Umowa nr.. zawarta. 2016 r. w Warszawie pomiędzy: Ministerstwem Kultury i Dziedzictwa Narodowego reprezentowanym przez MKiDN, zwanego dalej Zamawiającym, a, reprezentowanym przez.. zwanym dalej Wykonawcą. 1. Przedmiot Umowy 1. Przedmiotem Umowy jest przeprowadzenie audytu w zakresie bezpieczeństwa informacji w Ministerstwie Kultury i Dziedzictwa Narodowego, według zakresu określonego w Załączniku nr 1 do Umowy. 2. Celem audytu jest określona w zakresie umowy weryfikacja wypełniania przez MKiDN wymogów określonych w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, wskazanie obszarów zwiększonego ryzyka, w tym słabych punktów systemów informatycznych w odniesieniu do istniejących i potencjalnych zagrożeń oraz określenie zaleceń w przypadku stwierdzenia niespełniania lub niedostatecznego spełniania tych wymogów. 3. Opracowany raport końcowy z audytu, o którym mowa w ust. 1, dokumentujący wyniki badania ma dostarczyć Zamawiającemu kompletnych informacji o rzeczywistym poziomie bezpieczeństwa systemów informatycznych oraz o jego odporności na znane ataki. 4. Ogół czynności audytowych, w tym przekazanie raportu końcowego z audytu zostanie zrealizowany do 20 października 2016 r. 5. Do 31 maja 2017 r. zostanie przeprowadzony audyt sprawdzający, weryfikujący wdrożenie zaleceń poaudytowych przez Zamawiającego. 6. Audyt zostanie przeprowadzony w oparciu m.in. o: istniejącą dokumentację, wizje lokalne, wywiady przeprowadzone z pracownikami Zamawiającego w szczególności z Osobami odpowiedzialnymi za bezpieczeństwo teleinformatyczne oraz za administrację systemami informatycznymi oraz osobami użytkującymi systemy informatyczne. 7. Wykonawca zobowiązuje się do wykonania czynności audytu w siedzibie Zamawiającego oraz poza siedzibą Zamawiającego - poprzez sieć Internet z miejsca uzgodnionego w formie pisemnej (np. siedziba Wykonawcy). 8. Audyt zostanie przeprowadzony przez osoby posiadające wymagane trzyletnie doświadczenie zawodowe oraz dysponujące certyfikatami zawodowymi poświadczającymi profesjonalne kwalifikacje w zakresie audytu systemów informatycznych.
9. Wymogi określone w ust. 8 uważa się za spełnione, jeśli ze strony Wykonawcy spełnia je łącznie przynajmniej jedna osoba z zespołu audytorów biorących udział w czynnościach. 10. Strony ustalają, że nie będą poddane analizie (ani testom) usługi i aplikacje Zamawiającego pracujące u zewnętrznych dostawców. 11. Zamawiający zastrzega sobie prawo do asystowania przy czynnościach wykonywanych przez Wykonawcę. 12. Po przeprowadzeniu czynności audytu, infrastruktura Zamawiającego musi pozostać w niezmienionej formie, tzn.: 1) nie może być uszkodzona; 2) nie mogą zostać usunięte, zmienione czy nadpisane dane znajdujące się w tej infrastrukturze. 13. Raport, o którym mowa w ust. 3, będzie zawierał: 1) opis przyjętych metodologii; 2) opis wykonanych czynności audytowych wraz z rezultatami, z uwzględnieniem wykrytych braków, opracowanych zaleceń i wytycznych w podziale na zasoby Zamawiającego podlegające audytowi; 3) opis i ocenę obecnego stanu bezpieczeństwa Systemu Zamawiającego; 4) wnioski; 5) zalecenia i rekomendacje pozwalające na podniesienie poziomu bezpieczeństwa systemów informatycznych oraz wytyczne do właściwej konfiguracji kluczowych elementów systemów. 14. Raport, o którym mowa w ust. 3, zostanie sporządzony na papierze oraz w wersji elektronicznej na nośniku CD lub DVD, w formacie umożliwiającym odczyt w MS Office. 15. Raport z audytu sprawdzającego będzie zawierał w formie tabelarycznej odniesienie do każdego zalecenia i rekomendacji wydanych podczas audytu w zakresie bezpieczeństwa informacji w Ministerstwie Kultury i Dziedzictwa Narodowego w 2016 r. oraz opis i ocenę stanu bezpieczeństwa Systemu Zamawiającego. Zostanie sporządzony i dostarczony na papierze oraz w wersji elektronicznej na nośniku CD lub DVD, w formacie umożliwiającym odczyt w MS Office. 16. Wykonawca zobowiązany jest do zachowania poufności wykonywanych czynności audytowych oraz zachowania w tajemnicy wszelkich informacji pozyskanych w trakcie wykonywania audytu (w tym także przekazaną dokumentację Systemu informatycznego Zamawiającego). 2
17. Wykonawca jest zobowiązany do poddania się procedurom w zakresie ochrony danych osobowych obowiązujących u Zamawiającego. Odnosi się to do wszystkich członków zespołu realizującego czynności audytowe. 18. Wykonawca po zakończeniu realizacji umowy zobowiązuje się do trwałego usunięcia pozyskanych informacji z nośników danych i urządzeń wykorzystywanych do realizacji Umowy. Przez trwałe usunięcie danych Zamawiający rozumie przynajmniej ich trzykrotne nadpisanie lub demagnetyzację nośników. 2. Prawa autorskie 1. Wykonawca przenosi na Zamawiającego, w ramach wynagrodzenia za wykonanie przedmiotu Umowy, o którym mowa w 4 ust. 1, autorskie prawa majątkowe do wszystkich raportów/dokumentów wytworzonych w wyniku realizacji niniejszej Umowy oraz innych materiałów stanowiących uzupełnienie raportu, uprawniające do nieograniczonego w czasie korzystania i rozporządzania tymi dokumentami w kraju i za granicą, na wszystkich znanych w chwili zawarcia Umowy polach eksploatacji, a w szczególności na następujących polach eksploatacji obejmujących prawo do: 1) korzystania z raportu/dokumentu w nieograniczonej liczbie kopii oraz przez nieograniczoną liczbę użytkowników i osób; 2) utrwalania i zwielokrotniania raportu/dokumentu w całości lub w części środkami i w formie: dysków twardych, dyskietek, nośników CD-R/RW, DVD-R/RW, przenośnej pamięci zewnętrznej, poczty elektronicznej, za pomocą internetu lub intranetu, przesyłania za pomocą sieci bezprzewodowych, na wydrukach papierowych, ksero kopiowania i innych technik powielania; 3) tłumaczenia, przystosowywania, zmiany układu lub innej dowolnej zmiany, w tym: uzupełnienia, skracania, przeróbki oraz sporządzania nowej wersji; 4) rozpowszechniania przy pomocy nośników informacji i sposobów (technik) utrwalania i zwielokrotniania, określonych w pkt 2; 5) zmiany / modyfikacji układu, treści lub jakichkolwiek innych zmian oraz rozpowszechniania, utrwalania i zwielokrotniania zmian, zmienionych części raportu/ dokumentu i zmienionych wersji raportu/dokumentu w zakresie wszystkich pól eksploatacji określonych w pkt. 2. 2. Wykonawca przenosi autorskie prawa majątkowe do raportów/dokumentów w zakresie określonym w ust. 1, z chwilą podpisania przez Strony Umowy bez zastrzeżeń protokołu 3
odbioru końcowego. 3. Wykonawca w ramach wynagrodzenia za wykonanie przedmiotu umowy zezwala na bezterminowe dokonywanie przez Zamawiającego opracowań wszystkich raportów/dokumentów wytworzonych w wyniku realizacji niniejszej Umowy oraz innych materiałów stanowiących uzupełnienie raportu, a także na korzystanie z tych opracowań i rozporządzenie nimi na polach eksploatacji określonych w ust. 1. Wykonawca przenosi na Zamawiającego prawo zezwalania na wykonywanie zależnego prawa autorskiego. 4. Strony Umowy ustalają, iż Zamawiający nie ponosi i nie będzie ponosić odpowiedzialności za naruszenie praw osób trzecich w związku z pracami wykonanymi przez Wykonawcę. Cała odpowiedzialność w powyższym zakresie spoczywa na Wykonawcy. 3. Odbiór przedmiotu Umowy 1. Zamawiający zaakceptuje zgłoszony i zaprezentowany dokument raport końcowy z audytu lub zgłosi zastrzeżenia w terminie 10 dni roboczych. Wykonawca jest zobowiązany uwzględnić uwagi lub przedłożyć Zamawiającemu stosowne wyjaśnienia w terminie do 10 dni roboczych od dnia zgłoszenia uwag lub zastrzeżeń. 2. W przypadku braku uwag lub zastrzeżeń ze strony Zamawiającego do raportu końcowego z audytu lub w przypadku usunięcia zgłoszonych uwag lub zastrzeżeń bądź przedłożenia przez Wykonawcę wyjaśnień, nastąpi odbiór dokumentu raportu końcowego z audytu poprzez podpisanie protokołu odbioru końcowego. 3. Raport z audytu po uwzględnieniu zastrzeżeń zostanie przekazany Zamawiającemu w formie określonej w 1ust. 14 Umowy. 4. Ustępy 1-3 stosują się odpowiednio do odbioru raportu z audytu sprawdzającego. 4. Wynagrodzenie 1. Wykonawcy z tytułu wykonania przedmiotu Umowy przysługuje wynagrodzenie brutto w wysokości zł. Kwota ta obejmuje wszelkie koszty i opłaty związane z realizacją Umowy oraz podatki, w tym np. podatek od towarów i usług (VAT). 2. Wykonawca otrzyma 80 % kwoty, o której mowa w ust. 1, po odbiorze Raportu z audytu, o którym mowa w 1 ust. 3, przez Zamawiającego. 3. Wykonawca otrzyma 20 % kwoty, o której mowa w ust. 1, po odbiorze Raportu z audytu sprawdzającego, o którym mowa w 1 ust. 14, przez Zamawiającego. 4
4. W przypadkach opisanych w ust. 2 i 3 Zamawiający dokona płatności za wykonanie przedmiotu Umowy przelewem bankowym na rachunek bankowy Wykonawcy wskazany w fakturze VAT w terminie do 14 dni od dnia dostarczenia do siedziby Zamawiającego prawidłowo wystawionej przez Wykonawcę faktury wraz z podpisanym przez obie Strony protokołem odbioru końcowego, stanowiącym Załącznik nr 2 do Umowy potwierdzającym wykonanie przedmiotu Umowy. 5. Za dzień dokonania płatności Strony uznają datę obciążenia rachunku bankowego Zamawiającego. 6. Niedozwolone jest przenoszenie wierzytelności wynikających z Umowy na osoby trzecie bez uprzedniej pisemnej zgody Zamawiającego. 5. Kary umowne 1. W przypadku niedotrzymania któregokolwiek z terminów określonych w 1 i 3 Umowy, Wykonawca zapłaci Zamawiającemu karę umowną w wysokości 200,00 złotych (słownie: dwieście złotych), za każdy rozpoczęty dzień opóźnienia, co do każdego uchybionego terminu. 2. Zamawiający zastrzega sobie prawo dochodzenia na zasadach ogólnych odszkodowania przewyższającego wysokość zastrzeżonych kar umownych, o których mowa w ust. 1 oraz w 6 ust. 2 Umowy. 3. Zamawiający jest uprawniony do potrącania ewentualnych kar umownych z wynagrodzenia należnego Wykonawcy, na co Wykonawca wyraża zgodę. 6. Rozwiązanie Umowy 1. Zamawiający jest uprawniony do rozwiązania Umowy ze skutkiem natychmiastowym w przypadku braku należytego wykonania przez Wykonawcę jakiegokolwiek obowiązku wynikającego z Umowy, pomimo wystosowania przez Zamawiającego wezwania do realizacji tego obowiązku w terminie 5 dni roboczych od dnia dostarczenia Wykonawcy wezwania do realizacji obowiązku, zawierającego ostrzeżenie o możliwości rozwiązania Umowy ze skutkiem natychmiastowym. 5
2. W przypadku rozwiązania Umowy przez Zamawiającego od Umowy z przyczyn określonych w ust. 1, Wykonawca zapłaci Zamawiającemu karę umowną w wysokości 30% wartości wynagrodzenia brutto określonego w 4 ust. 1 niniejszej Umowy. 3. Postanowienia dotyczące kar umownych obowiązują pomimo wygaśnięcia Umowy lub rozwiązania Umowy. 7. Osoby odpowiedzialne za realizację Umowy 1. Ze strony Zamawiającego odpowiedzialnym za realizację Umowy, w tym za odbiór produktów i podpisanie Protokołu Odbioru Końcowego, jest lub pod jego nieobecność. 2. Ze strony Wykonawcy odpowiedzialnym za realizację Umowy, w tym za przekazanie produktów do odbioru jest.., za podpisanie protokołu odbioru końcowego lub pod nieobecność.. 3. Do uzgodnień wynikających lub mogących wynikać w związku z wykonaniem niniejszej Umowy oraz nadzoru nad jej realizacją, Zamawiający upoważnia.. lub pod jego nieobecność... 8. Zmiany umowy 1. Zamawiający przewiduje następujące możliwości dokonania zmian postanowień zawartej Umowy: 1) zmiany wartości Umowy w przypadku zwiększenia bądź zmniejszenia stawek podatku od towarów i usług, dotyczących przedmiotu zamówienia, w wyniku zmiany ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz.U. z 2016 r., poz. 710 ze zm.), które wejdą w życie po dniu zawarcia umowy, a przed wykonaniem przez Wykonawcę obowiązku po wykonaniu którego Wykonawca jest uprawniony do uzyskania wynagrodzenia, wynagrodzenie Wykonawcy może ulec odpowiedniemu zwiększeniu bądź zmniejszeniu, jeżeli w wyniku zastosowania zmienionych stawek ww. podatku ulega zmianie kwota należnego podatku oraz wynagrodzenie Wykonawcy uwzględniające podatek od towarów i usług. Przy czym zwiększenie wynagrodzenia jest możliwe wyłącznie w sytuacji, gdy Wykonawca dotrzymał termin realizacji 6
umowy oraz przekazał Zamawiającemu niezwłocznie, lecz nie później niż w ciągu 14 dni, prawidłowo wystawioną fakturę wraz z dokumentem potwierdzającym dokonanie odbioru przedmiotu umowy bez zastrzeżeń, 2) zmiany miejsc dostaw, wykonywania usługi oraz zmiany adresów tych miejsc w wyniku zmian organizacyjnych i/lub zmian adresów Zamawiającego, jednostek nadzorowanych przez Zamawiającego, innych jednostek na rzecz których, w imieniu których i/lub wspólnie z którymi Zamawiający udzielił zamówienia. 3) zamiana którejkolwiek z osób, wyznaczonych przez Wykonawcę w ofercie do realizacji przedmiotu zamówienia na potwierdzenie spełniania warunków udziału w postępowaniu, na inne może nastąpić wyłącznie za zgodą Zamawiającego przy czym nowa osoba musi posiadać kwalifikacje i doświadczenie co najmniej takie same jakie posiada osoba, którą zastępuje i zgodne z profilem funkcji, jaką będzie wypełniała. 2. Wprowadzenie zmian postanowień Umowy wymaga: 1) zgodnej woli stron, 2) zachowania formy pisemnej pod rygorem nieważności. 9. Postanowienia końcowe 1. W sprawach nieuregulowanych niniejszą Umową mają zastosowanie przepisy powszechnie obowiązujące, w tym w szczególności przepisy Kodeksu cywilnego oraz ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz.U. z 2016 r. poz. 666). 2. Wszelkie spory wynikłe z niniejszej Umowy lub z nią związane będą rozstrzygane przez sąd powszechny właściwy dla siedziby Zamawiającego. 3. Wszelkie zmiany niniejszej Umowy powinny być dokonywane w formie pisemnej pod rygorem nieważności. 4. Wykonawca zobowiązuje się do informowania Zamawiającego o zmianie swojej siedziby w czasie obowiązywania Umowy. 5. Niniejsza Umowa została sporządzona i podpisana w trzech jednobrzmiących egzemplarzach, z których dwa przeznaczone są dla Zamawiającego, a jeden dla Wykonawcy. Za Wykonawcę: Za Zamawiającego: 7
Załącznik nr 1 do Umowy z dnia ZAKRES AUDYTU BEZPIECZEŃSTWA INFORMACJI 1. Przedmiot prac Przedmiotem prac jest przeprowadzenie audytu Ministerstwa Kultury i Dziedzictwa Narodowego w zakresie zarządzania bezpieczeństwem informacji określonym w 20 ust 1 i 2 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, zwanym dalej Rozporządzeniem. Podstawą realizacji prac będą normy wskazane w Rozporządzeniu, to jest: PN-ISO/IEC 27001 Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji Wymagania PN-ISO/IEC 17799 Technika informatyczna - Techniki bezpieczeństwa - Praktyczne zasady zarządzania bezpieczeństwem informacji PN-ISO/IEC 27005 Technika informatyczna - Techniki bezpieczeństwa Zarządzanie ryzykiem w bezpieczeństwie informacji PN-ISO/IEC 24762 Technika informatyczna - Techniki bezpieczeństwa Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie 2. Zakres prac Audyt obejmie system zarządzania bezpieczeństwem informacji Zamawiającego, pod kątem zapewniania poufności, dostępności i integralności informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. Audyt będzie obejmować weryfikację spełniania przez Zamawiającego niżej wyszczególnionych wymagań: 1) zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia; 2) utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację; 3) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy; 4) podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji; 5) bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4; 6) zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak: a) zagrożenia bezpieczeństwa informacji, b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, 8
c) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich; 7) zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez: a) monitorowanie dostępu do informacji, b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji, c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji; 8) ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość; 9) zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie; 10) zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji; 11) ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych; 12) zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na: a) dbałości o aktualizację oprogramowania, b) minimalizowaniu ryzyka utraty informacji w wyniku awarii, c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją, d) stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa, e) zapewnieniu bezpieczeństwa plików systemowych, f) redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych, g) niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa, h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa; 13) bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących. Za Wykonawcę: Za Zamawiającego: 9
Załącznik nr 2 do Umowy z dnia Protokół odbioru końcowego sporządzony w dniu... Nazwa i adres miejsca dostawy: Dokonano odbioru produktów wyspecyfikowanych w umowie.. w zakresie: Wykaz produktów Data przekazania Data odbioru Raport z audytu (audytu sprawdzającego) w wersji papierowej oraz elektronicznej Produkty zostały wykonane i odebrane bez zastrzeżeń /z zastrzeżeniami, tj. zgodnie z Umową i w terminach określonych w Umowie w 1. i 3. Zastrzeżenia i uwagi... Za Wykonawcę: Za Zamawiającego: 10