עודכנה / שונתה הוראת תכם ט.7.3.1.5

*טופס זה יצורף למסמכי המכרז בהתאם להנחיות הוראת תכ"ם, "מסמכי מכרז", מס' 7.3.1.

1. הגדרות ייעודיות לטופס זה:
   1. – אירוע (incident) אשר עלול לפגוע בזמינות, ברציפות התפעולית, במהימנות או בסודיות המידע של המשרד, של מערכות או קוד המסופקות לו, של חומרה, תכנה, מאגרי מידע או תשתית, שבהם הספק עושה שימוש לצורך ביצוע ההסכם, ובכלל זה תקיפת סייבר.

1. גורם מנחה – הגורם המנחה את המזמין בהיבטי סייבר והגנות מידע כגון: היחידה להגנת הסייבר בממשלה (להלן: "יה"ב") במערך הדיגיטל הלאומי, הממונה על הביטחון במשרד הביטחון (מלמ"ב), או מערך הסייבר הלאומי.
   1. מזמין –הגוף הרוכש עמו נחתמה ההתקשרות.
   1. מידע – כל מסמך, תכתובת, תכנית, נתון, עובדה, פרט תוכן, מודל, תמונה, סרט, הקלטה, תהליך עסקי, חוות דעת, קוד ולוגיקה, אשר נשמרו או תועדו על ידי הספק באמצעי טכנולוגי מכל סוג שהוא.
   1. מידע רגיש – מידע של המזמין אשר יש בחשיפתו כדי לפגוע או לשבש בדרך כלשהי את עבודת המזמין, לפגוע בשירותים המסופקים על ידי המזמין או הממשלה, או לחשוף פרטים ומידע של המזמין אשר אינם נחלת הכלל, ובכלל זה מידע אישי של אזרחים או עובדים, תהליכי עבודה רגישים, שרטוטי מתקנים, תיאור מערכות אבטחה, קוד מקור ותוכנות של מערכות המזמין, מסמכי תכנון של מערכות המזמין או של מערכות המותאמות לשימושו, אמצעי הזדהות ואימות, מידע לגבי מזמינים מסווגים, יעדי הספקה של חומרה או מערכות וכל מידע אחר שיוגדר על ידי המזמין.
   1. מינהל הרכש – מינהל הרכש הממשלתי באגף החשב הכללי או נציגו.
   1. – אחד מאלה:
      1. של המזמין הנדרש לתפקודו התקין של המזמין או הממשלה.

1. תקיפת סייבר – אירוע אבטחה אשר נוצר כתוצאה מניסיון לעבור או לעקוף את אמצעי האבטחה או הבקרה שבהם הספק או המזמין עושים שימוש, למנוע גישה לשירות או למידע, או לנצל חולשה קיימת בניסיון לגרום להרס, אובדן, דלף, שינוי, שימוש, חשיפה לא מורשית או גישה לנתוני המזמין.

• כללי
  • הספק יהיה האחראי הבלעדי על אבטחת המידע שהועבר או נצבר אצלו במסגרת ההתקשרות. בנוסף, הספק יהיה אחראי על אבטחת המערכות, התוכנות והחומרה המשמשת אותו לצורך אספקת השירותים או המוצרים למזמין, על תקינותם, אמינותם (integrity) ועל תפקודם השוטף והתקין. לצורך עמידת הספק בחובות אלו יתפעל הספק ויעדכן את אמצעי האבטחה באופן שוטף, ויוודא כי האמצעים הטכנולוגיים והתהליכיים המשמשים לאבטחת המידע הם עדכניים ועומדים בסטנדרטים המקובלים בתחום.
  • מבלי לגרוע מהאמור, ולצורך עמידה בחובותיו על פי טופס זה, מסכים הספק על שיתוף פעולה עם המזמין כמפורט בטופס זה, והכל לצורך ביצוע תקין של התקשרויות עם ממשלת ישראל.
  • מנכ"ל הספק או בעל התפקיד הבכיר בחברה יהיה הכתובת לכל פניה באשר לחובות הספק בהתאם לטופס זה, כמפורט בסעיף ‏7 להלן, אלא אם מינה נציג אחר מטעמו והודיע על כך בכתב למזמין.
  • הספק מתחייב לתקן ליקויים שנמצאו על ידי עורך המכרז בפרק זמן סביר ועל חשבונו, וכן מסכים כי ככל שלא יתקן ליקויים כאמור בפרק זמן סביר, יהווה הדבר הפרה יסודית של ההסכם, ויהווה עילה להפסקת התקשרות בכפוף לשימוע.
  • חובות הספק לפי טופס זה יחולו כל עוד מידע רגיש של המזמין זמין במערכותיו.
• חובת דיווח
  • (כאמור בסעיף ‏3.2) ולמרכז הארצי לניהול אירועי סייבר (כאמור בסעיף ‏3.3), בהקדם האפשרי, במהלך כל שעות היממה ובכל יום בשבוע, וללא שיהוי, על כל אירוע אבטחה אשר מסכן מידע או מערכות של המזמין או עלול להשפיע על יכולתו לעמוד בהתחייבויותיו נשוא ההסכם, ובפרט יודיע למזמין ולמכרז הארצי לניהול אירועי סייבר על האירועים הבאים:
    • אירוע אבטחה או תקיפת סייבר אשר הביאו לדלף מידע הקשור למזמין או לשיבושו של מידע או קוד תוכנה.
    • אירוע אבטחה או ניסיון תקיפת סייבר אשר עלול להביא לפגיעה במערכות המזמין, במערכות המסופקות לו, במידע של המזמין או בקוד המשמש אותו.
    • אירוע אבטחה או ניסיון תקיפת סייבר אשר מטרתו לאסוף מידע על המזמין.
  • 3.2.   הדיווח  למזמין יעשה באמצעות פרטי הקשר של המזמין אשר מפורטים להלן:

_______________________________________________________.

• CERT) יעשה באחד מהאמצעים הבאים:
  • מרכז המבצעי לניהול אירועי סייבר במספר 119.
  • 119@cyber.gov.il.
  • • תיאור כללי של האירוע, אופן התרחשותו, ציר הזמן הידוע של האירוע וכולי.
    • אופן הטיפול באירוע, והאמצעים הננקטים באופן מידי לצורך צמצום הנזק ומזעור החשיפה בטווח הזמן המידי.
    • המערכות אשר נפגעו או היו היעד לתקיפה.
    • המידע אשר זלג, נפגע או שהיה היעד לתקיפה.
    • ניתוח דרכי התקיפה, החולשות ששימשו את התקיפה וכל מידע רלוונטי אחר.
    • פעולות מתקנות למניעת הישנות אירועים אלו בעתיד.
    • כל מידע אחר, שיידרש על ידי המזמין, לצורך ניתוח האירוע.
  • חובת הדיווח המפורטת בסעיפים ‏3.1 – ‏‏3.4 לעיל תוגבל למידע הרלוונטי למערכות הספק המשמשות למתן שירותים למזמין או מחזיקות במידע רגיש, ולא נדרש גילוי מידע של לקוחות או גורמים בלתי קשורים אחרים.
• ביקורת תקופתית
  • המזמין יהיה רשאי  לבצע, אחת לשנה לכל היותר, ביקורת תקופתית על אודות עמידת הספק בכל דרישות הגנת המידע, הפרטיות והסייבר החלות על אספקת השירותים למזמין. ביקורת זו תתבצע, בתיאום מראש, בדרך של בקשת דוחות ודיווחים על אופן עמידת הספק בדרישות המכרז לאבטחת מידע והגנות סייבר. על הספק להעביר את הדוחות והדיווחים בהתאם ללוח הזמנים שיוגדר על ידי המזמין.
  • ככל שהספק סבור כי יש בהעברת המידע חשש לפגיעה בתהליכי העבודה שלו, או בשירותים הניתנים ללקוחות האחרים שלו או שהיא כרוכה בעלויות כספיות לא פרופורציונאלית, יפנה למזמין לצורך תיאום אופן ביצוע הביקורת.
• בעקבות חשש לתקיפת סייבר
  • • • ‏3.1 לעיל או כל מידע אחר הנדרש על מנת להעריך את היקף ההשפעה על אספקת השירותים או המוצרים למזמין.
      • , יהיה המזמין רשאי לקבוע כי במקביל לעבודת הספק, המשך הטיפול באירוע יהיה כאמור במסלול ב' כמפורט בסעיף ‎5.1.2 להלן.
    • • ‎‏5.1.1.3, שבהם לא תידרש הסכמה מפורשת של הספק.
•  

הודעות/פניות בנושא אבטחת מידע והגנת סייבר יועברו לספק באמצעות כתובת הדואר האלקטרוני הבאה: _______________@___________

חתימת הספק:

________________	__________________	___________________
שם	תאריך	חתימה