Grįžti į sąrašą

Saugos įgaliotinio paslaugos

Išanalizuota

Viešoji įstaiga Inovacijų agentūra

86 776,86
Atviras konkursasCPV: 72800000 - Kompiuterių audito ir tikrinimo paslaugos
ID: 76886872026-05-04 12:07
Atidaryti CVP IS

Aprašymas

Perkamos saugos įgaliotinio ir kibernetinio saugumo vadovo paslaugos. Jos apima kibernetinio saugumo politikos ir dokumentų rengimą, rizikų ir incidentų valdymą, atitikties teisės aktams vertinimą, taip pat darbuotojų mokymus ir bendrą saugumo priežiūrą. Paslaugos bus teikiamos 36 mėnesius, numatoma 1440 valandų apimtimi.

Kvalifikaciniai reikalavimai

  • 1Tiekėjas per paskutinius 3 metus arba per laiką nuo tiekėjo įregistravimo dienos (jeigu tiekėjas vykdė veiklą mažiau nei 3 metus) iki pasiūlymo pateikimo termino pabaigos pagal vieną ar daugiau sutarčių yra savo jėgomis suteikęs informacijos saugos vadovo paslaugas.
  • 2Tiekėjas turi pasiūlyti bent 2 (du) specialistus, kad galėtų būti laiku ir kokybiškai teikiamos paslaugos pagal techninėje specifikacijoje nurodytas sąlygas, būtų užtikrintas paslaugų tęstinumo užtikrinimas viso paslaugų teikimo metu (pvz. pakeičiamumas ligos, atostogų ar kitais nenumatytais atvejais).
  • 3Specialistas Nr. 1 - Informacijos saugos vadovas (2 specialistai): Turi turėti ISACA Certified Information Security Manager (CISM) arba CompTIA Security+ (arba lygiavertį) sertifikatą arba kitą lygiavertį dokumentą, įrodantį informacijos saugos specialisto kvalifikaciją.
  • 4Lygiaverčiais laikytini pasirengimą pagal prašomą kvalifikaciją atitinkančią, tarptautiniu mastu pripažįstamą mokymo programą, įskaitant atitinkamo egzamino išlaikymą patvirtinantys dokumentai (kursų, seminarų, mokymo programų išklausymą patvirtinantys dokumentai nelaikomi lygiaverčiais tarptautiniu mastu pripažįstamą kvalifikaciją patvirtinantiems sertifikatams).
  • 5Tiekėjas taiko Informacijos saugos vadybos sistemos reikalavimus pagal LST ISO/IEC 27001 (arba lygiavertį) standartą.

Techniniai reikalavimai

Paslaugų apimtis ir vykdymas

  • 1Konfigūruojamų techninių vienetų skaičius (kompiuteriai, serveriai, virtualūs serveriai, aplikacijos, ugniasienės ir pan.) – 636.
  • 2Darbuotojų skaičius – 346.
  • 3Deleguojamų funkcinių sričių skaičius – 13.
  • 4Papildomų reikalavimų, kuriuos reikia atitikti skaičius (standartizuotų pvz. ISO27001) – 1.
  • 5Atitikties teisės aktams (Lietuvos Respublikos kibernetinio saugumo įstatymui ir Kibernetinio saugumo reikalavimų aprašui) vertinimas (2 sistemos) – 1.
  • 6Teisės aktų projektų rengimas (vnt.) – Konkreti apimtis derinama sutarties vykdymo metu pagal paslaugos vykdymui skirtas valandas ir kitus deleguojamus darbus.
  • 7Veiklos tęstinumo valdymo plano išbandymas (procedūrinė dalis, 1 scenarijus) – 1.
  • 8Ataskaitų skaičius per sutarties laiką – 2.
  • 9Pristatymų skaičius per sutarties laiką – 2.
  • 10Preliminarus Paslaugų kiekis – 40 val./mėn. (1 440 val./36 mėn.).
  • 11Paslaugų teikimo terminas – 36 mėn.
  • 12Paslaugų teikimas nuotoliu ar pas klientą – Mišrus.

Atitikties ir rizikos valdymas

  • 1Atitikties teisės aktų reikalavimams vertinimo NKSC patvirtintos Kibernetinio saugumo auditų atlikimo metodikos nustatyta tvarka organizavimas ir atlikimas.
  • 2Atitikties teisės aktų reikalavimams vertinimo ataskaitos ir atitikties vertinimo metu nustatytų neatitikčių šalinimo plano pateikimas NKSC (jeigu gautas nurodymas).
  • 3NKSC klausimyno, susijusio su atitikties kibernetinio saugumo reikalavimams vertinimu, KSIS užpildymas.
  • 4Kibernetinio saugumo rizikų vertinimo organizavimas ir atlikimas.
  • 5Kibernetinio saugumo rizikų vertinimo ataskaitų ir rizikų valdymo planų rengimas ir teikimas tvirtinti.
  • 6Kibernetinio saugumo rizikų vertinimo ataskaitos ir rizikų valdymo plano patvirtinimo duomenų ir apibendrintų rezultatų pateikimas į KSIS.
  • 7Kibernetinio saugumo rizikų vertinimo ataskaitos ir rizikų valdymo plano pateikimas NKSC (jeigu gautas nurodymas).
  • 8Kibernetinio saugumo rizikų valdymo plano įgyvendinimo priežiūra.

Vadovybei teikiamos ataskaitos

  • 1Esamos padėties, veiklos ir pokyčių įgyvendinimo ataskaita.

Techninės apsaugos ir turto valdymas

  • 1Kriptografijos ir šifravimo naudojimo reikalavimų įgyvendinimo koordinavimas ir priežiūra.
  • 2Tinklų ir informacinių sistemų fizinės apsaugos reikalavimų įgyvendinimo koordinavimas ir priežiūra.
  • 3Prieigos valdymo reikalavimų įgyvendinimo koordinavimas ir priežiūra.
  • 4Asmenų, kuriems suteiktos administratoriaus teisės prisijungti prie tinklų ir informacinių sistemų, sąrašo sudarymas ir nuolatinis atnaujinimas.
  • 5Turto valdymo reikalavimų įgyvendinimo koordinavimas ir priežiūra.
  • 6Tinklų ir informacinių sistemų turto sąrašo sudarymas ir nuolatinis atnaujinimas.

Incidentų ir veiklos tęstinumo valdymas

  • 1Informacijos apie neįprastą veiklą, galimus kibernetinius incidentus įvertinimas.
  • 2Tinklų ir informacinių sistemų kibernetinių incidentų tyrimų koordinavimas.
  • 3Pranešimo apie kibernetinį incidentą, atitinkantį Kibernetinio saugumo įstatymo 18 straipsnio 1 dalyje ir 2 dalyje nurodytus kriterijus, pateikimas Nacionaliniam kibernetinio saugumo centrui bei tolimesnis informacijos pateikimas, vadovaujantis nustatytais reikalavimais.
  • 4Tarpinės atitinkamų atnaujintų padėties duomenų ataskaitos pateikimas per Nacionalinio kibernetinio saugumo centro nurodytą pateikimo terminą.
  • 5Galutinės kibernetinio incidento ataskaitos parengimas ir pateikimas Nacionaliniam kibernetinio saugumo centrui pagal Kibernetinio saugumo įstatyme nustatytus reikalavimus.
  • 6Bendradarbiavimas su kompetentingomis institucijoms, tiriančiomis kibernetinius incidentus bei neteisėtas veikas, susijusias su kibernetiniais incidentais.
  • 7Dalyvavimas veiklos tęstinumo užtikrinimo procese (pagal įgaliojimus).
  • 8Veiklos tęstinumo valdymo plano išbandymas.
  • 9Veiklos tęstinumo valdymo plano išbandymo ataskaitos patvirtinimo duomenų pateikimas į KSIS.
  • 10Veiklos tęstinumo valdymo plano išbandymo ataskaitos pateikimas NKSC (jeigu gautas nurodymas).

Mokymai ir žmogiškųjų išteklių saugumas

  • 1Darbuotojų mokymų kibernetinio saugumo klausimais organizavimas.
  • 2Darbuotojų informavimas apie kibernetinio saugumo aktualijas (mokymo ir informavimo būdai pasirenkami atsižvelgiant į tinklų ir informacinės sistemos specifiką).
  • 3Žmogiškųjų išteklių saugumo reikalavimų įgyvendinimo koordinavimas ir priežiūra.

Saugumo valdymas IT sistemose ir tiekimo grandinėje

  • 1Tiekėjų atitikties teisės aktuose nustatytiems kibernetinio saugumo reikalavimams priežiūra.
  • 2Tiekėjo atitikties teisės aktams audito (įskaitant neplaninio) organizavimas.
  • 3Kibernetinio saugumo reikalavimų su tiekėjais (įskaitant subtiekėjus) nustatymas.
  • 4Sutartyje su tiekėju nurodytų kibernetinio saugumo reikalavimų įgyvendinimo kontrolė.
  • 5Tiekėjų sąrašo sudarymas ir nuolatinis atnaujinimas.
  • 6Tinklų ir informacinių sistemų įsigijimo ir diegimo reikalavimų įgyvendinimo koordinavimas ir priežiūra.
  • 7Leistinos programinės įrangos sąrašo sudarymas ir nuolatinis atnaujinimas.

Kibernetinio saugumo politikos ir dokumentų valdymas

  • 1Kibernetinio saugumo politikos dokumentų priėmimas ir periodinis atnaujinimas, remiantis Kibernetinio saugumo įstatymo ir jį įgyvendinančių teisės aktų reikalavimais.
  • 2Parengti teisės aktų projektus: kibernetinio saugumo politika.
  • 3Parengti teisės aktų projektus: kibernetinio saugumo subjekto tinklų ir informacinių sistemų rizikos vertinimo ir valdymo tvarka.
  • 4Parengti teisės aktų projektus: žurnalinių įrašų (angl. log) administravimo ir saugojimo, įsibrovimų aptikimo ir prevencijos reikalavimai.
  • 5Parengti teisės aktų projektus: atsarginių duomenų kopijų kūrimo, saugojimo ir duomenų atkūrimo iš jų reikalavimai.
  • 6Parengti teisės aktų projektus: tiekimo grandinės saugumo valdymo tvarka.
  • 7Parengti teisės aktų projektus: tinklų ir informacinių sistemų įsigijimo, plėtojimo ir priežiūros saugumo užtikrinimo tvarka.
  • 8Parengti teisės aktų projektus: spragų valdymo ir atskleidimo reikalavimų aprašas.
  • 9Parengti teisės aktų projektus: tinklų ir informacinių sistemų pokyčių ir pataisų valdymo tvarka.
  • 10Parengti teisės aktų projektus: kibernetinio saugumo reikalavimų veiksmingumo vertinimo tvarka.
  • 11Parengti teisės aktų projektus: kibernetinės higienos praktikos organizavimo ir kibernetinio saugumo mokymų organizavimo ir vykdymo tvarka.
  • 12Parengti teisės aktų projektus: kriptografijos ir šifravimo naudojimo tvarka.
  • 13Parengti teisės aktų projektus: žmogiškųjų išteklių saugumo reikalavimai.
  • 14Parengti teisės aktų projektus: tinklų ir informacinių sistemų fizinės prieigos reikalavimai.
  • 15Parengti teisės aktų projektus: turto valdymo tvarka.
  • 16Parengti teisės aktų projektus: informacijos klasifikavimo reikalavimai.
  • 17Parengti teisės aktų projektus: dirbtiniu intelektu paremtų įrankių naudojimo tvarka.
  • 18Parengti teisės aktų projektus: saugaus kodo politika.
  • 19Informacijos apie patvirtintus kibernetinio saugumo politikos dokumentus pateikimas į Kibernetinio saugumo informacinę sistemą (KSIS).
  • 20Kibernetinio saugumo politikos dokumentų kopijų pateikimas Nacionaliniam kibernetinio saugumo centrui (NKSC) (jeigu gautas nurodymas).
  • 21Privalomų vykdyti nurodymų ir pavedimų, susijusių su kibernetinio saugumo politikos dokumentuose nustatytų reikalavimų įgyvendinimu teikimas.

Dokumentai8

  • 2_Specialiosios sąlygos.docx
  • 3_Pirkimo sąlygų 2 priedas „Techninė specifikacija“.docx
  • 4_Pirkimo sąlygų 5 priedas „EBVPD“.xml
  • 5_Pirkimo sąlygų 8 priedas. Sutarties projektas.docx
  • 7688687_National Contract notice or Design Contest notice - general directive, standard regime_0.pdf
  • 1_Bendrosios sąlygos.docx
  • 6_c4t_7688687_1.xml
  • 1679_7688687.pdf
tendis.lt · Sukurta recodin.lt