Grįžti į sąrašą

(VPP-779) PERDUODAMŲ DUJŲ KIEKIŲ APSKAITOS (GDPAS) TECHNINIO PALAIKYMO PASLAUGOS

Išanalizuota

AB "Amber Grid"

Skelbiama apklausa su derybomisCPV: 72261000 - Programinės įrangos palaikymo paslaugos
ID: 72833432026-04-07 15:48
Atidaryti CVP IS

Aprašymas

AB „Amber Grid“ perka Perduodamų dujų kiekių apskaitos (GDPAS) informacinės sistemos techninio palaikymo paslaugas. Šios paslaugos apima konsultacijas, incidentų ir klaidų šalinimą, sistemos administravimą bei integravimą su kitomis sistemomis, užtikrinant kibernetinį saugumą. Pradinis sutarties laikotarpis yra 3 mėnesiai, su galimybe jį pratęsti iki 12 mėnesių.

Kvalifikaciniai reikalavimai

Kvalifikacinių reikalavimų nerasta

Techniniai reikalavimai

Bendrieji reikalavimai

  • 1Techninio palaikymo paslaugos turi būti teikiamos lietuvių kalba arba užtikrinti vertimą į lietuvių kalbą.
  • 2Užsakovui pareikalavus, Tiekėjas privalo turėti galimybę atvykti per 2 valandas į sutartinių įsipareigojimų vykdymo vietą - Gudelių g. 49, Vilnius.
  • 3Paslaugos pradedamos teikti nuo sutarties sudarymo dienos.

Palaikymo paslaugų teikimas

  • 1Tiekėjas turi teikti konsultacinę pagalbą paskirtiems užsakovo specialistams sprendžiant incidentus, problemines situacijas.
  • 2Tiekėjas turi teikti konsultacinę pagalbą paskirtiems užsakovo specialistams dėl integravimų su kitomis sistemomis netinkamo veikimo ar neveikimo klausimų.
  • 3Tiekėjas turi teikti konsultacinę pagalbą paskirtiems užsakovo specialistams Sistemos administravimo, sukurto sprendimo naudojimo bei konfigūravimo ir nustatymų keitimo klausimais.
  • 4Tiekėjas turi teikti konsultacinę pagalbą paskirtiems užsakovo specialistams konsultacijų veiklos klausimais Sistemoje.
  • 5Pirkėjui turi būti sudaryta galimybė registruoti atsiradusias klaidas tiesiai Tiekėjui jo nurodytoje IT paslaugų valdymo (ITSM) platformoje.
  • 6Tiekėjas privalo išanalizuoti kritines klaidas ir pateikti klaidų šalinimo aprašymą ne vėliau kaip per 2 valandas.
  • 7Tiekėjas privalo išanalizuoti nekritines klaidas ir pateikti klaidų šalinimo aprašymą ne vėliau kaip per 4 valandas.
  • 8Kritinės klaidos turi būti pašalintos ne vėliau kaip per 2 valandas.
  • 9Nekritinės klaidos turi būti pašalintos ne vėliau kaip per 2 dienas.
  • 10Tiekėjas privalo Pirkėjo vardu užregistruoti Licencijų atnaujinimus gamintojo nustatyta tvarka ir registracijos duomenis perduoti Pirkėjui.
  • 11Tiekėjas įsipareigoja supažindinti Pirkėjo atstovus su aktualia gamintojo licencijų sutartimi ir nedelsiant informuoti apie naujoves ar pakeitimus gamintojo licencijų sutartyje.
  • 12Į užsakovo raštu pateikiamus klausimus atsakymai turi būti pateikiami per 2 (dvi) darbo dienas po pranešimo gavimo arba problemos pagalbos sistemoje užregistravimo.

Kibernetinio saugumo reikalavimai

  • 1Paslaugų teikėjas apie bet kokį kibernetinio saugumo incidentą, galintį paliesti Pirkėjo duomenis ar informacinius išteklius, privalo pranešti nedelsiant, bet ne vėliau kaip per 24 valandas, pateikiant ankstyvą įspėjimą Pirkėjui.
  • 2Per 72 valandas nuo sužinojimo, Paslaugų teikėjas pateikia išsamų pranešimą apie incidento pobūdį, mastą, poveikio vertinimą ir taikytas pirmines priemones.
  • 3Paslaugų teikėjas privalo teikti tarpines ir galutinę incidentų ataskaitą pagal Pirkėjo prašymą.
  • 4Pranešimai apie incidentus teikiami už sutarties vykdymą atsakingiems Pirkėjo darbuotojams arba el. paštu cyber@ambergrid.lt. Informacija turi būti autentiška ir, jei prašoma, užšifruota.
  • 5Paslaugų teikėjas pareiškia ir garantuoja, kad nei jis, nei jo pasitelkiami subrangovai, nei Paslaugų teikėjai nėra kilę iš valstybių, kurios kelia grėsmę Lietuvos Respublikos nacionaliniam saugumui.
  • 6Draudžiama naudoti elementus, kurių gamintojai, tiekėjai, paslaugų teikėjai ar galutiniai naudos gavėjai yra registruoti, valdomi ar kontroliuojami šalyse, įtrauktose į LR Vyriausybės sąrašus kaip nepatikimos ar keliančios riziką nacionaliniam saugumui (įskaitant Rusijos Federaciją, Baltarusijos Respubliką ir Kinijos Liaudies Respubliką).
  • 7Teikiant paslaugas, turi būti vadovaujamasi Lietuvos Respublikos kibernetinio saugumo įstatymu ir Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu (LRV 2018-08-13 nutarimas Nr. 818).
  • 8Pirkėjui pareikalavus, Paslaugų teikėjas privalo pateikti raštišką patvirtinimą dėl atitikimo nacionalinio saugumo reikalavimams ir informaciją (pvz., SBOM) apie Sistemos komponentų kilmę ir gamintojus.
  • 9Paslaugų teikėjas įsipareigoja laikytis gerųjų programinės įrangos kūrimo saugumo praktikų (angl. Secure Coding) ir užtikrinti, kad sukurtas produktas atitiktų galiojančius teisės aktus, įskaitant LR Asmens duomenų teisinės apsaugos įstatymą.
  • 10Kuriant ar modifikuojant sprendimus, Paslaugų teikėjas privalo vadovautis OWASP Top 10 (naujausia versija) žinomų pažeidžiamumų prevencija, OWASP Secure Coding Practices rekomendacijomis, CWE/SANS Top 25 (naujausia versija) dažniausių programavimo klaidų vengimu ir bendrosiomis CIS Controls rekomendacijomis.
  • 11Paslaugų teikėjas privalo naudoti tik naujausias, gamintojo palaikomas programinės įrangos ir jos komponentų versijas. Vystymas privalo būti atliekamas LTS (ilgalaikio palaikymo) versijų pagrindu, jei gamintojas jas teikia.
  • 12Paslaugų Tiekėjas privalo naudoti tik saugius ir palaikomus komponentus, neturinčius žinomų CVE pažeidžiamumų. Reikalaujama naudoti programinės įrangos sudėties analizės (SCA) įrankius.
  • 13Turi būti naudojama tik leistina ir licencijuota aparatinė ir programinė įranga, turinti galiojančias licencijas, atitinkančias naudojimo paskirtį ir apimtį, nėra kilusi iš šalių, keliančių grėsmę nacionaliniam saugumui, ir suderinta su Pirkėju.
  • 14Paslaugų Tiekėjas privalo naudoti versijų kontrolės sistemą (pvz., Private Git, Fossil, Perforce Helix Core, Azure DevOps Server, ar kitą), užtikrinančią kodo pokyčių sekimą, auditą ir atkuriamumą.
  • 15Kiekvienas kodo pakeitimas turi būti dokumentuotas su aiškiu kodo pakeitimo aprašymu (commit), nurodančiu atliktus pakeitimus ir jų priežastis.
  • 16Privaloma naudoti šakų valdymo strategiją (pvz., Git Flow, trunk-based development), užtikrinančią saugų vystymą ir testavimą.
  • 17Kodo saugojimo infrastruktūra turi būti apsaugota nuo neautorizuotos prieigos, naudojant dviejų žingsnių autentifikaciją (MFA) ir prieigos teisių valdymą pagal roles (RBAC).
  • 18Kodo saugyklos turi būti reguliariai daromos atsarginės kopijos ir tikrinamas jų atkuriamumas.
  • 19Kodo saugykla turi būti dislokuota tik EEE (European Economic Area) teritorijoje. Pirkėjo talpinami duomenys neturi būti iškeliami už šios teritorijos ribų.
  • 20Paslaugų Tiekėjas privalo užtikrinti, kad saugyklose nebūtų laikomi slaptažodžiai, API raktai ar kiti jautrūs duomenys – tam turi būti naudojami slaptų raktų valdymo sprendimai (pvz., HashiCorp Vault, Azure Key Vault).
  • 21Paslaugų Tiekėjas turi saugoti bent 3 paskutines stabilias versijas ir užtikrinti galimybę grįžti prie ankstesnės versijos (rollback).
  • 22Prieigą prie Pirkėjo informacijos gali turėti tik iš anksto su Pirkėju suderintas ir patvirtintas Paslaugų teikėjo personalo sąrašas. Apie komandos narių pasikeitimus privaloma informuoti.
  • 23Paslaugų teikėjas užtikrina saugią fizinę ir skaitmeninę darbo aplinką, įskaitant „švaraus stalo“ politiką ir galiojančią, patikimo gamintojo antivirusinę sistemą darbuotojų įrenginiuose.
  • 24Antivirusinė programinė įranga darbuotojų darbo priemonėse neturi būti kilusi iš šalių, keliančių grėsmę nacionaliniam saugumui.
  • 25Apie bet kokius įtariamus ar įvykusius duomenų saugumo incidentus (nutekėjimo, pasisavinimo atvejus) Paslaugų teikėjas privalo nedelsdamas informuoti Pirkėją ir imtis būtinų priemonių situacijai suvaldyti.
  • 26Darbuotojams suteikiamos tik minimalios prieigos teisės, būtinos jų funkcijoms atlikti (Mažiausių teisių principas).
  • 27Kiekvienam darbuotojui sukuriama unikali, vardinė prieigos paskyra, galiojanti tik Sutarties vykdymo laikotarpiu. Šių paskyrų dalijimasis tarp asmenų yra griežtai draudžiamas.
  • 28Draudžiamos bendros („shared“) ir svečio („guest“) paskyros.
  • 29Visi standartiniai (gamintojo) slaptažodžiai prieš eksploatavimą pakeičiami.
  • 30Slaptažodžiai negali būti saugomi ar perduodami atviru tekstu. Laikini slaptažodžiai privalo būti perduodami tik saugiais, šifruotais kanalais (pvz., TLS), pageidautina atskirai nuo naudotojo tapatybės.
  • 31Visi sistemoje saugomi slaptažodžiai turi būti sūdomi ir maišomi (salted and hashed), naudojant vieną iš stiprių, standartus atitinkančių algoritmų: Argon2 arba PBKDF2.
  • 32Administratoriaus funkcijos atliekamos atskiru admin vardu, nenaudojamu kasdieniam darbui.
  • 33Prisijungimo ekrane nematomas paskutinio naudotojo vardas.
  • 34Duomenų minimizavimas: Paslaugų teikėjas įsipareigoja nenaudoti, nekopijuoti ir nesaugoti daugiau Pirkėjo informacijos, nei yra būtina sutarties tikslams pasiekti.
  • 35Saugojamų duomenų šifravimas (Encryption at Rest): Visa Pirkėjo informacija, laikinai saugoma Paslaugų teikėjo įrenginiuose, privalo būti užšifruota (pvz., BitLocker, FileVault).
  • 36Perduodamų duomenų šifravimas (Encryption in Transit): Visi duomenys, perduodami tinklais, privalo būti šifruojami naudojant saugius protokolus (pvz., TLS 1.3, SFTP, VPN).
  • 37Draudžiama Pirkėjo informaciją tvarkyti naudojant asmenines el. pašto dėžutes, nepatvirtintas debesijos paslaugas ar asmenines laikmenas.
  • 38Duomenų Lokalizacija: Visi Pirkėjo duomenys bus saugomi ir tvarkomi tik Europos Sąjungos (ES) / Europos Ekonominės Erdvės (EEE) valstybių narių teritorijoje arba šalyse, kurioms Europos Komisija yra priėmusi sprendimą dėl tinkamo duomenų apsaugos lygio.
  • 39Pasibaigus sutarčiai, visos paslaugos, Paslaugų teikėjo personalui suteiktos prieigos prie Pirkėjo sistemų ir duomenų, turi būti visam laikui panaikinamos ne vėliau kaip per 24 valandas.
  • 40Visa Pirkėjo informacija saugiai perduodama Pirkėjui, sutartu formatu.
  • 41Pirkėjo informacijos sunaikinimas (ištrynimas), kai toks prašymas pateikiamas, atliekamas dedant protingas ir komerciškai pagrįstas pastangas per suderintą terminą.
  • 42Fiziniai dokumentai sunaikinami naudojant dokumentų naikiklį, atitinkantį P-4 saugumo lygį pagal ISO 21964 / DIN 66399 standartą.
  • 43Pirkėjui pareikalavus, Paslaugų teikėjas privalo pateikti raštišką patvirtinimą (sunaikinimo aktą), kad visa Pirkėjo informacija buvo sunaikinta.
  • 44Pirkėjas pasilieka teisę atlikti Paslaugų teikėjo taikomų saugumo priemonių auditą, siekdamas įsitikinti reikalavimų laikymusi, iš anksto įspėjęs per protingą terminą.
  • 45Paslaugų teikėjas įsipareigoja bendradarbiauti su Pirkėju ir (arba) jo pasitelktais atstovais audito atlikimo metu.

Dokumentai15

  • Mažos vertės specialiosios sąlygos.docx
  • SPS 1 priedas. Pirminio_Galutinio pasiūlymo forma.docx
  • SPS 2 priedas. Technine specifikacija.docx
  • SPS 5 priedas. Nacionalinio saugumo reikalavimų atitikties deklaracija.docx
  • SPS 6 priedas. Konfidenciali informacija.docx
  • SPS 7 priedas. Konfidencialumo isipareigojimas.docx
  • SPS 8 priedas. Sandorio šalies ir (ar) subtiekėjo duomenų forma.docx
  • 7283343_National Contract notice or Design Contest notice - general directive, standard regime_0.pdf
  • 1362_7283343.pdf
  • 1_c4t_7283343_1.xml
  • Mažos vertės bendrosios sąlygos.docx
  • Paslaugu sutarties projektas.docx
  • trisale-sutartis-tiesioginis-atsiskaitymas-su-subrangovais.docx
  • SPS 4 priedas. Informacija apie ukio subjektus.docx
  • 3_Atsakymai i klausimus 04.08.pdf
tendis.lt · Sukurta recodin.lt