Povinnosti smluvních partnerů v oblasti kyberbezpečnosti

Dodržování uvedených bezpečnostní pravidel je pro všechny partnery spoupracující s VLS ČR, s.p. povinné.

1. Účel a cíle
Dodavatel garantuje podniku Vojenské lesy a statky ČR, s.p. (dále jen VLS) následující etalon minimální bezpečnosti. Etalon tvoří soubor pravidel a postupů, které stanovují požadovanou minimální úroveň bezpečnosti informací.
Dodržování pravidel uvedených v dokumentu je povinné pro všechny partnery spolupracující na smluvní bázi s VLS, pro všechny jejich zaměstnance či osoby spolupracující se smluvními partnery.
Etalon minimální bezpečnosti informací pro dodavatele VLS se na některých místech odkazuje na platné dokumenty VLS.
Používané i nově zaváděné informační systémy v rámci VLS musí být upraveny, vyvíjeny nebo vybírány tak, aby splňovaly zásady bezpečnosti informací v souladu s tímto dokumentem a se základním dokumentem pro bezpečnost informací VLS, tj. Politikou bezpečnosti informací ev.č. VLS-IMS-P-2024-334-1900.
Cílem etalonu minimální bezpečnosti pro smluvní partnery obecně je:
a) Specifikovat základní pravidla a požadavky bezpečnosti informací VLS pro smluvní partnery;
b) Předcházet porušování platných právních předpisů ČR;
c) Zamezit, příp. minimalizovat možnost finanční, majetkové a nemajetkové újmy VLS;
d) Zabránit neautorizovanému přístupu k informacím VLS;
e) Umožnit řízení bezpečnosti informací VLS ve vztahu s dodavateli;
f) Zajistit dostupnost informací pro oprávněné uživatele a procesy;
g) Zabránit neautorizované modifikaci nebo zneužití dat a informací;
h) Definovat základní pravidla bezpečnosti v oblasti vývoje a dodávek prostředí IT;
i) Umožnit monitorování a vyhodnocování stavu bezpečnosti.

2. Bezpečnost informací
Bezpečností informací se rozumí zajištění třech hlavních aspektů – důvěrnosti, dostupnosti a integrity informací. K zajištění výše uvedených aspektů bezpečnosti informací musí dodavatel použít a řídit vhodná bezpečnostní opatření, zahrnující jak technické, tak organizační opatření, zohledňující rozsah hrozeb souvisejících s předmětem dodávky.

3. Obecné povinnosti
Mezi odpovědnosti smluvních partnerů patří zejména:
a) Dodržování platných právních předpisů ČR k zajištění bezpečnosti informací;
b) Využívání informačních systémů VLS a jejich komponent tak, jak vyplývá z provozní a bezpečnostní dokumentace VLS;
c) Používání informačních aktiv a ostatních aktiv VLS pouze v souladu s určeným rozsahem přístupových oprávnění a pouze ke schváleným účelům;
d) Zajištění ochrany autentizačních údajů (login, heslo, identifikační předmět) k informačním systémům a zařízením VLS, které byly smluvnímu partnerovi svěřené, příp. těch, ke kterým má přístup při naplňování smluvního vztahu;
e) Odpovědnost za každý přístup k informačním aktivům a dalším aktivům, provedený prostřednictvím jejich autentizačních údajů;
f) Respektování a dodržování všech bezpečnostních opatření, pravidel a procedur, stanovených vlastníkem informací, tj. VLS, se kterými partnera vlastník informací prokazatelně seznámí;
g) Odpovědnost za dostatečné proškolení svých zaměstnanců a pracovníků svých subdodavatelů v oblasti zajištění bezpečnosti informací VLS;
h) V případě vzniku bezpečnostních incidentů, které mohou souviset s daty poskytovatele, přijmutí nezbytných opatření k eliminaci dopadů tohoto incidentu a neprodlené informování VLS a poskytnout součinnost v řešení incidentu;

3.1 Poskytování informací třetím stranám
a) Smluvní partneři jsou povinni dodržovat mlčenlivost o skutečnostech, které se dozvěděli při výkonu své činnosti na základě uzavřené smlouvy s VLS.
b) Každé případné veřejné použití neveřejných informací VLS musí být schváleno vedoucím oICT.

4. Bezpečnost HW, SW a komunikací
Smluvní partneři VLS musí chránit aktiva VLS, která používají při své práci nebo naplňování smluvního vztahu a zabránit podle svých nejlepších možností a schopností jejich poškození, zneužití a/nebo odcizení.

4.1 Koncové pracovní stanice
Při práci na koncových stanicích nebo zařízeních smluvních partnerů, ze kterých se přistupuje do vnitřní sítě VLS, musí být splněna nejméně následující bezpečnostní pravidla:
a) Použití koncového zařízení (počítače) musí být umožněno pouze oprávněné osobě; (Osoba oprávněná k použití koncového zařízení musí být vybavena přístupovými oprávněními.)
b) Je zakázáno připojovat soukromé počítače do vnitřní sítě VLS bez vědomí oprávněného pracovníka oICT VLS;
c) Koncová zařízení (pracovní stanice, NTB) nesmí být ponechána bez dozoru zapnutá a s přihlášeným uživatelem (k aplikaci, k IS); za minimální opatření se považuje „uzamčení“ pracovní stanice (v každém případě je třeba minimalizovat možnost fyzického přístupu neoprávněným osobám);
d) Počítače smluvního partnera, které mají být připojeny do vnitřní sítě VLS, musí mít aktivní ochranu před škodlivými kódy (antivirový program) v aktuální verzi databází (tento antivirový program by měl být v maximální míře aktualizován vůči všem známým virům). Dále je smluvní partner též zodpovědný za pravidelnou aktualizaci operačních systémů na těchto svých počítačích;
e) V případě ukončení práce se zařízením je smluvní partner povinen provést odhlášení od systému.
V případě, že smluvní partner vykonává svoji činnost též na ICT prostředcích nacházejících se na VLS, je povinen chránit vybavení VLS a udržovat bezpečné pracovní prostředí. V blízkosti prostředků informačních technologií je zakázáno jíst, pít a kouřit.

4.2 Využívání prostředků a internetu
Systémy VLS, vztahující se k počítačové síti, internetu, intranetu, počítačovému vybavení, k operačním systémům a médiím pro ukládání dat apod., jsou ve vlastnictví VLS. Tyto systémy mohou být používány pouze pro pracovní účely tak, aby to sloužilo zájmům VLS.
Smluvní partneři mají povoleno používání internetového připojení do a z vnitřní sítě VLS pouze za účelem plnění pracovních záležitostí v rozsahu smluvního vztahu. Způsob připojení a autentizace musí být předem dohodnuty s oICT VLS.
Obecně platí povinnost, že smluvní partner předem oznamuje datum a čas přihlášení k vnitřnímu prostředí a následné ukončení práce ve vnitřním prostředí systémů VLS, ledaže se smluvní strany dohodnou jinak.

5. Bezpečnost IS / IT systémů
U vyvíjených nebo dodávaných informačních systémů, jejich HW/SW komponent, musí být zajištěna níže uvedená pravidla:

5.1 Řízení přístupu k informačním systémům a aplikacím
a) Informační systémy a aplikace by měly být vytvářeny tak, aby byl vždy vyžadován autorizovaný přístup uživatelů (identifikační a autentizační údaje) a měla by být zaznamenávána činnost uživatele v aplikaci/systému;
b) Uživatel informačního systému případně aplikace by měl být nucen si své přístupové heslo pravidelně měnit;
c) Informační systémy a aplikace, které nepřebírají přihlašovací údaje z Active Directory VLS, by měly být vytvořeny tak, aby byl počet neúspěšných pokusů o přihlášení omezen. Po třech neúspěšných pokusech o přihlášení musí být další zadávání hesla dočasně omezeno nebo činnost ukončena.
d) Pokud je při přihlašování do aplikace či informačního systému některá část přihlašovacích údajů chybná, nesmí být přihlašovateli poskytnuta informace, kde je chyba v přihlašovacích údajích;
e) V případě, že je povolen přístup do aplikace či informačního systému, který nepřebírá přihlašovací údaje z Active Directory VLS, a v němž iniciační (vstupní) heslo určuje administrátor, měl by informační systém či aplikace vynutit změnu tohoto iniciačního hesla při prvním přihlášení uživatele;
f) Všichni uživatelé by měli při své činnosti používat jedinečný identifikátor tak, aby bylo možné vysledovat odpovědnost jednotlivců za prováděné činnosti;
g) Každý pracovník na straně smluvního partnera, který pracuje s informačním systémem či aplikací, musí používat svůj vlastní přihlašovací identifikátor. (Smluvní partner tedy nemůže používat jeden přihlašovací identifikátor pro několik svých zaměstnanců.) Dále smluvní partner odpovídá za veškeré úkony provedené v aplikaci či informačním systému pracovníkem přihlášeným pod tímto identifikátorem;
h) Systém správy hesel by měl být podpořen efektivním a interaktivním vybavením, které prosazuje a vynucuje požadovanou kvalitu hesel;
i) U každého uživatele systému musí být možné identifikovat, jaká přístupová práva má přidělena;
j) Pro každý prostředek systému musí být možné vytvořit seznam uživatelů, kteří mají přístupová práva k tomuto prostředku, s rozlišením druhu přístupových práv (čtení, zápis, editace, …);
k) Informační systém musí mít mechanismus pro odejmutí všech přístupových práv konkrétnímu uživateli nebo celé skupině uživatelů.

5.2 Monitorování používání systému a přístupu k systému
V informačním systému (případně v jeho jednotlivých součástech) musí být pořizovány auditní záznamy. Tyto záznamy by měly obsahovat údaje a informace, které jsou nezbytné k identifikaci aktivit sledovaného uživatele (jeho identifikační údaje, datum a čas přihlášení a odhlášení apod.)

6. Bezpečnost informací a dat

6.1 Kontrola správnosti dat
Data vstupující do systémů musí být kontrolována tak, aby byla zajištěna jejich maximální správnost. V aplikaci by se měl evidovat identifikátor uživatele nebo procesu, který pořízení nebo změnu dat provedl.
Pokud bude usouzeno, že vytvářený informační systém nebo aplikace by měla podporovat (využívat) kryptografické prostředky pro zajištění integrity dat, je nezbytné, aby aplikované prostředky byly podporovány mezinárodně uznávanými standardy a byly dodrženy právní předpisy České republiky.

6.2 Data / informace předávané smluvním partnerům
Jedná se o informace předávané VLS smluvnímu partnerovi na jakémkoliv nosiči a v jakékoliv formě, zejména listiny a dokumenty, CD ROM, Flash disky, pevné disky, nebo informace zaslané emailem.
Dále se jedná o jakékoliv informace a data VLS, se kterými se smluvní partner seznámí nebo k nim má přístup na základě realizace činností prováděných v rámci smluvního vztahu.
Smluvní partner musí s informacemi nakládat v souladu s následujícími ustanoveními tohoto dokumentu, pokud není smlouvou stanoveno jinak:
a) Předání, resp. poskytnutí nebo přístup k informacím (datům) musí být vymezeno ve smlouvě (struktura dat, způsob předání/ poskytování, způsoby ochrany, …) a musí probíhat řízeným a bezpečným způsobem;
b) Uchovávání a případné zpracovávání dat u smluvního partnera musí být prováděno tak, aby byla zajištěna jejich ochrana dle pravidel stanovených v bezpečnostní dokumentaci VLS (se kterými byl smluvní partner prokazatelně seznámen). Uchovávání a zpracování dat musí být ochráněno před neoprávněným přístupem a možným zneužitím – v souladu s bezpečnostními požadavky VLS;
c) Zodpovědnost za ochranu informací (dat) má smluvní partner;
d) Informace (data), která již nejsou potřeba pro účely vymezené smluvním vztahem, musí být smluvním partnerem bezpečně zlikvidována, včetně jejich nosičů. Pro likvidaci nosičů obsahující neveřejné informace VLS musí být zvolena metoda, zaručující, že takto zlikvidované informace (data) nelze běžně dostupnými prostředky obnovit (např. skartovače, SW skartovače dat, …); provedení likvidace doloží partner protokolem o jejich zlikvidování;
e) Každé nové předání informací (dat) nebo zřízení dálkového přístupu k informačnímu systému nebo databázi na smluvním základě musí být konzultováno s manažerem kybernetické bezpečnosti VLS, případně s bezpečnostním správcem systému VLS;
f) Smluvní partner si nesmí sám „stahovat“ (získávat) žádná data z informačních systémů VLS, vytváření souborů dat musí provádět zaměstnanec VLS, který následně vytvořená data smí poskytnout, resp. předat smluvnímu partnerovi.
g) Informace (data), která jsou součástí řešení, vytvářeného smluvním partnerem, nebo jsou předávána na základě realizace činností prováděných partnerem v rámci smluvního vztahu, se budou předávat pouze přes uložiště VLS, ke kterému bude smluvnímu partnerovi zřízen přístup.

7. Pravidla pro vzdálený přístup do informačního systému
Vzdálený přístup do informačního systému je poskytován výhradně smluvnímu partnerovi, resp. pracovníkům smluvního partnera a nelze ho dále převádět na jiné osoby, a to ani z části. Porušení této povinnosti je považováno za závažné porušení smlouvy.
Smluvní partner se zavazuje, že vzdálený přístup do informačního systému bude používat výhradně za účelem konání prací specifikovaných ve smlouvě. Porušení této povinnosti je považováno za závažné porušení smlouvy.
Smluvní partner, resp. pracovníci smluvního partnera, jsou povinni dodržovat pravidla pro vzdálený přístup do informačního systému (bod 7.1). Porušení jakékoli povinnosti uvedené v těchto pravidlech se považuje za závažné porušení smlouvy.

7.1 Přístup smluvního partnera (dodavatele) do informačních systémů – podmínky:
a) Pracovník dodavatele, za účelem zřízení vzdáleného přístupu do informačního systému a možnosti se do tohoto systému přihlásit a pohybovat se v něm, obdrží e-mailem od zákazníka přihlašovací jméno a prostřednictvím SMS zprávy heslo, které je z důvodu bezpečnosti generované a pracovník dodavatele ho nemůže změnit. Pracovník dodavatele musí heslo udržovat v tajnosti a nesmí jej zpřístupnit třetí osobě nebo jej využít pro soukromé účely.
b) Vzdálený přístup k informačnímu systému VLS musí být chráněn kryptografickými prostředky, v současné době je přístup realizován pomocí klienta SSL VPN.
c) Po ukončení konání prací ve vzdáleném přístupu do informačního systému za účelem plnění smlouvy je pracovník dodavatele vždy povinen se odhlásit.
d) Pracovník dodavatele musí dodržovat pravidla bezpečnosti práce na svém počítači (stolní PC, notebook), ze kterého realizuje vzdálený přístup do informačního systému. Tento počítač musí mít aktivní ochranu před škodlivými kódy (antivirový program) v aktuální verzi databází (tento antivirový program by měl být v maximální míře aktualizován vůči všem známým virům). Dále musí tento počítač mít aktualizovaný operační systém a další obslužný SW.
e) Pracovník dodavatele se nesmí pokoušet přistupovat na jiné servery než ty, které mu byly přiděleny v rámci vykonávaných smluvních prací.
f) Ukončení pracovního poměru pracovníka dodavatele s dodavatelem je dodavatel povinen písemně oznámit odpovědným pracovníkům oICT VLS nejpozději 5 pracovních dnů před ukončením tohoto pracovního poměru, přičemž oICT VLS je oprávněn vzdálený přístup do informačního systému pracovníkovi dodavatele bez dalšího s okamžitou platností zrušit.
g) V případě, že pracovník dodavatele poruší kterékoli ujednání těchto pravidel, je oICT VLS oprávněn okamžitě po zjištění porušení těchto pravidel zrušit tomuto pracovníkovi dodavatele vzdálený přístup do informačního systému bez dalšího. Dodavatel se zavazuje nejpozději do 5 kalendářních dnů ode dne, kdy mu oICT VLS oznámil toto zrušení, zajistit plnění smlouvy, potažmo této dohody, jiným zaměstnancem dodavatele, a o této výměně neprodleně písemně informovat oICT VLS, přičemž tato výměna podléhá schválení oICT VLS.
Vzdálený přístup dodavatele může být povolen pouze do prostředí VLS za podmínek stanovených oICT VLS. Případné výjimky musí být projednány a schváleny manažerem kybernetické bezpečnosti VLS, případně bezpečnostním správcem systému.
Lokální (přímý) přístup dodavatele do prostředí VLS (případně k aktivům VLS) musí být v odůvodněných případech povolen manažerem kybernetické bezpečnosti VLS a musí probíhat v režimu dohledu ze strany oICT VLS nebo oprávněného (stanoveného) pracovníka VLS, ale vždy na základě žádosti dodavatele a po schválení oICT VLS.

8. Bezpečnost dodávek a služeb

8.1 Vývoj software, informačních systémů a jejich modulů
Vývoj SW a informačních systémů musí probíhat:
a) s využitím legálního software;
b) na testovacím prostředí odděleném od prostředí produkčního. Za vytvoření softwarové složky testovacího prostředí v rozsahu své dodávky odpovídá smluvní partner, za vytvoření ostatních částí testovacího prostředí a jeho bezpečnost odpovídá VLS;
c) na testovacích datech, která nejsou převzata z provozní databáze; za testovací data je odpovědný smluvní partner. Pokud je nutné použít data z provozní databáze, je nutné je předem anonymizovat, přičemž za anonymizaci těchto dat odpovídá VLS. Za bezpečnost testovacích dat v rozsahu smluvně dohodnutých pravidel odpovídá smluvní partner;
d) tak, že migrace do provozního prostředí může být provedena až po akceptaci výsledků testů v testovacím prostředí a formalizovaném a doložitelném odsouhlasení těchto testů.

Před zahájením vývoje je smluvní partner povinen projednat se zástupci oICT VLS své navrhované řešení. oICT VLS musí předem odsouhlasit veškeré hardwarové, softwarové a síťové požadavky vytvářeného řešení a musí se předem ubezpečit, zda toto řešení bude respektovat veškeré bezpečnostní standardy VLS.

8.2 Dodávky software a hardware
a) Dodávka software (SW) a hardware (HW) musí být řádně smluvně zajištěna, průběžně kontrolována a dokumentována;
b) U veškerého dodávaného programového vybavení musí být zřejmé, zda se jedná o volně šířený SW, nebo SW podléhající licenční nebo registrační politice;
c) Dodávka licenčního SW musí zahrnovat jasná pravidla pro vydávání a používání licencí, včetně jejich evidence;
d) O každé dodávce musí existovat kromě účetních dokladů také předávací protokol o řádném dodání a instalaci; podepsaný dodavatelem a za odběratele oprávněným pracovníkem oICT VLS;
e) Každý nový SW/nové HW zařízení musí být otestováno, než bude akceptováno a zařazeno do produkčního prostředí daného systému VLS; za provedení testů je odpovědný dodavatel daného SW/HW, přičemž VLS je při provádění předmětných testů povinna poskytnout přiměřenou součinnost.

8.3 Dodávky služeb a ostatní služby
a) Dodávka služeb musí být řádně smluvně zajištěna, průběžně kontrolována a dokumentována ze strany dodavatele i zadavatele;
b) Způsob předání výstupů služby závisí na konkrétní službě a na smluvních podmínkách dohodnutých ve smlouvě; vždy musí existovat předávací a akceptační protokol o řádném poskytnutí služby;
c) Pracovníci smluvních partnerů, zajišťující servis IT technologií (HW / SW / IS), jsou na základě smlouvy oprávněni se pohybovat i na neveřejných místech VLS; a to vždy a pouze s vědomím oprávněného pracovníka oICT VLS;
d) Pracovníci smluvních partnerů, zajišťující ostatní služby (např. úklid, ostrahu, …) jsou na základě smlouvy oprávněni pohybovat se na neveřejných místech VLS. Při svém pohybu musí dbát příslušných bezpečnostních pravidel, nemají zpravidla přístup k informačním aktivům VLS.
8.4 Dokumentace dodávky SW, HW a služeb
a) Nedílnou součástí každé dodávky SW, HW nebo služeb je příslušná projektová, provozní a bezpečnostní dokumentace vztahující se k předmětu dodávky, včetně její aktualizace;
b) Dokumentace musí být předána formálním způsobem a podrobena akceptačnímu řízení ze strany zadavatele, tj. VLS;
c) Dodavatel je povinen všechny změny v konfiguraci IS/IT v průběhu dodávky zadokumentovat a v případě již zpracované dokumentace musí provést její aktualizaci v potřebném rozsahu.

8.5 Akceptace dodávky
a) Každý dodaný SW, HW a služba musí být plně a v potřebné míře otestovány, zda splňují očekávané a smluvně definované parametry; a zda jejich používání nepředstavuje neočekávaná bezpečnostní nebo provozní rizika;
b) V případě informačního systému, před jeho uvedením do rutinního provozu, musí být tento z hlediska provozního formálně akceptován příslušným pracovníkem oICT VLS a z hlediska bezpečnosti informací manažerem bezpečnosti informací VLS.

9. Fyzická bezpečnost
Cílem fyzické bezpečnosti v oblasti IT je chránit prostředí, ve kterém se nacházejí aktiva VLS, zabránit náhodnému nebo cílenému neautorizovanému přístupu, poškození nebo narušení aktiv VLS.
Prostory VLS jsou rozčleněny na oblasti veřejnosti přístupné a oblasti neveřejné (např. serverovna, prostory s HW aktivy, …).
a) V neveřejných prostorech není dovolen pohyb cizích osob, tzn. včetně pracovníků smluvních partnerů (= neautorizovaných osob) bez doprovodu oprávněného pracovníka VLS;
b) Cizí osoby (= neautorizované osoby) nesmějí být ponechány v neveřejných prostorech VLS bez dozoru, pokud tato skutečnost není ošetřena smlouvou.

10. Personální bezpečnost
Cílem personální bezpečnosti v oblasti IT je vytvoření potřebného bezpečnostního povědomí zaměstnanců dodavatele, příp. subdodavatelů, smluvních partnerů VLS v oblasti zajištění ochrany a bezpečnosti aktiv VLS s cílem předcházet, příp. zabránit neautorizovanému přístupu, narušení důvěrnosti a integrity aktiv VLS.
Smluvní partner je odpovědný za veškeré aktivity svých pracovníků a pracovníků svých subdodavatelů provádějících činnosti na základě uzavřeného smluvního vztahu mezi smluvním partnerem a VLS;
Smluvní partner zajistí, že veškeré činnosti dle smluvního vztahu budou prováděny jeho zaměstnanci nebo subdodavateli, budou prováděny kompetentními osobami, s příslušnou odbornou kvalifikací a bezpečnostními zárukami;
Smluvní partner provede a doložitelně zdokumentuje rozsah a obsah proškolení osob podílejících se na realizaci smluvního vztahu v oblasti zajištění bezpečnosti informací VLS;
Rozsah a obsah proškolení vychází jednak z požadavků tohoto dokumentu, dále z platné Politiky bezpečnosti informací VLS a dalších upřesnění manažera kybernetické bezpečnosti k danému smluvnímu vztahu. Obsah proškolení bude též vycházet z bezpečnostní dokumentace VLS, kterou bude mít smluvní partner k dispozici.