Perkančioji organizacija siekdama įvertinti tvarkomų Sutarčių ir teisių suvaržymų registro, Juridinių asmenų registro, Lietuvos Respublikos adresų registro, Lietuvos Respublikos gyventojų registro, Nekilnojamojo turto registro, Turto arešto aktų registro, Metrikacijos ir gyvenamosios deklaravimo vietos informacinės sistemos (valdytojas – Lietuvos Respublikos teisingumo ministerija), Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos ir Išankstinės pacientų registracijos informacinės sistemos (valdytojas – Lietuvos Respublikos sveikatos apsaugos ministerija) ir Nekilnojamojo turto kadastro (valdytojas – Lietuvos Respublikos žemės ūkio ministerija) (toliau kartu – IS) saugą, siekia įsigyti informacinių technologijų saugos vertinimo paslaugas.

Pirkimo objektą sudaro:

1. Rizikos vertinimas;

2. IS saugos atitikties vertinimas;

3. Registrų centro ISVS parengimo sertifikavimui pagal ISO/IEC 27001:2022 standartą paslaugos (toliau – ISO/IEC 27001).

Pirkimas yra susijęs su įslaptinta informacija, žymima slaptumo žyma „Riboto naudojimo“, todėl tiekėjas privalo turėti įslaptintos informacijos, žymimos slaptumo žyma „Riboto naudojimo“, apsaugos reikalavimų atitiktį patvirtinančią pažymą arba tiekėjo patikimumo pažymėjimą, tiekėjo darbuotojai (kur taikoma), teikiantys paslaugas, turi turėti teisę dirbti ar susipažinti su įslaptinta informacija, žymima slaptumo žyma „Riboto naudojimo“, arba leidimus dirbti ar susipažinti su įslaptinta informacija.

1. Tiekėjas, kuris yra fizinis asmuo, arba tiekėjo, kuris yra juridinis asmuo, vadovas ar ūkinės bendrijos tikrasis (tikrieji) narys (nariai), turintis (turintys) teisę juridinio asmens vardu sudaryti sandorį, ar buhalteris (buhalteriai), ar kitas (kiti) asmuo (asmenys), turintis (turintys) teisę surašyti ir pasirašyti tiekėjo apskaitos dokumentus, neturi neišnykusio ar nepanaikinto teistumą arba dėl tiekėjo (juridinio asmens) per pastaruosius 5 metus nebuvo priimtas ir įsiteisėjęs apkaltinamasis teismo nuosprendis už dalyvavimą nusikalstamame susivienijime, jo organizavimą ar vadovavimą jam, už teroristinį ir su teroristine veikla susijusį nusikaltimą, valstybės paslapties atskleidimą ar praradimą, už kyšininkavimą, prekybą poveikiu, papirkimą, sukčiavimą, kredito, paskolos ar tikslinės paramos panaudojimą ne pagal paskirtį ar nustatytą tvarką, kreditinį sukčiavimą, mokesčių nesumokėjimą, neteisingų duomenų apie pajamas, pelną ar turtą pateikimą, deklaracijos, ataskaitos ar kito dokumento nepateikimą, apgaulingą apskaitos tvarkymą ar piktnaudžiavimą, kai šiomis nusikalstamomis veikomis kėsinamasi į Europos Sąjungos finansinius interesus, kaip apibrėžta Konvencijos dėl Europos Bendrijų finansinių interesų apsaugos, parengtos vadovaujantis Europos Sąjungos sutarties K.3 straipsniu, 1 straipsnyje, nusikalstamu būdu gauto turto legalizavimą arba dėl kitų valstybių tiekėjų nėra priimtas ir įsiteisėjęs apkaltinamasis teismo nuosprendis už Direktyvos 2009/81/EB 39 straipsnio 1 dalyje išvardytuose Europos Sąjungos teisės aktuose apibrėžtus nusikaltimus;

Tiekėjas nėra padaręs profesinio pažeidimo, kai už finansinės atskaitomybės ir audito teisės aktų pažeidimus tiekėjui ar jo vadovui paskirta administracinė nuobauda ar ekonominė sankcija, nustatytos Lietuvos Respublikos įstatymuose ar kitų valstybių teisės aktuose, ir nuo sprendimo, kuriuo buvo paskirta ši sankcija, įsiteisėjimo dienos arba nuo dienos, kai asmuo įvykdė administracinį nurodymą, praėjo mažiau kaip vieni metai.

Pateikiama:

Išrašas iš teismo sprendimo arba Informatikos ir ryšių departamento prie Vidaus reikalų ministerijos pažyma arba atitinkamos užsienio šalies institucijos dokumentas.

Jeigu dokumentas pateikiamas kartu su pasiūlymu, jis laikomas tinkamu, jei jis išduotas ne anksčiau kaip 180 dienų iki perkančiosios organizacijos sprendimo patikrinti galimo laimėtojo šiame punkte nustatytus reikalavimus pagrindžiančius dokumentus. Jeigu dokumentas nepateiktas kartu su pasiūlymu, tuomet, perkančiajai organizacijai paprašius, turės būti pateiktas dokumentas, kuris išduotas ne anksčiau kaip 180 dienų iki tos dienos, kai galimas laimėtojas turės pateikti dokumentus.

(dokumentai pateikiami vadovaujantis Lietuvos Respublikos VPGSĮ 34 straipsnio 1 dalies 1 punkto nuostatomis).

2. Tiekėjas nėra padaręs profesinio pažeidimo, kai už finansinės atskaitomybės ir audito teisės aktų pažeidimus tiekėjui ar jo vadovui paskirta administracinė nuobauda ar ekonominė sankcija, nustatytos Lietuvos Respublikos įstatymuose ar kitų valstybių teisės aktuose, ir nuo sprendimo, kuriuo buvo paskirta ši sankcija, įsiteisėjimo dienos arba nuo dienos, kai asmuo įvykdė administracinį nurodymą, praėjo mažiau kaip vieni metai.

Pateikiama:

Tiekėjo deklaracija (Pirkimo sąlygų 4 priedas).

3. Tiekėjas yra patikimas ir nekelia pavojaus nacionaliniam ar kitos valstybės narės saugumui. Tiekėjas turi teisę sudaryti įslaptintus sandorius, kurių metų dirbama ar susipažįstama su įslaptinta informacija, žymima ne žemesne slaptumo žyma kaip ,,Riboto naudojimo“.

Pateikiama:

Tiekėjui Valstybės saugumo departamento Valstybės ir tarnybos paslapčių įstatymo nustatyta tvarka išduotas galiojantis tiekėjo patikimumo pažymėjimas ar įslaptintos informacijos, žymimos slaptumo žyma „Riboto naudojimo“, apsaugos reikalavimų atitiktį patvirtinanti pažyma ar tiekėjo leidimas dirbti ar susipažinti su įslaptinta informacija, žymima ne žemesne slaptumo žyma kaip „Riboto naudojimo“.

4. Tiekėjas, tiekėjų grupės partneriai, ūkio subjektai, kurių pajėgumais remiamasi ir jų pasitelkiami subtiekėjai neturi interesų, galinčių kelti grėsmę nacionaliniam saugumui.

Pateikiama:

1. Nacionalinio saugumo atitikties reikalavimų deklaracija pagal formą nustatytą Pirkimo sąlygų 8 priede. Teikiama kartu su pasiūlymu.

2. Perkančioji organizacija iš ekonomiškai naudingiausią pasiūlymą pateikusio tiekėjo prašys pateikti vieną ar kelis šiuos dokumentus (arba atitinkamus valstybės narės ar trečiosios šalies dokumentus, ar kitus Perkančiajai organizacijai priimtinus dokumentus):

• jeigu tiekėjas, jo subtiekėjas, ūkio subjektas, kurio pajėgumais remiamasi, ar juos kontroliuojantis asmuo yra juridinis asmuo, pateikiama juridinio asmens vadovo patvirtinta juridinio asmens steigimo dokumentų kopija, Juridinių asmenų registro išplėstinis išrašas su istorija, Juridinių asmenų dalyvių informacinės sistemos išrašas;

• jeigu tiekėjas, jo subtiekėjas, ūkio subjektas, kurio pajėgumais remiamasi, ar juos kontroliuojantis asmuo yra fizinis asmuo, pateikiama asmens tapatybę patvirtinančio dokumento (tapatybės kortelės ar paso) kopija, leidimo verstis atitinkama ūkine veikla patvirtinančio dokumento (pavyzdžiui, verslo liudijimo, individualios veiklos pažymėjimo ir pan.) kopija ir pažyma apie deklaruotą gyvenamąją vietą.

Perkančioji organizacija, Nacionaliniam saugumui užtikrinti svarbių objektų apsaugos įstatyme nustatyta tvarka, kreipsis į Nacionaliniam saugumui užtikrinti svarbių objektų apsaugos koordinavimo komisiją (toliau – Komisija) dėl ketinamo sudaryti sandorio atitikties nacionalinio saugumo interesams patikros ir tuo atveju, jeigu Komisija pareikalaus pateikti papildomus dokumentus, tiekėjų grupės partneriai, ir jų pasitelkiami subtiekėjai privalės pateikti tokiai patikrai reikalingus dokumentus.

Dokumentai, kuriuose nenurodytas jų galiojimo terminas, turi būti išduoti ar atspausdinti iš informacinės sistemos ne anksčiau kaip likus 3 mėnesiams iki tos dienos, kurią perkančiosios organizacijos prašymu tiekėjas turi pateikti dokumentus.

Tiekėjo pasitelkiami subtiekėjai turi atitikti šio skelbimo II.2.1 dalies 1 - 2 ir 4 punktuose nurodytus reikalavimus ir pateikti atitinkamus dokumentus, o šio skelbimo II.2.1 dalies 3 punkte nustatytą kvalifikacijos reikalavimą turi atitikti ir pateikti kvalifikaciją patvirtinančius dokumentus subtiekėjai, atsižvelgiant į jų prisiimamus įsipareigojimus pirkimo sutarčiai vykdyti.

1. Tiekėjo (subtiekėjo) patalpose gali būti saugoma, dirbama ar susipažįstama su įslaptinta informacija žymima ne žemesne slaptumo žyma kaip „Riboto naudojimo“.

Pateikiama:

Tiekėjui (juridiniam asmeniui) - Valstybės ir tarnybos paslapčių įstatymo nustatyta tvarka, išduotas dokumentas patvirtinantis teisę juridinio asmens patalpose dirbti su įslaptinta informacija žymima ne žemesne slaptumo žyma kaip „Riboto naudojimo“ ar tokią informaciją saugoti.

2. Tiekėjas (subtiekėjas) savo patalpose gali automatizuotai apdoroti ir saugoti įslaptintą informaciją žymimą ne žemesne slaptumo žyma, kaip „Riboto naudojimo“.

Pateikiama:

Tiekėjui (juridiniam asmeniui) - Valstybės ir tarnybos paslapčių įstatymo nustatyta tvarka, Saugumo priežiūros tarnybos arba žinybinės saugumo priežiūros tarnybos išduotas dokumentas, patvirtinantis, kad tiekėjas ĮIRI sistema gali automatizuotai apdoroti įslaptintą informaciją žymimą ne žemesne slaptumo žyma „Riboto naudojimo“.

3. Teikėjo (subtiekėjo) darbuotojai turi teisę dirbti ar susipažinti su įslaptinta informacija žymima slaptumo žyma ne žemesne kaip ,,Riboto naudojimo“.

Pateikiama:

a) tiekėjo specialistų, kurie teiks IT saugos audito paslaugas (įskaitant visus asmenis, kuriems bus reikalinga dirbti ar susipažinti su įslaptinta informacija), sąrašas (Pirkimo sąlygų 8 priedas), kuriame turi būti nurodytas specialisto vardas, pavardė, pareigos;

b) Valstybės saugumo departamento tiekėjo darbuotojams išduotų galiojančių pažymėjimų, kuriais suteikiama teisė dirbti ar susipažinti su įslaptinta informacija žymima slaptumo žyma ne žemesne kaip ,,Riboto naudojimo“;

4. Tiekėjas per pastaruosius 3 (trejus) metus* arba per laiką nuo tiekėjo įregistravimo dienos (jeigu tiekėjas vykdė veiklą mažiau negu 3 (trejus) metus) iki pasiūlymo pateikimo termino pabaigos yra tinkamai įvykdęs bent 1 (vieną) sutartį, kurios objektas IT saugos audito paslaugos, kurios vykdymo metu buvo atliekamas ne žemesnės nei II** kategorijos arba lygiavertės informacinės sistemos IT saugos audito paslaugos ir kurios apėmė IS IT saugos atitikties vertinimą ir rizikos vertinimą.

Pateikiama:

Tiekėjo per pastaruosius 3 (trejus) metus arba per laiką nuo tiekėjo įregistravimo dienos (jeigu tiekėjas vykdė veiklą mažiau nei 3 (trejus) metus) įvykdytų sutarčių sąrašą (pirkimo sąlygų 9 priedas), nurodant sutarties pavadinimus, sutarčių vertes, trumpus aprašymus, užsakovus ir sutarčių sudarymo datas (pradžios ir pabaigos) bei užsakovų pažymas, kuriose būtų nurodytas, sutarties objektas, vertė, datos (pradžios ir pabaigos), ir/ar faktas, kad platforma buvo įdiegta sėkmingai arba paslaugos buvo suteiktos tinkamai.

5. Tiekėjas turi turėti (arba gali pasitelkti) kvalifikuotus už pirkimo sutarties vykdymą atsakingus specialistus. Specialistai turi atitikti šiuos žemiau nurodytus kvalifikacijos reikalavimus:

Pastaba. Perkančioji organizacija 5.1 – 5.3 punktuose nurodo reikalaujamas kompetencijas, o tiekėjas turi pateikti minimalų reikalaujamas kompetencijas galinčių atitikti specialistų skaičių. Tas pats asmuo galės vykdyti kelių specialistų.

Pateikiama:

a) Siūlomų specialistų sąrašas, kuriame turi būti nurodyti siūlomų specialistų vardai, pavardės ir jiems priskiriama (-os) pozicija (- jos) (pagal pirkimo sąlygų 10 priede pateiktą formą);

b) Tuo atveju, jei specialistas nėra paslaugų teikėjo darbuotojas, pateikiamas specialisto sutikimas, ketinimų protokolas, sutartis ar kitas dokumentas, sudarytas iki pasiūlymų pateikimo termino pabaigos, įrodantys, kad specialisto ištekliai tiekėjui bus prieinami.

5.1. Projekto vadovas:

1. turi turėti projektų valdymo kvalifikaciją;

2. per pastaruosius 3 metus* turi būti vadovavęs ne mažiau kaip 1 (vienam):

• IT saugos audito projektui;

ar

• IT audito projektui;

ar

• IT projektui, kurio metu buvo teikiamos IT valdymo konsultacinės paslaugos

Pateikiama:

1. Kvalifikaciją įrodantys galiojantys dokumentai, pvz., PMI Project Management Professional (PMP) arba Prince 2 Practitioner, „CompTIA Project+“ sertifikatas ar kitas lygiavertis dokumentas.

2. Pažyma parengta pagal pirkimo sąlygų 11 priede pateiktą formą***.

Pastaba: Tiekėjo nurodytas Projekto vadovas turi turėti teisę dirbti ar susipažinti su įslaptinta informacija, žymima slaptumo žyma ne žemesne kaip ,,Riboto naudojimo“, kaip nurodyta kvalifikacijos reikalavimu 3 punkte.

5.2. Informacinių sistemų auditorius:

1. turi turėti informacinių sistemų auditoriaus kvalifikaciją;

2. per pastaruosius 3 metus* būtų dalyvavęs įgyvendinant ne mažiau kaip 1 (vieną) sutartį (projektą), kurios metu siūlomas specialistas atliko:

2.1.bent vieną ne žemesnės kaip II kategorijos** arba lygiavertės informacinės sistemos IT saugos atitikties vertinimą pagal IT saugos atitikties vertinimo metodiką;

2.2. bent vieną ne žemesnės kaip II kategorijos** arba lygiavertės informacinės sistemos saugos auditą, susijusį su saugos kontrolės priemonių vertinimu, remiantis ISO 27001, ISO 27002 arba lygiaverčių standartų reikalavimais;

Pateikiama:

1. Kvalifikaciją įrodantys galiojantys dokumentai – Certified Information System Auditor (CISA) sertifikatas arba ISO 27001 Lead Auditor ar kitas lygiavertis dokumentas;

2. Pažyma parengta pagal pirkimo sąlygų 12 priede pateiktą formą***.

Pastaba: Tiekėjo nurodytas Informacinių sistemų auditorius turi turėti teisę dirbti ar susipažinti su įslaptinta informacija, žymima slaptumo žyma ne žemesne kaip ,,Riboto naudojimo“, kaip nurodyta kvalifikacijos reikalavimu 3 punkte.

5.3. Rizikos veiksnių vertintojas:

1. turi turėti rizikos veiksnių vertintojo kvalifikaciją;

2. per pastaruosius 3 metus* būtų dalyvavęs įgyvendinant ne mažiau kaip 1 (vieną) sutartį (projektą), kurios metu siūlomas specialistas atliko ne žemesnės kaip II kategorijos** arba lygiavertės informacinės sistemos rizikos vertinimą.

Pateikiama:

1. Kvalifikaciją įrodantys galiojantys dokumentai – Certified Information Security Manager (CISM) arba Certified in Risk and Information Systems Control (CRISC) sertifikatas ar kitas lygiavertis dokumentas;

2. Pažyma parengta pagal pirkimo sąlygų 13 priede pateiktą formą***.

Pastaba: Tiekėjo nurodytas Rizikos veiksnių vertintojas turi turėti teisę dirbti ar susipažinti su įslaptinta informacija, žymima slaptumo žyma ne žemesne kaip ,,Riboto naudojimo“, kaip nurodyta kvalifikacijos reikalavimu 3 punkte.

Tiekėjo pasitelkiami subtiekėjai turi atitikti šio skelbimo III.2.3 dalies 1-3 ir 5 punktuose nurodytus reikalavimus ir pateikti atitinkamus dokumentus atsižvelgiant į subtiekėjų prisiimamus įsipareigojimus vykdant pirkimo sutartį .