Grįžti į sąrašą

Kvietimas į išankstinę (rinkos) konsultaciją DĖL KIBERNETINIŲ GRĖSMIŲ STEBĖJIMO BEI SUVALDYMO PASLAUGŲ VIEŠOJO PIRKIMO

Išanalizuota

Valstybės įmonė Valstybinių miškų urėdija (PV)

Rinkos konsultacijaCPV: 72200000 - Programinės įrangos programavimo ir konsultacinės paslaugos
ID: 77965412026-05-11 10:06
Atidaryti CVP IS

Aprašymas

Perkamos kibernetinių grėsmių stebėjimo ir suvaldymo paslaugos. Šios paslaugos apima informacinių technologijų infrastruktūros ir sistemų žurnalinių įvykių, duomenų srautų stebėseną, saugos incidentų identifikavimą ir valdymą. Tikslas – mažinti kibernetines grėsmes, aptikti ir suvaldyti saugos incidentus bei minimizuoti galimą žalą.

Kvalifikaciniai reikalavimai

  • 1Tiekėjas pirkimo sutarties vykdymui privalo turėti ar gali pasitelkti ekspertus (specialistus), kurie mokėtų lietuvių kalbą (tuo atveju, jei ekspertas (specialistas) nemoka lietuvių kalbos, reikalavimas gali būti tenkinamas: numatant vertimo žodžiu ir raštu paslaugas, išlaidos vertimo paslaugom turės būti įskaičiuotos į bendrą pasiūlymo kainą) ir atitiktų žemiau nurodytus reikalavimus. Vienas ekspertas gali vykdyti daugiau nei vienos srities eksperto funkcijas, jei jo kvalifikacija atitinka ir kitos pozicijos ekspertui (specialistui) keliamus reikalavimus.
  • 2Ekspertas Nr. 1 (išplėstinės saugumo analitikos specialistas) turi turėti ne mažesnę kaip 1 (vienų) metų darbo patirtį SOC veikloje, vykdant saugumo analizę.
  • 3Ekspertas Nr. 1 (išplėstinės saugumo analitikos specialistas) turi turėti patirties, kaip išplėstinės saugumo analitikos specialistas bent 1 (vienos) įvykdytos sutarties, kurios apimtyje buvo teikiamos SOC paslaugos, įgyvendinime.
  • 4Ekspertas Nr. 1 (išplėstinės saugumo analitikos specialistas) turi būti kvalifikuotas saugumo analitikos srityje – turi turėti kvalifikaciją patvirtinantį galiojantį sertifikatą CompTIA Advanced Security Practitioner (CASP+) arba kitą lygiavertį dokumentą (sertifikatą).
  • 5Ekspertas Nr. 2 (grėsmių analitikos specialistas) turi turėti ne mažesnę kaip 1 (vienų) metų darbo patirtį SOC veikloje, vykdant grėsmių analizę.
  • 6Ekspertas Nr. 2 (grėsmių analitikos specialistas) turi turėti patirties, kaip grėsmių analitikos specialistas bent 1 (vienos) įvykdytos sutarties, kurios apimtyje buvo teikiamos SOC paslaugos, įgyvendinime.
  • 7Ekspertas Nr. 2 (grėsmių analitikos specialistas) turi būti kvalifikuotas grėsmių analizės srityje – turi turėti kvalifikaciją patvirtinantį galiojantį sertifikatą Certified Threat Intelligence Analyst arba kitą lygiavertį dokumentą (sertifikatą).
  • 8Ekspertas Nr. 3 (kibernetinių incidentų tyrimo specialistas) turi turėti ne mažesnę kaip 1 (vienų) metų darbo patirtį SOC veikloje, atliekant incidentų tyrimą.
  • 9Ekspertas Nr. 3 (kibernetinių incidentų tyrimo specialistas) turi turėti patirties, kaip kibernetinių incidentų tyrimo specialistas bent 1 (vienos) įvykdytos sutarties, kurios apimtyje buvo teikiamos SOC paslaugos, įgyvendinime.
  • 10Ekspertas Nr. 3 (kibernetinių incidentų tyrimo specialistas) turi būti kvalifikuotas kibernetinių incidentų tyrimo srityje – turi turėti kvalifikaciją patvirtinantį galiojantį sertifikatą EC-Council Certified Ethical Hacker v9 arba kitą lygiavertį dokumentą (sertifikatą).
  • 11Ekspertas Nr. 4 (administravimo specialistas) turi turėti ne mažesnę kaip 1 (vienų) metų darbo patirtį kaip administruojant SIEM siūlomą produktą.
  • 12Ekspertas Nr. 4 (administravimo specialistas) turi turėti patirties kaip SIEM administravimo specialistas bent 1 (vienos) įvykdytos sutarties, kurios apimtyje buvo teikiamos SOC paslaugos ir naudojamas siūlomas produktas.
  • 13Ekspertas Nr. 4 (administravimo specialistas) turi būti kvalifikuotas siūlomo produkto administravimo srityje – turi turėti kvalifikaciją patvirtinantį galiojantį sertifikatą arba kitą lygiavertį dokumentą (sertifikatą).

Techniniai reikalavimai

Ataskaitų teikimas

  • 1Ne rečiau kaip kartą per mėnesį, ne vėliau, nei kito mėnesio 2 darbo dienos, pateikiama mėnesinė ataskaita apie praėjusio mėnesio pastebėtus visų lygių saugos incidentus, grėsmes, anomalijas pateikiant statistinius duomenis ir rekomendacijas grėsmių šalinimui. Ataskaitos turinys turi būti suderintas su Perkančiąja organizacija.
  • 2Ne rečiau kaip kas ketvirtį, ne vėliau kaip kito ketvirčio 15 darbo dieną, pateikiama Paslaugų teikimo ataskaita, kurioje turi būti nurodomas sutartinių įsipareigojimų vykdymo statusas (esant nuokrypiams nuo sutarto paslaugų lygio – pateikti paaiškinimai ir gerinimo veiksmai), pasiūlymai dėl Paslaugų teikimo tobulinimo, kitų sutartų veiksmų statusas.
  • 3Paslaugų teikimo ataskaitos turi būti paruoštos lietuvių kalba, techninės ataskaitos gali būti pateikiamos anglų kalba.
  • 4Ataskaitos pateikiamos skaitmeniniu formatu. Bylų formatas laisvai pasirenkamas – *.PDF,*.xlsx, *.docx, *.pptx, *.html.

Saugos incidentų valdymas

  • 1Identifikavus saugos incidentą, Tiekėjas kategorizuoja saugos incidento prioritetą pagal su Perkančiąja organizacija suderintus kriterijus.
  • 2Atsižvelgiant į saugos incidento prioritetą, Perkančioji organizacija informuojama el. paštu ir/ar skambučiu/žinute, pateikiant struktūruotą saugos incidento informaciją, koordinuoja saugos incidento sprendimą.
  • 3Saugos incidento valdymas apima: greitojo atsako (incidento plitimo užkardymo, sustabdymo, apsunkinimo, žalos mažinimo ir pan.) veiksmų nustatymą ir pateikimą Perkančiajai organizacijai; incidento pirminių priežasčių (angl. root cause) nustatymą; incidento atakos grandinėlės (angl. cyber kill chain) nustatymą; incidento tyrimą, jo eigos atkūrimą; Paslaugų teikimo programinėje ir techninėje įrangoje esančių, o esant galimybei – ir kitų incidento įrodymų surinkimą ir išsaugojimą; Spragų, kuriomis pasinaudota incidento metu šalinimo, saugos ir saugos valdymo procesų gerinimo rekomendacijų pateikimas, suvaldžius incidentą; kitus būtinus veiksmus.
  • 4Esant poreikiui, saugos incidento sprendimo metu, Tiekėjas teikia metodinę pagalbą ir konsultuoja Perkančiąją organizaciją telefonu ar telekomunikacinėmis priemonėmis.
  • 5Saugos incidentų valdymas vykdomas analitinės informacijos paslaugų teikimo rėžimu.

Kibernetinės saugos analizė

  • 1Jei kibernetinės saugos analizei naudojama papildoma PĮ, ji turi atitikti šioje techninėje specifikacijoje PĮ keliamus reikalavimus.
  • 2Kibernetinės saugos analizė turi būti vykdoma iš Europos ekonominės erdvės (toliau – EEE) valstybės arba trečiosios valstybės, tik dėl kurios Europos Komisija yra priėmusi sprendimą, jog trečioji valstybė užtikrina tinkamo lygio asmens duomenų apsaugą.
  • 3Kibernetinės saugos analizė turi identifikuoti IT saugos įvykius, apimančius: technologines anomalijas ir saugumo spragas; neteisėtos arba klaidingos autentifikacijos įvykius; kenkėjišką arba neteisėtai robotizuotą veiklą IT infrastruktūroje; saugumo politikų nusižengimus; atakas susijusias su el. paštu; komunikacijos tinkle grėsmes (protokolų, išorės ir vidaus komunikacijos šaltinių ir kt. grėsmes); neteisėtą veiklą Perkančiosios organizacijos tinkle; paslaugų trikdymą; kenkėjiško kodo veiką; kitas su Perkančiąja organizacija suderintas veikas.
  • 4Jei Paslaugų teikimo laikotarpiu atsiranda naujo tipo saugos incidentų, kibernetinės saugos analizė turi juos apimti.
  • 5Kibernetinės saugos analizės metu surinkti duomenys saugomi 12 mėnesių.
  • 6Kibernetinės saugos analizė vykdoma analitinės informacijos paslaugų teikimo rėžimu.

Nacionalinio saugumo reikalavimai

  • 1Pirkimo objektas turi nekelti grėsmės nacionaliniam saugumui.
  • 2Pirkėjas laiko, kad prekės, paslaugos ir darbai kelia grėsmę nacionaliniam saugumui, kai pasiūlymą pateikęs tiekėjas, jo subtiekėjas, ar ūkio subjektai, kurių pajėgumais remiamasi, ar juos kontroliuojantys asmenys yra juridiniai arba fiziniai asmenys registruoti ar nuolat gyvenantys Lietuvos Respublikos viešųjų pirkimų įstatymo (toliau – VPĮ) 92 str. 14 d. numatytame sąraše nurodytose valstybėse ar teritorijose ar turintys šių valstybių pilietybę, arba jų siūlomų prekių (įskaitant jų sudedamąsias dalis, programinę įrangą) gamintojai ar juos kontroliuojantys asmenys yra registruoti VPĮ 92 str. 14 d. numatytame sąraše nurodytose valstybėse ar teritorijose arba paslaugų teikimas vykdomas iš VPĮ 92 str. 14 d. numatytame sąraše nurodytų valstybių ar teritorijų.

Kiti paslaugų teikimo reikalavimai

  • 1Tiekėjas atlieka pirminę Perkančiosios organizacijos IT infrastruktūros analizę (sistemos veiklos funkcionalumo bei efektyvumo įvertinimą – sistemos konfigūravimo, naudojamų žurnalinių įvykių šaltinių, taisyklių bei ataskaitų įvertinimą bei pasiūlymų dėl jų pagerinimo pateikimą).
  • 2Analizės atlikimo terminas – 1 mėnuo nuo sutarties įsigaliojimo. Analizė pateikiama raštu, lietuvių kalba.
  • 3Diegimo (migravimo) darbai turi būti atlikti ir paslaugos be jokių apribojimų turi būti pradėtos teikti ne vėliau kaip iki 2026-12-01.
  • 4Įsipareigojimai reakcijos laikui: aukšto prioriteto – 1 val.; vidutinio prioriteto – 2 val.; žemo prioriteto – 4 val.
  • 5Reakcijos laiku laikomas laiko tarpas tarp įvykio atsiradimo duomenų surinkimo šaltiniuose laiko iki kibernetinės saugos analizės pradžios.
  • 6Įsipareigojimas sprendimo laikui: aukšto prioriteto – 2 val.; vidutinio prioriteto – 4 val.; žemo prioriteto – 8 val.
  • 7Sprendimo laiku laikomas laiko tarpas tarp kibernetinės saugos analizės pradžios ir Perkančiosios organizacijos informavimo.
  • 8PĮ patikimumas – 99,8% per metus.
  • 9PĮ planuota prastova techniniams aptarnavimui iki 3 val. per ketvirtį.
  • 10Į PĮ, ryšio ir kt. sutrikimus iš Tiekėjo pusės Tiekėjas reaguoja ir juos sprendžia šios techninės specifikacijos 28 ir 29 punktuose nustatytais reakcijos ir sprendimo laikais.
  • 11Pašalinus sutrikimus, Tiekėjas įsipareigoja susirinkti ir išanalizuoti prastovos metu neanalizuotus Perkančiosios organizacijos žurnalinius įrašus.
  • 12Per 60 kalendorinių dienų nuo Pirkimo sutarties įsigaliojimo parengtos ir suderintos Tiekėjo pagalbos tarnybos procedūros (gedimų registracijos tvarka, ataskaitų formos ir pan.).
  • 13Perkančioji organizacija nedelsdama informuoja Tiekėją apie pokyčius savo valdomoje infrastruktūroje, teisinėje aplinkoje, kitas aplinkybes, nustatančius papildomus reikalavimus Paslaugų teikimui, galinčius turėti joms įtaką ar suteikiančius galimybes jų gerinimui.
  • 14Tiekėjas privalo išanalizuoti Perkančiosios organizacijos informaciją ir pateikti jai išvadą, kokius pokyčius (įvykių šaltiniuose, koreliacijos taisyklėse, stebėsenos ar reagavimo priemonėse ir procesuose ir kt.) tikslinga įgyvendinti.
  • 15Perkančioji organizacija turi teisę reikalauti, kad Tiekėjas išsamiai pagrįstų savo išvadą ir to nepadarius, ar motyvuotai nesutikdamas su pateiktais argumentais, įpareigoti Tiekėją įgyvendinti Perkančiosios organizacijos nurodytus pokyčius.

Duomenų surinkimo programinė įranga

  • 1PĮ gali būti realizuota lietuvių arba anglų kalba.
  • 2Turi būti pateiktas PĮ sukonfigūravimo Perkančiosios organizacijos poreikiams aprašas (apimantis taisykles, parametrus, kitus PĮ nustatymus).
  • 3PĮ turi užtikrinti IT platformų, informacinių sistemų, stebėjimo sistemų, tinklo srautų ir kitų šaltinių žurnalinių įrašų surinkimą ir agregavimą.
  • 4PĮ naudotojai turi būti autentifikuojami.
  • 5PĮ naudotojų atliekami veiksmai turi būti fiksuojami PĮ žurnaliniuose įrašuose ir turi būti neįmanoma jų ištrinti ar pakeisti.
  • 6PĮ turi būti apsaugota nuo nesankcionuoto prisijungimo.
  • 7PĮ turi būti įdiegta apsauga nuo automatizuotų užklausų ir pranešimų siuntimo.
  • 8Viešaisiais elektroninių ryšių tinklais perduodamos informacijos konfidencialumas turi būti užtikrintas naudojant šifravimą, virtualųjį privatų tinklą (angl. Virtual private network, VPN arba lygiavertes technologijas).
  • 9PĮ turi užtikrinti, kad PĮ esantys įvykiai būtų apsaugoti nuo neteisėto sunaikinimo ar pakeitimo.
  • 10PĮ turi apdoroti ne mažiau kaip 3500 EPS (Events per second).
  • 11EPS skaičius neturi būti ribojamas arba ne mažiau kaip 200 duomenų šaltinių objektų (Serverių, duomenų saugyklų ir kita).
  • 12Paslaugos teikimo metu EPS gali kisti iki 10% nuo pradinio įverčio.
  • 13Duomenų surinkimas vykdomas iš: tinklo perimetro įrenginių; tarnybinių stočių (su Microsoft arba Linux programine įranga, Android OS esant poreikiui); taikomųjų informacinių sistemų; kompiuterinių darbo vietų; tinklo komutatorių; saugos užtikrinimo įrangos (antivirusinės, naudotojų elgesio stebėjimo programinės įrangos, dokumentų/aplankų stebėjimo programinės įrangos); tinklo srauto; kitos sutartos įrangos.
  • 14PĮ turi sugebėti atnaujinti duomenis ne rečiau, kaip kas 180 sekundžių, duomenų siuntimo laikas gali būti konfigūruojamas.
  • 15PĮ turi sugebėti apdoroti iki 1 Gbps tinklo srautą su galimybe padidinti iki 2 Gbps.
  • 16Duomenų surinkimo metu gauti duomenys turi būti kaupiami ir saugomi 3 mėnesius su galimybe tuos duomenis nuskaityti, peržiūrėti, atspausdinti, gauti išklotinę ar kitaip jais disponuoti.
  • 17Tiekėjas atsakingas už Perkančiosios organizacijos duomenų atsarginių kopijų darymą ir jų saugojimą, kai duomenys yra saugomi Tiekėjo IT infrastruktūroje. Kopijos turi būti daromos ne rečiau kaip 3 dienos ir šifruojamos, laikomos atskirai nuo PĮ, saugomos 30 kalendorinių dienų.
  • 18Prieigą prie duomenų ir atsarginių duomenų kopijų turi turėti tik specialią teisę turintys Tiekėjo naudotojai.
  • 19Visus duomenis galima iškarto išsaugoti .pdf, .xlsx formatais arba atspausdinti tiesiogiai iš valdymo panelės.
  • 20Turi būti saugomi įrašai apie prisijungimus (sėkmingus/nesėkmingus) bei naudotojų ar administratorių atliktus veiksmus sistemoje. Saugojimo terminas – 6 mėnesiai.
  • 21Turi būti galimybė nustatyti automatinį visų sukauptų fizinių asmenų duomenų, kaip vardas, pavardė ir kitų, ir jų atsarginių duomenų kopijų trynimą po pasirinkto periodo.
  • 22Paslaugų teikimo metu surinkti duomenys ir atsarginės duomenų kopijos turi būti saugomi (įskaitant prieigą prie jų turi būti užtikrinama) Europos ekonominės erdvės (toliau – EEE) valstybėje arba trečiojoje valstybėje, tik dėl kurios Europos Komisija yra priėmusi sprendimą, jog trečioji valstybė užtikrina tinkamo lygio asmens duomenų apsaugą.
  • 23Tiekėjas atsakingas už duomenų šaltinių (žurnalinių įrašų, išorinių kibernetinių grėsmių indikatorių) konfigūravimą pagal Paslaugų teikimo apimtį, koreliacijos taisyklių konfigūravimą, kitą programinės ar techninės įrangos konfigūravimą, atsižvelgiant į aplinkos sąlygas ir Perkančiosios organizacijos poreikius.
  • 24PĮ turi atitikti informacinei sistemai taikomus saugos reikalavimus, nustatytus Lietuvos Respublikos kibernetinio saugumo įstatyme, Kibernetinio saugumo reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įgyvendinimo“, 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679, Lietuvos standartuose LST ISO/ IEC 27001 ir LST ISO / IEC 27002, taip pat kituose Lietuvos ir tarptautiniuose „Informacijos technologija. Saugumo metodai“ grupės standartuose.

Bendrieji paslaugų teikimo reikalavimai

  • 1Paslaugų teikimas apima: IT platformų, informacinių sistemų, stebėjimo sistemų, tinklo srautų ir kitų šaltinių žurnalinių įrašų surinkimą ir agregavimą (toliau – duomenų surinkimas) bei duomenų surinkimui naudojamos programinės įrangos konfigūravimą.
  • 2Paslaugų teikimas apima: Duomenų surinkimo metu surinktų duomenų analizę (toliau – kibernetinės saugos analizė), apimančios išsamią duomenų analizę, siekiant pastebėti anomalijas ir identifikuoti IT saugos įvykius bei kibernetinės saugos analizei reikalingos programinės įrangos konfigūravimą.
  • 3Paslaugų teikimas apima: Saugos incidentų valdymą, apimantis identifikuotų IT saugos įvykių kategorizavimą, Perkančiosios organizacijos informavimą, techninę pagalbą saugos incidento sprendimo metu.
  • 4Paslaugų teikimas apima: Ataskaitų ruošimą ir teikimą (toliau – ataskaitų ruošimas), apimantis istorinių ir realaus laiko įvykių ataskaitų ruošimą.
  • 5Paslaugos teikimo ataskaitos turi būti paruoštos lietuvių kalba, techninės ataskaitos gali būti pateikiamos anglų kalba. Ataskaitos pateikiamos skaitmeniniu formatu.
  • 6Paslaugų teikimo rėžimas: Automatinis informacijos rinkimo režimas (24/7).
  • 7Paslaugų teikimo rėžimas: Analitinės informacijos teikimo režimas – darbo dienomis, darbo valandomis (I – IV nuo 08:00 iki 17:00, V nuo 08:00 iki 16:00).
  • 8Tiekėjas suteikia visą Paslaugų teikimui atlikti reikalingą programinę įrangą bei licencijas.
  • 9Tiekėjas pateikia visą Paslaugų tiekimui reikalingą techninę įrangą.
  • 10Tiekėjas užtikrina savalaikį programinės ir techninės įrangos bei jos komponentų saugos pažeidžiamumų pataisų diegimą, esant poreikiui, pateikia Perkančiajai organizacijai atnaujinimo įrodymus.
  • 11Tiekėjas turi suorganizuoti nemokamus ne mažiau kaip 8 val. nuotolinius mokymus Perkančiosios organizacijos nurodytiems asmenims ir pateikti mokymo medžiagą, ar kitą dokumentaciją, susijusią su teikiamomis Paslaugomis.
  • 12Paslaugų teikimui Tiekėjas turi turėti kvalifikacinius reikalavimus atitinkančių specialistų, užtikrinant jų pakeičiamumą.

Informacijos (duomenų) saugumo reikalavimai

  • 1Tiekėjas, teikdamas paslaugas pagal sutartį, turi užtikrinti nustatytų reikalavimų įgyvendinimą šiuose teisės aktuose: 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas); Lietuvos Respublikos kibernetinio saugumo įstatyme; Kibernetinio saugumo apraše; kituose Europos Sąjungos ir Lietuvos Respublikos teisės aktuose, reglamentuojančiuose tinklų, informacinių sistemų ir duomenų saugą, reikalavimus valdomų paslaugų teikėjams; Europos Komisijos priimtiems įgyvendinimo aktams, nustatantiems techninius ir metodinius reikalavimus.
  • 2Įsigaliojus naujiems Europos Sąjungos ar Lietuvos Respublikos teisės aktams, ar jų pakeitimams, susijusiems su paslaugų vykdymu, Tiekėjas privalo vykdyti tokių teisės aktų nuostatas nuo jų įsigaliojimo datos.
  • 3Jeigu vykdant Sutartį Tiekėjui ar Tiekėjo kitiems Sutarties vykdymui pasitelkiamiems asmenims (subtiekėjams, PĮ gamintojui ir kitais pagrindais pasitelkiamiems ūkio subjektams ir jų darbuotojams ir pan.) (toliau – pasitelkiamas asmuo) būtina atskleisti Pirkėjo konfidencialią informaciją, kaip ji apibūdinta Pirkėjo vietiniuose (vidaus) norminiuose teisės aktuose (Pirkėjo Komercinių paslapčių ir kitos konfidencialios informacijos sąraše), šią informaciją gaunantis asmuo privalo ją saugoti ir neatskleisti, laikytis kitų įsipareigojimų, pasirašydamas Pirkėjo patvirtintos formos Įsipareigojimą neatskleisti konfidencialios informacijos.
  • 4Tiekėjui ar pasitelkiamiems asmenims viešai neskelbtina informacija teikiama tik tokios apimties, kuri būtina sutarčiai vykdyti. Tiekėjas ar pasitelkiamas asmuo turi imtis visų teisinių, techninių ir organizacinių priemonių iš Pirkėjo gautai informacijai apsaugoti.
  • 5Paslaugos vykdymui Tiekėjo darbuotojams ar pasitelkiamiems asmenims prieiga prie Pirkėjo informacinių išteklių (įskaitant PĮ) suteikiama tik tokios apimties, kokios reikia Paslaugos vykdymui užtikrinti.
  • 6Pasitelkiamiems asmenims prieiga prie Pirkėjo informacinių išteklių (įskaitant PĮ) suteikiama, jei Tiekėjas apie pasitelkiamus asmenis pranešė Pirkėjui Sutarties Bendrųjų sąlygų nustatyta tvarka ir jie yra nurodyti Sutartyje ar jos pakeitimuose.
  • 7Jei teikiant paslaugas pagal sutartį yra būtina nuotolinė prieiga prie Pirkėjo informacinių išteklių (įskaitant PĮ) ir kad konkrečiam Tiekėjo ir (ar) pasitelkiamo asmens darbuotojui būtų suteikiami prisijungimo duomenys, Tiekėjas ir (ar) pasitelkiamas asmuo prieš atliekant tam tikrus darbus pagal sutartį privalo pateikti Pirkėjui darbuotojo(-ų), atliksiančio(-ų) darbus, duomenis (vardą, pavardę, telefono ryšio numerį ir(ar) elektroninio pašto adresą).
  • 8Tiekėjas ir (ar) pasitelkiamas asmuo privalo užtikrinti, kad prie Pirkėjo informacinių išteklių (įskaitant PĮ) jungtųsi tik tie darbuotojai, apie kuriuos Tiekėjas ir (ar) pasitelkiamas asmuo pranešė Pirkėjui, nesuteikiant prieigos kitiems Tiekėjo ir (ar) pasitelkiamo asmens darbuotojams ar tretiesiems asmenims.
  • 9Prisijungimo duomenys nurodytiems Tiekėjo ir (ar) pasitelkiamo asmens darbuotojams pateikiami asmeniškai ar elektroniniu paštu.
  • 10Tiekėjui ir (ar) pasitelkiamam asmeniui nutraukus darbo santykius su paskirtu vykdyti sutartį darbuotoju, Tiekėjas ir (ar) pasitelkiamas asmuo nedelsiant turi informuoti apie tai Pirkėją, kuris nedelsiant panaikina nurodyto darbuotojo naudotojo vardą ir slaptažodį ir (arba) užblokuoja prieigą prie Pirkėjo informacinių išteklių.
  • 11Tiekėjo ir (ar) pasitelkiamo asmens darbuotojui suteiktas naudotojo vardas nekeičiamas ir negali būti suteiktas kitam Tiekėjo ir (ar) pasitelkiamo asmens paskirtam darbuotojui.
  • 12Tiekėjas privalo užtikrinti, kad gamintojo siūlomas PĮ atitiktų Techninėje specifikacijoje nustatytus reikalavimus ir būtų tinkamai integruotas Pirkėjo informacinių technologijų (toliau – IT) infrastruktūroje, be kita ko apimant sprendimo diegimo, konfigūravimo ir saugumo parametrų nustatymo rekomendacijų, užtikrinančių atitiktį kibernetinio saugumo reikalavimams, teikimą.
  • 13Tiekėjas privalo informuoti Pirkėją apie visus didelius kibernetinius incidentus ir (ar) kitus incidentus, susijusius su Pirkėjo naudojama PĮ (toliau – kibernetinis incidentas), apie kuriuos pranešė šios sistemos gamintojas ar kitas iš pasitelkiamų asmenų ar kurie Tiekėjui tapo žinomi jam vykdant Sutartį, nedelsdamas, bet ne vėliau kaip per 8 (aštuonias) valandas nuo sužinojimo apie kibernetinį incidentą momento, nurodydamas kibernetinio incidento aplinkybes (data ir laikas, kada kibernetinis incidentas įvyko ar buvo nustatytas; aprašyti kibernetinio incidento pobūdį, tikėtinas kibernetinio incidento pasekmes, priemones, kurių ėmėsi Tiekėjas ar siūloma imtis, kad būtų pašalintas kibernetinis incidentas, taip pat nurodomas kontaktinis asmuo, galintis suteikti daugiau informacijos, vardas, pavardė ir kontaktiniai duomenys).
  • 14Jeigu visos informacijos apie kibernetinį incidentą neįmanoma pateikti per Techninės specifikacijos 6.10 papunktyje nurodytą terminą ir (arba) atsiranda poreikis Pirkėjui pateikti papildomą informaciją, Tiekėjas privalo nedelsdamas, tačiau ne vėliau nei per 8 (aštuonias) darbo valandas nuo naujos informacijos sužinojimo momento, pateikti papildomą pranešimą Pirkėjui, nurodydamas visą trūkstamą informaciją.
  • 15Tiekėjas privalo pateikti Pirkėjui kibernetinio incidento tyrimo ataskaitą bei kitą susijusią dokumentaciją per 10 (dešimt) darbo dienų nuo incidento nustatymo arba per kitą terminą, dėl kurio abi šalys susitaria raštu.
  • 16Nustačius kibernetinį incidentą, Tiekėjas įsipareigoja nedelsdamas imtis visų būtinų techninių ir organizacinių priemonių ir padėti Pirkėjui, teikdamas pagalbą, rekomendacijas, taip pat PĮ gamintojo ar kito iš pasitelkiamų asmenų informaciją ir rekomendacijas, siekiant suvaldyti kibernetinį incidentą ir pašalinti jo pasekmes.
  • 17Tiekėjas įsipareigoja bendradarbiauti su Pirkėju ir, jei reikia, su trečiosiomis šalimis (pvz., kibernetinio saugumo, teisėsaugos ir pan. institucijomis), siekiant suvaldyti kibernetinį incidentą, ištirti ir nustatyti jo priežastis, užtikrinti nustatyto kibernetinio incidento pasekmių pašalinimą.
  • 18Kibernetinio incidento pasekmių šalinimo veiksmai laikomi baigtais, kai Pirkėjas raštu patvirtina Tiekėjui, kad kibernetinio incidento poveikis visiškai pašalintas.
  • 19Tiekėjas įsipareigoja sudaryti sąlygas Pirkėjui arba jo įgaliotiems paslaugų teikėjams atlikti Tiekėjo atitikties Kibernetinio saugumo aprašui auditą (įskaitant neplaninį) sutarties vykdymo laikotarpiu ar įvykus dideliam kibernetiniam incidentui, tiek kiek tai yra susiję su paslaugų teikimu pagal sutartį, nepažeidžiant Tiekėjo konfidencialios informacijos, nesusijusios su sutarties vykdymu.
  • 20Jei minėtas auditas apimtų PĮ gamintojo ar kito iš pasitelkiamų asmenų veiklą, Tiekėjas privalo bendradarbiauti ir perduoti Pirkėjui arba jo įgaliotiems paslaugų teikėjams PĮ gamintojo ar kito iš pasitelkiamų asmenų pateiktą informaciją.
  • 21Jei trūkumai ar neatitikimai susiję su Pirkėjo IT infrastruktūra ar joje esančia PĮ programine įranga ir kai šiuos trūkumus ar neatitikimus Pirkėjas gali pašalinti savarankiškai be Tiekėjo ar kito iš pasitelkiamų asmenų įsikišimo, Tiekėjas privalo bendradarbiauti, teikti pagalbą, rekomendacijas, taip pat teikti PĮ gamintojo ar kito iš pasitelkiamų asmenų informaciją ir rekomendacijas, kad Pirkėjas galėtų juos pašalinti.
  • 22Pirkėjui nepavykus pašalinti trūkumų ar neatitikimų savarankiškai, trūkumus ar neatitikimus, patenkančius į Tiekėjo atsakomybės sritį, Tiekėjas ir (ar) pasitelkiamas asmuo privalo pašalinti per Pirkėjo nustatytą terminą, bet ne ilgesnį kaip 30 (trisdešimt) kalendorinių dienų, išskyrus atvejus, kai abi šalys raštu susitaria dėl ilgesnio termino.
  • 23Jei dėl objektyvių priežasčių audito metu nustatytų trūkumų ar neatitikimų neįmanoma pašalinti per suderintus terminus, Tiekėjas nedelsdamas privalo motyvuotai raštu informuoti Pirkėją apie trūkumų ar neatitikimų nepašalinimo laiku priežastis bei nurodo naujus planuojamus trūkumų ar neatitikimų pašalinimo terminus.
  • 24Tiekėjas įsipareigoja užtikrinti spragų valdymo procesą. Tiekėjas įsipareigoja informuoti Pirkėją apie PĮ gamintojo ar kito iš pasitelkiamų asmenų identifikuotas spragas, keliančias riziką Pirkėjo naudojamos PĮ saugumui ir funkcionalumui, ne vėliau kaip per 24 (dvidešimt keturias) valandas nuo tokios informacijos gavimo ar tapus tokiai informacijai žinoma Tiekėjui vykdant sutartį, o apie spragų šalinimo eigą – periodiškai, bet ne rečiau kaip kartą per 7 (septynias) kalendorines dienas, iki visiško spragų pašalinimo.
  • 25Jei spragos yra susijusios su Pirkėjo IT infrastruktūra ar joje esančia PĮ programine įranga ir kai šias spragas Pirkėjas gali pašalinti savarankiškai be Tiekėjo ar kito iš pasitelkiamų asmenų įsikišimo, Tiekėjas privalo bendradarbiauti, teikti pagalbą, rekomendacijas, taip pat teikti PĮ gamintojo ar kito iš pasitelkiamų asmenų informaciją ir rekomendacijas, kad Pirkėjas galėtų nustatytas spragas pašalinti.
  • 26Pirkėjui nepavykus pašalinti spragų savarankiškai, spragos, patenkančios į Tiekėjo atsakomybės sritį, turi būti pašalintos Tiekėjo ir (ar) pasitelkiamų asmenų parengtais veiksmais, suderintais ir patvirtintais su Pirkėju, per terminus, suderintus su Pirkėju.
  • 27Jeigu dėl objektyvių priežasčių spragos negali būti pašalintos per suderintus terminus, Tiekėjas nedelsdamas privalo motyvuotai raštu informuoti Pirkėją apie spragų nepašalinimo laiku priežastis bei nurodo naujus planuojamus spragų pašalinimo terminus arba alternatyvias priemones, užtikrinančias PĮ saugumą.
  • 28Visi Techninės specifikacijos 6 punkte numatyti saugumo reikalavimai, taikomi Tiekėjui, yra taikomi pasitelkiamiems asmenims ir jų darbuotojams atitinkamai pagal jų kompetenciją ir vykdomas funkcijas, susijusias su paslaugų teikimu pagal sutartį.

Dokumentai5

  • 3 priedas_Kvalifikaciniai reikalavimai.docx
  • 1374_7796541.pdf
  • _Kvietimas rinkos konsultacijai.pdf
  • 1 priedas_Techninės specifikacijos projektas.docx
  • 2 priedas_Klausimai dėl perkamo objekto.docx
tendis.lt · Sukurta recodin.lt