale tei jen "objednatel") spolecne jako "smluvnf strany" uzav!rajl na zaklade vyberoveho "zen! pro zakazku maleho rozsahu V souladu s ustanovenim 18 odst. 5 zakona c. 137/2006 Sb., 0 verejnyeh zakazkaeh, ve znenf pozdejsleh pfedpisu, tuto smlouvu. I. Pfedmet smlouvy 1) Tato smlouva je uzavrena na zaklade vyberoveho rizenf pro zakazku maleho rozsahu cj. 4511/2015-LNN ze dne ) predmetem smlouvy je zavazek dodavatele za podmrnek sjednanyeh touto smlouvou a v souladu se zadavaer dokumentael a nab!dkou dodavatele ucinenou v ramei zadavaefho "zen! provest bezpecnostnl audit informacnfeh teehnologil (IT) objednatele zahrnujlcl: a) extern! test zranitelnosti, tj. provedeni testu zranitelnosti vybranyeh verejne prrstupnyeh zarrzenf na zaklade dodaneho rozsahu verejnyeh IP adres v eelkovem poctu 19 s nulovou znalost! vnitrnl infrastruktury; b) intern! test zranitelnosti, tj. provedenl testu zranitelnosti internlch zarrzen! na zaklade dodaneho rozsahu vybranyeh vnitrnieh IP adres v poctu 584 z vnitrnl site; e) provedeni formalnlho overenl predpisove zakladny (gap analysis) formou porovnanl aktualniho stavu dokumentaee (vnitrnfch predpisu v oblasti IT) s pozadavky zakona c. 181/2014 Sb., zakona 0 kybernetieke bezpecnosti a predpisu vydanyeh k jeho provedenr (dale jen zakon) prrpadne standardu ISO ) Testy podle odst. 2 plsm. a,b) jsou neautentizovane neinvazivnl testy provedene pomoei automatizovaneho SW.

2 '", 4) Z externiho a interniho testu podle odst. 2 pismo a,b) dodavatel zpracuje detailni report t v elektronicke podobe obsahujici identifikaci operaenich systemu a na nich bez!cich aplikaci a jejich verzi, jednotlive nalezy pro jednotliva zaflzeni, zavaznost nalezu, relevantni hrozby a doporueenim napravy (spravne bezpeenostni konfigurace). 5) 0 ovefeni podle odst. 2 pismo c) dodavatel zpracuje souhrnny dokument popisujici stav organizace v pfipravenosti na plneni povinnosti z hlediska uvedeneho zakona v jednotlivych zakonem stanovenych oblastech a kriteriich. Zarove" bude identifikovat pfipadne nedostatky a navrhne jednotlive postupy, aby bylo mozne dosahnout souladu se zakonem. Vysledek bude zpracovan v plsemne a elektronicke forme, a navic bude vzhledem ke komplexnosti cele zalezitosti provedena diskuze formou workshopu v rozsahu do 4 hodin. 6) Objednatel se zavazuje zaplatit dodavateli dohodnutou cenu. II. Doba a misto plneni 1) Dodavatel se zavazuje poskytnout plneni podle teto smlouvy nejpozdeji do 30 dnu od dne uzavfeni smlouvy; objednatel se zavazuje poskytnout dodavateli potrebnou soueinnost. 2) Splnenim dodavky se rozumi provedenl ve~kerych testu a ovefeni, zpracovani v~ech vyslednych dokumentu a provedeni workshopu, jak je uvedeno v el. I. Splneni dodavky potvrdi smluvni strany podpisem pfedavaciho protokolu. III. Cena plneni Sjednana cena dodavky ein! ,- Ke bez DPH; k teto cene bude pfipoetena DPH v zakonne vy~i platne v den uskuteeneni zdanitelneho plnen!. Kupni cena veetne DPH ve vy~i platne ke dni podpisu teto smlouvy ein! ,-Ke. Cena obsahuje ve~kere naklady prodavajiciho. IV. Fakturatni a platebni podminky 1) Kupuj!ci neposkytne k uhrade ceny plnen! zalohu. 2) Prodavajicl je opravnen fakturovat cenu plneni v den splnenl dodavky a pfedat objednateli da"ovy doklad (fakturu); nejpozdeji pfeda da"ovy doklad do 10 dnu od splneni dodavky. 3) Da"ovy doklad (faktura) mus! spl"ovat nalezitosti da"oveho dokladu die zakona e. 235/2004 Sb. 0 dani z pfidane hodnoty, ve zneni pozdej~ich pfedpisu. Da"ovy doklad krom nalezitosti stanovenych pravn!m pfedpisem musi obsahovat zejmena tyto nalezitosti: a) oznaceni penezniho ustavu a cislo uclu, na ktery se rna platit, konstantni a variabilnl symbol, b) nazev dodavky, c) duvod uetovanl s odvolanlm na smlouvu; d) seznam priloh. K da"ovemu dokladu musi byt pfipojen pfedavacl protokol. 4) Nebude-li da"ovy doklad (faktura) obsahovat nalezitosli pod Ie odstavce 3, je kupujlci opravnen vadny dmovy doklad ve Ihute splatnosti vratit prodavajicimu a pozadovat vystavenf noveho bezvadneho da"oveho dokladu (faktury). Dnem dorueenl opraveneho da"oveho dokladu (faktury) kupujicimu zacne bezet nova IhUta splatnosti. 5) Doba splatnosti faktury je stanovena na 60 kalendafnich dnu ode dne doruceni faktury objednateli. 6) Platby budou probrhat vyhradne v ezk a rovne~ ve~kere cenove udaje budou v teto mime.

3 V. Obchodnl podmlnky 1) Objednatel prohlasuje, ze je dr.!itelem techto certifikatu v oblasti bezpe~nosti IT/hackingu RNDr. Jiri Bartunek - certifikat CISA, Ing. Lubomir Luka~ - certifikat CISA. 2) Dodavatel pouzije ke splneni sveho zavazku jednotlive technologie, postupy a produkty, ktere jsou uvedeny v pfiloze~. 1, kter~ je nedllnou soumsti teto smlouvy. 3) Po splnenl dodavky seplsl dodavatel a objednatel predavacl protokol; vadne nebo neuplne plnenl nenl objednatel povinen pfevzlt. 4) Osoby opravnene jed nat ve vecech plnen i teto smlouvy a) za objednatele : ing. Vladimir Toser, feditel odboru informa~nlch technologil, tel , , b) za dodavatele : Ing. Iva Safaf, Key Account Manager, tel VI. Smluvnl pokuta a urok z prodleni 1) V pfipade prodleni dodavatel se splnenim dodavky, je dodavatel povinen objednateli zaplatit smluvni pokutu ve vysi K~ za kazdy zapo~aty den prod len I; pravo objednatele na nahradu ujmya nahradu nakladu vynalozenych na uplatnenf sveho prava nenl zaplacenim smluvni pokuty dotreno. 2) V pflpade prodleni objednatele s uhradou ceny plneni je objednatel povinen zaplatit dodavateli smluvni urok z prodlenl ve vysi 0,02 % z dluzne Mstky za kazdy den prodleni do zaplaceni. 3) V pfipade poruseni zavazku ml~enlivosti a ochrany duvernych informaci podle ~1. VIII se dodavatel zavazuje zaplatit objednateli smluvnl pokutu ve vysi ,- K~ za kazdy pflpad porusenl zavazku; pravo objednatele na nahradu ujmy a nahradu nakladu vynalozenych na uplatneni sveho prava neni zaplacenim smluvni pokuty dot~eno. VII. Ukonceni smlouvy 1) Smluvnl strany jsou opravneny tuto smlouvu ukon~it pisemnym odstoupenim nebo plsemnou dohodou. 2) Objednatel je opravnen pisemne odstoupit od smlouvy, pokud: a) na majetek dodavatele bylo zahajeno insolven~ni rlzeni b) navrh na prohlasenl konkursu byl zamitnut pro nedostatek majetku c) dodavatel vstoupi do likvidace d) nastane vyssi moc, kdy dojde k okolnostem, ktere nemohou smluvnl strany ovlivnit a ktere zcela a na dobu delsl nez 90 dnu znemozni nektere ze smluvnich stran plnit sve zavazky ze smlouvy e) dodavatel bude v prodlenl s poskytnutlm plnenl dele nez 10 dnl. 3) Objednatel je dale opravnen odstoupit od smlouvy, vznikla-ji mu ~innosti nebo ne~innosti dodavatele skoda nebo vznik skody hrozi nebo bylo-li poskozeno dobre jmeno kupujlciho. 4) Objednatel a dodavatel jsou dale opravneni odstoupit od smlouvy v pflpade podstatneho poruseni smluvnlch povinnosti druhou smluvni stranou. 5) Odstoupenf od smlouvy musl byt u~ineno pfsemne a doru~eno druhe strane, pficemz u~inky odstoupenl nastavaji dnem doru~eni pisemneho oznameni. 6) Smluvnf strany mohou ukon~it smlouvu pisemnou dohodou.

4 VIII. Ochrana informaci 1) Dodavatel bere na vedoml, te ve~kere informaee poskytnute mu objednatejem za utejem plneni teto smjouvy anebo informaee, ktere se pri plnenl zavazku byt'i nahodile dovl, a stejne tak vysledky tinnosti dodavatele, jsou duvernymi informaeemi objednatele. 2) Dodavatel se zavazuje ve~kere informace uvedene v odstavei 1 ehranit, zaehovavat 0 nieh mltenlivost, nezpristupnitje jakekojiv tfetl osobe a nepouzitje pro sve potfeby v rozporu s utelem, pro jaky byly poskytnuty; dodavatel se zavazuje pfijmout ve~kera potfebna teehnieka a organizatni opatreni, aby zabranit jakemukoliv uniku duvernyeh informaei. Dodavatel prohla~uje, te stejnym zpusobem zavazal osoby, ktere se budou podllet na plnenl teto smlouvy. 3) Zavazek mltenlivosti a oehrany duvernyeh informael trva i po skontenl teto smlouvy. IX. Zaverecna ustanoveni 1) Vzajemne vztahy obou smluvnlch stran se fldi pravnlm fadem Geske republiky, zejmena ustanovenfmi obtanskeho zakonlku. 2) V pfipade sporu se obe smluvni strany zavazujl pokusit se pfedev~lm 0 jeho urovnani smlrem, v prfpade soudnlho sporu bude vee projednavana soudem pflslu~nym podle obtanskeho soudnlho fadu. 3) Tuto smlouvu Ize doplflovat ti menit pouze formou pisemneho dodatku, podepsaneho opravnenymi zastupei obou smluvnleh strano 4) Smluvni strany prohla~uji, ze jsou opravneny zavazat se zpusobem uvedenym v teto smlouve. Pokud se toto prohlasenl ukaze nepravdivym, zavazuji se k nahrade ve~kere ~kody, ktera by tak mohla vzniknout. 5) Nedilnou soutastl teto smlouvy je pruoha t. 1 obsahujiei speeifikaei teehnologii, postup a produkty poutite dodavatelem k plnenf zavazku. 6) Tato smlouva je vyhotovena ve 4 stejnopiseeh, z nicht kupujlci obdrti 2 vyhotoveni a prodavajlel 2 vyhotovenl. 7) Tato smlouva je platna a utinna dnem podpisu obou smluvnleh strano 8) Smluvnl strany zarovefl potvrzuji, ze si tuto smlouvu pred jejim podpisem pfetetly a s jejim obsahem souhlasi, te nebyla uzavfena v Usni ani za napadne nevyhodnyeh podminek. Na dukaz toho pfipojuji sve podpisy. V Praze dne V Praze dne G9-1m~ Jan Zinek a Pavel S nka!k,;z.~e. "r.4.. dodavatel ANI: ANECT a.s.) Vldel"iska 204/125 F-i'izrenice Brno T F www,antict.qqm 01(;; CZ253130:iilS

5 NCCT Pfnoha c. 1 Specifikace technologii, postup a produkty pouzite dodavatelem k plneni zilvazku 1. Externi test zranitelnosti IT V ramci externlho testu zranitelnosti bude provedeno proverenf bezpetnosti IT vuti externlm utotnlkum. Cllem externlho testu je identifikovat siam mista operatnlho systemu a sluzeb, ktera mohou byt zneuzita k zlskanl neopravneneho prlstupu nebo odcizen! citlivych dat. Test bude proveden s nulovou znalostl infrastruktury a serveru. Extern I test zranitelnosti bude proveden pomoci nastroje QualysGurad Vulnerability Management (VM). Testovani bude problhat z centra Qualys SOC. Qualys SOC pouzlva tyto FQDN a site: htlps:/lqualvsguard,gualys,eu, hups:lldistgualys,eu, all in 64, /20. Na hranitnfm firewallu je treba mit povoleny prlstup k testovanym systemum z vyse uvedenych zdroju Rozsah externiho testu Zahrnuje standardni test 19 stroju dostupnych z internetu. Standardnl test skenuje pres 1900 portu (TCP a UDP). Je motne provest test pres vsechny porty, cot vzhledem k tasove narotnosti testu nedoporutujeme. Vyhodnejsl je provest standardn! sken a dospecifikovat dodatetne sluzby bezlcl na nestandardnlch portech Postup externiho testu Externl test zranitelnostl se bude skladat z techto kroku: 1. upresnenl rozsahu testu - je doporuten, ale nenl podmlnkou. Vyhodou je minimalizace zateze testovanych systemu. 2, Pruzkumny sken - je doporuten, ale nen! podmlnkou. Vyhodou je detekce neaktivnlch stroju, ktere budou vyrazeny z testu zranitelnostl 3. Nastavenl parametru testu, provedenl externlho testu zranitelnostl Na zaklade vysledku testu bude provedeno vyhodnocenl nejzavatnejslch nalezu s doporutenlm jejich napravy. 2. Interni test zranitelnosti IT V ramci internlho testu zranitelnosti bude provedeno proverenl bezpetnosti IT vuti utotnlkum z vnitrnl site zadavatele. Cllem internlho testu je identifikovat siam mlsta operatn!ho systemu a sluteb, ktera mohou byt zneutita k zlskan! neopravneneho pristupu nebo odc/zenl citlivych dal. Test bude proveden s nulovou znalostr vnitrnl infrastruktury. Intern! test zranitelnosti bude proveden pomoci nastroje QualysGurad Vulnerability Management (VM). Testovanl bude probihat pomoci sondy zprovoznene ve virtualnim prostredl zadavatele. Doporutujeme umlstit sondu co nejblize testovanym systemum.

6 A CT Pi'fIoha C Rozsah interniho testu Zahrnuje standardn! sken 584 stroju dostupnych z vnitrn! site. Standardn! test skenuje pres 1900 portu (TCP a UDP). Je moine provest test pres v~echny porty, coz vzhledem k tasove narotnosti testu nedoporutujeme. Vyhodnej~1 je provest standardnl sken a dospecifikovat dodatetne sluzby bez!c! na nestandardnich portech Postup internfho testu Interni test zranitelnosti se bude skladat z techto kroku: 1. upresnenl rozsahu testu - je doporuten, ale neni podmlnkou. Vyhodou je minimalizace zateze testovanych systemu. 2. Pruzkumny sken - je doporuten, ale neni podminkou. Vyhodou je detekce neaktivnich stroju, ktere budou vyrazeny z testu zranitelnostl. 3. Nastavenl parametru testu, provedenl interniho testu zranitelnosti. Na zaklade vysledku testu bude provedeno vyhodnocenl nejzavaznej~!ch nalezu s doporutenim jejich napravy. 3. Vyhody reseni Qualys Pro testy zranitelnosti pouzivame nastroje QualysGuard, ktere majl tyto vyhody: Patrl k nejlep~lm re~enim na trhu z pohledu hodnocen! nezavislych analyz. Provadeji spolehlive, nekonfliktnl a efektivnl skenovani. Poskytuji presne vysledky, komplexni a prizpusobitelne reporty. Umozi'luji integraci s dal~fmi systemy IT, napr. helpdesk nebo aplikatnf firewall. Umozi'luj[ nepretriite testovani zranitelnosti. Efektivni sprava zranitelnosti, prehledne informace k napravnym opatrenim s odkazem na bezpetnostnl databazi CVE, stranky vyrobce SW a dal~i dulezite informace. Mame s nimi spoustu zku~enostl. Jsou v souladu s pozadavky ZKB, konkretne s predpisem 316/2014 Sb., vyhla~ka 0 bezpetnostnich opatrenlch, kybernetickych bezpetnostnich incidentech, reaktivnich opatrenich a 0 stanoveni nalezitosti podani v oblasti kyberneticke bezpetnosti, 15 - Kontrola a audit kriticke informatn! infrastruktury a vyznamnych informatnlch systemu, odst. 3, "Organ a osoba uvedena v 3 plsm. c) a d) zakona dale pro informacnf system kriticke informacnl infrastruktury a komunikacnf system kriticke informacni infrastruktury provadf kontrolu zranitelnosti technickych prostfedku pomocl automatizovanych nastrojij a jejich odborne vyhodnocenl a reaguje na zjistene zranite/nostt', kde UVN pravdepodobne bude napli'lovat urteni die zakona 181/2014 Sb., 0 kyberneticke bezpetnosti 3 pismo c) "spravce informatniho systemu kriticke informatnl infrastruktury". 4. Formalni overeni urovne kyberneticke bezpecnosti Overen! Orovne kyberneticke bezpetnosti bude provedeno posouzen!m shody stavajici dokumentace s pozadavky predpisu t.316/2014 Sb., vyhla~ka 0 bezpetnostnich opatrenich, kybernetickych bezpetnostnich incidentech, reaktivnich opatrenlch a 0 stanoven! nalezitost! podiml v oblasti kyberneticke bezpetnosti (vyhlmka 0 kyberneticke bezpetnosti), konkretne s 5 a prllohou t. 4, ktere specifikuji minimalnl obsah a strukturu bezpetnostnf dokumentace.

7 CCT Prfloha c. 1 ANeeT Vlastni ovefeni bude provedeno ve dvou kroclch: Vlastn! studium poskytnute dokumentace a posouzenl shody s pozadavky pfedpisu 316/2014 Sb. Rozhovor s odpovednymi zamestnanci - ujasnenr probh3movych okruhu, potvrzen! zji$teneho stavu. Ovefeni bude provedeno v souladu se zpracovanou pomuckou GovCERTu "Pomucka k auditu bezpecnostnlch opatfenl podle zakona 0 kyberneticke bezpecnosti" a bude brat ohled na pozadavky Akreditacnich standardu pro nemocnice (splnenl pozadavku specifikovanych v prrloze c. 1 vyhla$ky MZ CR C. 102/2012 Sb., 0 hodnocenl kvality a bezpecl luzkove zdravotnl pece) Standard Nemocnice zajisti zabezpecenr informaci a Standard Nemocnice ma zavedenu bezpecnostnl politiku informacnich technologii veetne havarijnlch planu. Vystupem overeni bude dokument popisujlcl soucasny stav nemocnice v pripravenosti na plnenl pozadavku zakona c. 181/2014 Sb.. 0 kyberneticke bezpecnosti a na nej navazujicl predpis c. 316/2014 Sb., vyhla$ka 0 bezpecnostnlch opatrenlch. kybernetickych bezpecnostnich incidentech, reaktivnlch opatrenich a 0 stanovenl nalezitost! podanl v oblasti kyberneticke bezpecnosti v rozsahu spravce kriticke informacni infrastruktury. Soucasti tohoto vystupu budou navrzeny postupy pro odstraneni pripadnych nedostatku takovym zpusobem, aby bylo mozno dosahnout shody s vy$e uvedenym zakonem. Vystup bude dale zpracovan pro prezentaci na workshopu - zde budou prezentovany vystupy jak z pohledu zakona c. 181/2014 Sb., tak idle pozadavku Akreditacnlch standardu pro nemocnice.

8