Grįžti į sąrašą

PRIVILEGIJUOTŲ NAUDOTOJŲ VALDYMO SPRENDIMO PALAIKYMO PASLAUGOS

Išanalizuota

Lietuvos Respublikos Vyriausybės kanceliarija

24 000
Skelbiama apklausaCPV: 72000000 - IT paslaugos: konsultavimas, programinės įrangos kūrimas, internetas ir aptarnavimo paslaugos
ID: 78519292026-05-13 15:37
Atidaryti CVP IS

Aprašymas

Lietuvos Respublikos Vyriausybės kanceliarija siekia įsigyti privilegijuotų naudotojų valdymo sprendimo (PAM) palaikymo paslaugas. Šios paslaugos apims programinės įrangos gyvavimo ciklo priežiūrą, techninį aptarnavimą, saugumo užtikrinimą ir informacijos saugumo reikalavimų įgyvendinimą. Pirkimas skirtas užtikrinti sistemos veiklos tęstinumą ir apsaugą nuo kenkėjiškos veiklos bei pažeidžiamumų.

Kvalifikaciniai reikalavimai

Kvalifikacinių reikalavimų nerasta

Techniniai reikalavimai

Techninės saugumo priemonės

  • 1Prieigų kontrolė ir autentifikavimas: Tiekėjas turi įdiegti prieigų kontrolės sistemą, taikomą visiems vartotojams, prieinantiems prie informacinių technologijų sistemų, kuri leistų kurti, patvirtinti, peržiūrėti ir pašalinti naudotojų paskyras. Draudžiama naudoti bendras naudotojų paskyras. Autentifikavimui turi būti naudojamas bent jau naudotojo prisijungimo vardas ir slaptažodis, atitinkantis nustatytą sudėtingumo lygį. Prieigų kontrolės sistema turi gebėti nustatyti slaptažodžius, kurie neatitinka sudėtingumo lygio ir neleisti jų naudoti. Vartotojo slaptažodžiai turi būti saugomi naudojant kodavimo formą (angl. hash form).
  • 2Techninių žurnalų įrašai ir stebėsena: Techninių žurnalų įrašai turi būti įgyvendinti kiekvienai IT sistemai, taikomajai programai, naudojamai asmens duomenų tvarkymui, ir turi fiksuoti visus prieigos prie asmens duomenų veiksmus. Rekomenduojamas saugojimo terminas – ne mažiau kaip 6 mėnesiai. Techninių žurnalų įrašai turi turėti laiko žymas ir būti apsaugoti nuo galimo sugadinimo, suklastojimo ar neautorizuotos prieigos. IT sistemose naudojami laiko apskaitos mechanizmai turi būti sinchronizuoti pagal bendrą laiko atskaitos šaltinį. Visi sistemų administratorių ir operatorių veiksmai turi būti registruojami. Turi būti neįmanoma ištrinti ar pakeisti techninių įrašų turinio. Prieiga prie įrašų taip pat turi būti registruojama, siekiant atlikti neįprastų veiksmų susekimo stebėseną.
  • 3Tarnybinių stočių, duomenų bazių apsauga: Duomenų bazės ir taikomųjų programų tarnybinės stotys turi būti sukonfigūruotos taip, kad veiktų korektiškai ir naudotų atskirą paskyrą su priskirtomis žemiausiomis operacinės sistemos privilegijomis. Duomenų bazės ir taikomųjų programų tarnybinės stotys turi apdoroti tik tuos asmens duomenis, kurie yra reikalingi darbui, atitinkančiam duomenų apdorojimo tikslus.
  • 4Darbo stočių apsauga: Kompiuterinėse darbo vietose naudotojams turi būti apribota galimybė išjungti ar apeiti, išvengti saugumo nustatymų. Antivirusinės taikomosios programos ir aptikimo žymenys turi būti atnaujinami ne rečiau kaip kas savaitę. Naudotojams negalima turėti privilegijų diegti, šalinti, administruoti neautorizuotos programinės įrangos. IT sistemos turi turėti nustatytą sesijos laiką, t. y. naudotojui esant neaktyviam sistemoje nustatytą laiką, sesija privalo būti nutraukta. Rekomenduojamas neaktyvios sesijos laikas – ne daugiau kaip 15 min. Kritiniai operacinės sistemos saugos atnaujinimai, išleidžiami operacinės sistemos gamintojo, turi būti įdiegiami reguliariai ir nedelsiant.
  • 5Tinklų ir komunikacijos sauga: Visais atvejais, kai prieiga prie naudojamų IT sistemų yra vykdoma internetu, ryšys turi būti šifruojamas kriptografiniais protokolais (pvz., TLS). Belaidis ryšys prie IT sistemų turi būti leidžiamas tik tam tikriems vartotojams ir procesams. Belaidžio ryšio potinklis turi būti atskirtas nuo kitų potinklių. Belaidė prieiga turi būti apsaugota patikimais šifravimo mechanizmais. Nuotolinė prieiga prie IT sistemų galima organizacijos paskirtam darbuotojui kontroliuojant ir stebint jos veikimą per iš anksto nustatytus įrenginius. Bet koks judėjimas iš, į IT sistemą turi būti stebimas ir kontroliuojamas naudojant ugniasienes ir įsibrovimo (įsilaužimo) aptikimo sistemas.
  • 6Programinės įrangos sauga: Informacinėse sistemose naudojama programinė įranga, skirta asmens duomenims tvarkyti, turi atitikti programinės įrangos saugos gerąją praktiką, programinės įrangos kūrime taikomą saugos gerąją praktiką, programinės įrangos kūrimo struktūras, standartus. Specifiniai saugos reikalavimai turi būti apibrėžti pradiniuose programinės įrangos kūrimo etapuose. Turi būti laikomasi duomenų saugą užtikrinančių programavimo standartų ir gerosios praktikos. Programinės įrangos kūrimo, testavimo ir verifikacijos etapai turi vykti atsižvelgiant į pagrindinius saugos reikalavimus. Prieš paleidžiant programinę įrangą, turi būti atliktas šios įrangos pažeidžiamumo, pritaikomumo ir infrastruktūros atsparumo skverbimuisi įvertinimas. Programinė įranga negali būti patvirtinta, kol nėra pasiektas reikiamas saugumo lygis. Turi būti atliekami periodiški infrastruktūros atsparumo skverbimuisi testavimai. Programinės įrangos atnaujinimai turi būti ištestuoti ir įvertinti prieš juos diegiant į darbo aplinką atitinkamomis veiklos sąlygomis.
  • 7Fizinė sauga: Informacinės sistemos infrastruktūros perimetras turi būti neprieinamas neautorizuotam personalui. Įsilaužimo (įsibrovimo) aptikimo sistemos turi būti įdiegtos visose saugumo zonose. Laisvos saugios zonos turi būti fiziškai rakinamos ir periodiškai patikrinamos. Tarnybinių stočių patalpoje turi būti įdiegta automatinė gaisro gesinimo sistema, uždara valdoma oro kondicionavimo sistema ir nepertraukiamo maitinimo šaltinis. Išorės subjektų personalui, įgyvendinančiam teikiamas palaikymo ar garantines paslaugas, turi būti suteikta ribota prieiga prie saugių zonų.
  • 8Tiekėjas privalo užtikrinti ir įgyvendinti 2024 m. spalio 18 d. įsigaliojusio Kibernetinio saugumo įstatymo ir įgyvendinamųjų teisės aktų nuostatas.
  • 9Atsižvelgiant į pavojaus duomenų saugumui lygį, Tiekėjas turi pasirinkti griežtesnes saugumo priemones, kad būtų užtikrinta tinkama duomenų apsauga.

Bendrieji paslaugos reikalavimai

  • 1Tiekėjas užtikrina, kad programinės įrangos gamintojas nėra paskelbęs apie siūlomos programinės įrangos gyvavimo ciklo pabaigą (angl. End of Life, EOL) ar jos nutraukimą (angl. Discontinued) palaikymo paslaugos teikimo laikotarpiu ir įsipareigoja nedelsdamas informuoti Pirkėją apie bet kokius su tuo susijusius pasikeitimus.
  • 2Nustačius, kad programinėje įrangoje yra įdiegtas įtartinas, šnipinėjantis ar kitą kenkėjišką veiklą vykdantis programinis kodas (atnaujinimo, techninės pagalbos metu ar kitu keliu), paslaugos teikimas nutraukiamas, o tiekėjas privalo savo lėšomis įdiegti naują, saugumo reikalavimus atitinkančią programinę įrangą, užtikrinant veiklos tęstinumą.
  • 3Nustačius, kad programinėje įrangoje yra įdiegtas įtartinas, šnipinėjantis ar kitą kenkėjišką veiklą vykdantis programinis kodas (atnaujinimo, techninės pagalbos metu ar kitu keliu), tiekėjas padengia pirkėjo patirtą materialinę žalą, įskaitant, bet neapsiribojant, duomenų atkūrimo, sistemų atstatymo ir veiklos sutrikimo kaštus.
  • 4Paslauga turi atitikti Lietuvos Respublikos viešųjų pirkimų įstatymo 37 straipsnio 2 dalyje numatytus reikalavimus, susijusius su grėsmėmis nacionaliniam saugumui.

Dokumentacijos ir atitikties reikalavimai

  • 1Tiekėjas privalo pateikti Perkančiajai organizacijai dokumentus, patvirtinančius Organizacinių ir Techninių reikalavimų (OTR) laikymąsi, galiojantį ISO standartą (pvz., ISO/IEC 27001) ar lygiavertį.
  • 2Tiekėjas privalo pateikti Duomenų ir kibernetinio saugumo politiką.
  • 3Tiekėjas privalo pateikti Kibernetinio saugumo ir veiklos tęstinumo valdymo planą.
  • 4Tiekėjas privalo pateikti IT sistemų prieigos valdymo politiką, kuri apimtų naudotojų administravimo procedūras.
  • 5Tiekėjas privalo pateikti Incidentų valdymo ir pranešimų procedūras, kurios apimtų reagavimą į saugumo pažeidimus, duomenų nutekėjimus ir pranešimų teikimą Užsakovui.
  • 6Tiekėjas privalo pateikti Asmens duomenų tvarkymo minimalių techninių ir organizacinių priemonių dokumentą.
  • 7Tiekėjas privalo pateikti Periodinių saugumo auditų ir patikrinimų ataskaitas arba jų vykdymo procedūras, užtikrinant nuolatinę atitiktį OTR reikalavimams.
  • 8Tiekėjas privalo pateikti Programinės įrangos saugos politiką ir testavimo dokumentaciją, įskaitant pažeidžiamumo, atsparumo skverbimuisi testus ir infrastruktūros atitikimo reikalavimus bei tinklų rizikos vertinimo dokumentaciją.
  • 9Tiekėjas privalo pateikti Infrastruktūros saugos dokumentus, apimančius tinklų, darbo stočių, duomenų bazių ir fizinės infrastruktūros apsaugos dokumentus, užtikrinančius, kad paslaugų teikimas nekelia grėsmės nacionaliniam saugumui.
  • 10Tiekėjas privalo pateikti bet kokius kitus dokumentus, kurie gali būti nurodyti Užsakovo ar įstatymų reikalavimu, siekiant užtikrinti, kad Tiekėjo veikla atitinka OTR reikalavimus.

Organizacinių saugumo priemonių reikalavimai

  • 1Saugumo politika: Tiekėjas turi nustatyti dokumentuotą asmens duomenų saugumo politiką ir kitus dokumentus, užtikrinančius Organizacinių ir Techninių reikalavimų (OTR) laikymąsi bei kasmet ją peržiūrėti, kiek reikalinga.
  • 2Vaidmenys ir atsakomybė: Vaidmenys ir atsakomybės, susijusios su asmens duomenų tvarkymu, turi būti aiškiai apibrėžtos ir paskirstytos vadovaujantis saugumo politika. Keičiantis darbuotojams, teisių ir atsakomybės atšaukimo tvarka turi būti aiškiai apibrėžta, numatant ir aiškias jų perdavimo procedūras.
  • 3Prieigos valdymo politika: Specialios prieigos kontrolės teisės turi būti priskirtos kiekvienam vaidmeniui, susijusiam su asmens duomenų tvarkymu, pagal būtinumo žinoti principą.
  • 4Pakeitimų valdymas: Tiekėjas turi užtikrinti, kad visi informacinių sistemų pakeitimai būtų registruojami ir stebimi konkretaus asmens. Programinės įrangos tobulinimas turi būti atliekamas specialioje aplinkoje, kuri nebūtų sujungta su sistema, kurioje tvarkomi asmens duomenys. Testavimui naudoti išgalvotus duomenis, o jei neįmanoma – tikruosius duomenis suderinus su Užsakovu, užtikrinant asmens duomenų apsaugą.
  • 5Duomenų tvarkytojai: Kai Tiekėjas pasitelkia kitus duomenų tvarkytojus, jis privalo turėti nustatytas ir dokumentuotas gaires ir procedūras, reguliuojančias kitų duomenų tvarkytojų atliekamą duomenų tvarkymą, užtikrinančias tokį patį duomenų apsaugos lygį kaip ir Tiekėjo saugumo politikoje. Tiekėjas turi įpareigoti kitus duomenų tvarkytojus nedelsiant pranešti Tiekėjui apie asmens duomenų saugumo pažeidimus, taip pat pateikti įrodymus dėl tinkamų saugumo priemonių įgyvendinimo.
  • 6Asmens duomenų saugumo pažeidimai ir incidentai: Tiekėjas privalo turėti reagavimo į saugumo incidentus planą su detaliomis procedūromis. Apie duomenų saugumo pažeidimus nedelsiant turi būti informuojama vadovybė.
  • 7Konfidencialumo įsipareigojimai: Tiekėjas privalo užtikrinti, kad visi darbuotojai suprastų savo pareigas ir atsakomybę, susijusią su duomenų tvarkymu. Vaidmenys ir pareigos turi būti aiškiai išdėstyti darbuotojams prieš pradedant vykdyti jiems priskirtas funkcijas ir darbus.
  • 8Mokymai: Tiekėjas privalo užtikrinti, kad visi darbuotojai būtų tinkamai informuoti apie informacinės sistemos saugumo kontrolę, kuri susijusi su jų kasdieniu darbu. Darbuotojai, kurių darbas susijęs su asmens duomenų tvarkymu, turi būti informuojami apie atitinkamus asmens duomenų apsaugos reikalavimus ir teisinius įpareigojimus rengiant reguliarius mokymus, informavimo renginius ar instruktažus.

Informacijos saugumo valdymo reikalavimai (tiekėjui)

  • 1Tiekėjas privalo perduoti palaikymo aktyvavimo kodus naudodamas saugų kanalą, užtikrinantį informacijos konfidencialumą arba tiekėjas pats aktyvuoja naują gamintojo palaikymo periodą gamintojo svetainėje. Galimi aktyvavimo kodo perdavimo būdai: Šifruotas el. paštas (pvz., naudojant S/MIME, PGP ar kitu būdu); Užrakintas/licencijuotas failų perdavimo portalas (pvz., „WeTransfer Pro“, „ShareFile“); Užsakovo nurodyta saugi dokumentų valdymo ar komunikacijos sistema.
  • 2Visa informacija, susijusi su palaikymo aktyvavimu, įskaitant aktyvavimo kodus, laikoma konfidencialia. Tiekėjas įsipareigoja neatskleisti jos tretiesiems asmenims be raštiško perkančiosios organizacijos sutikimo.
  • 3Tiekėjas turi užtikrinti, kad prieigą prie palaikymo aktyvavimo kodų turi tik tie jo darbuotojai, kuriems ši prieiga būtina tiesioginių funkcijų vykdymui. Prieiga turi būti apsaugota slaptažodžiais ar kitomis autentifikavimo priemonėmis.
  • 4Tiekėjas privalo per 24 valandas raštu informuoti perkančiąją organizaciją apie bet kokį pastebėtą ar įtariamą informacijos saugumo pažeidimą, susijusį su palaikymo kodų perdavimu ar saugojimu.
  • 5Be išankstinio raštiško perkančiosios organizacijos sutikimo, draudžiama perduoti palaikymo kodų informaciją per tarpininkus, subtiekėjus ar kitas trečiąsias šalis.

Programinės įrangos palaikymo paslaugų reikalavimai

  • 1Palaikymo ir techninio aptarnavimo paslaugos teikiamos darbo dienomis, darbo valandomis 12 val. per parą, 5 dienas per savaitę (12/5).
  • 2Konsultacijos ir/ar pagalba telefonu ir/ar el. paštu ir/ar internetiniame techninio aptarnavimo centre nustatant programinės įrangos sutrikimo priežastį bei teikiant sprendimo rekomendacijas.
  • 3Reakcijos į paklausimus el. paštu ir/ar internetiniame techninio aptarnavimo centre laikas – ne ilgesnis kaip 24 val.
  • 4Naujų programinės įrangos versijų pateikimas.
  • 5Programinės įrangos pataisymų (angl. patch) pateikimas.
  • 6Naujas programinės įrangos versijas ir pataisymus pateikia įrangos gamintojas arba jo įgaliotas atstovas.
  • 7Programinės įrangos saugumo pažeidžiamumų šalinimas ir informavimas apie nustatytas rizikas.
  • 8Prieiga prie techninės - programinės įrangos gamintojo publikuojamų informacijos šaltinių, susijusių su šios įrangos eksploatavimu (dokumentacija, žinių bazė, saugumo pranešimai ir kt.), visą palaikymo laikotarpį.

Dokumentai8

  • 2_Skelbiamos apklausos bendrosios_sąlygos (VPT).docx
  • espd-request.xml
  • espd-request.pdf
  • README.txt
  • 7851929_National Contract notice or Design Contest notice - general directive, standard regime_0.pdf
  • 1_Privilegijuotų naudotojų Skelb apkl SS .docx
  • 4_c4t_7851929_1.xml
  • 2076_7851929.pdf
tendis.lt · Sukurta recodin.lt