עודכנה / שונתה הוראת תכם ט.7.3.1.6

*טופס זה יצורף למסמכי המכרז בהתאם להנחיות הוראת תכ"ם, "מסמכי מכרז", מס' 7.3.1.

1. הגדרות ייעודיות לטופס זה
   1. אירוע אבטחה – אירוע (incident) אשר עלול לפגוע בזמינות, ברציפות התפעולית, במהימנות או בסודיות המידע של המשרד, של מערכות או קוד המסופקות לו, של חומרה, תכנה, מאגרי מידע או תשתית, שבהם הספק עושה שימוש לצורך ביצוע ההסכם, ובכלל זה תקיפת סייבר.
   1. גורם מנחה – הגורם המנחה את המזמין בהיבטי סייבר והגנות מידע כגון: היחידה להגנת הסייבר בממשלה (להלן: "יה"ב") במערך הדיגיטל הלאומי, הממונה על הביטחון במשרד הביטחון (מלמ"ב), או מערך הסייבר הלאומי. אם המזמין מנחה את עצמו, אז ייחשב המזמין כגורם המנחה לעניין זה.
   1. גורמי שרשרת האספקה – קבלני המשנה של הספק ובכלל זה, יצרני חומרה או ספקי תוכנה או שירות, אשר הספק אינו יכול להחליפם מבלי שהדבר יפגע באספקת השירותים בהתאם לדרישות המכרז.
   1. מידע – כל מסמך, תכתובת, תכנית, נתון, עובדה, פרט תוכן, מודל, תמונה, סרט, הקלטה, תהליך עסקי, חוות דעת, קוד ולוגיקה, אשר נשמרו או תועדו על ידי הספק באמצעי טכנולוגי מכל סוג שהוא.
   1. מידע רגיש – מידע של המזמין אשר יש בחשיפתו כדי לפגוע או לשבש בדרך כלשהי את עבודת המזמין, לפגוע בשירותים המסופקים על ידי המזמין או הממשלה, או לחשוף פרטים ומידע של המזמין אשר אינם נחלת הכלל, ובכלל זה מידע אישי של אזרחים או עובדים, תהליכי עבודה רגישים, שרטוטי מתקנים, תיאור מערכות אבטחה, קוד מקור ותוכנות של מערכות המזמין, מסמכי תכנון של מערכות המזמין או של מערכות המותאמות לשימושו, אמצעי הזדהות ואימות, מידע לגבי מזמינים מסווגים, יעדי הספקה של חומרה או מערכות וכל מידע אחר שיוגדר על ידי המזמין.
   1. מינהל הרכש – מינהל הרכש הממשלתי באגף החשב הכללי או נציגו.
   1. שירות חיוני – אחד מאלה:
      1. שירותים המסופקים על ידי המזמין לאזרחי ותושבי מדינת ישראל אשר תפקודם התקין והסדור הוא קריטי לניהול חיי האזרח או לפעילות המשק.
      1. שירות של המזמין הנדרש לתפקודו התקין של המשרד או הממשלה.
   1. תקיפת סייבר – אירוע אבטחה אשר נוצר כתוצאה מניסיון לעבור או לעקוף את אמצעי האבטחה או הבקרה שבהם הספק או המזמין עושים שימוש, למנוע גישה לשירות או למידע, או לנצל חולשה קיימת בניסיון לגרום להרס, אובדן, דלף, שינוי, שימוש, חשיפה לא מורשית או גישה לנתוני המזמין.
2. כללי
   1. הספק יהיה האחראי הבלעדי על אבטחת המידע שהועבר או נצבר אצלו במסגרת ההתקשרות. בנוסף, הספק יהיה אחראי על אבטחת המערכות, התוכנות והחומרה המשמשת אותו לצורך אספקת השירותים או המוצרים למזמין, על תקינותם, אמינותם (integrity) ועל תפקודם השוטף והתקין. לצורך עמידת הספק בחובות אלו יתפעל הספק ויעדכן את אמצעי האבטחה באופן שוטף, ויוודא כי האמצעים הטכנולוגיים המשמשים לאבטחת המידע הם עדכניים ועומדים בסטנדרטים המקובלים בתחום.
   1. מבלי לגרוע מהאמור, ולצורך עמידה בחובותיו על פי טופס זה, מסכים הספק על שיתוף פעולה עם המזמין כמפורט בטופס זה, והכל לצורך ביצוע תקין של התקשרויות עם ממשלת ישראל.
   1. מנכ"ל הספק או בעל התפקיד הבכיר בחברה יהיה הכתובת לכל פניה באשר לחובות הספק בהתאם לטופס זה, כמפורט בסעיף ‏7 להלן, אלא אם מינה נציג אחר מטעמו והודיע על כך בכתב למזמין.
   1. הספק מתחייב לתקן ליקויים שנמצאו על ידי המזמין בפרק זמן סביר ועל חשבונו, וכן מסכים כי ככל שלא יתקן ליקויים כאמור בפרק זמן סביר, יהווה הדבר הפרה יסודית של ההסכם, ויהווה עילה להפסקת התקשרות בכפוף לשימוע.
   1. חובות הספק לפי טופס זה יחולו כל עוד מידע רגיש של המזמין שמור במערכותיו.
3. חובת דיווח
   1. ‏3.2) ולמרכז הארצי לניהול אירועי סייבר (כאמור בסעיף ‏3.3), בהקדם האפשרי, במהלך כל שעות היממה ובכל יום בשבוע, וללא שיהוי, על כל אירוע אבטחה אשר מסכן מידע או מערכות של המזמין או עלול להשפיע על יכולתו לעמוד בהתחייבויותיו נשוא ההסכם, ובפרט יודיע למזמין ולמרכז הארצי לניהול אירועי סייבר על האירועים הבאים:
      1. אירוע אבטחה או ניסיון תקיפה סייבר אשר הביא לדלף מידע הקשור למזמין או לשיבושו של מידע או קוד תוכנה.
      1. אירוע אבטחה או ניסיון תקיפת סייבר אשר עלול להביא לפגיעה במערכות המזמין, במערכות המסופקות לו, במידע של המזמין או בקוד המשמש אותו.
      1. אירוע אבטחה או ניסיון תקיפת סייבר אשר מטרתו לאסוף מידע על המזמין.
   1. 3.2.   הדיווח למזמין יעשה באמצעות פרטי הקשר של המזמין אשר מפורטים להלן:

___________________________________________________________.

• CERT) יעשב באחד מהאמצעים הבאים:
  • מרכז המבצעי לניהול אירועי סייבר במספר 119.
  • 119@cyber.gov.il.
  • • תיאור כללי של האירוע, אופן התרחשותו, ציר הזמן הידוע של האירוע וכולי.
    • אופן הטיפול באירוע, והאמצעים הננקטים באופן מידי לצורך צמצום הנזק ומזעור החשיפה בטווח הזמן המיידי.
    • המערכות אשר נפגעו או היו היעד לתקיפה.
    • המידע אשר זלג, נפגע או שהיה היעד לתקיפה.
    • ניתוח דרכי התקיפה, החולשות ששימשו את התקיפה וכל מידע רלוונטי אחר.
    • פעולות מתקנות למניעת הישנות אירועים אלו בעתיד.
    • כל מידע אחר, שיידרש על ידי המזמין, לצורך ניתוח האירוע.
  • חובת הדיווח המפורטת בסעיפים‏ 3.1 – ‏3.4 לעיל תוגבל למידע הרלוונטי למערכות הספק המשמשות למתן שירותים למזמין או מחזיקות במידע רגיש, ולא נדרש גילוי מידע של לקוחות או גורמים בלתי קשורים אחרים.
  • באחריות הספק לקבל התחייבות מגורמי שרשרת האספקה להודיע לו בהקדם האפשרי וללא שיהוי, על כל אירוע אבטחה אשר מסכן מידע או את מערכות המזמין ואשר עלול להשפיע על יכולת הספק לעמוד בהתחייבויותיו לפי ההסכם. הודעה כאמור צריכה לאפשר לספק להודיע על האירוע לאיש הקשר של המזמין, אשר פרטיו מופיעים בסעיף ‎3.2 לעיל.
• ביקורת תקופתית:
  • המזמין יהיה רשאי לבצע, אחת לשנה לכל היותר,  ביקורת תקופתית על אודות עמידת הספק בדרישות הגנת המידע, הפרטיות והסייבר החלות על אספקת השירותים למזמין. ביקורת זו תתבצע בתיאום מראש ובהתאם למפורט להלן:
    • בקשת דוחות ודיווחים על אופן עמידת הספק בדרישות המכרז לאבטחת מידע והגנות סייבר.
    • ככל שלדעת המזמין יש צורך באימות נתונים אלו או אחרים, יפעל המזמין בדרך המפורטת להלן:
      • הספק יבצע את הבדיקות הנדרשות, על חשבונו, באמצעות גוף חיצוני, בלתי תלוי בספק והמאושר על ידי המזמין, ויעביר למזמין את דוח הבדיקה המקורי והמלא, כאשר הספק יהיה רשאי להשחיר בו אך ורק נתונים על אודות לקוחות אחרים. בכל מקרה, ממצאי הבדיקה וההמלצות יוגשו במלואם.
      • לחלופין, הספק יהיה רשאי לבקש מהמזמין כי המזמין יבצע בדיקה זו או אחרת כחלופה לביצוע הבדיקה על ידי גוף חיצוני, וככל שהמזמין יסכים לביצוע בדיקה זו, יתאם את ביצועה עם הספק תוך הקפדה על קיום הבדיקה זו בהתאם לנושאים המוגדרים בסעיף ‎4.1.2.1. אין בביצוע בדיקה זו על ידי עורך המכרז בכדי להפחית אי אלו ממחויבויות הספק.
    • ככל שהספק סבור כי יש בהעברת המידע או באופן ביצוע הביקורת חשש לפגיעה בתהליכי העבודה שלו, או בשירותים הניתנים ללקוחות האחרים שלו או שהיא כרוכה בעלויות כספיות לא פרופורציונאלית, יפנה למזמין לצורך תיאום אופן ביצוע הביקורת.
• ביקורת בעקבות חשש לתקיפת סייבר
  • המזמין יהיה רשאי לבצע ביקורת בעקבות חשש לתקיפת סייבר המשפיעה על אספקת השירותים או המוצרים למזמין, בהתאם לאחד המסלולים המפורטים להלן:
    • מסלול א' – ביקורת על התמודדות הספק
      • המזמין יהיה רשאי לדרוש כל מסמך או פירוט לגבי אופן התמודדות הספק עם תקיפת הסייבר כמפורט בסעיף ‏‏3.1 לעיל או כל מידע אחר הנדרש על מנת להעריך את היקף ההשפעה על אספקת השירותים או המוצרים למזמין.
      • המזמין יהיה רשאי לדרוש מהספק לבצע כל בדיקה או פעולה סבירה במערכותיו של הספק המשמשות למתן השירותים לצורך בחינת התקיפה או על מנת לבחון קיום אירוע כאמור. כל מידע שיועבר לספק לצורך בדיקה זו הוא רגיש ואין להעבירו לכל גורם אחר ללא אישור המזמין.
      • על מנת להבטיח בצורה מספקת את הגנת המערכות או המידע של המזמין, או שמדובר במידע רגיש, או באירוע שיש לו השפעה על שירותים חיוניים, יהיה המזמין רשאי לקבוע כי במקביל לעבודת הספק, המשך הטיפול באירוע יהיה כאמור במסלול ב' כמפורט בסעיף ‏5.1.2 להלן.
    • • פעילות במסלול זה תהיה בכפוף להחלטת המזמין ובהתאם לשיקול דעתו הבלעדי, ובכפוף להסכמה מפורשת ובכתב של הספק, למעט במקרים המפורטים בסעיף ‎‏5.1.1.3, שבהם לא תידרש הסכמה מפורשת של הספק.
      • המזמין יסייע לספק בביצוע הפעולות המפורטות להלן, באופן ישיר ובאמצעות כלים העומדים לרשות המזמין ועל חשבונו:
        • בדיקת מערכות הספק הנוגעות למתן השירותים או לאספקת המוצרים.
        • בדיקת הנזקים או הסיכונים שנגרמו למזמין.
        • סיוע בהתמודדות עם אירוע האבטחה.
        • אבחון אופן התקיפה, המערכות שנפגעו והשפעתה על מתן השירות.
        • אבחון דרכים למנוע את המשכם והישנותם של הסיכונים שנגרמו למזמין ומתן הנחיות לספק בדבר הדרכים לצמצם סיכונים אלו וכלי.
      • אין בסיוע על ידי המזמין בכדי להפחית אי אלו ממחויבויות הספק. ככל שהספק חושב שהנחייה מסוימת עשויה לפגוע ברמת האבטחה או בשירותים הניתנים על ידו, עליו להתריע על כך בצורה מפורשת לנציג המזמין.
  • הספק ישתף פעולה כמיטב יכולתו עם דרישות המזמין ויעמיד לרשותו כל מידע נדרש לצורך אבחון והתמודדות עם אירוע האבטחה או על מנת לוודא כי אירוע כאמור לא מתקיים. מידע זה יוגבל למידע הרלוונטי למערכות המזמין או המערכות המשמשות למתן שירותים למזמין, וללא גילוי מידע של לקוחות או גורמים בלתי קשורים אחרים.
  • ככל שהספק סבור כי יש בהעברת המידע או באופן ביצוע הביקורת חשש לפגיעה בתהליכי העבודה שלו או בשירותים הניתנים ללקוחות האחרים שלו, יפנה למנהל מינהל הרכש הממשלתי לצורך תיאום אופן ביצוע הביקורת.
• נציגי המזמין
  • לטובת ביצוע ההתחייבויות המפורטות בטופס זה המזמין יהיה רשאי להעביר את כלל המידע שהתקבל אצלו לידי הגורם המנחה וכן לידי מינהל הרכש, וזאת לצורך הערכת סיכונים וקביעת פעולות הנדרשות מהספק.
  • הגורם המנחה ומינהל הרכש יהיו רשאים לבוא במקום המזמין בכל סמכות הנתונה למזמין לפי טופס זה, והספק ישתף פעולה עם הנחיות שיתקבלו מהם לפי הוראות הטופס.
  • הגורם המנחה ומינהל הרכש יהיו מחויבים להשתמש במידע שיתקבל מהספק אך ורק לצורכים האמורים בטופס זה תוך גילויו לגורמים הנדרשים לכך בלבד.
• לפניות בנושא אבטחת מידע והגנת סייבר 

הודעות/פניות בנושא אבטחת מידע והגנת סייבר יועברו לספק באמצעות כתובת הדואר האלקטרוני הבאה: _______________@___________

חתימת הספק:

_______________	__________________	_________________
שם	תאריך	חתימה