Просмотр вакансии

Ищем специалиста, который уже делал аттестацию ИСПДн в виртуальных средах. Наш кейс — OpenStack (не VMware). Нужно довести облачную IaaS-платформу Trustum до соответствия 152-ФЗ (уровень УЗ-3): от выбора аккредитованной лаборатории до внедрения СЗИ в инфраструктуру.

Чем предстоит заниматься:

Блок 1. Выбор партнера по сертификации

• Найти аккредитованную организацию/лицензиата ФСТЭК, которая проведет оценку эффективности или аттестацию. На выходе: сравнение 3–5 КП и рекомендация с кем работать.

Блок 2. Разработка ТЗ на проект

• Сделать gap-анализ текущей инфраструктуры (OpenStack, Ceph, сеть, биллинг) под требования 152-ФЗ.;
• Подтвердить классификацию УЗ-3 по ПП №1119. Разработать модель угроз по методике ФСТЭК (с учётом multi-tenant: side-channel между тенантами, компрометация гипервизора, инсайдер-админ);
• Сформировать набор мер по приказу ФСТЭК №21 и пропишете их в ТЗ с привязкой к конкретным компонентам OpenStack.

Блок 3. Непосредственное внедрение

• Подобрать сертифицированные СЗИ (уровня доверия 5–6, без избыточного УД4). Совместно с нашей командой доработать архитектуру: изоляция тенантов (Neutron security groups, VLAN/VXLAN), защита гипервизора KVM/QEMU, шифрование at-rest для Ceph RBD, настройка RBAC Keystone, интеграция аудита всех сервисов в SIEM;
• Провести установку и настройку СЗИ.

Блок 4. Сопровождение до результата

• Закрыть замечания аттестатора, подготовить пакет ОРД (Политика обработки ПДн, Положение об обработке ПДн, Модель угроз, Акт классификации ИСПДн, Технический паспорт ИСПДн, Регламент реагирования на инциденты, Приказы о назначении ответственных) и быть на связи во время проверок.

Кто нам нужен:

• Опыт самостоятельного ведения проектов приведения в соответствие 152-ФЗ под ключ, включая подбор и взаимодействие с аккредитованными организациями/лицензиатами ФСТЭК, а не только выполнение технической части;
• Подтверждённый опыт аттестации/оценки эффективности ИСПДн (желательно несколько кейсов именно для облачных/виртуализированных сред, не только коробочных офисных ИС;

• Знание регуляторики: Знание ПП №1119, приказов ФСТЭК №21 и №17, методик моделирования угроз ФСТЭК (БДУ);

• Практический опыт сертификации именно с OpenStack (Nova, Neutron, Cinder, Keystone, Glance), а не только VMware/Hyper-V;

• СЗИ под виртуализацию: Опыт внедрения сертифицированных средств для KVM/OpenStack (vGate, Аккорд или аналоги). Плюсом будет опыт именно для KVM/OpenStack, а не только VMware ESXi;

• Понимание текущей ситуации с аккредитацией испытательных лабораторий — важно, чтобы выбранные СЗИ имели действующий, а не приостановленный сертификат.

Формат сотрудничества:

• Проектная работа/фриланс;
• Удалённо/с выездом на площадку для аудита физической инфраструктуры ЦОДа;
• Оплата обсуждается, по договоренности.