Grįžti į sąrašą

Informacijos saugos valdymo sistemos, informacinių sistemų ir registrų saugos vertinimo paslaugos (PPR-1123)

Išanalizuota

Išteklių agentūra prie Lietuvos Respublikos vidaus reikalų ministerijos

Skelbiama apklausaCPV: 72800000 - Kompiuterių audito ir tikrinimo paslaugos
ID: 65107382026-02-12 13:13
Atidaryti CVP IS

Aprašymas

Perkamos informacijos saugos valdymo sistemos (ISVS), informacinių sistemų ir registrų saugos vertinimo paslaugos. Šios paslaugos apima ISVS vidaus auditą, atitikties teisės aktams vertinimą ir informacinių išteklių rizikos vertinimą. Pirkimas skirtas Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos valdomų ypatingos svarbos ir svarbių valstybės informacinių išteklių saugumui užtikrinti ir palaikyti.

Kvalifikaciniai reikalavimai

  • 1Paslaugų teikėjas per pastaruosius 3 metus (arba nuo įregistravimo dienos, jei trumpiau) yra savo jėgomis suteikęs informacinių technologijų saugos atitikties vertinimo, atitikties Kibernetinio saugumo reikalavimų apraše nustatytiems reikalavimams vertinimo, kibernetinio saugumo audito, informacijos saugos rizikos vertinimo ar informacijos saugos valdymo sistemos vidaus audito paslaugas, kurių objektas buvo ypatingos svarbos arba svarbūs valstybės informaciniai ištekliai, ir kurių vertė yra ne mažesnė nei 15 000 EUR (be PVM).
  • 2Specialistas Nr. 1 – audito vadovas (ne mažiau kaip 1 ekspertas) turi turėti patirties kaip audito vadovas, atlikęs bent 1 informacijos saugos valdymo sistemos vidaus auditą, ir būti kvalifikuotas informacijos saugos valdymo sistemų audito srityje, patvirtinant tai galiojančiu sertifikatu ISO 27001 Lead Auditor arba CISA (Certified Information Systems Auditor) arba lygiaverčiu sertifikatu.
  • 3Specialistas Nr. 2 – auditorius (ne mažiau kaip 1 ekspertas) turi turėti patirties kaip auditorius, atlikęs bent 1 informacijos saugos valdymo sistemos vidaus auditą, ir būti kvalifikuotas informacijos saugos valdymo sistemų audito srityje, patvirtinant tai galiojančiu sertifikatu ISO 27001 Auditor arba CISA (Certified Information Systems Auditor) arba lygiaverčiu sertifikatu.
  • 4Specialistas Nr. 3 – rizikos vertinimo specialistas (ne mažiau kaip 1 ekspertas) turi turėti patirties kaip informacijos saugos rizikos vertintojas, atlikęs bent 1 informacijos saugos rizikos vertinimą organizacijoje, valdančioje ar tvarkančioje ypatingos svarbos arba svarbius valstybės informacinius išteklius, ir būti kvalifikuotas informacijos saugos rizikos vertinimo srityje, patvirtinant tai galiojančiu sertifikatu CISM (Certified Information Systems Manager) arba CRISC (Certified in Risk and Information Systems Control) arba lygiaverčiu sertifikatu.
  • 5Tiekėjas (jo pasitelkiamas jungtinės veiklos partneris) ir jo pasitelkiami subtiekėjai negali kelti grėsmės nacionaliniam saugumui, kai ketinamos sudaryti sutarties pagrindu susidarytų aplinkybės, nurodytos Nacionaliniam saugumui užtikrinti svarbių objektų apsaugos įstatymo 13 straipsnio 4 dalies 1 punkte.
  • 6Tiekėjas neturi interesų, galinčių kelti grėsmę nacionaliniam saugumui. Perkančioji organizacija draudžia pirkime dalyvauti tiekėjams, jų subtiekėjams ar ūkio subjektams, kurių pajėgumais yra remiamasi, kurie patys ar juos kontroliuojantys asmenys yra registruoti (jeigu tiekėjas, jo subtiekėjas, ūkio subjektas, kurio pajėgumais remiamasi, ar kontroliuojantis asmuo yra fizinis asmuo – nuolat gyvenantis ar turintis pilietybę) VPĮ 92 straipsnio 14 dalyje numatytame sąraše nurodytose valstybėse ar teritorijose.
  • 7Paslaugų teikėjas turi turėti informacijos saugos valdymo sistemą, atitinkančią ISO/IEC 27001:2022 ar jam lygiaverčio standarto reikalavimus, patvirtintą sertifikatu, kurio taikymo sritis apima paslaugų teikimą, susijusį su valdymu, užtikrinimu, vertinimu, priežiūra ar konsultavimu bent vienoje iš šių sričių: informacinės technologijos, informacijos sauga (saugumas) ar kibernetinis saugumas.

Techniniai reikalavimai

Paslaugų Apimtis ir Tipai

  • 1Užsakomos saugos vertinimo paslaugos: ISVS vidaus auditas, atitikties teisės aktų nustatytiems reikalavimams vertinimas, informacinių išteklių rizikos vertinimas.
  • 2Maksimalus paslaugų kiekis yra kiekviena iš išvardintų paslaugų vieną kartą per metus.

Rizikos Vertinimo Reikalavimai

  • 1Rizikos vertinimas apima visus informacinius išteklius, įeinančius į Informatikos ir ryšių departamento ISVS apimtį, bei jų veikimui būtiną techninę, programinę įrangą ir paslaugas.
  • 2Rizikos vertinimas turi būti atliktas naudojant Informatikos ir ryšių departamento nustatytą informacijos saugos rizikos vertinimo metodiką bei metrikas ir atsižvelgiant į Krašto apsaugos ministerijos rekomenduojamas rizikos vertinimo metodikas.
  • 3Paslaugų teikėjas turi atsižvelgti į paskutinio atlikto rizikos vertinimo objektus ir rezultatus, siekiant užtikrinti rizikos vertinimo proceso tęstinumą.
  • 4Detalus vertinamų objektų sąrašas turi būti sudarytas ir suderintas su perkančiąja organizacija prieš pradedant vertinimą.
  • 5Turi būti atliktas Informatikos ir ryšių departamento nurodytų trečiųjų šalių (paslaugų teikėjų ir kt.) rizikos vertinimas, vertinant grėsmes susijusias su trečiosiomis šalimis.
  • 6Rizikos vertinimas turi būti atliktas etapais: objektų sąrašo sudarymas; grėsmių sąsajų nustatymas, rizikų registro sudarymas; spragų, pažeidžiamumų nustatymas, išnaudojimo scenarijų vertinimas; grėsmių tikimybės ir galimos žalos vertinimas; esamų rizikos valdymo priemonių įvertinimas; rizikos lygio ir priimtinumo nustatymas; rekomendacijų dėl papildomų rizikos valdymo priemonių pateikimas, likutinės rizikos apskaičiavimas; rizikų valdymo plano projekto sudarymas; rekomendacijų rizikos vertinimo ir valdymo procesams pateikimas; rizikos vertinimo ataskaitos ir rizikų registro parengimas ir suderinimas.

ISVS Vidaus Audito Reikalavimai

  • 1ISVS vidaus audito apimtis yra patikrinti, ar laikomasi standartų LST EN ISO/IEC 27001:2023 ir LST EN ISO/IEC 27002:2023 reikalavimų.
  • 2ISVS vidaus audito apimtis yra patikrinti, ar tinkamai dokumentuotos, faktiškai įgyvendintos ir efektyviai veikia visos ISVS taikomumo pareiškime nurodytos priemonės.
  • 3ISVS vidaus audito apimtis yra patikrinti, ar laikomasi teisės aktų, reglamentuojančių informacijos saugą ir kibernetinį saugumą, reikalavimų.
  • 4ISVS vidaus audito apimtis yra patikrinti, ar laikomasi ISVS nuostatų nustatytos informacijos saugos politikos ir informacijos saugos reikalavimų.
  • 5ISVS vidaus audito apimtis yra patikrinti, ar procesai atliekami laikantis veiklos procedūrose aprašytos tvarkos.
  • 6ISVS vidaus audito apimtis yra patikrinti, ar tinkamai planuojamos, atliekamos ir kontroliuojamos Informatikos ir ryšių departamento veiklos.
  • 7ISVS vidaus audito apimtis yra patikrinti, ar tinkamai valdomi ISVS dokumentai.

Atitikties Vertinimo Reikalavimai

  • 1Vertinimo objektai apima registrų informacines sistemas, valstybės informacines sistemas (nurodytas Informatikos ir ryšių departamento nuostatų priede), Įtariamųjų, kaltinamųjų ir nuteistųjų registrą, Vidaus reikalų telekomunikacinį tinklą bei Informatikos ir ryšių departamentą (kaip kibernetinio saugumo subjektą).
  • 2Vertinama atitiktis Lietuvos Respublikos kibernetinio saugumo įstatymui, Kibernetinio saugumo reikalavimų aprašui (patvirtintam LRV 2018 m. rugpjūčio 13 d. nutarimu Nr. 818), Informatikos ir ryšių departamento ISVS nuostatams ir kitiems kibernetinio saugumo politikos dokumentams, bei kitiems galiojantiems kibernetinio saugumo teisės aktams.
  • 3Vertinimo aspektai apima teisės aktų reikalavimų įgyvendinimą objektų saugą reglamentuojančiuose dokumentuose ir faktinį teisės aktų reikalavimų įgyvendinimą praktikoje, pateikiant įrodymus.

Paslaugų Teikimo Terminai ir Eiga

  • 1Bendra paslaugų teikimo trukmė – 12 mėnesių nuo sutarties įsigaliojimo dienos, su galimybe pratęsti ne daugiau kaip 2 kartus po 12 mėnesių tomis pačiomis sąlygomis.
  • 2Paslaugų suteikimo terminas negali būti ilgesnis kaip 3 mėnesiai nuo paraiškos dienos, nepriklausomai nuo užsakytų paslaugų skaičiaus.
  • 3Perkančioji organizacija pateikia paslaugų užsakymo paraišką raštu.
  • 4Ne vėliau kaip per 5 darbo dienas nuo paslaugų užsakymo paraiškos gavimo, Paslaugų teikėjas turi parengti detalų užsakytų paslaugų teikimo ir darbų atlikimo kalendorinį grafiką (paslaugų planą).
  • 5Per 5 darbo dienas nuo paslaugų plano pateikimo, Paslaugų teikėjo ir Perkančiosios organizacijos atsakingi asmenys suderina paslaugų planą.

Bendrieji Paslaugų Teikimo Reikalavimai

  • 1Paslaugos teikiamos ir visi dokumentai parengiami lietuvių kalba.
  • 2Jei paslaugų teikimui ir dokumentų parengimui reikalingas vertimas, jį savo sąskaita užtikrina paslaugų teikėjas.
  • 3Pateikti dokumentai turi atitikti lietuvių bendrinės kalbos ir teisinės technikos reikalavimus.
  • 4Prireikus prie informacinių technologijų terminų turi būti nurodomas jų atitikmuo anglų kalba.
  • 5Pagalbiniai darbuotojai gali būti pasitelkiami techninio pobūdžio veiksmams atlikti tik gavus raštišką Informatikos ir ryšių departamento pritarimą. Šie darbuotojai turi teisę dirbti tik betarpiškai dalyvaujant kvalifikuotiems specialistams, jiems draudžiama pavesti atlikti esmines užduotis.

Dokumentavimo ir Ataskaitų Reikalavimai

  • 1Paslaugos turi būti suteiktos vadovaujantis Informatikos ir ryšių departamento ISVS vidaus audito procedūros aprašu, standartu LST EN ISO/IEC 27001:2023, Informacinių technologijų saugos atitikties vertinimo metodika ir Kibernetinio saugumo audito atlikimo metodika.
  • 2Suteikus atitikties vertinimo paslaugas, turi būti pateikta atitikties vertinimo ataskaita, kurioje apibūdinama faktinė atitikties kiekvienam tikrintam reikalavimui būklė, detalizuota pagal vertinimo objektus ir pateikiant atitikties ar neatitikties faktinius įrodymus.
  • 3Suteikus rizikos vertinimo paslaugas, turi būti pateikta informacinių išteklių rizikos vertinimo ataskaita, apimanti visą rizikos vertinimo procesą ir jo eigoje gautus duomenis, bei rizikų registras.
  • 4Suteikus ISVS vidaus audito paslaugas, turi būti pateikti dokumentai, nurodyti vidaus audito procedūros apraše.
  • 5Atlikus auditą ir vertinimus, turi būti parengtas identifikuotų neatitikčių, trūkumų šalinimo ir rekomendacijų įgyvendinimo planas, kuriame nurodomos audito ir vertinimų ataskaitose pateiktos išvados, siūlomos priemonės, atsakingi skyriai, įgyvendinimo terminai ir reikalingi ištekliai.
  • 6Visų pateikiamų dokumentų projektų forma turi būti suderinta su Informatikos ir ryšių departamentu.
  • 7Dokumentų projektai pristatomi Informatikos ir ryšių departamento Informacijos saugos valdymo grupės posėdyje.
  • 8Informatikos ir ryšių departamentas įvertina pateiktus dokumentų projektus per 10 darbo dienų, pakartotinai pateiktus patikslintus projektus – per 5 darbo dienas, o Paslaugų teikėjas patikslina projektus per 5 darbo dienas.
  • 9Paslaugų teikėjas turės pateikti visus su teikiamomis paslaugomis susijusius duomenis į Kibernetinio saugumo informacinę sistemą (KSIS) ir atsako už jų kokybę, išsamumą bei klaidų ištaisymą.

Kibernetinio Saugumo Ir Prieigos Reikalavimai

  • 1Perkančioji organizacija arba jos pasitelktas paslaugų teikėjas turi teisę tikrinti, ar tiekėjas, jo partneriai ir subtiekėjai tinkamai naudoja konfidencialią informaciją, gautą vykdant sutartį, o tiekėjas privalo teikti visą tam reikalingą informaciją.
  • 2Paslaugų teikėjas privalo pranešti apie didelį kibernetinį incidentą, įvykusį jo tinklų ir informacinių sistemų infrastruktūroje, per 24 valandas (ankstyvasis perspėjimas) ir pateikti galutinę ataskaitą per 1 mėnesį.
  • 3Paslaugų teikėjas privalo pranešti apie kitą kibernetinį incidentą, įvykusį jo tinklų ir informacinių sistemų infrastruktūroje, per 72 valandas (ankstyvasis perspėjimas) ir pateikti galutinę ataskaitą per 1 mėnesį.
  • 4Paslaugų teikėjas įsipareigoja atlyginti žalą perkančiajai organizacijai, jei kibernetinio incidento metu buvo pasinaudota paslaugų teikėjo ir/ar jo subtiekėjų informacine infrastruktūra ir/ar suteikta prieiga prie perkančiosios organizacijos informacinės infrastruktūros.
  • 5Perkančioji organizacija arba jos įgalioti paslaugų teikėjai turi teisę atlikti paslaugų teikėjo atitikties Kibernetinio saugumo reikalavimų aprašo reikalavimams auditą (įskaitant neplaninį), o paslaugų teikėjas privalo sudaryti sąlygas tokiam auditui atlikti.
  • 6Paslaugų teikėjas turi būti pasitvirtinęs savo organizacijos informacijos saugos, kibernetinio saugumo ir privatumo apsaugos politikos dokumentą (-us).
  • 7Paslaugų teikėjas visą sutarties galiojimo laikotarpį privalo reguliariai (ne rečiau kaip kartą per metus, taip pat įvykus esminiams pokyčiams ar incidentui) atlikti savo valdomų tinklų ir informacinių sistemų rizikos vertinimą bei atitikties Kibernetinio saugumo įstatymo ir aprašo reikalavimams vertinimą.
  • 8Paslaugų teikėjas įsipareigoja užtikrinti jo tinklų ir informacinių sistemų spragų valdymą.
  • 9Paslaugų teikėjas įsipareigoja užtikrinti, kad jo patalpos, įranga, tinklai ir informacinių sistemų priežiūra, informacijos perdavimas tinklais atitinka Kibernetinio saugumo reikalavimų aprašo reikalavimus.
  • 10Paslaugų teikėjui fizinė prieiga prie perkančiosios organizacijos tinklų, kitos techninės infrastruktūros ir informacinių sistemų nėra suteikiama; esant būtinybei, suteikiama loginė prieiga per perkančiosios organizacijos saugų VPN sprendimą prie kontroliuojamo nuotolinio darbalaukio serverio, kuriame visi paslaugų teikėjo veiksmai yra fiksuojami.

Dokumentai9

  • 3 IA PD TS.docx
  • 4 IA PD PF.docx
  • 5 IA PD FK.docx
  • 1 IA PD BS.docx
  • 2 IA PD SS.docx
  • 6 IA PD NSRAD.docx
  • 2_c4t_6510738_1.xml
  • 6510738_National Contract notice or Design Contest notice - general directive, standard regime_0.pdf
  • 1007_6510738.pdf
tendis.lt · Sukurta recodin.lt