Alusdokumentide muutmine riigihankes „E-teenuste, infosüsteemide ja võrgutaristu turvalisuse testimine turvavigade ja -nõrkuste suhtes“ (262836)- 2

DIREKTOR

KÄSKKIRI 31.07.2023. a nr 59

Tallinn

Justiitsministri 18.04.2007. a määruse nr 20 „Registrite ja Infosüsteemide Keskuse põhimäärus“ § 11 lõike

1 punkti 9 alusel:

1. Tühistan direktori 13.06.2023 käskkirjaga nr 48 kinnitatud ja 30.06.2023 käskkirjaga nr 53

muudetud:

1.1 Lisa 3 – Hindamiskriteeriumid ja hinnatavad näitajad;

1.2 Lisa 4 – Raamlepingu tehniline kirjeldus;

1.3 Lisa 5 – Nõuded proovitööle ja hindamine;

1.4 Lisa 6 – Raamlepingu projekt.

2. Kinnitan:

2.1. Lisa 3 – Hindamiskriteeriumid ja hinnatavad näitajad;

2.2. Lisa 4 – Raamlepingu tehniline kirjeldus;

2.3. Lisa 5 – Nõuded proovitööle ja hindamine;

2.4. Lisa 6 – Raamlepingu projekt.

/allkirjastatud digitaalselt/

Rivo Reitmann

Alusdokumentide muutmine riigihankes „E-teenuste, infosüsteemide ja võrgutaristu turvalisuse testimine turvavigade ja - nõrkuste suhtes“ (262834)

Lisad: 1. Lisa 3 – Hindamiskriteeriumid ja hinnatavad näitajad

2. Lisa 4 – Raamlepingu tehniline kirjeldus

3. Lisa 5 – Nõuded proovitööle ja hindamine

4. Lisa 6 – Raamlepingu projekt

Koostatud 28.07.2023 13:35:14 1 / 2 https://riigihanked.riik.ee/rhr-web/#/procurement/ 5745020/general-info

HINDAMISKRITEERIUMID JA HINNATAVAD NÄITAJAD

Viitenumber: 262836 Hankija: Registrite ja Infosüsteemide Keskus (70000310) Hange: E-teenuste, infosüsteemide ja võrgutaristu turvalisuse testimine turvavigade ja -nõrkuste suhtes

Pakkumuse maksumust hinnatakse - Ilma maksudeta Kriteeriumi kaalumise meetod - Osakaaludega Elektroonilist oksjoni kasutatakse: ei

Jrk nr

Nimetus Kirjeldus Tüüp / hindamismeetod

Osakaal Kogus Ühik Pakkuja täidetav

1 Proovitöö täiuslikkus Kvaliteet - hankija hinnatav

80

2 Turvatestimise tunnitasu 0 või negatiivse väärtusega maksumusi ei ole lubatud kasutada ja sellised pakkumused on hankijal õigus lugeda mittevastavaks ning tagasi lükata. Maksumus esitatakse täpsusega kaks kohta peale koma. Täitjal on keelatud pakkumuse esitamisel kulusid ristsubsideerida (sh nii hankelepingu siseselt kui -väliselt/ üleselt) ning esitatav tunnihind ei tohi olla eksitav.

Maksumus - vähim on parim

20 EUR/h jah

Kokku: 100

Koostatud 28.07.2023 13:35:14 2 / 2 https://riigihanked.riik.ee/rhr-web/#/procurement/ 5745020/general-info

Hindamismetoodika kirjeldus 1.   Proovitöö täiuslikkus

Kriteeriumi „Proovitöö täiuslikkus“ hindamine 1. Proovitöö täiuslikkuse eest on kokku võimalik saada maksimaalselt 80 väärtuspunkti: 70 väärtuspunkti turvanõrkuste leidude eest ja 10 punkti eesti keelse raporti eest. 2. Turvanõrkuste leidude hindamine: 2.1. Proovitöö täiuslikkust hindavad hankija hankekomisjoni liikmed kollektiivselt, raportis välja toodud turvanõrkuste leidude arvu ja nende prioriteetsuse järgi. 2.2. Igat leidu hinnatakse kolmepunkti süsteemis, millest „0“ on nõrgim, „2“ keskmine ja „4“ kõrgeim: 2.2.1. Hinne "4" omistatakse juhul, kui turvanõrkuse leid on tõene ning leiu kirjeldus vastab kõigile „Nõuded proovitööle“ punktis 7 toodud nõuetele. 2.2.2. Hinne „2“ omistatakse juhul, kui turvanõrkuse leid on tõene, kuid leiu kirjeldus ei vasta kõigile „Nõuded proovitööle“ punktis 7 välja toodud nõuetele. Leid peab vastama minimaalselt punktides 7.1, 7.2, 7.3 ja 7.4 välja toodud nõuetele. 2.2.3. Hinne „0“ omistatakse juhul, kui turvanõrkuse leid ei ole tõene või kui leid ei vasta minimaalselt „Nõuded proovitööle“ punktides 7.1, 7.2, 7.3 ja 7.4 esitatud nõuetele. 2.3. Omistatud punktide summeerimisel arvestatakse, et punktide kaalud on järgmised: 2.3.1. Low (info) tüüpi vigade eest arvestatakse punkte 1 kordselt. 2.3.2. Medium (madal, keskmine) tüüpi vigade eest arvestatakse punkte 2 kordselt. 2.3.3. High (kõrge, kriitiline) tüüpi vigade eest arvestatakse punkte 4 kordselt. Näiteks üks korrektselt raporteeritud kõrge viga annab kokku 16 punkti. 2.4. Sama vea eest ei saa mitmekordselt punkte, kui samad vead esinevad eri kohtades. St süsteemiülesed vead tuleb raporteerida ühe veana, seejuures tuues välja lehed, kus antud viga esineb. 2.5. Saadud tulemusele rakendatakse väärtuspunktide süsteemi (Merit Point System). Maksimaalsed väärtuspunktid (70,00) omistatakse suurima summa saanud pakkumusele. 2.6. Ülejäänud hinnatavate pakkumuste väärtuspunktid arvutatakse järgmise valemi järgi: „punktimäär“ = „hinnatava pakkumuse punktide summa“ ÷ „kõige täiuslikuma pakkumuse punktide summa“ x 70. Arvutuste tulemused ümardatakse kahe komakoha täpsusega. 2. Eesti keelne raport: 2.1. Pakkujal on võimalik saada kas 10 punkti või 0 punkti. 2.2. Raport peab olema eesti keelne, üheselt arusaadav ja oluliste grammatikavigadeta. 2.3. Pakkuja hindab raporti eesti keele kasutust, et olla kindel et pakkuja suudab turvatestimise raportit koostada eesti keeles. 2.4. Korrektses eesti keeles ja arusaadava raporti eest saab pakkuja 10 punkti. 2.5. Kui raport ei ole keeleliselt korrektne (kaasa arvatud AIdest, tõlkesüsteemidest ja muude abisüsteemide kasutamisest tulenev keeleline väärkasutus), siis hinnatakse eesti keelset raportit 0 punktiga. St. RIK ei tee õigekirjakontrolli vaid kui pakkumuse koosseisus esitatud dokumendid on keeleliselt ebapädevad (selged õigekirja- ja keelevead, mitte apsakad), siis saab pakkuja 0 punkti. 0 punkti saab ka juhul, kui raport on esitatud muus keeles kui eesti keeles.

2.   Turvatestimise tunnitasu Madalaima väärtusega pakkumus saab maksimaalse arvu punkte. Teised pakkumused saavad punkte arvutades valemiga: "osakaal" - ("pakkumuse väärtus" - madalaim väärtus") / "suurim väärtus" * "osakaal".

Lisa 4

Riigihange „e-teenuste, infosüsteemide ja võrgutaristu turvalisuse testimine turvavigade ja -nõrkuste suhtes“ (viitenumber 262836) hankedokumentide juurde

RAAMLEPINGU TEHNILINE KIRJELDUS

2

Raamlepingu tehniline kirjeldus

1. Üldtingimused

1.1 Raamlepingu ese on e-teenuste, infosüsteemide ja võrgutaristu turvalisuse testimine turvavigade

ja -nõrkuste suhtes, mida tellitakse raamlepingus ja selle lisades sätestatud tingimustel ja korras.

Riigihanke tulemusena sõlmitakse raamleping ühe või mitme edukaks tunnistatud pakkujaga 36

(kolmekümne kuueks) kuuks.

1.2 Juhul, kui raamleping sõlmitakse mitme pakkujaga, toimub hankelepingute sõlmimine

minikonkursside käigus. Minikonkursside hindamiskriteeriumiks on pakkumuse maksumus.

1.3 Raamlepingu alusel teostatakse turvateste OWASP (Open Web Application Security Project)

ASVS (Application Security Verification Standard) versioonile 4, või juhul kui sõlmitava raamlepingu

kehtivuse perioodil peaks eksisteerima uuem versioon, siis uuemale verisoonile. Lepingu raames

on võimalik teste tellida nii Justiitsministeeriumi kui ka ühishankijate valitsemisalas olevatele

registritele ja infosüsteemidele. Testide tellimiseks korraldab hankija minikonkursse raamlepingu

poolteks olevate pakkujate vahel või esitab ühe pakkujaga raamlepingu puhul tellimuse otse

täitjale. Täpsemad nõuded ja tingimused (sh testitav infosüsteem, tingimused testide teostamiseks,

testi versioon ja tase, nõuded raportile ja raporti koostamise keelele) tuuakse välja

tellimuse/minikonkursi tehnilises kirjelduses.

1.4 Raamlepingu alusel sõlmitavate hankelepingute täitmise keel on eesti keel. Teostatud tööde tulem

(raport) võib olla vastavalt tellimusele kas eesti või inglise keelne:

1.4.1 Teostatud tööde tulem (raport) esitatakse kahes jaos:

1.4.1.1 tellimusele vastav testimise esmane raport, mis esitatakse hiljemalt kuu aega enne

lõpliku versiooni valmimist;

1.4.1.2 järelanalüüsi raport, kui see on tellimuse tehnilises kirjelduses eraldi nõutud, esitatakse

peale turvatestimisel leitud vigade parandamist ja järeltestimist.

1.5 Pakkuja peab olema valmis raamlepingu käigus tehtud tellimuste alusel tellitud tulemit hankija

soovil täpsustama ja/või selgitama ilma lisatasuta.

1.6 Kõik tuvastatud puudused ja vead kajastatakse raportis ka siis, kui tellija on need puudused raporti

kooskõlastamise ajaks likvideerinud.

1.7 Testimise raportid edastatakse elektroonilisel kujul krüptitult ja digiallkirjastatult tellija esindajale.

2. Tehnilised tingimused

2.1 Turvatestimised tuleb teostada vastavalt OWASP (Open Web Application Security Project) ASVS

(Application Security Verification Standard) versioonile 4 või juhul kui sõlmitava raamlepingu

kehtivuse perioodil peaks eksisteerima uuem versioon, siis uuemale.

2.2 Turvatestimine hõlmab ka kasutajate horisontaalset ja vertikaalset õiguste ületamise turvatestimist.

Turvatestimise käigus tuleb metoodiliselt testida ja hinnata kõiki potentsiaalseid turvavigu ning

need tuleb testiraportis detailselt välja tuua koos võimalike lahenduste ja soovitustega. Tulemused

esitatakse tellijale krüpteeritud kujul.

2.3 Automaatsete turbetestide tulemid ning nende koosmõjud peavad olema turbetestija poolt käsitsi

üle valideeritud, sest testitavad süsteemid ei pruugi automaatsete vahenditega testimisel

tõepäraseid tulemusi anda.

2.4 Testide läbiviimiseks tagatakse pakkuja poolt määratatud IP-aadressidele ligipääs testitavate

infosüsteemide testkeskkondadele. Samuti tagatakse juurdepääs süsteemi logidele ja vajadusel

tehakse süsteemi pakkuja poolt soovitavate õigustega kasutajad.

2.5 Pakkuja peab jälgima, et juhul kui tellimuse käigus tellitakse töid registritele ja infosüsteemidele,

kus pakkuja on eelnevalt viimase kolme aasta jooksul pakkumuste esitamise tähtpäevast arvates

teostanud infotehnoloogilisi arendustöid, siis peab ta sellest viivitamatult hankijale teada andma.

Hankijal on õigus sellisel juhul töid tellida raamlepinguväliselt.

3. Aruandlus

3.1 Pakkuja on kohustatud esitama hanke korraldajale (Registrite ja Infosüsteemide Keskusele)

raamlepingu alusel sõlmitud hankelepingute kohta järgnevad andmed:

3.1.1 Lepingu/tellimuse number ja sõlmimise kuupäev;

3.1.2 Tellimuse teinud asutuse nimi;

3.1.3 Lepingu/tellimuse täitmise tähtpäev;

3

3.1.4 Lepingu/tellimuse maksumus.

3.2 Andmed esitatakse hankija sellekohase teate saamisest hiljemalt 10 tööpäeva jooksul hankija poolt

etteantud vormis.

3.3 Edastatud andmed lisab hanke korraldaja riigihangete registrisse.

Lisa 5

Riigihange „E-teenuste, infosüsteemide ja võrgutaristu turvalisuse testimine turvavigade ja -nõrkuste suhtes“

(viitenumber 262836) hankedokumentide juurde

Nõuded proovitööle

1. Kõik pakkujad peavad tegema proovitöö (kasutatakse ainult hindamiseks) ning selle

pakkumuse koosseisus esitama.

2. Proovitöö tegemiseks (sh raportite koostamiseks) on pakkujal aega 8 tundi ning proovitöö raport

tuleb koostada eesti keeles.

3. Proovitöö teostatakse hankija määratud tööpäeval, 16. augustil 2023. Proovitöö teostamise

soovist peab pakkuja hankijat teavitama läbi riigihangete registri teabevahetuse hiljemalt

1.08.2023.

4. Enne proovitöö teostamist, hiljemalt 11.08.2023, peab huvitatud isiku allkirjaõiguslik esindaja

allkirjastama talle hankija poolt edastatud konfidentsiaalsuslepingu.

5. Proovitöö kuupäeval kell 09.00 (Eesti aja järgi, EEST UTC/GMT+3) edastab hankija huvitatud

isikule läbi registri testitava rakenduse asukoha ja e-kirja teel rakenduse lähtekoodi krüpteeritud

failis konfidentsiaalsuslepingu allkirjastanud isikule.

6. Pakkuja peab proovitöö OWASP ASVS reeglite kohase raporti esitama pakkumuse koosseisus.

Juhime tähelepanu, et raport (proovitöö) peab olema digiallkirjastatud hiljemalt 8 tunni jooksul

alates proovitöö alguse kellaajast. See tähendab, et kui proovitöö algab kell 9:00 ning töö

teostamiseks on aega 8 h, siis ei tohi lisatud allkiri olla hilisem, vaid peab jääma 8h sisse. Juhul,

kui pakkumuse koosseisu on lisatud proovitöö, mis on allkirjastatud hiljem kui 8 tunni möödudes

alates proovitöö alguse kellaajast, tunnistatakse proovitöö ja sellega seoses ka esitatud

pakkumus mittevastavaks ja hankija lükkab pakkumuse tagasi.

7. Nõuded raportile:

Iga turvanõrkuse leiu kohta peab olema raportis kajastatud:

7.1. Leiu pealkiri;

7.2. Leiu prioriteet (ingl „ severity“: Low, Medium, High)

7.3. Viide OWASP ASVS nõudele, mida käsitleti;

7.4. Leiu kirjeldus;

7.5. Ohtlikkuse tõestus koos praktiliste näidetega;

7.6. Leiu riskikirjeldus;

7.7. Leiu lahenduse soovitus.

Proovitöö hindamine

1. Hindamiskriteeriumite osakaalud

1.1. Hankija hindab kõiki vastavaks tunnistatud pakkumusi hanke alusdokumentides kehtestatud

pakkumuste hindamise kriteeriumite alusel.

Nr Kriteerium Numbriline Osakaal

1 Proovitöö täiuslikkus 80

2 Turvatestimise tunnitasu 20

2

KOKKU 100

2. Kriteeriumi nr 1 „Proovitöö täiuslikkus“ hindamine

2.1. Proovitöö täiuslikkuse eest on kokku võimalik saada maksimaalselt 80 väärtuspunkti: 70

väärtuspunkti turvanõrkuste leidude eest ja 10 punkti eesti keelse raporti eest.

2.2. Turvanõrkuste leidude hindamine:

2.2.1. Proovitöö täiuslikkust hindavad hankija hankekomisjoni liikmed kollektiivselt, raportis välja

toodud turvanõrkuste leidude arvu ja nende prioriteetsuse järgi.

2.2.2. Igat leidu hinnatakse kolmepunkti süsteemis, millest „0“ on nõrgim, „2“ keskmine ja „4“

kõrgeim:

2.2.2.1. Hinne "4" omistatakse juhul, kui turvanõrkuse leid on tõene ning leiu kirjeldus

vastab kõigile „Nõuded proovitööle“ punktis 7 toodud nõuetele.

2.2.2.2. Hinne „2“ omistatakse juhul, kui turvanõrkuse leid on tõene, kuid leiu kirjeldus ei

vasta kõigile „Nõuded proovitööle“ punktis 7 välja toodud nõuetele. Leid peab

vastama minimaalselt punktides 7.1, 7.2, 7.3 ja 7.4 välja toodud nõuetele.

2.2.2.3. Hinne „0“ omistatakse juhul, kui turvanõrkuse leid ei ole tõene või kui leid ei vasta

minimaalselt „Nõuded proovitööle“ punktides 7.1, 7.2, 7.3 ja 7.4 esitatud nõuetele.

2.2.3. Omistatud punktide summeerimisel arvestatakse, et punktide kaalud on järgmised:

2.2.3.1. Low (info) tüüpi vigade eest arvestatakse punkte 1 kordselt.

2.2.3.2. Medium (madal, keskmine) tüüpi vigade eest arvestatakse punkte 2 kordselt.

2.2.3.3. High (kõrge, kriitiline) tüüpi vigade eest arvestatakse punkte 4 kordselt.

Näiteks üks korrektselt raporteeritud kõrge viga annab kokku 16 punkti.

2.2.4. Sama vea eest ei saa mitmekordselt punkte, kui samad vead esinevad eri kohtades. St süsteemiülesed vead tuleb raporteerida ühe veana, seejuures tuues välja lehed, kus antud viga esineb.

2.2.5. Saadud tulemusele rakendatakse väärtuspunktide süsteemi (Merit Point System).

Maksimaalsed väärtuspunktid (70,00) omistatakse suurima summa saanud pakkumusele.

2.2.6. Ülejäänud hinnatavate pakkumuste väärtuspunktid arvutatakse järgmise valemi järgi:

„punktimäär“ = „hinnatava pakkumuse punktide summa“ ÷ „kõige täiuslikuma pakkumuse

punktide summa“ x 70. Arvutuste tulemused ümardatakse kahe komakoha täpsusega.

2.3. Eesti keelne raport:

2.3.1. Pakkujal on võimalik saada kas 10 punkti või 0 punkti.

2.3.2. Raport peab olema eesti keelne, üheselt arusaadav ja oluliste grammatikavigadeta.

2.3.3. Pakkuja hindab raporti eesti keele kasutust, et olla kindel et pakkuja suudab turvatestimise

raportit koostada eesti keeles.

2.3.4. Korrektses eesti keeles ja arusaadava raporti eest saab pakkuja 10 punkti.

2.3.5. Kui raport ei ole keeleliselt korrektne (kaasa arvatud AIdest, tõlkesüsteemidest ja muude

abisüsteemide kasutamisest tulenev keeleline väärkasutus), siis hinnatakse eesti keelset

raportit 0 punktiga. St. RIK ei tee õigekirjakontrolli vaid kui pakkumuse koosseisus esitatud

dokumendid on keeleliselt ebapädevad (selged õigekirja- ja keelevead, mitte apsakad), siis

saab pakkuja 0 punkti. 0 punkti saab ka juhul, kui raport on esitatud muus keeles kui eesti

keeles.

3. Kriteeriumi nr 2 „Turvatestimise tunnitasu“ hindamine

3.1. Hindamiskriteeriumi „Turvatestimise tunnitasu“ eest saavutab maksimaalsed väärtuspunktid

(20,00) kõige odavama maksumusega pakkumus. Teised pakkumused saavad 20-st

võimalikust punktist sama suhtarvu võrra vähem punkte, mille võrra nende pakkumus on kõige

odavamast pakkumusest kallim.

3.2. Väärtuspunktid arvutatakse valemi järgi: “osakaal” – („hinnatava pakkumuse maksumus“ –

„kõige odavam pakkumuse maksumus”) ÷ “kõige kallima pakkumuse maksumus” × 20.

Arvutuste tulemused ümardatakse kahe komakoha täpsusega.

3

4. Lõpptulemuse arvutamine

4.1. Kahe hindamiskriteeriumite alusel saadud väärtuspunktid liidetakse ja saadakse pakkumust

iseloomustav väärtuspunktide summa. Arvutuste tulemused ümardatakse sajandikeni (st kahe

komakoha täpsusega).

4.2. Pakkumused reastatakse väärtuspunktide summa alusel.

4.3. Edukaks tunnistatakse kuni 3 pakkumust, mis saavad hindamiskriteeriumite alusel kujunevate

väärtuspunktide summeerimisel kõige rohkem väärtuspunkte ja on seega majanduslikult

soodsaimad pakkumused. Raamleping sõlmitakse edukaks tunnistatud ja kvalifitseeritud

pakkujatega, kellel ei esine kõrvaldamise aluseid.

4.4. Juhul, kui pakkumus saab käesoleva dokumendi punktis 2 (proovitöö täiuslikkus) toodud

kriteeriumis (kriteerium 1) hankekomisjonilt kokku vähem kui 60 väärtuspunkti (tulemus, millele

on rakendatud juba Merit Point Systemi), siis jätab hankijapakkumuseedukaks tunnistamata ja

pakkujaga raamlepingut ei sõlmita isegi juhul, kui kahe hindamiskriteeriumi väärtuspunktide

summeerimisel oleks pakkujal majanduslikult soodsaim pakkumus. Sel juhul on hankijal õigus

sõlmida raamleping paremusjärjestuselt järgmiste pakkujatega.

4.4.1. Juhul, kui mitu pakkumust koguvad võrdse arvu väärtuspunkte, siis valitakse kolme eduka

pakkuja hulka kriteeriumi „Proovitöö täiuslikkus“ eest enim punkte saanud pakkumus.

4.4.2. Juhul, kui pärast kriteeriumi „Proovitöö täiuslikkus“ võrdlemist on endiselt mitu pakkumust

võrdsed, siis korraldab hankija edukate pakkumuste väljaselgitamiseks liisuheitmise,

võimaldades võrdselt väärtuspunkte saanud pakkumuse esitanud pakkujatel liisuheitmise

juures viibida.

4.5. Juhul, kui hankijal ei ole võimalik tunnistada edukaks vähemalt kolme pakkumust, jätab hankija

endale õiguse sõlmida raamlepingu ka ühe või kahe pakkujaga.

Lisa 6

Riigihanke „E-teenuste, infosüsteemide ja võrgutaristu turvalisuse testimine turvavigade ja -nõrkuste suhtes“ (viitenumber 262836) hankedokumentide juurde

1

RAAMLEPING NR

Raamlepingu sõlmimise

alus

Raamleping sõlmitakse riigihanke „E-teenuste, infosüsteemide ja

võrgutaristu turvalisuse testimine turvavigade ja -nõrkuste suhtes“

(viitenumber 262836) (edaspidi nimetatud riigihange) tulemusena.

Pooled Raamleping sõlmitakse volituse alusel riigihankega liitunud hankijate

(edaspidiselt raamlepingus nimetatud kui tellijad) ning riigihankes edukaks

osutunud pakkuja(te) (edaspidi nimetatud kui täitja või täitjad) vahel,

edaspidi nimetatud eraldi pool või koos pooled.

Raamlepingu

eesmärk

Raamlepingu eesmärgiks on:

- kehtestada raamlepingu kehtivusaja vältel selle alusel sõlmitavaid

hankelepinguid reguleerivad tingimused;

- määratleda pooltevahelised õigused, kohustused ning vastutus

hankelepingute sõlmimisel;

- kehtestada ühtsed tingimused raamlepingu ja hankelepingute

tõlgendamiseks.

Tellija Registrite ja Infosüsteemide Keskus

Registrikood 70000310

Aadress Lubja 4, Tallinn, 19081

Tellija esindaja Rivo Reitmann

Esinduse alus Põhimäärus

Tellija

Registrikood

Aadress

Tellija esindaja Rivo Reitmann

Esinduse alus Volikiri

Tellija

Registrikood

Aadress

Tellija esindaja Rivo Reitmann

Esinduse alus Volikiri

Täitja

Registrikood

Aadress

Täitja esindaja

Esinduse alus

2

1. Raamlepingu ese ja dokumendid

1.1. Raamlepingu esemeks on peamiselt Justiitsministeeriumi, kuid ka ühishankijate valitsemisalas

olemasolevatele ja uutele registritele ja infosüsteemidele OWASP (Open Web Application Security

Project) ASVS (Application Security Verification Standard) versioonile 4 või juhul, kui raamlepingu

kehtivuse perioodil peaks eksisteerima uuem versioon, siis uuemale vastavate turvatestide

teostamine (edaspidiselt turvatestid).

1.2. Raamleping koosneb lepingu põhiosast ja selle lisadest. Raamlepinguga samaaegselt

allkirjastatavad lisad on:

1.2.1. Lisa 1 – Raamlepingu tehniline kirjeldus;

1.2.2. Lisa 2 – Hankelepingu üldtingimused;

1.2.3. Lisa 3 – Hankelepingu eritingimused;

1.2.4. Lisa 4 – Poolte volitatud esindajad ja kontaktandmed;

1.2.5. Lisa 5 – Pakkumus. /allkirjastatakse koos lepinguga juhul, kui raamleping sõlmitakse ühe

pakkujaga/.

1.3. Raamlepingu lahutamatuks osaks on ka riigihanke dokumentatsioon ja riigihankes esitatud

pakkumused, asudes tellijale kättesaadavana riigihangete registris.

1.4. Raamlepingu muudatused vormistatakse raamlepingu lisadena. Raamlepingu muutmine ei mõjuta

sõlmitud hankelepingute tingimusi.

2. Kinnitused

2.1. Pooled kinnitavad, et:

2.1.1. raamlepingu sõlmimisega ei ole nad rikkunud ühegi enda suhetes kehtiva seaduse, põhikirja

või muu normatiivakti sätet ega varem sõlmitud lepingu või kokkuleppega endale võetud

kohustust;

2.1.2. nad on oma majandustegevuses iseseisvad ja kumbki pool ei vastuta teise poole poolt

endale kolmandate isikute ees raamlepingu või hankelepinguga võetud kohustuste täitmise

eest;

2.1.3. neil on seaduses ettenähtud piisav õigus- ja teovõime raamlepingu ja hankelepingu

sõlmimiseks ning nendest tulenevate kohustuste täitmiseks ja õiguste realiseerimiseks;

2.1.4. nende poolt raamlepingu allkirjastanud isikutele on antud piisavad volitused selle

sõlmimiseks kooskõlas seaduste, põhikirjade või muude normatiivaktidega;

2.2. Poolte esindajad kinnitavad, et neil on kõik õigused ja volitused sõlmida raamleping esindatava

nimel ning nad ei tea ühtegi takistust raamlepinguga võetud kohustuste täitmiseks.

3. Raam- ja hankelepingute kestus ja maksumus

3.1. Raamleping kehtib 36 kuud alates selle sõlmimisest või kuni raamlepingu eeldatava maksumuse

täitumiseni.

3.2. Raamlepingu eeldatav maksumus on 500 000 eurot.

3.3. Raamlepingu alusel sõlmitakse hankelepinguid maksimaalselt 24 kuuks.

3.4. Hankelepingute kehtivus ei ole piiratud raamlepingu kehtivuse lõpptähtpäevaga.

4. Muutumatud tingimused

4.1. Raamlepingu kehtivuse ajal kehtivad muutumatult raamlepingus ja hankelepingus sätestatud

tingimused, sh pakkumuses toodud ühikuhinnad.

4.2. Kui raamlepingu alusel sõlmitud hankelepingute tingimused erinevad raamlepingus sätestatust,

peavad hankelepingu tingimused olema tellija jaoks raamlepingus sätestatud tingimustest

soodsamad.

3

5. Raamlepingu täitmine

Juhul, kui raamleping sõlmitakse mitme pakkujaga

5.1. Tellija korraldab minikonkursse vajaduspõhiselt ning sõlmib hankelepingu ja täidab kõik

hankelepingust tulenevad kohustused iseseisvalt.

5.2. Minikonkursi läbiviimiseks esitab tellija raamlepingu poolteks olevatele täitjatele läbi riigihangete

registri ettepaneku esitada pakkumus.

5.3. Pakkumuse esitamise ettepanek sisaldab kõiki pakkumuse esitamiseks vajaminevaid tingimusi,

sh:

5.3.1. tehniline kirjeldus (sisaldab turvatesti läbiviimiseks mõeldud registri või infosüsteemi

nimetust; OWASP testi versiooni ja taset; nõudeid raportile ja raporti koostamise keelele);

5.3.2. kui tegemist on välisrahastusega, siis finantseerimise allikas;

5.3.3. tööde teostamise soovitav ajaperiood;

5.3.4. pakkumuse eeldatavat maksumust (eurodes);

5.3.5. pakkumuse esitamise tähtaega;

5.3.6. pakkumuse jõusoleku minimaalset tähtaega;

5.3.7. pakkumuse hindamise kriteeriume (pakkumuse maksumus 100 punkti).

5.4. Tellija sõlmib minikonkursi läbiviimisel hankelepingu täitjaga, kelle poolt esitatud pakkumus on

majanduslikult soodsaim, vastavalt hindamise kriteeriumitele. Kui pakkumuste hindamise

kriteeriumite kohaselt soodsaima pakkumuse on teinud mitu täitjat, siis heidetakse nende vahel

liisku.

5.5. Tellijal on õigus jätta kirjalik hankeleping sõlmimata kuni 19 999,99 euro (ilma käibemaksuta)

suuruste tehingute korral.

5.6. Kirjaliku hankelepingu sõlmimata jätmisel loetakse hankelepinguks pakkumuse esitamise

ettepanek, pakkumus ning hankelepingu üldtingimused kogumina. Hankelepingu lahutamatuteks

osadeks on riigihanke alusdokumendid, raamleping koos lisadega, tööde üleandmise-

vastuvõtmise aktid, pooltevahelised kirjalikud teated ning lepingu muudatused ja lisad.

5.7. Kirjalik hankeleping sõlmitakse alati 20 000 euro (ilma käibemaksuta) või suuremate tehingute

korral. Kirjalik hankeleping koosneb hankelepingu eritingimuste projektis toodud lisadest ja

hankelepingu lahutamatuks osaks nimetatud dokumentidest.

5.8. Täitja on kohustatud edastama Registrite ja Infosüsteemide Keskusele raamlepingu tehnilises

kirjelduse punktis 3 toodud informatsiooni nõude edastamisest 10 tööpäeva jooksul.

Juhul, kui raamleping sõlmitakse ühe pakkujaga

5.1. Raamlepingu sõlmimisel ühe täitjaga esitatakse turvatestide tellimiseks täitjale tellimusi e-posti teel

lepingu lisas 4 märgitud kontaktandmetel.

5.2. Tellimus sisaldab pakkumuse täpsustamiseks vajaminevaid tingimusi (turvatesti läbiviimiseks

mõeldud registri või infosüsteemi nimetus koos vajamineva tehnilise kirjeldusega (sisaldab

turvatesti läbiviimiseks mõeldud registri või infosüsteemi nimetust; OWASP testi versiooni ja taset;

nõudeid raportile ja raporti koostamise keelele), tööde teostamise soovitav ajaperiood, vajadusel

eeldatav maksumus. Kui tegemist on välisrahastusega, siis finantseerimise allikas). Pakkumuse

täpsustus aktsepteeritakse tellija poolt kui see vastab tellimuses kehtestatud tingimustele.

5.3. Tellijal on õigus jätta kirjalik hankeleping sõlmimata kuni 19 999,99 euro (ilma käibemaksuta)

suuruste tehingute korral.

5.4. Kirjaliku hankelepingu sõlmimata jätmisel loetakse hankelepinguks tellimus, aktsepteeritud

pakkumuse täpsustus ning hankelepingu üldtingimused kogumina. Hankelepingu lahutamatuteks

osadeks on riigihanke alusdokumendid, raamleping koos lisadega, tööde üleandmise-

vastuvõtmise aktid, pooltevahelised kirjalikud teated ning lepingu muudatused ja lisad.

5.5. Kirjalik hankeleping sõlmitakse alati 20 000 euro (ilma käibemaksuta) või suuremate tehingute

korral. Kirjalik hankeleping koosneb hankelepingu eritingimuste projektis toodud lisadest ja

hankelepingu lahutamatuks osaks nimetatud dokumentidest.

5.6. Täitja on kohustatud edastama Registrite ja Infosüsteemide Keskusele raamlepingu tehnilises

kirjelduse punktis 3 toodud informatsiooni nõude edastamisest 10 tööpäeva jooksul.

4

6. Raamlepingu rikkumine ja vastutus

6.1. Pooled vastutavad oma raamlepingust tulenevate kohustuste rikkumise eest iseseisvalt, välja

arvatud, kui rikkumine on vabandatav. Eeldatakse, et rikkumine ei ole vabandatav.

6.2. Kohustuse rikkumine on vabandatav, kui pool rikkus kohustust vääramatu jõu tõttu.

6.3. Täitja vastutab kõikide isikute eest, keda nad kasutavad oma lepingujärgsete kohustuste täitmisel.

6.4. Lepingust või seadusest tuleneva õiguse või õiguskaitsevahendi mittekasutamine või selle

kasutamisega viivitamine ei tähenda nimetatud õigusest või õiguskaitsevahendist või muudest

õigustest või õiguskaitsevahenditest loobumist. Lepinguga seotud mis tahes loobumised on

kehtivad ainult siis, kui need on selgesõnaliselt ja kirjalikult väljendatud.

7. Raamlepingu ülesütlemine

7.1. Raamlepingu korralise ülesütlemise õigus on ainult Registrite ja Infosüsteemide Keskusel.

7.2. Korralise ülesütlemise etteteatamistähtaeg on 90 (üheksakümmend) kalendripäeva.

7.3. Registrite ja Infosüsteemide Keskusel on õigus raamleping erakorraliselt üles öelda ilma

etteteatamistähtajata järgmistel juhtudel:

7.3.1. Täitjaga on raamlepingu alusel sõlmitud hankeleping erakorraliselt üles öeldud;

7.3.2. Täitja on korduvalt jätnud täitmata tehnilise kirjelduse punktis 6 toodud kohustuse;

7.3.3. Täitja on oma lepingujärgsed kohustused üle andnud kolmandale isikule.

7.4. Raamlepingu ülesütlemine ei mõjuta sõlmitud hankelepingute kehtivust. Täitjal ei teki tellijate vastu

raamlepingu korralisest ülesütlemisest tekkinud kahju hüvitamise nõude esitamise õigust, nt

saamata jäänud tulu.

8. Kolmandad isikud ja nõuete loovutamine

8.1. Pooled ei või oma lepingujärgseid kohustusi üle anda kolmandale isikule.

8.2. Pooled võivad loovutada lepingust tulenevaid rahalisi nõudeid kolmandatele isikutele. Pooled on

kohustatud teineteist nõude loovutamisest viivitamatult informeerima.

8.3. Registrite ja Infosüsteemide Keskusel on õigus raamlepingu alusel sõlmitud hankelepingu alusel

tasumisele kuuluv arve edastada maksmiseks raamlepingu pooleks mitte olevale tellijale juhul, kui

vastavasisuline volitus on Registrite ja Infosüsteemide Keskusele antud.

9. Lõppsätted

9.1. Raamlepingu tingimused on avalikud.

9.2. Pooled juhinduvad omavaheliste suhete reguleerimisel lepingust ning lepinguga reguleerimata

küsimustes Eesti Vabariigis kehtivatest õigusaktidest.

9.3. Lepingu tõlgendamisel lähtutakse poolte ühisest tegelikust tahtest. Kui poolte ühist tegelikku tahet

ei õnnestu kindlaks teha, tuleb lepingut tõlgendada nii, nagu teise poolega samasugune mõistlik

isik pidi lepingut samade asjaolude esinemise korral mõistma.

9.4. Raamlepingu ja hankelepingute täitmise keel on eesti keel. Lepingu alusel teostatud tööde tulem

(raport) võib olla vastavalt tellimusele kas eesti või inglise keelne.

9.5. Raamlepinguga seotud vaidlused lahendatakse läbirääkimiste teel. Läbirääkimiste tulemusel

kokkuleppe mittesaavutamisel lahendatakse vaidlus Harju Maakohtus.

9.6. Leping allkirjastatakse digitaalselt.

Tellijad

/digitaalselt allkirjastatud/

Registrite ja Infosüsteemide Keskus

Rivo Reitmann

Direktor / volitatud isik

Täitja(d)

/digitaalselt allkirjastatud/

5

Raamlepingu nr …

Lisa 4

POOLTE VOLITATUD ESINDAJAD JA KONTAKTANDMED

Poolte volitatud esindajateks raamlepingu täitmisel on:

Pool Volitatud

esindaja nimi

Volitatud esindaja

ametikoht

Volitatud

esindaja

kontakttelefon

Volitatud esindaja email

Tellijad

Täitja(d)