Už kibernetinį saugumą atsakingų asmenų paslaugos

Išanalizuota

Švenčionių rajono savivaldybės administracija

Atviras konkursasCPV: 72000000 - IT paslaugos: konsultavimas, programinės įrangos kūrimas, internetas ir aptarnavimo paslaugos

ID: 70582542026-03-23 14:52Pasiūlymai iki: 2026-04-13 09:00

Atidaryti CVP IS

Aprašymas

Švenčionių rajono savivaldybės administracija perka už kibernetinį saugumą atsakingų asmenų paslaugas, kurios apima Kibernetinio saugumo vadovo ir Saugos įgaliotinio funkcijų vykdymą. Tikslas yra užtikrinti nuolatinę atitiktį Lietuvos Respublikos kibernetinio saugumo įstatymo reikalavimams. Paslaugos apima rizikos valdymą, politikos kūrimą, incidentų valdymą, atitikties priežiūrą, tiekimo grandinės saugumą ir darbuotojų mokymus.

Kvalifikaciniai reikalavimai

1Tiekėjas per pastaruosius 5 (penkis) metus (iki pasiūlymų pateikimo termino pabaigos) arba per laiką nuo tiekėjo įregistravimo dienos (jeigu tiekėjas vykdė veiklą mažiau nei 5 (penkis) metus) yra tinkamai įvykdęs bent 1 (vieną) sutartį, kurios objektas apima saugos vadovo ir (ar) įgaliotinio paslaugas ir suteiktų paslaugų vertė pasiūlymo pateikimo dienai yra ne mažesnė 15 000 Eur neįskaitant PVM. Tinkamai įgyvendinta sutartimi yra laikomas sutarties įgyvendinimas pilna apimtimi, kai sutarties užsakovas patvirtina rezultato užbaigtumą ir tinkamumą, jei sutartis tebevykdoma, tačiau saugos vadovo/įgaliotinio paslaugos suteiktos tinkamai, sutarties užsakovas patvirtina sutarties rezultato užbaigtumą ir tinkamumą.
2Kibernetinio saugumo vadovas per pastaruosius 5 metus iki pasiūlymo pateikimo termino pabaigos įgyvendino bent vieną tinkamai įgyvendintą informacijos ir kibernetinės saugos valdymo paslaugų teikimo sutartį. Sąvoka „per paskutinius 5 (penkis) metus iki pasiūlymo pateikimo termino pabaigos“ reiškia terminą, skaičiuojamą nuo paskutinės pasiūlymų pateikimo termino dienos skaičiuojant atgal pilnais metais.
3Kibernetinio saugumo vadovas turi turėti ne mažiau kaip 2 metų patirtį informacinių technologijų, kibernetinio saugumo ar tinklų ir informacinių sistemų srityje ir šių sričių kvalifikaciją patvirtinantį aukštojo mokslo diplomą ar tarptautiniu lygmeniu pripažįstamą kvalifikacijos sertifikatą arba Nacionalinio kibernetinio saugumo centro vadovo nustatyta tvarka būti išklausęs mokymus ir išlaikęs kibernetinio saugumo vadovo egzaminą.
4Kibernetinio saugumo įgaliotinis per pastaruosius 5 metus iki pasiūlymo pateikimo termino pabaigos tinkamai vykdė kibernetinio įgaliotinio pareigas (ar panašias) bent 1 (vienoje) įvykdytoje (baigtoje) sutartyje. Sąvoka „per paskutinius 5 (penkis) metus iki pasiūlymo pateikimo termino pabaigos“ reiškia terminą, skaičiuojamą nuo paskutinės pasiūlymų pateikimo termino dienos skaičiuojant atgal pilnais metais.
5Kibernetinio saugumo įgaliotinis turi turėti specialisto įgytą ir galiojantį Certified in Risk and Information Systems Controls (CRISC) arba lygiavertį tarptautiniu mastu pripažįstamą sertifikatą arba lygiavertį informacijos saugumo rizikos valdymo specialisto kvalifikaciją patvirtinantį dokumentą.
6Tiekėjas turi turėti įdiegtą ir sertifikuotą informacijos saugumo valdymo sistemą (ISVS), atitinkančią tarptautinį standartą ISO/IEC 27001 arba lygiaverčius informacijos saugumo valdymo standartus.

Techniniai reikalavimai

Esama IT infrastruktūra

1Naudojamas ESET Protect Enterprise sprendimas.
2Stebimų darbo vietų skaičius: 255.
3Stebimų serverių skaičius: 7.
4Darbo vietos ir serveriai yra integruoti į ESET Protect Enterprise sprendimą.
5Logų rinkimas ir analizė yra centralizuoti darbo vietų ir serverių apimtyje.

Saugos įgaliotinio funkcijos

1Vadovauti incidento valdymo procesui, koordinuojant Įstaigos IT personalo ir kitų susijusių šalių veiksmus.
2Pirminis pranešimas NKSC ir incidento tyrimo ataskaita pateikiama per 24 valandas nuo aptikimo (pranešimas), per 72 valandas (ataskaita).
3Teikti ekspertines rekomendacijas dėl būtinų techninių kibernetinio saugumo priemonių (pvz., ugniasienių, įsilaužimų aptikimo ir prevencijos sistemų (IDS/IPS), antivirusinės programinės įrangos, el. pašto saugumo sprendimų) parinkimo, diegimo ir konfigūravimo.
4Koordinuoti ir prižiūrėti periodinius (ne rečiau kaip kartą per metus) Įstaigos išorinio ir vidinio tinklo pažeidžiamumų skenavimus.
5Analizuoti skenavimo rezultatus, identifikuoti kritinius pažeidžiamumus ir teikti Įstaigos IT personalui detalias rekomendacijas bei veiksmų planus jiems pašalinti.
6Prireikus (pagal atskirą Įstaigos užsakymą ir susitarimą), koordinuoti ir prižiūrėti trečiųjų šalių atliekamus įsiskverbimo testus.
7Rengti detalias technines ataskaitas po kiekvieno reikšmingo kibernetinio incidento, kuriose analizuojamos incidento priežastys, eiga, poveikis ir siūlomos prevencinės priemonės.
8Rengti periodines ataskaitas apie aptiktus pažeidžiamumus, jų šalinimo eigą ir bendrą techninio saugumo būklę.

Bendrieji paslaugų reikalavimai

1Paslaugų teikimo trukmė yra 12 mėnesių su galimybe pratęsti dar 12 mėnesių arba iki visiško Šalių įsipareigojimų įvykdymo.
2Paslaugų tikslas yra užtikrinti nuolatinę ir įrodomą Perkančiosios organizacijos atitiktį Lietuvos Respublikos kibernetinio saugumo įstatymo ir jo įgyvendinamųjų teisės aktų reikalavimams.
3Kibernetinio saugumo vadovas ir (ar) saugos įgaliotinis negali vykdyti funkcijų, susijusių su tinklų ar informacinių sistemų administravimu ar kitomis pareigybėmis, susijusiomis su techninės kompiuterinės įrangos ar programinės įrangos priežiūra ir valdymu.
4Teikiamos paslaugos turi atitikti Aplinkos apsaugos kriterijų taikymo, vykdant žaliuosius pirkimus, tvarkos aprašo 4.4.4.1 punkte nustatytus reikalavimus.
5Vykdant sutartį, Paslaugų teikėjas gali tvarkyti asmens duomenis, veikdamas kaip duomenų tvarkytojas pagal BDAR, ir pasirašomas atskiras Duomenų tvarkymo susitarimas.

Paslaugų teikimo lygio reikalavimai (SLA)

1Paskirti specialistai turi būti pasiekiami Įstaigos darbo valandomis (pirmadienį–ketvirtadienį nuo 8:00 iki 17:00 val., penktadienį nuo 8:00 iki 15:45 val.) telefonu ir elektroniniu paštu konsultacijoms ir standartinėms užduotims vykdyti.
2Reagavimui į kibernetinius incidentus Paslaugų teikėjas privalo užtikrinti specialistų pasiekiamumą 24 valandas per parą, 7 dienas per savaitę (24/7).
3Didelis incidentas (pvz., duomenų nutekėjimas, pagrindinių paslaugų veiklos sutrikdymas): pirminis reagavimas (veiksmų pradžia) per 1 valandą nuo pranešimo gavimo arba incidento aptikimo bet kuriuo paros metu.
4Didelis incidentas: pirminis pranešimas Įstaigai (su situacijos įvertinimu ir pirminiu veiksmų planu) per 4 valandas nuo reagavimo pradžios.
5Nedidelis incidentas (pvz., sėkminga kenkėjiškos programinės įrangos ataka be didelio poveikio): pirminis reagavimas per 2 valandas nuo pranešimo gavimo arba incidento aptikimo (darbo valandomis).
6Standartinė konsultacija / Užklausa: atsakymas į el. paštu pateiktą užklausą per 8 darbo valandas.
7Mėnesio veiklos ataskaita pateikiama iki kito mėnesio 5 (penktos) darbo dienos.
8Ketvirčio atitikties ataskaita pateikiama iki kito ketvirčio 10 (dešimtos) darbo dienos.
9Incidento tyrimo ataskaita pateikiama per 72 valandas nuo incidento suvaldymo.

Kibernetinio saugumo vadovo (CISO) funkcijos

1Atlikti išsamų Įstaigos tinklų ir informacinių sistemų kibernetinio saugumo rizikos vertinimą, pagrįstą TIS 2 direktyvoje nurodytais principais.
2Parengti, suderinti su Įstaigos vadovybe ir prižiūrėti rizikos valdymo planą, kuriame numatytos konkrečios rizikos mažinimo priemonės.
3Periodiškai, ne rečiau kaip kartą per metus arba įvykus esminiams pokyčiams Įstaigos IT infrastruktūroje, atnaujinti rizikos vertinimą ir rizikos valdymo planą.
4Parengti, įdiegti, prižiūrėti ir periodiškai atnaujinti visą KSĮ ir jo poįstatyminių aktų reikalaujamą dokumentaciją, įskaitant, bet neapsiribojant: Kibernetinio saugumo valdymo taisykles, Kibernetinių incidentų valdymo planą, Tęstinumo ir atkūrimo po avarijos planus, Informacijos klasifikavimo ir tvarkymo politiką, Prieigos valdymo politiką.
5Užtikrinti, kad parengtų dokumentų tvirtinimo duomenys būtų pateikti NKSC.
6Užtikrinti ir nuolat stebėti Įstaigos atitiktį KSĮ 14 (Kibernetinio saugumo rizikos valdymo priemonės) ir 18 (Pranešimai apie kibernetinius incidentus) straipsnių reikalavimams.
7Vykdyti periodinius (ne rečiau kaip kartą per metus) atitikties vertinimą, siekiant įvertinti kibernetinio saugumo priemonių veiksmingumą.
8Rengti ir teikti Įstaigos vadovybei ataskaitas apie atitikties būklę, nustatytus trūkumus ir rekomendacijas jiems šalinti.
9Veikti kaip pagrindinis Įstaigos kontaktinis asmuo bendraujant su NKSC ir kitomis priežiūros institucijomis kibernetinio saugumo klausimais.
10Sukurti ir įgyvendinti procesą, skirtą Įstaigos tiekėjų ir partnerių, turinčių prieigą prie Įstaigos tinklų ir informacinių sistemų, kibernetinio saugumo brandai vertinti.
11Rengti saugumo reikalavimus, kurie būtų įtraukiami į sutartis su trečiosiomis šalimis, siekiant užtikrinti, kad jos laikytųsi griežtų saugumo standartų, kaip to reikalauja TIS 2 direktyva.
12Parengti metinį kibernetinio saugumo mokymų ir sąmoningumo didinimo planą.
13Organizuoti ir vesti periodinius (ne rečiau kaip kartą per ketvirtį) mokymus Įstaigos darbuotojams aktualiomis kibernetinio saugumo temomis (pvz., fišingas, saugus slaptažodžių naudojimas, socialinė inžinerija).

Dokumentai16

2_1 priedas Pasiūlymo forma.docx
3_2 priedas Techninė specifikacija.docx
4_3 priedas Sutarties projektas.docx
8_c4t_7058254_1.xml
7058254_National Contract notice or Design Contest notice - general directive, standard regime_0.pdf
Atsakymas į užklausimą (2026-04-02).docx
7058254_National Contract notice or Design Contest notice - general directive, standard regime_1.pdf
7058254_National Contract notice or Design Contest notice - general directive, standard regime_2.pdf
1_Skelbiamos apklausos pirkimo sąlygos.docx
5_4 priedas Tiekejo deklaracija.docx
6_5 priedas Nacionalinio saugumo reikalavimų atitikties deklaracija.docx
7_6 priedas Tiekėjo siūlomų specialistų sąrašas.docx
1402_7058254.pdf
2 priedas Techninė specifikacija_patikslinta (2026-04-02).docx
Pakeitimas_Skelbiamos apklausos pirkimo sąlygos_(2026-04-02).docx
10_Atsakymas į užklausimą 2026-04-08.docx

tendis.lt · Sukurta recodin.lt