Dodávka služeb bezpečnostního dohledu nad informačními systémy ČZU a rozšířeného odborného GDPR poradenství

Transkript

1 Technická specifikace a časvý harmngram předmětu plnění veřejné zakázky s názvem: Ddávka služeb bezpečnstníh dhledu nad infrmačními systémy ČZU a rzšířenéh dbrnéh GDPR pradenství 1

2 Jednrázvé ddávky a služby Tat přílha služí k vymezení minimálních technických a bsahvých pžadavků zadavatele, dle kterých bude zajištěna pžadvaná ddávka licencí, implementace prgramvéh vybavení a služeb dbrnéh pradenství. 1. PŘEDMĚT PLNĚNÍ PŘEDMĚT VEŘEJNÉ ZAKÁZKY SE SKLÁDÁ Z NÁSLEDUJÍCÍCH ČÁSTÍ: 1.1. Ddávka licencí pr stávající platfrmu IBM SIEM a jejich implementace Dplnění licence mdulu chrany databázvéh a subrvéh prstředí pr stávající platfrmu IBM SIEM Implementace mdulu chrany databázvéh a subrvéh prstředí pr stávající platfrmu IBM SIEM 1.2. Pskytvání služeb technické a pradenské pdpry platfrmy IBM SIEM Služby správy a údržby platfrmy IBM SIEM Služby kybernetické bezpečnsti na platfrmě IBM SIEM vyhdncvání událstí, rizik a bezpečnstní mnitring z phledu kybernetické bezpečnsti 1.3. Pdpra a pradenství pr DPO, zajištění prgramvéh vybavení pr kmplexní správu GDPR agendy v mdelu SaaS (Sftware as a Service) Pskytvání služeb a rzšířenéh pradenství v blasti GDPR agendy a pdpra aktivit DPO Prgramvé vybavení pr kmplexní správu GDPR agendy v mdelu SaaS (Sftware as a Service) 1.4. Speciální služby, rzšířená pdpra 2. HARMONOGRAM DODÁVEK A POSKYTOVÁNÍ SLUŽEB T = datum uveřejnění smluvy v registru smluv Předmět plnění Termín zahájení plnění Termín uknčení plnění Vypracvání prjektu Detailníh návrhu řešení zabezpečení DB prstředí T T + 10 pracvních dnů Ddávka a instalace pvýšení zdrjů SIEM serverů před implementací mdulu na chranu DB T T + 20 kalendářních dnů Ddávka licencí a instalace mdulů pr chranu DB a subrvých dat a zahájení pdpry (včetně 36 měsíců sftware pdpry d výrbce) T T + 20 kalendářních dnů Implementace řešení na chranu DB a chrany subrvých dat, včetně inicializace aplikace pr správu GDPR agendy T T + 30 kalendářních dnů Zpracvání implementační dkumentace T T + 30 kalendářních dnů Zkušební prvz rzšířené platfrmy IBM SIEM mdul na chranu DB a subrů, včetně aplikace na správu GDPR agendy T + 1 měsíc T + 2 měsíce 2

3 Kntinuelní služby Pskytvání služeb technické správy platfrmy IBM SIEM a bezpečnstníh mnitringu událstí SIEM T + 2 měsíce T + 36 měsíců Pskytvání služeb pradenské pdpry v blasti GDPR agendy a pdpry DPO T + 2 měsíce T + 36 měsíců Pskytnutí prgramvéh vybavení pr kmplexní správu GDPR agendy frmu SaaS T + 2 měsíce T + 36 měsíců 3. PODROBNÁ TECHNICKÁ SPECIFIKACE A POPIS POŽADOVANÉHO ŘEŠENÍ 3.1. Ddávka licencí pr stávající platfrmu IBM SIEM - licence pr chranu databázvéh prstředí a subrů Pptávané řešení je sučástí technických patření zaváděných především v suvislsti s nařízení EU chraně sbních údajů tzv. GDPR. Pvyšuje dpsud prvzvaný SIEM systém IBM QRADAR důležitu kmpnentu z phledu zlepšení celkvé úrvně řízení infrmační bezpečnsti Zadavatele a eliminace rizik zcizení neb zneužití dat, jejichž je Zadavatel správcem Dplnění licence mdulu chrany databázvéh a subrvéh prstředí pr stávající platfrmu IBM SIEM Ppis fungvání chrany databázvéh prstředí: Řešení chrany databází musí umžňvat mnitring a lgvání databázvých a subrvých perací v reálném čase bez dpadu na rychlst zpracvání pžadavků jedntlivých aplikací. Sučástí tht mnitringu musí být v reálném čase také bezpečnstní analýza zaznamenaných databázvých a subrvých perací s cílem detekce pdezřeléh chvání neb vzniku mimřádné událsti. Případná rizika jsu frmu alertů zasílána pvěřeným pracvníkům Zadavatele k dřešení, případně pdle závažnsti djde k kamžitému zablkvání pdezřelé perace tak, aby se zabránil úniku dat. Všechny mnitrvací výstupy, bezpečnstní aletry a další suvisející infrmace jsu centrálně dstupné ve webvé knzli, která dále služí i pr nastavvání bezpečnstních plitiky, tvrbu přehledvých reprtů, klasifikaci dat z phledu jejich citlivsti apd. pdprvat krelaci data z většiny kmerčně pužívaných databází a big data řešení, minimálně pak ze systémů Oracle, IBM DB2, Micrsft SQL Server, mysql, IBM Infrmix, Teradata, NSQL, MngDB a Hadp. Zadavatel pžaduje výše uvedený výčet databázvých platfrem z důvdu chrany investice pr mžná buducí řešení, zalžená na některých z těcht databází, byť je v sučasné dbě neprvzuje všechny. Pptávané řešení bude fungvat tak, že d peračníh systému, kde je prvzvána knkrétní databáze je nainstalvaná snda, která mnitruje všechny perace nad knkrétní databází a tat data pté desílá na další zpracvání d systému IBM SIEM. Zadavatel pžaduje tent způsb nasazení prt, aby byl mžné mnitrvat aktivity privilegvaných uživatelů, kteří se mhu d databáze připjit přím a nepřistupují k ní přes aplikaci neb přes pčítačvu síť. umžnit plnu integraci d splečné management knzle systému IBM QRADAR SIEM a pdprvat prpjení s dalšími LDAP databázemi, například pr účely prvázání se stávajícími servicedesk / ticketvacími/ systémy. Pdrbné vymezení řešení na chranu databází a subrů: Účastník vyplní v následujících kapitlách puze všechny žlutě značené části. 3

4 Tat přílha služí k uvedení názvu / typu knkrétníh nabízenéh řešení či zařízení a dále k vymezení minimálních technických pžadavků zadavatele na řešení a svědčení jejich splnění účastníkem. Pžadavky zadavatele jsu uvedeny ve slupci 1. Následná smluva s vybraným ddavatelem může být v tét části upravena tak, aby bsahvala již puze ddavatelem nabídnuté zařízení a jeh technické parametry. V níže uvedené tabulce (slupci 1) jsu uvedeny veškeré pvinné minimální parametry kladené na pptávané řešení chrany DB prstředí a subrů. Nesplnění těcht pžadavků je důvdem k vyřazení nabídky. Ddavatel v níže uvedených tabulkách vyplní slupce Vyjádření ANO/NE a pkud je pžadván i Ppis jak bude pžadavek splněn/řešen. Slupec Vyjádření ANO/NE může nabývat puze hdnt ANO neb NE, bude-li uveden něc jinéh, je t rvněž důvd k vyřazení nabídky. Slupec Technická specifikace nabízenéh zařízení a Ppis jak bude pžadavek splněn/řešen bude bsahvat pdrbný ppis, jak ddavatel pžadavek naplní. Nebude-li ppis splnění/řešení pžadavku dpvídat ppisu pžadavku, tat skutečnst může mít za následek i t, že bude knstatván, že ddavatel nesplnil zadávací pdmínky stanvené Zadavatelem. Technická specifikace - Ochrana databází a subrů Výrbce / název / typ zařízení:. Minimální technické pžadavky Vyjádření ANO/NE Technická specifikace nabízenéh zařízení, pkud je vyžadván, pak i Ppis jak bude pžadavek splněn/řešen 1 Řešení pdpruje mnitring veškerých sezení (vzdálená neb lkální). 2 Pdprvané databáze: Oracle, IBM DB2, Micrsft SQL Server, mysql, IBM Infrmix, PstgreSQL, MngDB. 3 Pdpra platfrem: Windws, UNIX, Linux. 4 Řešení identifikuje: časvu značku každé perace, celý příkaz perace, uživatelské jmén, dkazvaný bjekt. 4

5 5 Řešení pskytuje nepřetržitý mnitring pužívání a tku citlivých dat. 6 pdprvat mnitring šifrvaných spjení na Oracle, MSSQL a DB2. 7 analyzvat data v reálném čase. 8 Řešení umžňuje aktivní blkvání dle: ip adresy zdrje a cíle, uživatelskéh jména, databáze, tabulky, slupce neb názvu subru, typ database. 9 krelvat událsti dle nastavených prahů. 10 Řešení by se měl být schpn učit dhalit anmálie, aby identifikval: nebvyklé neb nvé aktivity, nebvyklé neb nvé chyby, nvé uživatele, nvé typy bjektů žádaných uživatelem, změnu chvání v SQL struktuře, změnu chvání v přístupvém čase. 11 umžňvat nativní zasílání pplachů a zakládání událstí, které identifikuje, d systému SIEM IBM QRADAR a dále samstatně pmcí: u, syslg událsti (knfigurvatelné pr integraci s nástrji třetích stran) a 5

6 prgramvatelnéh API rzhraní. 12 přístup ke kntrlvaným datům kntrlvat RBAC a t na dvu vrstvách: přístup k systémvým funkcinalitám, přístup k ulženým datům. 13 Analýza SQL prudu by měla pkrývat příchzí a dchzí prvz a genervané chyby. 14 umět klasifikvat data pr identifikaci citlivých infrmací v databázích. 15 pdprvat sady pravidel pr pžadavky PCI-DSS, SOX a GDPR. 16 umžňvat vytváření vlastních klasifikačních pravidel dle: regulárních výrazů, prvnání se slvníkem, prgramvatelnéh API rzhraní. 17 umžňvat tvrbu reprtů v tabulkvé a grafické frmě. 18 umžňvat vytváření autmatizvaných reprtů dle naplánvanéh rzsahu. 19 Systém by měl umžnit definvat pstup vytváření a distribuce 6

7 autmatických výstrah a zpráv. 20 archivvaná data ukládat v šifrvané pdbě. 21 bsahvat mdul pr zhdncení zranitelnstí, který pkrývá: CVE identifikaci, knfigurační zranitelnsti a slabiny dle CSI a STIG standard, identifikace nadměrných právnění a překryv právnění. 22 být schpn mnitrvat knfigurační nastavení a identifikvat změny na: databázvé úrvni (SQL, skripty), na úrvni peračníh systému (skripty, prměnné prstředí, registry). 23 pskytvat aktualizaci definic pr vyhdncvání nejméně každé čtvrtletí. 24 prvádět vyhdncvání pakvaně a autmaticky. 25 umžňvat zasílat výsledky vyhdncení dle definvatelnéh pstupu a přím příjemcům. 26 Je pžadvána licence pr pkrytí 8 ks fyzických databázvých serverů, bez hledu na pčet 7

8 prvzvaných DB instancí v rámci jednh serveru. Licence tzv. per nde neb per fyzická IP adresa serveru. 27 Je pžadvána licence pr pkrytí 1 ks subrvéh serveru. Licence tzv. per nde neb per fyzická IP adresa serveru Implementace mdulu chrany databázvéh a subrvéh prstředí pr stávající platfrmu IBM SIEM V rámci implementační části plnění je pžadván: - vypracvání materiálu Detailní návrh řešení chrany databázvých a subrvých serverů - ddávka a instalace pvýšení HW zdrjů (RAM, CPU, HDD) pr servery na kterých je prvzvána platfrma IBM SIEM - ddávka všech ptřebných licencí části chrana databázvých a subrvých serverů dle bdu zprvznění mdulů chrany databázvých systému pr 8ks databázvých serverů a 1ks subrvéh serveru, na peračním systému Windws Server. - implementace 10 nejčastěji pužívaných use-case pr databázvé servery (prttypů - vzrvých řešení pr řešení incidentů na databázvém serveru) - vyhtvení implementační dkumentace - zajištění zkušebníh prvzu pr mdul chrany databázvých systémů p dbu 10 pracvních dnů v sídle Zadavatele Významné infrmační systémy: Mezi významné infrmační systémy zadavatel řadí všechny aplikace, které využívají neb přím zpracvávají sbní údaje a jsu prvzvány na databázvých technlgiích MS SQL a Oracle DB. D stejné skupiny významných infrmačních systémů zadavatele patří i systémy zajišťující subrvé perace na platfrmě Micrsft Server. Typicky se jedná následující infrmační systémy, které budu primárně zařazeny d systému bezpečnstníh mnitringu ICT prstředí zadavatele: 1. eknmický systém MAGION 2. studijní systém UIS 3. systém spisvé služby espis 4. systém elektrnické pšty MS Exchange 5. dcument management systém DMS 8

9 6. e-learningvý systém Mdle 7. ISKaM 8. systém prvzních databází ČZU 3.2. Pskytvání služeb technické a pradenské pdpry platfrmy IBM SIEM Pskytvatel bude pskytvat Zadavateli kntinuální i jednrázvé služby spčívající v zajištění dbrné správy platfrmy IBM SIEM, mnitringu bezpečnstních událstí a rizik včetně jejich vyhdncvání, nastavení a kntrle nápravných patření v blasti kybernetické bezpečnsti a také ddávkách knzultačních služeb v blastech ISMS, GDPR a pdpry činnstí DPO (dále jen Služby ). Pdrbnější ppis a katalgvý list služeb technické a pradenské pdpry: Služby správy platfrmy SIEM (kntinuální služba na měsíční bázi) pskytvání služby údržby a servisní pdpry platfrmy IBM SIEM pskytvání nvých verzí IBM SIEM a pravných patchů dle aktuální technlgické úrvně pskytvání služeb n-line mnitringu platfrmy IBM SIEM (mnitring dstupnsti HW/SW platfrmy) průběžná aktualizace implementační a prvzní dkumentace SLA parametry: služby údržby a servisní pdpry v režimu 8/5/365 tj. tj. v pracvní dny d 8-16 hdin služeby n-line mnitringu platfrmy IBM SIEM v režimu 24/7/ Služby pdpry Security Operatin Centre (SOC) vyhdncvání událstí a bezpečnstníh mnitringu (kntinuální služba na měsíční bázi) pskytvání pradenských služeb prstřednictvím HtLine/Helpdesk při řešení běžných prvzních prblémů správců infrmačních systémů. Služba bude dstupná 8/5/365 tj. tj. v pracvní dny d 8:00 16:00 hdin. pskytvání služeb bezpečnstníh mnitringu ( sběr a detekce bezpečnstních událstí). Služba zajišťuje detekci událstí, investigaci, správu zranitelnstí, reprting, dpručení v blasti nápravných patření a dbrných knzultací, a t vše prstřednictvím vyhdncvacíh centra pr řešení incidentů. SLA parametry: služba vyhdncvacíh centra bude dstupná 8/5/365 tj. v pracvní dny d 8-16 hdin bezpečnstní mnitring (sběr událstí ) bude zaručen v režimu 24/7/365 9

10 3.2.3 Katalgvý list služeb Katalgvý list služí jak detailní specifikace bsahu a rzsahu pžadvaných služeb. VYMEZENÍ SLUŽBY Správa a údržba platfrmy IBM SIEM a Služby kybernetické bezpečnsti SOC Prstředí Cílvá skupina Zkrácený ppis služby Předpkládaný minimální rzsah hdin za jeden kalendářní měsíc Prdukční HW appliance IBM QRADAR SIEM, mdul Vulnerability management, mdulu na chranu databází a subrvých služeb, který je předmětem ddávky v rámci tét zakázky. Interní zaměstnanci, externí subjekty, studenti, veřejnst Praktivní dhled nad zabezpečením infrastruktury pmcí nástrje IBM SIEM a dplňkvých mdulů 48 hdin ROZSAH POŽADOVANÝCH ČINNOSTÍ Telefnická pdpra 8x5 v českém jazyce, jedntné kntaktní míst pr hlášení prblémů, incidentů a pruch. Správa zařízení IBM SIEM (HW/SW) 1. Prvz zařízení IBM SIEM Prfylaktické činnsti, kntrla služeb (na týdenní bázi), Kntrla prvzních lgů zařízení (na týdenní bázi), Návrh případných patření s cílem předejít mžným výpadkům a mezením pskytvaných služeb zařízením SIEM, Odbrná technická pdpra a dstraňvání závad v předmětné blasti, Správa licenčních pravidel. 2. Správa zařízení IBM SIEM Kntrla dstupnsti patchů, htfixů, service packů a dalších pravných balíků výrbce (na měsíční bázi), Údržba a zajištění dstupnsti služby IBM SIEM, Analýza vhdnsti a ptřebnsti implementace pravnéh balíku, Návrh patření a pstupu implementace pravnéh balíku ke schválení Zadavateli, Implementace schválených pžadavků na změnu knfigurace služby SIEM. 10

11 Pravidelné činnsti analytická činnst IBM SIEM, služby SOC Služby 1. úrveň Pdpra, dhled a analýzy Analýza bezpečnstních incidentů v systému IBM SIEM Psuzení incidentu z hlediska false-pssitives bezpečnstních incidentů Vyhdncení příčin vzniku bezpečnstních incidentů Vyhdncení dpadu bezpečnstních incidentů (změny v systémech / infrastruktuře, uniklá data, atd.) Návrh a knzultace nápravných a preventivních patření SIEM Security Infrmatin & Event Management Vzdálená kntrla bezpečnstních událstí incidentů 8x5 (investigace pr jejich klasifikaci) Eskalace a infrmvání pvěřených sb dle kmpetenční a kmunikační matice. Eskalace významných událstí ze sítě na CESNET-CERTS bezpečnstní tým neb nárdními CERT týmy a CSIRT týmy. Knfigurace lg zdrjů napjených na SIEM Vytváření DSM mdulu pr neznámé zdrje v SIEM, aby byl mžné kategrizvat infrmace bsažené v lgu. Kntrla správné funkce infrastruktury a případná náprava nežáducíh stavu Přidávání Lgsurces Vulnerability management Aktivní kntrla zranitelnsti infrastruktury Vyhdncení bezpečnstníh incidentu na základě známé zranitelnsti v infrastruktuře Reprting zranitelnstí (1 x měsíčně) Strukturvaný reprting Pžadujeme vytváření kvartálníh reprtu stavu událstí na síti ČZU a všech prvedených knfiguračních změnách pskytvatelem. Sučástí pravidelnéh reprtingu bude mj.: Reprting zjištěných bezpečnstních incidentů a TOP 10 pakujících se hlášení bezpečnstníh mnitringu Reprting zjištěných zranitelnstí a rizik v infrastruktuře - SWOT Reprting anmálií v infrastruktuře a nekrektníh chvání infrastruktury neb jejich částí Reprting zjištěných zranitelnstí v databázvém a subrvém prstředí Knzultace nad reprty, navrhvaná nápravná patření 11

12 Infrmace mnžství přidaných Lgsurces Infrmace zjištěných zranitelnstech a identifikvaných útcích na infrastrukturu, Infrmace přijatých patřeních Prvz manažerskéh rzhraní (Dashbard ) Přehled aktuální bezpečnstní situaci v infrmačním systému Přehled správě detekvaných událstí a průběhu analytických činnstí Přehled kvalitě služeb bezpečnstní infrastruktury Škálvání knfigurace na specifické prstředí zákazníka Pdpra služby v prvzním režimu 5x8 s mžnstí telefnní neb kmunikace přím se SOC perátrem. V případě významných incidentů i specificky dmluveným způsbem. Sučinnst v rámci prcesů Prjektvéh řízení suvisejících s návrhem změn v infrastruktuře (splečně s ddavateli technlgií). Správa a aktualizace prvzní dkumentace v rzsahu: Pstupy pr prvz a správu služby, Pstupy pr bnvu služby ze zálh jedntlivých systémů, Správa a aktualizace technické dkumentace v rzsahu (knzle systému): Aktuální přehled infrastruktur jedntlivých systémů/aplikací služby IBM SIEM, Aktuální přehled parametrů jedntlivých aplikací IBM SIEM, Správa knfigurací předmětných služeb IBM SIEM. SERVICE LEVEL AGREEMENT (SLA) Vyhdncvací bdbí 1 kalendářní měsíc SLA PARAMETRY Jedntka Hdnta Dstupnst [%/měs] 98 Mnitring dstupnsti platfrmy SIEM [hd-hd] (24x7) Sběr dat platfrmy SIEM [hd-hd] (24x7) Prvzní dba zaručená [hd-hd] (8x5) Max. dba výpadku [hd] 4 Max. dba nedstupnsti dat [hd] 4 Max. dba servisní dezvy [min] 30 Odstranění výpadku A [hd] 4 12

13 Odstranění výpadku B [dny] 1 Odstranění výpadku C [dny] 2 Upřesnění kategrií incidentů a závad (zpřesnění glbálních definic daných smluvu) Kategrie A Kategrie B Kategrie C Nedstupnst služby IBM SIEM, zejména: Nedchází ke sběru událstí, neběží mnitring v reálném čase. Závada neb výpadek části služby IBM SIEM, které způsbí sníženu dstupnst služby, avšak nezpůsbí celkvu nedstupnst služby IBM SIEM. Např. nelze spravvat zdrje IBM SIEM, systém nemá funkční analýzu útků. Ostatní závady nespadající d kategrie A neb B, např. nefungují reprty. PODMÍNKY A OMEZENÍ SLUŽBY Měrná jedntka prvzu služby Limit bjemu služby Omezení Pčet EPS, tzv. Events Per Secnd (událstí za vteřinu) a pčet zařízení napjených d IBM SIEM Pčet DEVICES, tzn. pčet zařízení napjených na VULNERABILITY MANAGER Pčet chráněných Databázvých a subrvých serverů Hdinvý fnd na řešení suvisející prblematiky 2000 EPS, 1280 VM SCAN ASSETS, 8 Databází, 48 hdin za měsíc D dby na dstranění výpadku se nezapčítává čas ptřebný k dstranění HW závady neb závady spčívající ve vývji mikr kódu SW 10 detekvaných, ppsaných a zadavateli předaných incidentů týdně z th 5 pršetřených a zadavateli předaných návrhů na nápravná patření 3.3. Pdpra a rzšířené pradenství pr DPO, zajištění prgramvéh vybavení pr kmplexní správu GDPR agendy v mdelu SaaS (Sftware as a Service) Pskytvání služeb a rzšířenéh pradenství v blasti GDPR agendy a pdpra aktivit DPO Služby rzšířenéh pradenství a pdpry GDPR a činnstí DPO (kmbinace kntinuálních a jednrázvých služeb) služby pradenství pr interní rli DPO s důrazem na perativní řešení pžadavků plynucích z GDPR při zajištění výknu činnsti Zadavatele realizace pravidelných status meetingů k agendě GDPR realizace kvartálních infrmačních šklení v rzsahu řešené prblematiky prvádění průběžné GAP analýzy s rčním výstupem publikace infrmační bulletin (newsletter) aktualitách v rzsahu řešení prblematiky na měsíční bázi ad-hc pskytvání knzultačních služeb rlí dbrných specialistů v blasti kybernetické bezpečnsti a GDPR právní knzultace v blasti práva na chranu sbních údajů 13

14 knzultací v blasti kybernetické chrany knzultace v blasti ISMS knzultace v blasti systémů řízení kvality (ISO) knzultací v blasti GDPR DPO a metdiky metdická pdpra implementace náprávných patření spjených s GDPR pdpra a shrmažďvání argumentace při jednání s ÚOOÚ Katalgvý list služeb Katalgvý list služí jak detailní specifikace bsahu a rzsahu pžadvaných služeb Rzšířené pradenství v blasti GDPR agendy a pdpra aktivit DPO VYMEZENÍ SLUŽBY Prstředí Cílvá skupina Zkrácený ppis služby Předpkládaný minimální rzsah hdin za jeden kalendářní měsíc Infrmační systémy a další aplikace ČZU DPO, GDPR team, zaměstnanci Pradenství v blasti GDPR agendy a pdpry DPO 3 člvěkdny (MD) služeb specialistů Jednrázvé služby na základě bjednávky zadavatele ROZSAH POŽADOVANÝCH ČINNOSTÍ - První fáze pskytvání služby Pdpry DPO - První fáze bude realizvána v rámci implementace prgramvé vybavení pr kmplexní správu GDPR agendy v mdelu SaaS (Sftware as a Service ), bd Vytvření kntaktníh místa pr subjekty údajů a dzrvý rgán. - Vytvření registru perací zpracvání sbních údajů v ddané aplikaci pdpry GDPR. - Vytvření právníh registru týkajícíh se chrany sbních údajů a nařízením GDPR. - Vytvření dplňkvých registrů v aplikaci na správu GDPR agendy: - Registr suhlasů ke zpracvání sbních údajů ; - Registr právněných zájmů; - Evidence žádstí výkn práv subjektu údajů ; - Evidence a řízení prušení zabezpečení sbních údajů (incidentů); - Evidence psuzení vlivu na chranu sbních údajů. - Příprava na prvedení šklení klíčvých zaměstnanců rganizace. - Druhá fáze pskytvání rzšířené pdpry DPO je rientvána na rutinní prvz nařízením vyžadvaných prcesů. - Služba rzšířené pdpry DPO v tét fázi zajistí zadavateli pradenské služby, vyšší dbrné znalsti a zkušensti právech a pstupech v blasti chrany sbních údajů a bezpečnsti tak, aby rganizace byla schpna zajistit plnění pžadavků nařízení GDPR a příslušných záknů a předpisů chraně sbních údajů. - 14

15 - Služba pdpry DPO je pžadvána jak dplnění kapacity interníh pracvníka zadavatele na pzici DPO (Pvěřence chrany sbních údajů) a pr plnění rzšířených úklů vycházející z pžadavků GDPR. - - V rámci služby rzšířené pdpra DPO bude mžné, na základě pkynu zadavatele, knzultvat neb zajišťvat následující činnsti: - - Mnitrvání suladu s Obecným nařízením chraně sbních údajů (GDPR) a právními nrmami ČR k prblematice zpracvání a chrany sbních údajů a pdávat tmt zprávy vedení rganizace. - Realizace úklů spjených s prváděním Psuzení vlivu na chranu sbních údajů, a t zejména vydání psudku: - zda je neb není nutné prvést psuzení vlivu, - jaku metdiku při zpracvání psuzení vlivu pužít, - zda psuzení vlivu zpracvat vlastními silami neb jeh zpracvání zadat externě, - jaká chranná patření (včetně technických a rganizačních) uplatnit pr zmírnění rizik vůči právům a zájmům subjektů údajů, - zda psuzení vlivu byl zpracván správně a zda jeh závěry (ať už vedu či ne k pkračvání zpracvatelské perace a bez hledu na t, jaká chranná patření určují uplatnit) jsu v suladu s GDPR; - Splupracvat s dzrvým úřadem [ÚOOÚ] a být styčným bdem pr tent úřad v tázkách suvisejících se zpracváním sbních údajů a v případě ptřeby knzultvat s dzrvým rgánem veškeré další sbní údaje a data. - Prsazvat přístup zalžený na riziku, a t zejména stanvvat pririty pr zajištění chrany zpracvání sbních údajů s vyským rizikem pr práva a svbdy subjektů údajů. - Zdkumentvat a dále udržvat přehledy perací zpracvání na základě infrmací d různých ddělení jejich rganizace, zdpvědných za zpracvání sbních údajů, a t včetně vedení jejich registru (evidence). - Upzrňvat pvěřené sby na straně rganizace na rizikvé faktry pr řádné zabezpečení sbních údajů, jakž i na jakékliv zjištěné nedstatky či rzpry s legislativu k GDPR. - Průběžné mnitrvání a hdncení suladu splehlivsti, přiměřensti a uplatňvání bezpečnstních a dalších zásad pr chranu a zpracvání sbních údajů a becně prcesů týkajících se chrany a zpracvání sbních údajů s legislativu k GDPR, vč. analýzy, auditů a kntrly shdy vnitřní praxe s legislativu k GDPR. - Testvání zásad a případné navržení dalších pstupů a pravidel, které mhu být zavedeny zejména k řádné chraně, zpracvání sbních údajů a zachvání důvěrnsti, integrity a dstupnsti sbních údajů. - Pskytvání pradenství v suvislsti se zpracvatelskými smluvami, suhlasy subjektů údajů se zpracváním sbních údajů, plněním infrmační pvinnsti apd. - Pskytvání infrmací a pradenství k prblematice zpracvávání sbních údajů rganizací. - Pskytvání infrmací rzvji, sjedncení výkladu a udržvání všech zásad, pstupů a prcesů chrany sbních údajů, pkud jde zpracvání, chranu a bezpečnst sbních údajů. - Zajištění šklení a rzšiřvání pvědmí, aby byli všichni zaměstnanci, kteří se zabývají peracemi zpracvání sbních údajů, seznámeni s pvinnstmi a pžadavky plynucími z legislativy k GDPR. - Návrh dpvědnstí za chranu a zpracvání sbních údajů či jejich zabezpečení rganizací. 15

16 - Zjišťvání, d jaké míry jsu sbní údaje shrmažďvány, uchvávány a/neb pužívány rganizací a zda jsu řádně kntrlvány a chráněny před ztrátu důvěrnsti, integrity neb dstupnsti z jakékli příčiny. - Zdkumentvání a následně udržvání přehledů perací zpracvání na základě infrmací d rganizace, a t včetně vedení jejich registru (evidence), jakž i vedení dalších registrů a evidencí. - Pradenství k prsazvání přístupu zalženéh na dpvědnsti a riziku, zejména stanvvání pririt pr zajištění chrany zpracvání sbních údajů s vyským rizikem pr práva a svbdy subjektů údajů a knzultace při stanvení rizik pr práva a svbdy subjektů údajů. - Realizace úklů spjených s prváděním psuzení vlivu na chranu sbních údajů (zejména jeh kntrla, pskytvání pradenství, zajištění vyhtvení psudku, mnitrvání uplatňvání psuzení vlivu apd.). - Splupráce při psuzvání bezpečnstních incidentů a stanvení dalšíh pstupu při jejich vzniku. - Kmunikace se subjekty údajů, pskytvání pradenství v suvislsti s vyřizváním uplatněných práv subjektů údajů. - Splupráce s dzrvým úřadem (ÚOOÚ) včetně výknu činnsti kntaktní sby v tázkách suvisejících se zpracváním sbních údajů, knzultace s dzrvým rgánem (v případě ptřeby) a dalších skutečnstech týkajících se zpracvání sbních údajů. Reprting (1 x měsíčně) : - Pčet hlášení událstí ve vztahu ke GDPR - TOP10 incidentů Cmpliance Data reprt GDPR Sučástí služby je i Infrmační bulletin - Pravidelné sledvání ddržvání právních předpisů Evrpské unie (zejm. GDPR) a nárdních právních předpisů chraně sbních údajů a dprvdné rzhdvací praxe či metdik a výkladů příslušných vnitrstátních i evrpských autrit (dále jen legislativa k GDPR ). PODMÍNKY A OMEZENÍ SLUŽBY Měrná jedntka prvzu služby Pčet MD neb hdin Omezení Ddavatel bdrží přiměřenu sučinnst DPO na straně zadavatele při plnění výše uvedených úklů. Jednrázvé služby rzšířenéh pradenství pr DPO budu čerpány na základě bjednávky zadavatele Prgramvé vybavení pr kmplexní správu GDPR agendy v mdelu SaaS (Sftware as a Service ) Předmětem tét služby je pskytnutí uživatelských licencí pr sftware na správu GDPR agendy. Zadavatel předpkladá nemezené využívání sftware pr všechny svje zaměstnance a rganizační celky. Pžadvaná funkcinalita pr zajištění kmplexní správy GDPR agendy: 16

17 - pžadujeme ddání platfrmy webvé prtálvé služby jenž umžní efektivní, centralizvanu správu pr pvěřence GDPR směrem k jeh rganizacím - pžadujeme webvý nástrj pr práci jednh pvěřence/správce sbních údajů (OÚ)nad GDPR prcesy ve skupině rganizací - pžadujeme webvý nástrj umžňující kdykliv zbrazit stav nápravných patření za rganizace ve skupině - vytvření šabln agendy a jejich distribuce rganizacím zadavatele - n-line stav a přehled žádstech subjektů za rganizace ve skupině - vytvření jedntných metdik, technických, rganizačních patření a jejich elektrnická distribuce rganizacím zřizvatele - rychlá aplikace legislativních/prcesních změn d všech rganizací ve skupině - n-line reprting stavu nápravných patření a sdílení úklů v rámci skupiny rganizací - systém šabln musí umžňvat zadavateli prvést analýzu GDPR pr typvu rganizaci a pak ji elektrnicky distribuvat d svých rganizací. Kncvá rganizace pak prvádí puze krk rzdílvé analýzy a přejímá systém/metdiku rganizačních a technických patření. - aplikace bsahuje šablny pr jedntlivá zpracvání (persnální a mzdvá agenda) - praktický dtazníkvý průvdce náležitstmi zpracvání včetně psuzení vlivu - shrmáždění všech infrmací evidenci sbních údajů na jednm místě Systém musí nabízet řešení pr evidenci následujících infrmací: c zpracvávám a ukládám jak sbní data zpracvávám prč knkrétní sbní údaje zpracvávám kde údaje ukládám kdy a na jak dluh kd má k sbním údajům (OÚ) přístup d kh data přijímám, zda d subjektu neb třetí strany aktuální infrmace ke GDPR (Judikáty, WP29, praxe ) stav realizace nápravných patření aktuální míra rizika prušení chrany OÚ Nástrj bude služit jak/pr: pdpra práce Pvěřence (DPO) a správce OÚ nástrj pr evidenci a řešení žádstí řešení incidentů a událstí vyhdncení knfliktu a dpadu na OÚ evidence knzultací s ÚOOÚ nástrj pr zastřešení prcesů realizace nápravných patření řešení realizace patření nástrj pr psuzení účinnsti NO pskytvatel infrmačníh servisu shrmaždiště aktuálních dat z blasti GDPR na jednm místě nástrj pr sledvání nvelizací záknů a nařízení využití vdítek WP29 mžnst imprtu již zpracvaných dat a následnéh řízenéh pstupu zpracvání autmaticky genervané dkumenty přím z aplikace genervání dkumentů Záznamů činnstech zpracvání genervání dkumentů za účelem naplnění infrmačních pvinnstí směrem k různým kategriím subjektů sbních údajů psuzení vlivu na chranu sbních údajů 17

18 Ddavatel pnese veškeré náklady na implementaci a aktualizaci prgramvéh vybavení (aplikace): aplikace bude pskytnuta v režimu služby (Sftware as a service) žádné další náklady na implementaci a prvz (Cludvá služba) vždy aktuální verze SW a plná kmpatibilita mezi jedntlivými verzemi pdpra a rzvj aplikace s využitím zkušenstí s pužíváním mžnst správy GDPR pr skupinu rganizací v rámci jednh pvěřence mžnst správy dat více subjektů patřících jednmu zadavateli 3.4. Speciální služby, rzšířená pdpra - šklení dle pžadavků Objednatele nad sjednaný rzsah - jednrázvé pskytnutí rzšířené knzultační pdpry v rzsahu dle ptřeb zadavatele - sučinnst při řešení systémvých prblémů a při implementaci systémů třetích stran - splupráce při tvrbě kncepce či implementaci dalších bezpečnstních systémů - úpravy a funkční dplnění IBM SIEM dle pžadavků zadavatele - frenzní analýza a penetrační testvání - služby pdpry při pravidelných auditech Servisní pdpra výrbce musí být pskytvána v České republice a v českém jazyce. Sučástí nabídky musí být ptvrzení d lkálníh zastupení výrbce řešení pr chranu databázvých systémů a subrvých služeb tm, že nabízené zbží/licence je určen pr český (EU) trh a bude plně pdprván servisním střediskem v ČR. 18