Grįžti į sąrašą

Technologinio pažeidžiamumo įvertinimo ir atsparumo kibernetinėms atakoms didinimo paslaugos

Išanalizuota

Viešoji įstaiga "Mokausi Lietuvoje"

15 000
Skelbiama apklausaCPV: 72225000 - Sistemų kokybės užtikrinimo vertinimo ir peržiūros paslaugos
ID: 79478592026-05-20 21:40Pasiūlymai iki: 2026-05-26 12:00
Atidaryti CVP IS

Aprašymas

Perkamos technologinio pažeidžiamumo įvertinimo ir atsparumo kibernetinėms atakoms didinimo paslaugos. Jos apima išorinio kompiuterinio tinklo perimetro, vidinių/išorinių informacinių sistemų, interneto svetainių, WEB aplikacijų ir REST API servisų, bei vidinio tinklo ir darbo vietų saugumo patikrinimus. Taip pat, paslaugų teikimas apima atliktų darbų ataskaitų parengimą ir pristatymą, bei pakartotinį klaidų patikrinimą po jų ištaisymo.

Kvalifikaciniai reikalavimai

  • 1Paslaugos turi būti teikiamos vadovaujantis Lietuvos standartu LST ISO/IEC 27001:2017 (arba lygiaverčiu, pareiga įrodyti lygiavertiškumą tenka paslaugų teikėjui). Ne vėliau kaip per 5 d.d. nuo Sutarties įsigaliojimo dienos, Paslaugų teikėjas privalo pateikti atitiktį reikalavimui patvirtinantį dokumentą.

Techniniai reikalavimai

Paslaugų suteikimo terminas

  • 1Paslaugų suteikimo terminas – 30 dienų nuo sutarties įsigaliojimo dienos.

Pakartotinis klaidų patikrinimas

  • 1Pakartotinis aptiktų klaidų patikrinimas po jų ištaisymo (aptiktoms klaidoms ištaisyti Perkančiajai organizacijai skiriama 20 d.d.).

Aplinkos apsaugos (žalieji) kriterijai

  • 1Vykdant Sutartį mažinti popieriaus sunaudojimą, atsisakyti nebūtino dokumentų kopijavimo ir spausdinimo, rengiama techninė dokumentacija, ataskaitos ir (ar) kiti su Sutarties vykdymu susiję dokumentai (įskaitant mokėjimo dokumentus), turi būti teikiami tik elektroniniu formatu, o techninės dokumentacijos galutinės versijos ir (ar) kita dokumentacija, kuri turi būti pasirašoma, pasirašoma elektroniniais parašais. Išimtiniais atvejais su Sutarties vykdymu susiję dokumentai gali būti pateikiami fiziniu dokumentų formatu, jeigu toks formatas privalomas pagal teisės aktus ir (ar) Pirkėjas nurodo tokį būtinumą.
  • 2Esant būtinybei spausdinti, naudojamas perdirbtas popierius, kuris atitinka aktualios redakcijos Lietuvos Respublikos aplinkos ministro 2011 m. birželio 28 d. įsakymu Nr. D1-508 „Dėl Produktų, kurių viešiesiems pirkimams ir pirkimams taikytini aplinkos apsaugos kriterijai, sąrašo, Aplinkos apsaugos kriterijų ir Aplinkos apsaugos kriterijų, kuriuos perkančiosios organizacijos ir perkantieji subjektai turi taikyti pirkdami prekes, paslaugas ar darbus, taikymo tvarkos aprašo patvirtinimo“ patvirtintus reikalavimus.
  • 3Popierius turi būti pagamintas iš: 1) 100 proc. perdirbto popieriaus (naudoto popieriaus ir (ar) gamybos atliekų) plaušų arba ne mažiau kaip 30 proc. pirminės medienos plaušų, gautų iš miškų, sertifikuotų naudojant Forest Stewardship Council (toliau – FSC, https://fsc.org/en) ar Miškų sertifikavimo sistemų pripažinimo programą (angl. Programme for the Endorsement of Forest Certification schemes (toliau – PEFC, https://www.pefc.org/) arba lygiavertes miškų sertifikavimo sistemas, kita dalis – iš perdirbto popieriaus plaušų.
  • 4Popierius turi būti nebalintas arba balintas nenaudojant chloro dujų.

Bendrieji paslaugų teikimo reikalavimai

  • 1Paslaugų teikėjas atsakingas už administracinius, darbo grupių organizavimo bei informacijos pateikimo ar sąlygų jai gauti užtikrinimo klausimus. Taip pat jis atsakingas už komunikaciją, vykdant sutartį, sutarties vykdymo rizikų valdymą, dokumentų šablonų suderinimą ir paslaugų perdavimą.
  • 2Visos numatytos paslaugos teikiamos pagal su Perkančiąja organizacija suderintą kalendorinį darbų grafiką, kuris turi būti paruoštas per 5 darbo dienas nuo sutarties įsigaliojimo. Kartu su grafiku privalo būti pasiūlyti ir suderinti: paslaugų teikimo būdai, metodai ir priemonės.
  • 3Paslaugų teikėjo rengiami dokumentai pateikiami lietuvių kalba (esant poreikiui ir anglų kalba).
  • 4Paslaugų teikėjas privalo suderinti visus pateikiamus suteiktų paslaugų rezultatus su Perkančiąja organizacija.
  • 5Esant reikalui, daromi papildomi suteiktų paslaugų rezultatų (dokumentų) pakeitimai iki jų priėmimo (ne daugiau nei 2 iteracijomis).
  • 6Pateiktų dokumentų projektus (dokumentų projektai pateikiami el. paštu, PO patvirtinus jų gavimą) Perkančioji organizacija įvertina per 3 darbo dienas nuo pateikimo dienos ir pateikia pastabas, jeigu tokių būtų.
  • 7Paslaugos baigiamos teikti rezultatų pristatymu Perkančiosios organizacijos atsakingiems specialistams ir vadovybei (jei Perkančioji organizacija pageidauja) ir ataskaitos pateikimu Perkančiajai organizacijai. Viskas įforminama paslaugų perdavimo ir priėmimo aktu.
  • 8Paslaugų teikėjas turi užtikrinti, kad sutarties vykdymas atitiks asmens duomenų saugos reikalavimus, kaip tai nurodyta 2016 m. balandžio 27 d. Europos parlamento ir Tarybos reglamente (ES) Nr. 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46EB (Bendrasis duomenų apsaugos reglamentas) bei įvertinti ar dėl paslaugų pobūdžio būtina parengti ir pasirašyti susitarimą dėl asmens duomenų tvarkymo tvarkos.
  • 9Teikdamas Paslaugas paslaugų teikėjas turi užtikrinti atitiktį organizaciniams ir techniniams kibernetinio saugumo reikalavimams, kaip tai nurodyta Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.

Vidinio tinklo ir darbo vietų saugumo patikrinimas

  • 1Microsoft Entra debesų kompiuterijos, OneDrive vartotojų ir įmonės konfigūravimo testavimas.
  • 2Tikrinama, ar naudotojai negali eskaluoti savo teisių sistemoje, atlikti veiksmus ir/arba gauti duomenis, nesusijusius su jų tiesioginių pareigų vykdymu.
  • 3Atliekami kiti testai pagal paslaugos teikėjo naudojamą metodologiją.
  • 4Remiantis surinkta informacija, patikrinimo metu nustatyta realia padėtimi, geriausiąja praktika ir standartais, įvertinamas vidinio duomenų perdavimo tinklo saugumas.
  • 5Pateikiamos darbuotojų, dirbančių nuotoliu su tarnybinėmis stotimis, konfigūracijų rekomendacijos saugiam darbui užtikrinti.
  • 6Tikrinamas tarnybinių stočių operacinės sistemos ir jose veikiančios sisteminės programinės įrangos atnaujinimo lygis ir ar jos nėra pažeidžiamos remiantis šiai dienai žinomomis saugumo spragomis.
  • 7Tikrinamas tarnybinių stočių ir jose veikiančios sisteminės programinės įrangos konfigūracijos saugumas.
  • 8Tikrinama ar vartotojai negali eskaluoti savo teisių sistemoje, atlikti veiksmus ir/arba gauti duomenis, nesusijusius su jų tiesioginių pareigų vykdymu.

Atliktų darbų ataskaitų parengimas ir pristatymas

  • 1Atliktų darbų etapų ataskaitų parengimas (įforminama priėmimo – perdavimo aktu).
  • 2Tikrintų objektų aprašymas.
  • 3Patikrinimo tikslai ir eiga.
  • 4Aprašomos aptiktos spragos, pateikiami įrodymai (pridėti ekrano vaizdai su įrodymais) ir pašalinimo rekomendacijos.
  • 5Pateikiamas įsilaužimo scenarijus – detaliai aprašyta veiksmų seka kaip išnaudoti vieną ar kitą saugumo trūkumą (pateikiamas tik esant technologiniam pažeidžiamumui).
  • 6Po visų tinklapio audito etapų turi būti parengta ir pateikta ataskaita. Ataskaita pateikiama lietuvių kalba DOCX ir PDF formatuose.
  • 7Ataskaitos pradžioje turi būti pateikta apibendrinanti lentelė su visais reikalavimuose išvardintais punktais (tikrintomis tarnybomis, technologijomis), prie kiekvieno iš jų turėtų būti aprašyta būklė: pažeidžiamumų nerasta, netaikytina ar aptikti pažeidžiamumai.
  • 8Toliau turi būti pateikta informacija iš informacijos surinkimo etapo ir aptiktų pažeidžiamumų aprašymas.
  • 9Informacijos surinkimo etapo metu surinkta informacija turi būti susisteminta pagal aptiktus duomenis ir jų šaltinius, turi būti pateiktos rekomendacijos dėl perteklinės informacijos šalinimo.
  • 10Pažeidžiamumo aptikimo atveju, jis turi būti aprašomas ataskaitoje, pateikiamas realus jo išnaudojimo pavyzdys (jei įmanoma, su kodu reikalingu jam įvykdyti), pateikiamas galimas sprendimo būdas.
  • 11Turi būti įvertinta kiekvieno aptikto pažeidžiamumo ar pavojaus rizika, atsižvelgiant į tai, kokie duomenys gali būti sugadinti ar suklastoti, kokią įtaką tai gali turėti tinklapio veikimui. Pažeidžiamumas turi būti vertinimas trimis lygiais: „žemas“, „vidutinis“ ir „aukštas“.
  • 12Žemo (low) lygio rizika reiškia, kad pažeidžiamumas yra nedidelis. Tokiu lygiu įvertinami dažniausiai papildomos informacijos suteikiantys pažeidžiamumai.
  • 13Vidutinio lygio rizika reiškia (warning), kad šiai dienai dar nėra sukurtų automatinių ir viešai prieinamų pažeidimą išnaudojančių programinių priemonių, bet jis yra žinomas ir gali būti panaudotas atitinkamas žinias turinčių asmenų. Taip pat šiam lygiui priskiriami pažeidžiamumai, kurių pavojingumas gali priklausyti ir nuo kitų faktorių (pvz., organizacijoje dirbančių asmenų) arba kurių išnaudojimui nepakanka vien tik specifinių techninių žinių ir tinkamos įrangos.
  • 14Aukšto lygio rizika reiškia (high), kad pažeidžiamumais galima nesunkiai pasinaudoti ir jais galima padaryti žalą arba išgauti svarbią informaciją. Taip pat šiam lygiui priskiriami pažeidžiamumai, kuriems jau būna sukurtos automatinės įsiskverbimo priemonės ir kuriomis norint pasinaudoti nebūtinos specifinės žinios. Tokie pažeidžiamumai, kuriais gali pasinaudoti asmenys, net ir neturintys specifinių žinių, yra vieni pavojingiausių.
  • 15Turi būti įvertinta kiekvieno aptikto pažeidžiamumo ar pavojaus išnaudojimo galimybė, atsižvelgiant į tai, kokiu būdu jis galėtu būti išnaudojamas: nuotoliniu būdu, iš vietinio tinklo, tik turint fizinę prieigą.
  • 16Detali rekomendacija – pateikiamas detalus planas nustatytų rizikų mažinimui, pažeidžiamumų taisymui bei silpnųjų vietų stiprinimui.
  • 17Rekomendacijos prevencijai – gerųjų praktikų, sistemų kūrimo gairių, kurios padėtų išvengti dažniausiai daromų saugumo klaidų, pateikimas ar pristatymas.
  • 18Atlikto technologinio pažeidžiamumo vertinimo rezultatų pristatymas gyvai.

Išorinio kompiuterinio tinklo perimetro patikrinimas

  • 1Informacijos apie tiriamą objektą surinkimas iš viešai prieinamų šaltinių: interneto paieškos portalų, forumų, DNS (Domain Name Service) tarnybų ir oficialių interneto valdymo institucijų (RIPE, Domreg ir pan.).
  • 2Perimetro tinklo mazgų, pasiekiamų iš interneto nustatymas.
  • 3Perimetro tinklo mazguose veikiančių OS (Operacinių Sistemų) nustatymas ir atitinkamų, šiai dienai žinomų, pažeidžiamumų patikrinimas (įjungus/išjungus WAF (Cloudflare) paslaugą).
  • 4Perimetro tinklo mazguose veikiančių tarnybų nustatymas ir atitinkamų, šiai dienai žinomų, pažeidžiamumų patikrinimas, bei konfigūracijos analizė (papildomos informacijos apie sistemą surinkimas per klaidų, sisteminius pranešimus, servisų programinę realizaciją).
  • 5Nustačius pažeidžiamumus atliekamas įsilaužimo testas.
  • 6Jei aptinkama iš interneto pasiekiamų tarnybų, reikalaujančių vartotojo autentifikacijos, tuomet atliekamas išorinės paslaugos slaptažodžių auditas. Tikrinama ar naudojami patikimi slaptažodžiai, ar įmanoma juos atspėti arba parinkti.
  • 7rekomenduojamos priemonės saugiam perimetrui susikurti.

Vidinių / išorinių informacinių sistemų ir interneto svetainių patikrinimas

  • 1Patikrinama informacinė sistema / interneto svetainė: https://priemimas-kursuok.mokausi.lt/
  • 2Patikrinama informacinė sistema / interneto svetainė: https://admin-priemimas-kursuok.mokausi.lt/
  • 3Turi būti patikrintos visos WEB aplikacijų paslaugos, atlikti įsilaužimų testai, DDOS apkrovos testai.
  • 4Turi būti atliktas WEB aplikacijų taikomųjų programų ir paslaugų saugumo patikrinimas neturint naudotojo prisijungimo ir turint prisijungimus.
  • 5Informacijos apie sistemas surinkimas (informacija apie sistemą, periferines/pagalbines sistemas) ir testavimo ribų nustatymas.
  • 6Tinklo mazguose veikiančių tarnybų nustatymas ir atitinkamų, šiai dienai žinomų, pažeidžiamumų patikrinimas, bei konfigūracijos analizė.
  • 7Serviso konfigūracijos patikrinimas (darbinės direktorijos pakeitimas, serviso teisių eskalavimas, informacijos atskleidimas per klaidų pranešimus).
  • 8Pažeidžiamumų paieška (vartotojo autentifikavimo mechanizmo patikrinimas, sesijos vientisumo patikrinimas, įvedamos informacijos apdorojimo patikrinimas, programinio kodo integralumo patikrinimas, klaidų pranešimų apdorojimas, sisteminės informacijos atskleidimas, serviso konfigūravimo klaidos) automatizuotais WEB/REST API pažeidžiamumo skeneriais.
  • 9Pažeidžiamumų patikrinimas, remiantis „OWASP testing guide“ metodikos punktais.
  • 10Rekomenduojamos priemonės pažeidžiamumams aptikti ir šalinti.

Dokumentai8

  • Mažos vertės pirkimo sąlygos - Pirkimas 7947859.pdf
  • Priedas Nr. 1 - Pasiūlymo forma.docx
  • Priedas Nr. 2 - Techninė specifikacija.pdf
  • Priedas Nr. 3 - Sutarties bendrosios sąlygos.pdf
  • 7947859_National Contract notice or Design Contest notice - general directive, standard regime_0.pdf
  • 10066_7947859.pdf
  • Priedas Nr. 3 - Sutarties specialiosios sąlygos.pdf
  • 2_c4t_7947859_1.xml
tendis.lt · Sukurta recodin.lt