Grįžti į sąrašą

UŽ KIBERNETINĮ SAUGUMĄ ATSAKINGŲ ASMENŲ PASLAUGŲ PIRKIMAS (KIBERNETINIO SAUGUMO VADOVO, SAUGOS ĮGALIOTINIO PASLAUGOS)

Išanalizuota

Šiaulių apskaitos centras

Skelbiama apklausaCPV: 72225000 - Sistemų kokybės užtikrinimo vertinimo ir peržiūros paslaugos
ID: 77373702026-05-06 14:14
Atidaryti CVP IS

Aprašymas

Perkamos kibernetinio saugumo vadovo ir saugos įgaliotino paslaugos, skirtos Šiaulių miesto savivaldybės administracijos atitikčiai Lietuvos Respublikos kibernetinio saugumo įstatymo reikalavimams užtikrinti. Paslaugos apima visapusišką informacijos ir kibernetinės saugos valdymą, konsultacijas, rizikos vertinimą, incidentų valdymą bei darbuotojų mokymus. Tikslas – įgyvendinti teisės aktų nuostatas ir užtikrinti tinkamą kibernetinės saugos lygį.

Kvalifikaciniai reikalavimai

  • 1Bent 1 specialistas, kuris vykdys kibernetinio saugumo vadovo ir saugos įgaliotinio funkcijas, turi turėti ne mažesnę kaip 2 metų patirtį informacinių technologijų ir/ar kibernetinio saugumo ar tinklų ir/ar informacinių sistemų srityje, įgytą per paskutinius 5 metus iki pasiūlymų pateikimo termino pabaigos.
  • 2Bent 1 specialistas, kuris vykdys kibernetinio saugumo vadovo ir saugos įgaliotinio funkcijas, turi turėti žinias šiose srityse patvirtinantį aukštojo mokslo diplomą, arba tarptautiniu lygmeniu pripažįstamą kvalifikacijos sertifikatą (CISO, CISSP ar lygiavertį), arba Nacionalinio kibernetinio saugumo centro vadovo nustatyta tvarka yra išklausęs mokymus ir išlaikęs kibernetinio saugumo vadovo egzaminą.
  • 3Tiekėjas turėtų teisę verstis ta veikla, kuri yra reikalinga Sutarčiai įvykdyti.
  • 4Tiekėjas užtikrintų nustatytų kokybės vadybos sistemos ir (arba) aplinkos apsaugos vadybos sistemos standartų taikymą, jeigu to reikalaujama pirkimo dokumentuose, ir turėtų tą patvirtinančius dokumentus.
  • 5Paslaugas betarpiškai teikiantys atsakingi asmenys negali turėti paskirtos administracinės nuobaudos už teisės aktų pažeidimus tinklų ir informacinių sistemų ir asmens duomenų tvarkymo ir privatumo apsaugos srityse, jeigu nuo nuobaudos paskyrimo yra praėję mažiau kaip vieni metai.

Techniniai reikalavimai

Konsultacijos ir analizės

  • 1Konsultuoti šiais klausimais: Informacijos saugos ir kibernetinio saugumo politikos gerinimas; IT turto vertinimas (saugumo ir suderinamumo su kita valdoma įranga); Žmogiškųjų išteklių saugumas; Informacijos saugumo incidentų valdymas; Atsparumo kibernetiniams ir informacijos saugos incidentams didinimas; Informacinių sistemų, jose tvarkomos elektroninės informacijos, informacinių išteklių svarbos vertinimas; Informacijos saugos ir kibernetinio saugumo rizikos vertinimas; Techninės ir programinės įrangos gamintojų ir tiekėjų atitikties vertinimas; Veiklos tęstinumo valdymas informacijos saugumo aspektu; Atitikties įstatymams ir kitiems teisės aktams užtikrinimas; Perkančiosios organizacijos darbuotojų mokymai; Konsultavimas įsigyjant, kuriant, prižiūrint informacinių technologijų informacines sistemas, IT technines ir programines priemones, ryšius, duomenų centro ar kitas IT paslaugas, vertinant naujausias technologijas, tiekimo grandinės saugumą ir kitais su informacijos saugumu susijusiais klausimais.
  • 2Atlikti informacinių sistemų kibernetinio saugumo būklės, atsparumo grėsmėms ir informacijos vagystėms analizę, kylančių grėsmių, rizikų ir pažeidžiamų vietų vertinimo koordinavimą, informacinių sistemų kritiškumo įvertinimą.
  • 3Įvertinti, ar teisingai inventorizuojama IS techninė ir programinė įranga, vertinamas valdomų IS kritiškumas.
  • 4Įvertinti, ar naudojamos apsaugos priemonės yra pakankamos ir tinkamos elektroninės informacijos apsaugai.
  • 5Įvertinti, ar eksploatuojamos techninės analizės priemonės leis nedelsiant ir tinkamai reaguoti į incidentus.
  • 6Įvertinti pasirengimą IS veiklos tęstinumui užtikrinti įvykus elektroninės informacijos saugos ar kibernetinio saugumo incidentui.
  • 7Ne rečiau nei kartą per mėnesį informuoti apie grėsmes, tendencijas, pokyčius Perkančiojoje organizacijoje, numatomus informacijos saugumo procesų pokyčius, tvaraus kibernetinio saugumo principus.
  • 8Pagal poreikį dalyvauti kibernetinių incidentų tyrimų, vertinimo ir analizės procesuose.
  • 9Inicijuoti ataskaitų apie kibernetinį incidentą užpildymą ir incidento registravimą KSIS (pagal įgaliojimus).
  • 10Incidento metu konsultuoti atsakingus asmenis.
  • 11Komunikuoti su Nacionaliniu kibernetinio saugumo centru prie Krašto apsaugos ministerijos (pagal įgaliojimus ir poreikį).

Paslaugų apimtis ir terminai

  • 1Užtikrinti kibernetinio saugumo vadovo ir saugos įgaliotino, atsakingų už ŠMSA atitikties KSĮ 14 ir 18 straipsniuose nustatytiems reikalavimams, funkcijų vykdymą.
  • 2IT ūkio įvertinimas (auditas) ir reikiamos ar trūkstamos dokumentacijos, būtinos kibernetinio saugumo atitikčiai tiesiogiai ją reglamentuojančių teisės aktų reikalavimams užtikrinti, parengimas turi būti atliktas per 4 mėn. nuo pirkimo sutarties įsigaliojimo dienos.
  • 3Kibernetinio saugumo vadovo ir saugos įgaliotino, atsakingų už ŠMSA atitikties KSĮ 14 ir 18 straipsniuose nustatytiems reikalavimams, funkcijų vykdymas turi būti pradėtas vykdyti ir vykdomas nuo pirkimo sutarties įsigaliojimo dienos nepertraukiamai 12 mėn., t. y. bendras paslaugų teikimo terminas nebus ilgesnis nei 12 mėn.
  • 4Per dvi darbo savaites nuo pirkimo sutarties įsigaliojimo paslaugų tekėjas privalės pateikti ir suderinti su Perkančiąja organizacija detalizuotą paslaugų teikimo grafiką.
  • 5Kibernetinio paslaugų apimtyje turi būti įtrauktas visų dokumentų projektų, reikalingų Tinklų ir informacinių sistemų direktyvos 2022/2555 (toliau – TIS2), reikalavimų atitikimo užtikrinimui, pateikimas Perkančiajai organizacijai bei konsultacijos jų parengimo (užpildymo reikalinga Perkančiajai organizacijai taikytina informacija) ir patvirtinimo klausimais.

Mokymai ir atsparumo testavimas

  • 1Pagal įgaliojimus organizuoti naudotojų supažindinimą su saugos politikos įgyvendinimo dokumentais ir teisės aktais.
  • 2Kartą per metus surengti ŠMSA darbuotojams mokymus informacijos ir kibernetinio saugumo bei socialinės inžinerijos temomis.
  • 3Ne rečiau nei kartą per metus vykdyti socialinės inžinerijos testus, siekiant įvertinti darbuotojų atsparumą.

Periodinės peržiūros ir pasiūlymai

  • 1Kibernetinio saugumo vadovas turi bent kartą per metus peržiūrėti ir pateikti gerinimo pasiūlymus tokioms temoms: Informacinių sistemų, duomenų bazių kopijų valdymą: atsarginių kopijų kūrimo politikos peržiūra, keitimas, tvarkos gerinimo rekomendacijų teikimas Perkančiajai organizacijai (ne rečiau kaip kartą per metus arba pagal poreikį), organizavimas ir dalyvavimas informacijos atkūrimo iš atsarginių kopijų procese (ne rečiau kaip kartą per metus arba pagal poreikį).
  • 2Kibernetinio saugumo vadovas turi bent kartą per metus peržiūrėti ir pateikti gerinimo pasiūlymus tokioms temoms: Techninės ir programinės įrangos eksploatavimo ciklo valdymą: IS funkcionalumo, programinės ir techninės įrangos keitimo, atnaujinimo, naikinimo procesų tvarkos peržiūra, koregavimas, tvarkos gerinimo rekomendacijų teikimas Perkančiajai organizacijai (ne rečiau kaip kartą per metus arba pagal poreikį), leidžiamos naudoti programinės įrangos sąrašo atnaujinimas (ne rečiau kaip kartą per metus arba pagal poreikį).
  • 3Kibernetinio saugumo vadovas turi bent kartą per metus peržiūrėti ir pateikti gerinimo pasiūlymus tokioms temoms: Mobiliųjų įrenginių valdymą: mobiliųjų įrenginių techninės ir programinės įrangos naudojimo politikos peržiūra, nustatymas, koregavimas ir įgyvendinimo koordinavimas, tvarkos kūrimas, jos gerinimo ir prevencinių priemonių rekomendacijų teikimas Perkančiajai organizacijai ne rečiau kaip kartą per metus arba pagal poreikį.
  • 4Kibernetinio saugumo vadovas turi bent kartą per metus peržiūrėti ir pateikti gerinimo pasiūlymus tokioms temoms: Jautrių duomenų valdymą: jautrių duomenų valdymo politikos peržiūra, koregavimas, tvarkos gerinimo ir prevencinių priemonių rekomendacijų teikimas Perkančiajai organizacijai ne rečiau kaip kartą per metus arba pagal poreikį, politikos įgyvendinimo koordinavimas, kuris apima, bet neapsiribojama, informacijos įkėlimu iš išorės, informacijos siuntimu Perkančiosios organizacijos viduje ir į išorę, informacijos persiuntimu ne į ES ir NATO valstybes.
  • 5Kibernetinio saugumo vadovas turi bent kartą per metus peržiūrėti ir pateikti gerinimo pasiūlymus tokioms temoms: Duomenų laikmenų valdymą: duomenų laikmenų politikos nustatymas, gerinimas ir įgyvendinimo koordinavimas, duomenų laikmenų naudojimo rizikos vertinimas (ne rečiau kaip kartą per metus arba pagal poreikį), prevencinių priemonių rekomendacijų teikimas (pagal poreikį).
  • 6Peržiūrėti kitus vidinius saugos dokumentus (tvarkas, planus) (ne rečiau kaip kartą per metus).
  • 7Kibernetinio saugumo vadovas turi teikti pasiūlymus bei rekomendacijas dėl: Kibernetinio saugumo politikos ir ją įgyvendinančių dokumentų priėmimo, keitimo ar panaikinimo.
  • 8Kibernetinio saugumo vadovas turi teikti pasiūlymus bei rekomendacijas dėl: organizacinių ir techninių priemonių, skirtų Perkančiosios organizacijos kibernetinio saugumo užtikrinimui ir kontrolei, diegimo.
  • 9Kibernetinio saugumo vadovas turi teikti pasiūlymus bei rekomendacijas dėl: atsakymų į oficialius raštus iš kontroliuojančių institucijų (NKSC, KAM, EIMIN), susijusius su kibernetinio saugumo klausimais.

Rizikos valdymas ir veiksmingumo vertinimas

  • 1Organizuoti kibernetinio saugumo rizikos vertinimą, prižiūrėti ir tobulinti rizikos vertinimo procesą.
  • 2Sudaryti rizikos mažinimo priemonių planą ir pateikti jį Perkančiosios organizacijos vadovybei tvirtinimui.
  • 3Užtikrinti, kad rizikos vertinimas būtų atliekamas ne rečiau kaip kartą per metus, įvykus esminiams organizaciniams ar kitiems reikšmingiems pokyčiams, taip pat įvykus dideliam kibernetiniam incidentui.
  • 4Rizikos valdymo planas turi apimti bent priemonių nepriimtinoms rizikoms valdyti nustatymą ir reikalingus išteklius, už priemonių įgyvendinimą atsakingus asmenis bei priemonių įgyvendinimo terminus.
  • 5Pagal įgaliojimus teikti rizikų vertinimo ataskaitos suvestinius duomenis į KSIS (Nacionalinio kibernetinio saugumo centro platformą).
  • 6Kartą per metus organizuoti kibernetinio saugumo reikalavimų veiksmingumo vertinimą pagal Kibernetinio saugumo įstatymo reikalavimų aprašo 8 skirsnį.
  • 7Du kartus per metus organizuoti spragų ir pažeidžiamumų patikrinimą tinkle ir svarbiausiose informacinėse sistemose kaip to reikalaujama Kibernetinio saugumo įstatymo reikalavimų aprašo 7 skirsnyje.
  • 8Parengti informacinių išteklių sąrašą ir ne rečiau nei kartą per metus peržiūrėti ir, esant poreikiui, atnaujinti informacinių išteklių sąrašą.
  • 9Ne rečiau nei kartą per metus atlikti kibernetinio saugumo rizikos valdymo priemonių veiksmingumo vertinimą ir pateikti Perkančiajai organizacijai ataskaitą.
  • 10Ne rečiau nei kartą per metus arba po aktualių pokyčių atlikti informacijos nutekėjimo rizikos vertinimą, ataskaitą ir gerinimo rekomendacijas pateikti Perkančiajai organizacijai.
  • 11Atlikti naujos techninės ir programinės įrangos gamintojų ir tiekėjų rizikos vertinimą pagal poreikį.
  • 12Techninės ir programinės įrangos gamintojų ir tiekėjų rizikos vertinimas pagal poreikį.

Kibernetinio saugumo politikos dokumentų rengimas

  • 1Kibernetinio saugumo vadovas turi paruošti kibernetinio saugumo politikos dokumentų rinkinį, kurį turi sudaryti įskaitant bet neapsiribojant, šie dokumentai: Tinklų ir informacinių sistemų saugumo politika.
  • 2Tinklų ir informacinių sistemų saugumo politika. Ją turi sudaryti: tinklų ir informacinių sistemų rizikos vertinimo ir valdymo tvarka; tiekimo grandinės saugumo valdymo tvarka; sistemų įsigijimo, plėtojimo ir priežiūros saugumo užtikrinimo tvarka; tinklų ir informacinių sistemų pokyčių valdymo tvarka; pataisų valdymo tvarka; spragų valdymo ir atskleidimo nuostatos; reikalavimų veiksmingumo vertinimo tvarka; mokymų organizavimo ir vykdymo tvarka; kriptografijos ir šifravimo naudojimo tvarka; žmogiškųjų išteklių saugumo reikalavimai; fizinės prieigos reikalavimai; turto valdymo tvarka; tapatumo nustatymo nuostatos.
  • 3Kibernetinio saugumo vadovas turi paruošti kibernetinio saugumo politikos dokumentų rinkinį, kurį turi sudaryti įskaitant bet neapsiribojant, šie dokumentai: Kibernetinių incidentų valdymo planas.
  • 4Kibernetinių incidentų valdymo planas. Jame turi būti nurodyta: kibernetinių incidentų nustatymo būdai; kibernetinių incidentų vertinimas; kibernetinių incidentų valdymo organizavimas; kibernetinių incidentų komunikavimo su suinteresuotomis šalimis nuostatos; darbuotojų, kurie yra atsakingi už kibernetinių incidentų valdymą, atsakomybė; kibernetinių incidentų įrodymų nustatymo, rinkimo, gavimo, pranešimo ir išsaugojimo nuostatos, t. y. nustatyti žurnalinių įrašų administravimo ir saugojimo, įsibrovimų aptikimo ir prevencijos reikalavimus; įgytos kibernetinių incidentų valdymo patirties vertinimas; kibernetinių incidentų valdymo plano veiksmingumo išbandymo ir išbandymo rezultatų ataskaitų rengimo nuostatos.
  • 5Kibernetinio saugumo vadovas turi paruošti kibernetinio saugumo politikos dokumentų rinkinį, kurį turi sudaryti įskaitant bet neapsiribojant, šie dokumentai: Tinklų ir informacinių sistemų veiklos tęstinumo valdymo planas.
  • 6Tinklų ir informacinių sistemų veiklos tęstinumo valdymo planas. Jis turi apimti: sąlygas, kada pradedamas taikyti tinklų ir informacinių sistemų veiklos tęstinumo planas; tinklų ir informacinių sistemų veiklos kriterijai, pagal kuriuos galima nustatyti, ar tinklų ir informacinės sistemos veikla atkurta; asmenys, atsakingi už tinklų ir informacinių sistemų veiklos tęstinumo plano vykdymą, jų pareigos ir funkcijos; nuostatos, kuriose turi būti nurodyti tinklų ir informacinių sistemų veiklos tęstinumo valdymo grupės sudėties ir jos funkcijų reikalavimai, įtraukiant reikalavimą, kad veiklos tęstinumo valdymo grupės sudėtyje būtų kibernetinio saugumo vadovas ir (ar) saugos įgaliotinis; nuostatos, kuriose turi būti nurodyti tinklų ir informacinių sistemų veiklos atkūrimo grupės sudėties ir jos funkcijų reikalavimai; detalus tinklų ir informacinių sistemų veiklos atkūrimo planas; tinklų ir informacinių sistemų veiklos tęstinumo valdymo plano veiksmingumo išbandymo reikalavimai; tinklų ir informacinių sistemų veiklos tęstinumo valdymo plano veiksmingumo išbandymo rezultatų ataskaitų rengimo reikalavimai; atsarginių duomenų kopijų atkūrimo parametrai pagal kibernetinio saugumo subjekto nustatytą tinklų ir informacinių sistemų ar jų dalies atkūrimo laikotarpį (angl. Recovery time objective, RTO) ir šių parametrų išbandymo reikalavimai; tinklų ir informacinių sistemų ar jų dalies duomenų atstatymo laikas (angl. Recovery point objective, RPO) ir jo išbandymo reikalavimai.

Dokumentai13

  • 1 priedas techninė specifikacija.docx
  • 2 priedas pasiūlymo forma.docx
  • 3 priedas viešojo pirkimo sutarties projektas.docx
  • 6 priedas Informavimas dėl duomenų apsaugos.docx
  • 7737370_National Contract notice or Design Contest notice - general directive, standard regime_0.pdf
  • 1024_7737370.pdf
  • 3.2. susitarimas dėl asmens duomenų tvarkymo.docx
  • 0 pirkimo salygos.docx
  • 3.1. konfidencialumo pasižadėjimas.docx
  • 4 priedas kvalifikacijos reikalavimai tiekėjui.docx
  • 4.1. Specialistų sąrašas.docx
  • 5 priedas nacionalinio saugumo reikalavimu atitikties deklaracija.docx
  • 2_c4t_7737370_1.xml
tendis.lt · Sukurta recodin.lt