Veselības norēķinu centra IS drošības pārvaldības audita iepirkums

Kategorija: Iepirkumi

 Iepirkumi no Ls 3 000 līdz Ls 20 000

2.1.5. Pretendenta piedāvāto speciālistu kvalifikāciju apliecinošu dokumentu kopijas un sertifikātu kopijas, šādiem speciālistiem:
2.1.5.1. informācijas sistēmu auditors – speciālists valsts informācijas sistēmu vismaz 1 (viena) drošības atbilstības audita veikšanā (iepriekšējo 3 (trīs) gadu periodā), otrā līmeņa augstākā izglītība datorzinātnēs, starptautiski atzīts informācijas sistēmas auditora sertifikāts (CISA vai ekvivalents), akreditēts Datu Valsts inspekcijā kā ārējais personu datu auditors;
2.1.5.2. informācijas sistēmu drošības testētājs, starptautiski atzīts drošības pārbaužu sertifikāts (CEH vai ekvivalents), speciālists ar pieredzi (iepriekšējo 3 (trīs) gadu periodā) valsts informācijas sistēmas drošības testu veikšanā un 1 (vienu) datubāzu drošības testu veikšanā.

2.3.1. Pretendenta finanšu piedāvājums jāiesniedz, dokumentārā veidā un elektroniskā datu nesējā ar MS EXCEL rīkiem nolasāmā formātā atbilstoši nolikuma 4. pielikumā norādītajai finanšu piedāvājuma veidlapas formai.

TEHNISKĀ SPECIFIKĀCIJA
Informācijas drošības pārvaldības audits, izvērtējot Veselības aprūpes pakalpojumu apmaksas norēķinu sistēmu „Vadības informācijas sistēma”, lietvedības sistēmu (DocLogix),  grāmatvedības uzskaites programmu Horizon.

1. Veselības aprūpes pakalpojumu apmaksas norēķinu sistēmai „Vadības informācijas sistēma” ielaušanās (Penetration) drošības tests
1.1.    Drošības tests
Testēšanā jāiekļauj vismaz šādas pārbaudes:
1.1.1. Ievainojamību pārbaude;
1.1.2. Cross-site scripting;
1.1.3. SQL injekcijas;
1.1.4. Bufera pārpilde (Buffer overflow);
1.1.5.  Servisu noliegšana (Denial of services); Aizsardzība pret pazīstamākajiem uzbrukumu veidiem (atbilstoši OWASP (Open Web Application Security Project) Top Ten.
1.2.    Testēšanas atskaite, kurā minimāli jānorāda:
1.2.1. Testa veikšanas datums, laiks un laikietilpība;
1.2.2. Veicamo testu apraksts un apjoms;
1.2.3. Atklātās ievainojamības, kas grupētas vismaz 3 kategorijās (kritiska, vidēja, zema);
1.2.4. Testēšanas atskaite, katrai atklātai ievainojamībai norādot aprakstu un ieteikumus ievainojamības novēršanai.

2. Fizisko personu datu apstrādes audita veikšana
Fizisko personu datu apstrādes audita veikšana atbilstoši Fizisko personu datu aizsardzības likuma, Ministru kabineta 2001.gada 30.janvāra noteikumu Nr.40 „Personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības” un Ministru kabineta 2009.gada 17.novembra noteikumu Nr.1322 „Prasības audita atzinumam par personas datu apstrādi valsts un pašvaldību institūcijās” noteiktajām prasībām.

3. Iesniedzamie nodevumi:
3.1. Vadības informācijas sistēmas, lietvedības sistēmas (DocLogix),  grāmatvedības uzskaites programmas Horizon atbilstības vērtējuma atskaite, iekļaujot kopsavilkumu, vērtējuma ietvaru, novērojumus kopā ar to ietekmi uz iestādes datu apstrādes drošību un rekomendācijām to novēršanai papīra un elektroniskā formātā.
3.2. Veselības aprūpes pakalpojumu apmaksas norēķinu sistēmai „Vadības informācijas sistēma” ielaušanās drošības testa atskaite papīra un elektroniskā formātā.
3.3. Audita atzinums par fizisko personu datu apstrādi atbilstoši Ministru kabineta 2009.gada 17.novembra noteikumu Nr.1322 „Prasības audita atzinumam par personas datu apstrādi valsts un pašvaldību institūcijās” prasībām papīra un elektroniskā formātā.

Vāja tehniskā specifikācija, salīdzinot ar iepriekšējām. Konfidencialitāte ir atrunāta, bet nav iekļauts līgumsods, utt.

Iepirkums pārtraukts
Iemesls: Nepieciešams precizēt iepirkuma nolikumā iekļautās prasības

Avoti:
IUB: https://www.iub.gov.lv/pvs/show/202330
VNC: http://www.vnc.gov.lv/lat/iepirkumi/index.php?doc=1830 [pielikums]

Follow defenselv

2011-10-24  »  edgars