Grįžti į sąrašą

Nacionalinio ECRIS-TCN modulio priežiūros ir jo plėtros paslaugos (PPR-149)

Išanalizuota

Išteklių agentūra prie Lietuvos Respublikos vidaus reikalų ministerijos

Atviras konkursasCPV: 72200000 - Programinės įrangos programavimo ir konsultacinės paslaugos
ID: 74801772026-04-22 05:20
Atidaryti CVP IS

Aprašymas

Šis pirkimas skirtas užtikrinti Nacionalinio ECRIS-TCN modulio, Europos nuosprendžių registrų informacinės sistemos (ES FK) programinės įrangos ir duomenų teikimo į centrinę ECRIS-TCN sistemą nenutrūkstamą veikimą. Paslaugos apima programinės įrangos modernizavimą, sutrikimų šalinimą, optimizavimą ir konsultavimą. Pirkimas finansuojamas iš Vidaus saugumo fondo lėšų.

Kvalifikaciniai reikalavimai

  • 1Ekspertas Nr. 1 – Projekto vadovas: turintis tarptautiniu mastu pripažįstamą projektų valdymo eksperto kvalifikaciją (PMP arba Prince 2 ar jam lygiavertis); per paskutinius 5 (penkis) metus turėti vadovavimo informacinių sistemų arba registrų kūrimo, arba modernizavimo ir/arba priežiūros paslaugų sutartims patirtį darbo patirtį ne mažiau kaip 1 (vienoje) sėkmingai įvykdytoje (baigtoje) sutartyje.
  • 2Ekspertas Nr. 2 – Informacinių sistemų programuotojas: turintis tarptautiniu mastu pripažįstamą informacinių sistemų programuotojo kvalifikaciją (Oracle Certified Professional, Java Programmer arba Oracle Advanced PL/SQL Developer Certified Professional, arba Developing Solutions for Microsoft Azure, arba Microsoft Certified Professional ar lygiavertis).
  • 3Ekspertas Nr. 3 – Informacinių sistemų integracijų (sąsajų) programuotojas: turintis tarptautiniu mastu pripažįstamą IT sistemų integravimo kvalifikaciją (Oracle Certified Expert, Java EE 6 Web Services Developer arba Oracle Certified Professional, Java EE 7 Application Developer ar jam lygiavertį dokumentą).
  • 4Ekspertas Nr. 4 – Informacinių sistemų testuotojas: turintis tarptautiniu mastu pripažįstamą testuotojo kvalifikaciją (ISTQB Certified Tester, Advanced Level (Test Manager) arba ISEB Intermediate Certificate in Software Testing ar lygiavertį dokumentą); turintis praktinę darbo patirtį kaip testuotojas bent 1 (vienoje) per paskutinius 5 (penkis) metus sėkmingai įvykdytoje (baigtoje) sutartyje, susijusioje su įdiegtų informacinių sistemų ar registrų testavimu, kurio apimtyje buvo įgyvendintas sukurtos arba jau veikiančios informacinės sistemos tobulinimas, papildomo funkcionalumo realizavimas ir kuriame turėjo būti parengti sistemos testavimo planai, parengti testavimo scenarijai ir atlikti testavimai bei parengtos testavimo ataskaitos.
  • 5Ekspertas Nr. 5 – duomenų bazių administravimo ekspertas: turintis tarptautiniu mastu pripažįstamą duomenų bazių administratoriaus kvalifikaciją (Oracle Database Administrator Certified Professional arba Oracle Database SQL Certified Associate ar lygiavertį dokumentą); turintis duomenų bazių administratoriaus patirtį bent 1 (viename) per paskutinius 5 (penkis) metus sėkmingai įvykdytoje (baigtoje) informacinės sistemos ar registro kūrimo ir diegimo ir/ar priežiūros, ar modernizavimo sutartyje.
  • 6Ekspertas Nr. 6 – IT saugos ekspertas: turintis tarptautiniu mastu pripažįstamą IT saugos specialisto kvalifikaciją (CISM (Certified Information Security Manager) arba CEH (Certified Ethical Hacker) ar jam lygiavertį dokumentą); turintis saugos eksperto darbo patirtį bent 1 (viename) per paskutinius 5 (penkis) metus sėkmingai įvykdytoje (baigtoje) informacinės sistemos ar registro kūrimo ir diegimo ir/ar priežiūros, ar modernizavimo sutartyje.
  • 7Tiekėjas (jo pasitelkiamas jungtinės veiklos partneris) ir jo pasitelkiami subtiekėjai negali kelti grėsmės nacionaliniam saugumui, kai ketinamos sudaryti sutarties pagrindu susidarytų aplinkybės, nurodytos Nacionaliniam saugumui užtikrinti svarbių objektų apsaugos įstatymo 13 straipsnio 4 dalies 1 punkte.
  • 8Tiekėjas neturi interesų, galinčių kelti grėsmę nacionaliniam saugumui. Perkančioji organizacija draudžia pirkime dalyvauti tiekėjams, jų subtiekėjams ar ūkio subjektams, kurių pajėgumais yra remiamasi, kurie patys ar juos kontroliuojantys asmenys yra registruoti (jeigu tiekėjas, jo subtiekėjas, ūkio subjektas, kurio pajėgumais remiamasi, ar kontroliuojantis asmuo yra fizinis asmuo – nuolat gyvenantis ar turintis pilietybę) VPĮ 92 straipsnio 14 dalyje numatytame sąraše nurodytose valstybėse ar teritorijose.

Techniniai reikalavimai

Paslaugų apimtis

  • 1Nacionalinio ECRIS-TCN modulio programinės įrangos modernizavimas (atnaujinimas ir diegimas pagal eu-LISA techninę dokumentaciją, sukurtos programinės įrangos testavimas pagal eu-LISA grafiką).
  • 2Nacionalinio ECRIS-TCN modulio, ES FK programinės įrangos ir duomenų teikimo į centrinę ECRIS-TCN sistemą priežiūra, sutrikimų šalinimas, susijusių Registro pakeitimų realizavimas, siekiant užtikrinti nenutrūkstamą nacionalinio ECRIS TCN modulio veikimą.
  • 3Paslaugos teikimo terminas – 24 mėnesiai nuo sutarties įsigaliojimo dienos.
  • 4Paslaugos turi būti suteiktos Informatikos ir ryšių departamente, adresu Šventaragio g. 2, Vilnius, Lietuva.
  • 5Perkančioji organizacija paslaugas įsigys pagal poreikį ir neįsipareigoja įsigyti visos apimties paslaugų.
  • 6Tiekėjas privalės atlikti detalią analizę arba sutrikimo priežasčių diagnostiką ES FK programinės įrangos sutrikimų atveju, specifikuoti siūlomą realizaciją ar programinės įrangos atnaujinimą ir pateikti Perkančiajai organizacijai. Analizės ir projektavimo rezultatus dokumentuoti, atnaujinant esamą dokumentaciją.
  • 7Tiekėjas privalės sukurti (atnaujinti) programinę įrangą arba atlikti sutrikimų šalinimą.
  • 8Tiekėjas privalės ištestuoti ir užtikrinti sukurtos (atnaujintos) programinės įrangos diegimą į testavimo aplinką.
  • 9Tiekėjas privalės ištestuoti programinę įrangą ir funkcionalumą kartu su kitomis valstybėmis narėmis pagal eu-LISA sudarytą grafiką.
  • 10Tiekėjas privalės užtikrinti sukurtos (atnaujintos) programinės įrangos diegimą į darbinę aplinką.
  • 11Tiekėjas privalės suteikti sutrikimų prevencijos ir įgyvendinimo rekomendacijas.
  • 12Tiekėjas privalės suteikti konsultavimo paslaugas.
  • 13Tiekėjas privalės suteikti sukurtai (atnaujintai) programinei įrangai garantinės priežiūros paslaugą.

Garantinė priežiūra

  • 1Paslaugų teikėjas po užsakymo perdavimo-priėmimo akto pasirašymo dienos turi suteikti 12 (dvylikos) mėnesių garantinę priežiūrą naujai sukurtai arba atnaujintai TPĮ.
  • 2Garantinė priežiūra apima: klaidų ar netikslumų registravimą; klaidų ar netikslumų taisymą, testavimą, diegimą; dokumentacijos tikslinimą pagal atliktus taisymus; ES FK konfigūravimą taip, kad aplikacijos išrašai (angl. Log) būtų iškeliami į https:\logs.vrm.lt (Graylog sprendimas), jų stebėseną https:\logs.vrm.lt, nustačius klaidas (error), atliekamą analizę ir siūlomus taisymo sprendimus; konsultacijų teikimą garantiniais klausimais.
  • 3Reakcijos į problemą laikas – ne ilgiau kaip 1 (viena) darbo valanda.
  • 4Problemos sprendimo trukmė – ne ilgiau kaip 4 (keturios) darbo laiko valandos nuo pranešimo apie gedimą gavimo. Jei gedimo per nurodytą laiką pašalinti negalima, su Perkančiąja organizacija suderinamas susitarimas dėl gedimo pašalinimo laiko, kuris negali būti ilgesnis kaip 48 valandos.
  • 5Konsultacijos telefonu ir elektroniniu paštu teikiamos darbo dienomis nuo 8.00 val. iki 17.00 val.
  • 6Galimybė registruoti problemas ir stebėti problemų sprendimo būklę.

Testavimo reikalavimai

  • 1Prieš diegiant ir konfigūruojant gamybinėje aplinkoje, programinė įranga turi būti įdiegta į Perkančiosios organizacijos testavimo aplinką ir ištestuota priėmimo testais, kurių scenarijai turi būti parengti ir suderinti iš anksto.
  • 2Testavimas turi apimti visą projektinėje dokumentacijoje specifikuotą papildomą funkcionalumą, funkcionalumo pakeitimus, visus naujus ar pakeistus taikymo atvejus.
  • 3Nacionalinio ECRIS-TCN modulio ir susijusios ES FK programinės įrangos testavimas vykdomas pagal eu-Lisa apibrėžtas metodikas (integracinius testavimus, testavimus su simuliatoriais, ir kt.) ir testavimo scenarijus.
  • 4Paslaugų teikėjas turės įvykdyti visus reikiamus testavimus ir susijusias veiklas (testavimo duomenų paruošimą, komunikavimą su eu-Lisa atsakingais asmenimis, klaidų registravimą ir šalinimą, ataskaitų rengimą ir t.t.), kad būtų pasiekti sėkmingo testavimo rezultatai.
  • 5Paslaugų teikėjas pagal suderintą testavimo planą turi fiziškai dalyvauti priėmimo testavime, teikti konsultacijas, kaip turi būti atliekamas testuojamas veiksmas / funkcija / operacija pagal suderintus testavimo scenarijus, išsakyti savo komentarus ir siūlymus dėl rekomenduojamo klaidos kritiškumo lygio, informuoti testavimo dalyvius apie klaidos šalinimo terminą, taisyti klaidas.
  • 6Į testinę aplinką bus diegiama tik iš GitLab esančių išeities tekstų pagaminta Registro programinė įranga.
  • 7Bet kokie programinės įrangos diegimai į testinę aplinką bus vykdomi Paslaugų teikėjo atsakingų darbuotojų kartu su Perkančiosios organizacijos atsakingais darbuotojais.

Kibernetinio saugumo reikalavimai

  • 1Įdiegta programinė įranga negali turėti OWASP Top 10 periodiškai skelbiamame aktualiame dokumente ir ankstesnėse šio dokumento versijose nurodytų pažeidžiamumų, kurių įvertis pagal CVSS 3 arba vėlesnę versiją yra 5 arba didesnis.
  • 2ES FK IS turi būti apsaugota nuo: neautentifikuotos prieigos; nesankcionuoto naudotojo sesijos perėmimo; nesankcionuoto duomenų perėmimo ar jų įterpimo; žalingo kodo įterpimo (angl. Injection, XSS (Cross-sitescripting)); kitų saugumo pažeidimų, kurie įvardijami OWASP TOP 10 periodiškai skelbiamame aktualiame dokumente ir ankstesnėse šio dokumento versijose nurodytų pažeidžiamumų.
  • 3Tiekėjas privalo nedelsiant, bet ne vėliau kaip per 24 valandas nuo sužinojimo apie didelį kibernetinį incidentą momento, pateikti ankstyvąjį perspėjimą, kuriame pagal galimybes nurodoma, ar didelį kibernetinį incidentą, kaip įtariama, sukėlė neteisėti ar piktavališki veiksmai ir ar jis galėtų daryti tarpvalstybinį poveikį.
  • 4Tiekėjas privalo nedelsiant, bet ne vėliau kaip per 72 valandas nuo sužinojimo apie kitą kibernetinį incidentą momento, pateikti ankstyvąjį perspėjimą apie kitą kibernetinį incidentą, kuriame pagal galimybes nurodoma ar kibernetinį incidentą, kaip įtariama, sukėlė neteisėti ar piktavališki veiksmai ir ar jis galėtų daryti poveikį perkančiosios organizacijos tinklams ir informacinėms sistemoms.
  • 5Tiekėjas privalo ne vėliau kaip per vieną mėnesį nuo ankstyvojo perspėjimo apie kibernetinį incidentą pateikimo dienos, pateikti galutinę ataskaitą, kurioje pateikiama informacija, nurodyta Kibernetinio saugumo įstatymo 18 straipsnio 4 dalies 4 punktą.
  • 6Tiekėjas visą sutarties vykdymo laikotarpį privalo ne rečiau kaip kartą per metus atlikti savo valdomų tinklų ir informacinių sistemų rizikos vertinimą.
  • 7Tiekėjas įsipareigoja užtikrinti jo tinklų ir informacinės sistemų spragų, keliančių riziką perkančiosios organizacijos tinklams ir informacinėms sistemoms, valdymą.
  • 8Tiekėjas įsipareigoja užtikrinti, kad jo patalpos, įranga, tinklai ir informacinių sistemų priežiūra, informacijos perdavimas tinklais atitinka Aprašo reikalavimus.
  • 9Tiekėjui fizinė prieiga prie perkančiosios organizacijos tinklų, kitos techninės infrastruktūros ir informacinių sistemų nėra suteikiama. Tiekėjui suteikiama loginė prieiga per perkančiosios organizacijos saugų VPN sprendimą prie kūrimo ar testavimo aplinkų.
  • 10Atskiru perkančiosios organizacijos sprendimu (pvz. sprendžiant kritinius incidentus), laikina loginė prieiga gali būti suteikta prie darbinių aplinkų.
  • 11Loginė prieiga suteikiama prie perkančiosios organizacijos kontroliuojamo nuotolinio darbalaukio serverio, kuriame visi tiekėjo veiksmai yra fiksuojami.

Sutrikimų valdymas ir priežiūra

  • 1Priežiūra apima sutrikimo priežasčių diagnostiką, sistemos veikimo ar duomenų teikimo į centrinę ECRIS-TCN atstatymą, programinės įrangos pažeidžiamumų šalinimą ir reikiamų Registro pakeitimų realizavimą, sutrikimų prevencijos rekomendacijų pateikimą ir įgyvendinimą.
  • 2Paslauga užsakoma Perkančiosios organizacijos atsakingam asmeniui arba paslaugų tarnybai automatiniu būdu užregistravus kreipinį Paslaugos teikėjo paslaugų valdymo sistemoje.
  • 3Perkančiosios organizacijos atsakingas darbuotojas turi būti informuojamas raštu (el. paštu) arba per paslaugų tarnybos sistemą apie įvykdytus kreipinio pakeitimus.
  • 4Paslaugos teikėjo paslaugų valdymo sistemoje turi būti matoma sugaištų konkrečių specialistų darbo valandų apskaita užsakymui įvykdyti.
  • 5Sutrikimai (incidentai) skirstomi į Kritines klaidas (neleidžia naudotojams atlikti svarbių ES FK funkcijų), Paprastas klaidas (netrukdo naudotojams atlikti svarbių darbui reikalingų funkcijų), Smulkias klaidas (iš esmės nekliudo dirbti su ES FK).
  • 6Kritinės klaidos atveju reagavimo laikas neturi viršyti 1 valandos, pašalinimo trukmė – ne daugiau kaip 4 darbo valandos.
  • 7Paprastos klaidos atveju reagavimo laikas neturi viršyti 1 valandos, sprendimo trukmė – ne ilgiau kaip 8 darbo valandos.
  • 8Smulkios klaidos atveju reagavimo laikas neturi viršyti 1 valandos, šalinimo maksimalus laikas – ne ilgiau kaip 10 darbo dienų.

Programinės įrangos modernizavimas

  • 1Taikomosios PĮ funkcionalumo keitimo ar PĮ atnaujinimo paslaugos užsakomos pasikeitus ar įsigaliojus naujiems Lietuvos Respublikos ar Europos Sąjungos teisės aktams, patvirtinus centrinės dalies ECRIS-TCN, ESP ar ECRIS RI pakeitimus pagal atnaujintą ICD techninės dokumentacijos versiją.
  • 2Taikomoji PĮ atnaujinama diegiant naujas didesnį duomenų saugumą atitinkančias duomenų keitimosi su kitais registrais ir informacinėmis sistemomis technologijas.
  • 3Pereinant prie aukštesnės duomenų bazių valdymo sistemos, operacinės sistemos, aplikacijų serverio PĮ, duomenų perdavimo protokolo versijos.
  • 4Geltonųjų sąsajų informacijos gavimui ir apdorojimui.
  • 5Paslaugos teikėjas turi atlikti vertinimą, kiek darbo valandų reikalinga užsakymui įvykdyti, nurodant kiekvienos dalies valandų kiekius ir įvykdymo terminus. Vertinimas turi būti atliktas per 5 (penkias) darbo dienas.
  • 6Programinės įrangos modernizavimo paslaugos gali būti užsakomos iki sutarties pabaigos likus ne mažiau kaip 60 (šešiasdešimt) kalendorinių dienų.

Bendrieji paslaugų teikimo reikalavimai

  • 1Atnaujinant ES FK programinės įrangos funkcionalumą ir funkcionalumo pakeitimus bei atlikus klaidų ir sutrikimų šalinimą negali būti sutrikdytas esamas ES FK funkcionalumas ar susiję Registro funkcionalumai, kuriems nevykdomi pakeitimai.
  • 2Atnaujinti / sukurti funkcionalumai, atlikti klaidų ir sutrikimų šalinimai turi būti suderinami su esamomis Registro duomenų kokybės užtikrinimo, ADMIN III, AUDIT III ir kitomis Perkančiosios organizacijos sistemomis / registrais bei Registro komponentais.
  • 3Naujos programinės įrangos funkcionalumo ir funkcionalumo pakeitimų realizavimas, klaidų ir sutrikimų šalinimas neturi pareikalauti papildomos techninės ir licencijuojamos programinės įrangos.
  • 4Paslaugų teikėjas, prieš pateikdamas ES FK PĮ pakeitimus po sutrikimo ar atnaujinimus diegimui privalo atlikti vidinį testavimą, įskaitant vidinį saugumo testavimą, ir parengti vidinio testavimo ataskaitą.
  • 5Laikas, kurį Paslaugos teikėjas skiria Perkančiosios organizacijos darbinėje ES FK aplinkoje turimų funkcionalumų analizei, nėra apmokamas.

Diegimo gamybinėje aplinkoje reikalavimai

  • 1Programinė įranga turi būti įdiegta ir sukonfigūruota turimoje Perkančiosios organizacijos gamybinėje aplinkoje.
  • 2Po įdiegimo turi nesutrikti gamybinėje aplinkoje įdiegtos taikomosios programinės įrangos veikimas.
  • 3Į gamybinę aplinką bus diegiama tik iš GitLab esančių išeities tekstų pagaminta Registro programinė įranga.
  • 4Bet kokie programinės įrangos diegimai į gamybinę aplinką bus vykdomi Paslaugų teikėjo atsakingų darbuotojų kartu su Perkančiosios organizacijos atsakingais darbuotojais.

Dokumentacijos ir išeities tekstų reikalavimai

  • 1Suteiktų paslaugų priėmimui turės būti atnaujinta esama Registro dokumentacija taip, kad atspindėtų visus paslaugų vykdymo eigoje įgyvendintus pakeitimus.
  • 2Paslaugų teikėjas turės paruošti arba atnaujinti šiuos dokumentus: Testavimo scenarijus naujo arba atnaujinto funkcionalumo bandymui (pagal Perkančiosios organizacijos poreikį), ES FK techninę specifikaciją, ES FK naudotojo vadovą.
  • 3Dokumentų preliminarios (projektinės) versijos ir galutiniai variantai turi būti pateikti elektroniniu (doc, docx arba kitu lygiaverčiu, su Perkančiąja organizacija suderintu) formatu.
  • 4Sukurtos programinės įrangos išeities tekstai turi būti pateikiami Perkančiajai organizacijai elektroninėje laikmenoje tų įrankių, kuriais jie sukurti, formatu ir nešifruoti.
  • 5Paslaugų teikėjas privalės išeities tekstus ir techninę dokumentacija perkelti į Perkančiosios organizacijos pateiktą programų išeities tekstų versijų kontrolės sistemos aplinką GitLab.
  • 6Paslaugų teikėjas privalės sukonfigūruoti (ir dokumentuoti) Registro programinės įrangos diegimo į testinę ir gamybinę aplinką procesą ir priemones taip, kad atsakingas Perkančiosios organizacijos darbuotojas, esant reikalui, iš GitLab esančių išeities tekstų pagamintą (sukompiliuotą) Registro programinę įrangą, galėtų įdiegti į testinę ir gamybinę aplinką, valdyti diegimo konfigūraciją.

Dokumentai14

  • 7 IA PD Tiekėjo deklaracija_tarptautiniam pirkimui.docx
  • 9 IA PD Deklaracija dėl ES 2022_576.docx
  • 1 IA PD BS.docx
  • 2 IA PD SS.docx
  • 3 IA PD TS.docx
  • 4 IA PD PF.docx
  • espd-request.xml
  • espd-request.pdf
  • README.txt
  • 7480177_Contract notice - general directive, standard regime_0.pdf
  • 1007_7480177.pdf
  • 6 IA PD FK.docx
  • 8 IA PD ATITIKTIES DEKLARACIJA.docx
  • 2_c4t_7480177_1.xml
tendis.lt · Sukurta recodin.lt