Grįžti į sąrašą

TEORIJOS EGZAMINAVIMO INFORMACINĖS SISTEMOS ANALIZĖS, KONCEPTO IR TECHNINIŲ REIKALAVIMŲ PARENGIMO PASLAUGOS

Išanalizuota

Akcinė bendrovė Regitra

Rinkos konsultacijaCPV: 72220000 - Sistemų ir techninės konsultacinės paslaugos
ID: 66989232026-02-26 09:30
Atidaryti CVP IS

Aprašymas

Perkamos teorijos egzaminavimo informacinės sistemos (EGZIS) analizės, koncepto parengimo ir techninių reikalavimų rengimo paslaugos. Šių paslaugų tikslas – atnaujinti esamą EGZIS architektūriškai, atsižvelgiant į naujus plėtros poreikius ir šiuolaikinius ergonomikos, saugumo (OWASP TOP 10), asmens duomenų apsaugos (BDAR) bei valstybės IS valdymo reikalavimus. Galutinis rezultatas – išsamūs dokumentai būsimoms programavimo paslaugoms.

Kvalifikaciniai reikalavimai

  • 1Tiekėjas per pastaruosius 3 (trejus) metus arba per laiką nuo tiekėjo įregistravimo dienos (jei tiekėjas vykdė veiklą mažiau nei 3 (trejus) metus iki pasiūlymų pateikimo dienos pagal ne mažiau kaip 1 (vieną) sutartį (projektą) turi būti savo jėgomis tinkamai (sutartu laiku ir apimtimi) suteikęs arba teikiantis informacinių sistemų analizės, projektavimo ar kūrimo paslaugas, kurių metu atlikta informacinių sistemų verslo reikalavimų bei integracijų spendimų analizė.
  • 2Tiekėjas pirkimo sutarties vykdymui turi pasiūlyti kvalifikuotą informacinių sistemų analitiką, turintį ne trumpesnę kaip 3 (trijų) metų darbo patirtį informacinių sistemų projektavimo ar kūrimo* sutartyse (projektuose) (arba užbaigtuose jų etapuose).
  • 3Tiekėjas pirkimo sutarties vykdymui turi pasiūlyti kvalifikuotą informacinių sistemų architektą, turintį ne trumpesnę kaip 3 (trijų) metų darbo patirtį informacinių sistemų projektavimo ar kūrimo* sutartyse (projektuose) (arba užbaigtuose jų etapuose).

Techniniai reikalavimai

EGZIS modernizavimo tikslai

  • 1Nauja EGZIS turi būti skirta teorijos egzaminų vykdymui 13 (trylikoje) Perkančiosios organizacijos padalinių, užtikrinant klausimų administravimą, testų sudarymą ir rezultatų perdavimą Vairuotojų egzaminų informacinei sistemai (VEIS).
  • 2Esama EGZIS turi būti atnaujinta architektūriškai, atsižvelgiant į naujus plėtros poreikius: prieinamumo, šiuolaikinio UX / UI, gestų kalbos, naujų egzaminavimo scenarijų ir analitikos sprendimus.
  • 3Siekiama sukurti naują EGZIS konceptą, atitinkantį šiuolaikinius ergonomikos, saugumo (OWASP TOP 10), asmens duomenų apsaugos (BDAR) ir valstybės informacinių sistemų (IS) valdymo reikalavimus.
  • 4Paruošti prototipai bei reikalavimai turi būti pritaikomi tolimesniam naujo EGZIS programavimo paslaugų etapui, pritaikyti integracijai į Perkančiosios organizacijos kuriamą ePortalą, pritaikyti tolimesnei Perkančiosios organizacijos teikiamų paslaugų plėtrai.

Prieigos prie TIS reikalavimai

  • 1Tiekėjo darbuotojams ir paslaugoms privalo būti taikomas žemiausios privilegijos principas – minimali, terminuota ir tik jų darbo funkcijoms vykdyti reikalinga prieiga prie AB „Regitra“ TIS ir informacinio turto.
  • 2AB „Regitra“ nevieša informacija privalo būti pasiekiama tik iš vidinio AB „Regitra“ tinklo arba naudojantis VPN (Virtual Private Network).
  • 3Kiekviena prieiga prie AB „Regitra“ informacinio turto turi būti autentifikuota, autorizuota ir registruojama.
  • 4Rekomenduojama Tiekėjui naudoti sudėtingus slaptažodžius ir daugiapakopę autentifikaciją (MFA).
  • 5Suteikus trečiajai šaliai galimybę dirbti kompiuterinėje darbo vietoje, priklausančioje trečiajai šaliai, bei suteikiant nuotolinę prieigą prie TIS, tiekėjas privalo kompiuterinę darbo vietą sukonfigūruoti taip, jog prisijungti prie TIS būtų galima tik naudojant VPN arba alternatyvią, didesnį ar tą patį saugumo lygį užtikrinančią technologiją.
  • 6Suteikus trečiajai šaliai galimybę dirbti kompiuterinėje darbo vietoje, tiekėjas privalo įsitikinti, kad TIS, iš kurios jungiamasi nuotoliniu būdu yra saugi (atnaujinta operacinė sistema ir kita programinė įranga, įdiegta ir atnaujinama antivirusinė programinė įranga, įjungta ir sukonfigūruota ugniasienė).
  • 7Suteikus trečiajai šaliai galimybę dirbti kompiuterinėje darbo vietoje, tiekėjas privalo užtikrinti nuolatinę prieigos teisių kontrolę.
  • 8Suteikus trečiajai šaliai galimybę dirbti kompiuterinėje darbo vietoje, tiekėjas privalo vykdyti nuolatinį veiksmų stebėjimą ir kontrolę arba rinkti ir saugoti žurnalinius įrašus ne trumpiau kaip 6 mėnesius.
  • 9Suteikus trečiajai šaliai galimybę dirbti kompiuterinėje darbo vietoje, tiekėjas privalo užtikrinti AB „Regitra“ viešai neskelbtinos ir kitos jautrios informacijos apsaugą organizacinėmis ir techninėmis priemonėmis.
  • 10Suteikus trečiajai šaliai galimybę dirbti kompiuterinėje darbo vietoje, tiekėjas privalo užtikrinti, kad nuotolinio prisijungimo ryšys būtų kontroliuojamas.
  • 11Suteikus trečiajai šaliai galimybę dirbti kompiuterinėje darbo vietoje, tiekėjas privalo užtikrinti, kad prisijungimas per nuotolinį ryšį ir nuotolinės prieigos suteikimas vyktų vadovaujantis principu „būtina žinoti“ bei turėtų sutartą galiojimo terminą.
  • 12Suteikus trečiajai šaliai galimybę dirbti kompiuterinėje darbo vietoje, kiekvienam naudotojui turi būti sukurtas individualus prisijungimo identifikatorius.
  • 13Suteikus trečiajai šaliai galimybę dirbti kompiuterinėje darbo vietoje, prisijungdama nuotoline prieiga prie TIS trečioji šalis privalo patvirtinti savo tapatybę slaptažodžiu ir papildoma kelių veiksnių tapatumo nustatymo priemone (MFA).
  • 14Suteikus trečiajai šaliai galimybę dirbti kompiuterinėje darbo vietoje, prisijungimo slaptažodis trečiajai šaliai privalo būti perduotas atskirai nuo naudotojo prisijungimo identifikatoriaus, naudojant saugius ryšio kanalus.
  • 15Bet kokia nuotolinė prieiga, neatitinkanti reikalavimų, prie TIS, yra draudžiama.
  • 16Pasibaigus sutarties terminui ar pilnai suteikus paslaugas, trečiųjų šalių prieigos prie TIS turi būti nedelsiant sustabdytos ir (ar) panaikintos.

Asmens duomenų tvarkymo saugumas

  • 1Tiekėjas įsipareigoja teikdamas paslaugas asmens duomenis tvarkyti vadovaudamasis BDAR ir kitų teisės aktų nuostatomis.
  • 2Tiekėjas įsipareigoja įgyvendinti tinkamas technines ir organizacines priemones, kad asmens duomenų tvarkymas atitiktų teisės aktų reikalavimus ir būtų užtikrintas asmens duomenų saugumas.
  • 3Tiekėjas privalo užtikrinti fizinę patalpų, kuriose yra IT infrastruktūra, naudojama duomenims tvarkyti, apsaugą nuo neautorizuotos prieigos.
  • 4Turi būti užtikrinta, kad nebūtų paliktų laisvai prieinamų tinklo įrenginių ar nenaudojamų tinklo kabelių.
  • 5Apsaugos (užrakto) sistema turi kontroliuoti patekimą į Duomenų tvarkytojo patalpas.
  • 6Turi būti naudojama signalizacija (nuo įsilaužimo, gaisro).
  • 7Turi būti užtikrintas nuolatinis energijos tiekimas IT infrastruktūrai, įrengiant avarinio energijos tiekimo sistemas.
  • 8Turi būti vykdomas IT sistemų pakeitimų valdymas.
  • 9Serverių operacinių sistemų bei duomenų bazių valdymo sistemų administravimo bei konfigūravimo veiksmai turi būti fiksuojami, o žurnaliniai įrašai saugomi atskirai nuo serverių 6 mėnesius.
  • 10Išorinės duomenų laikmenos turi būti šifruojamos, nešifruojamose laikmenose asmens duomenys negali būti saugomi.
  • 11Prieiga prie asmens duomenų turi būti griežtai ribojama.
  • 12Prieigos prie asmens duomenų teisės suteikiamos vadovaujantis principu „būtina žinoti“.
  • 13Turi būti užtikrinama prieigos prie asmens duomenų kontrolė.
  • 14Periodiškai, bet ne rečiau kaip kartą per metus, vykdoma prieigų prie informacinių išteklių ir įėjimo kortelių peržiūra.
  • 15Naudotojų identifikavimas ir autentifikavimas vykdomas visais lygiais.
  • 16Suteikiamas unikalus prisijungimo vardas ir slaptažodis kiekvienam asmens duomenis tvarkančiam asmeniui.
  • 17Slaptažodžiai turi atitikti minimalias charakteristikas: bent 10 simbolių, sudaryti iš mažųjų ir didžiųjų raidžių, skaičių ir specialiųjų simbolių; negalima naudoti Naudotojo ID ir anksčiau naudotų 6 paskutinių slaptažodžių.
  • 18Naudotojui pirmą kartą prisijungus ir po slaptažodžio atkūrimo privaloma pasikeisti slaptažodį.
  • 19Slaptažodis privalo būti keičiamas periodiškai, bet ne rečiau kaip kas 6 mėn.
  • 20Naudotojui priskirtas Naudotojo ID negali būti priskiriamas kitam asmeniui.
  • 21Turi būti užtikrinamas neatidėliotinas prisijungimo duomenų galiojimo panaikinimas, jei naudotojas netenka prieigos teisių.
  • 22Turi būti laikomasi „švaraus stalo ir ekrano“ politikos.
  • 23Nesinaudojant kompiuteriu ilgiau nei 15 min., ekranas automatiškai užrakinamas.
  • 24IT sistemos turi nustatytą sesijos laiką, po kurio neaktyviai sesijai pasibaigia.
  • 25Duomenų tvarkytojo darbuotojams draudžiama dalintis prisijungimo duomenimis ar palikti be priežiūros elektroninę įrangą tvarkymo seansų metu.
  • 26Kai prieiga vykdoma internetu, privaloma naudoti šifruotą komunikacijos kanalą (VPN prieiga) naudojant TLS/SSL standartą - 1.3 versiją ar naujesnę.
  • 27Turi būti užtikrinama galimybė atsekti prieigą prie asmens duomenų praeityje per registracijos žurnalą (angl. log).
  • 28Registracijos žurnalų įrašai saugomi ne trumpiau nei 6 mėnesius, turi turėti laiko žymas ir būti apsaugoti nuo sugadinimo ar suklastojimo.
  • 29Asmens duomenų tvarkymas turi būti atskirtas nuo kitais tikslais vykdomo asmens duomenų tvarkymo.
  • 30Visi darbuotojai turi būti tinkamai informuoti apie IT sistemų saugumo reikalavimus ir apmokomi apie duomenų saugumo reikalavimus bei atsakomybes.
  • 31Už asmens duomenų tvarkymą atsakingi asmenys turi pasirašyti informacijos konfidencialumo ir neatskleidimo įsipareigojimus.
  • 32Nuolatos daromos naudojamų duomenų bazių atsarginės duomenų kopijos.
  • 33Prieiga prie atsarginių kopijų yra griežtai kontroliuojama, o atstatymai fiksuojami. Atsarginės kopijos, kurias reikia pernešti, yra šifruojamos.
  • 34Turi būti užtikrinama duomenų apsauga nuo kenkimo programinės įrangos poveikio ir nuotolinės neįgaliotų asmenų prieigos.
  • 35Turi būti įdiegta ir nuolat atnaujinama antivirusinė programinė įranga.
  • 36Naudotojams negalima turėti privilegijuotų teisių diegti, šalinti, administruoti neautorizuotos programinės įrangos.
  • 37Turi būti užtikrinamas tinklo, kuriame tvarkomi asmens duomenys, saugumas (ugniasienės sistema, įsibrovimo aptikimo sistemos).
  • 38Asmens duomenys tvarkomi naudojant programinę įrangą su naujausiomis saugumo funkcijomis.
  • 39Informacinėse sistemose naudojama programinė įranga turi atitikti programinės įrangos saugos gerąją praktiką ir standartus (pvz., Agile, OWASP).
  • 40Kritiniai operacinės sistemos saugos atnaujinimai privalo būti diegiami reguliariai ir nedelsiant.
  • 41Tvarkant specialių kategorijų asmens duomenis, naudojamos naujausios šifravimo procedūros.
  • 42Turi būti atliekami periodiški infrastruktūros atsparumo grėsmėms testavimai.
  • 43Sistemų testavimas vykdomas tik su nuasmenintais duomenimis.
  • 44Komunikuojant dėl iškilusių problemų, dokumentacijoje pateikiant ekrano vaizdus, asmens duomenys pašalinami ar nuasmeninami.
  • 45Pasibaigus asmens duomenų tvarkymo terminui, visi asmens duomenys ir jų kopijos ištrinami ir (arba) grąžinami Duomenų valdytojui.
  • 46Daugkartinio įrašymo duomenų laikmenose saugomos informacijos naikinimas atliekamas naudojant specialią programinę įrangą ar laikmeną sunaikinant fiziškai.
  • 47Kompiuterinė įranga perdirbimui perduodama be duomenų laikmenų.
  • 48Prieš perduodant kompiuterį naudoti kitam asmeniui, jis perinstaliuojamas.

Kibernetinio saugumo reikalavimai

  • 1Tiekėjas per 15 (penkiolika) darbo dienų nuo sutarties įsigaliojimo privalo pateikti taikomą informacijos ar (ir) kibernetinio saugumo politikos dokumentą ar (ir) vidines tvarkas, reglamentuojančias kibernetinio saugumo užtikrinimą, įskaitant parengtą veiksmų planą didelio poveikio kibernetinių incidentų ir veiklos sutrikdymo scenarijų atveju, užtikrinantį operatyvų paslaugų atstatymą ir alternatyvius sprendimus kritinėms paslaugoms teikti bei veiklos tęstinumui užtikrinti bei turimus su informacijos ar kibernetinio saugumo užtikrinimu susijusius sertifikatus (pvz. ISO, SOC2 ar kitus).
  • 2Tiekėjas privalo nedelsiant informuoti AB „Regitra“ apie atsiradusį, įvykusį ar bet kurį AB „Regitra“ teikiamoms paslaugoms ar TIS veiklai įtaką darantį incidentą.
  • 3Tiekėjas privalo turėti procedūrą ar tvarką kibernetiniams incidentams registruoti ir eskaluoti.
  • 4Tiekėjas privalo pranešti AB „Regitra“ apie visus pagal KSĮ klasifikavimą užfiksuotus didelius, nedidelius ir (ar) vos neįvykusius incidentus, susijusius su AB „Regitra“ TIS. Pranešimo apie didelį kibernetinį incidentą terminai: nedelsiant, bet ne vėliau kaip per 24 valandas; apie nedidelį ar vos neįvykusį incidentą: nedelsdamas, bet ne vėliau kaip per 72 valandas.
  • 5Tiekėjas per 1 mėn. nuo pranešimo apie kibernetinį incidentą registravimo dienos turi pateikti AB „Regitra“ kibernetinio incidento tyrimo ataskaitą.
  • 6Tiekėjas privalo bendradarbiauti ir dalintis būtina informacija su AB „Regitra“ ir kitomis institucijomis (pvz., NKSC, PD, VDAI), kad kibernetiniai incidentai būtų kuo greičiau pašalinti.
  • 7Tiekėjas privalo užtikrinti savo naudojamos programinės įrangos palaikymą bei vykdyti reguliarius savo įrangos saugumo atnaujinimus, taip pat užtikrinti su teikiamomis paslaugomis susijusių spragų valdymą.
  • 8Tiekėjas turi AB „Regitra“ arba jos įgaliotiems paslaugų tiekėjams leisti atlikti jo atitikties KSĮ auditą (įskaitant neplaninį).
  • 9Pagal AB „Regitra“ reikalavimą Tiekėjas privalo pateikti informacijos saugumo audito ataskaitas (jei informacijos saugumo auditas buvo atliktas).
  • 10Tiekėjas turi iš anksto pranešti apie bet kokį esminį TIS pakeitimą (pvz., įrangos perkėlimas, techninės ar programinės įrangos pakeitimas ir perkonfigūravimas), kuris turi įtakos paslaugų teikimui, informacijos apdorojimui arba saugojimui naujoje geografinėje ar teisinėje jurisdikcijoje.
  • 11Tiekėjo paslaugų teikimo pabaigoje yra būtina užtikrinti, kad visi AB „Regitra“ duomenys ir kitas informacinis turtas būtų saugiai Tiekėjo grąžintas arba sunaikintas, pateikiant sunaikinimo įrodymus.
  • 12Tiekėjas privalo užtikrinti, kad kibernetinio saugumo reikalavimų laikytųsi ir sutarties vykdymui pasitelkiami subtiekėjai (jei pasitelkiami).

Taikytini standartai ir metodikos

  • 1Tiekėjas, teikdamas Paslaugas, turi vadovautis Valstybės informacinių sistemų (IS) gyvavimo ciklo valdymo metodika.
  • 2Tiekėjas, teikdamas Paslaugas, turi vadovautis BDAR ir Asmens duomenų apsaugos įstatymu.
  • 3Tiekėjas, teikdamas Paslaugas, turi vadovautis ISO 9241-110 (UX ergonomikos) standartu.
  • 4Tiekėjas, teikdamas Paslaugas, turi vadovautis OWASP TOP 10 (saugumo) standartu.
  • 5Tiekėjas, teikdamas Paslaugas, turi vadovautis ISO/IEC 27001 (informacijos saugos) standartu.
  • 6Tiekėjas, teikdamas Paslaugas, turi vadovautis ISO/IEC 25010 (programinės įrangos kokybės reikalavimų) standartu; arba jiems lygiaverčiais.
  • 7Tiekėjas, teikdamas Paslaugas, turi naudoti įrankius (pvz., Figma, Visio arba Camunda ar pan.) prieinamus Perkančiajai organizacijai be papildomų licencijų.

Paslaugų teikimo eiga ir terminai

  • 1Bendras Paslaugų suteikimo terminas – ne vėliau kaip per 6 mėnesius nuo Sutarties įsigaliojimo dienos.
  • 2Paslaugos turi būti teikiamos nuotoliniu būdu.
  • 3Esamos EGZIS analizės atlikimo etape turi būti numatytos bent 3 (trys) Tiekėjo ir Perkančiosios organizacijos atstovų darbo sesijos, siekiant išgryninti Perkančiosios organizacijos lūkestį ir poreikį.
  • 4Paslaugų teikimo grafike turi būti numatytas Paslaugų suteikimo rezultato pristatymas, kuris vykdomas po Paslaugų visa apimtimi suteikimo.
  • 5Perkančioji organizacija su pateiktais dokumentais susipažįsta, įvertina juos arba patvirtina jų tinkamumą ne vėliau kaip per 10 (dešimt) darbo dienų nuo jo gavimo dienos.
  • 6Parengti dokumentai, jei juose nustatyta trūkumų, turi būti pakoreguoti pagal Perkančiosios organizacijos pastabas ir pasiūlymus. Tiekėjas ne vėliau kaip per 5 (penkias) darbo dienas nuo pastabų ir pasiūlymų gavimo turi ištaisyti pagal pateiktas pastabas, pasiūlymus ir pateikti vertinimui patikslintus dokumentus. Maksimalus galimas patikslinimų skaičius – 2 (kartai).

Pirkimo objekto apimtis ir rezultatai

  • 1Paslaugos turi apimti detalizuotas paslaugas be programavimo ar diegimo paslaugų.
  • 2Paslaugų suteikimo rezultatas – parengtas išsamus dokumentas (-ai) būsimoms programavimo paslaugoms.
  • 3Esamos EGZIS analizės atlikimas: surinkti ir išanalizuoti esamos EGZIS dokumentaciją, procesus, naudotojų poreikius, trūkumus ir sąsajas su kitomis Perkančiosios organizacijos sistemomis (VEIS, vidinės administravimo IS). Rezultatas: Esamos EGZIS situacijos analizės ataskaita.
  • 4Naujos EGZIS koncepto parengimas: parengti viziją ir architektūrinį konceptą naujai EGZIS (pasiūlyti architektūrinius principus, komponentų schemą, integracijų sprendimus, duomenų srautus). Rezultatas: Naujos EGZIS koncepcijos dokumentas (PDF, ArchiMate / Visio arba analogišką schema).
  • 5Naujos EGZIS funkcinių ir nefunkcinių reikalavimų parengimas: parengti išsamius naujos EGZIS naudotojų, funkcinius, nefunkcinius ir saugumo reikalavimus, suskirstytus pagal modulius ir naudotojų grupes. Rezultatas: Reikalavimų specifikacijos dokumentas (Word / Excel).
  • 6Naujos EGZIS naudotojų scenarijų ir procesų modelių parengimas: parengti naujos EGZIS naudotojų kelionės (angl. user journey), veiklos procesų BPMN diagramas ir naudotojų istorijas (angl. user stories), naudotojų poreikių analizę. Rezultatas: Procesų ir scenarijų rinkinys (PDF / Visio arba Camunda).
  • 7Naudotojo sąsajos prototipų parengimas: sukurti žemos ir vidutinės raiškos prototipus „Figma“ įrankyje pagal Tiekėjo Paslaugų teikimo apimtyje parengtus reikalavimus. Rezultatas: Interaktyvūs „Figma“ prototipai (UX / UI rinkinys).
  • 8Naujos EGZIS techninės specifikacijos programavimo paslaugų pirkimui parengimas: parengti pilną techninę specifikaciją programavimo paslaugų pirkimui pagal valstybės IS gyvavimo ciklo metodiką. Rezultatas: Techninė specifikacija (Word + priedai).
  • 9Tiekėjas turi užtikrinti, kad visi dokumentai būtų parengti lietuvių kalba ir pateikti redaguojamais formatais (Word, Excel, PDF, Visio arba Camunda, Figma ir pan.) bei galėtų būti toliau naudojami programavimo paslaugų pirkimo dokumentacijos rengimui.

Dokumentai9

  • 1_4. Rinkos konsultacija_EGZIS_CVP IS.7z
  • RK 2 priedas_Kvalifikacijos reikalavimai.docx
  • RK 3 priedas_ADTS projektas.docx
  • RK 4 priedas_Rinkos konsultacijos klausimynas.docx
  • Rinkos konsultacija_Kvietimas.docx
  • RK 3 priedas_Sutarties projektas_Bendrosios salygos.docx
  • RK 3 priedas_Sutarties projektas_Specialiosios sąlygos.docx
  • 1289_6698923.pdf
  • RK 1 priedas_Technine specifikacija.docx
tendis.lt · Sukurta recodin.lt