Менеджер по кибербезопасности (OpenStack)

Ищем специалиста, который уже делал аттестацию ИСПДн в виртуальных средах. Наш кейс — OpenStack (не VMware). Нужно довести облачную IaaS-платформу Trustum до соответствия 152-ФЗ (уровень УЗ-3): от выбора аккредитованной лаборатории до внедрения СЗИ в инфраструктуру.

Чем предстоит заниматься:

Блок 1. Выбор партнера по сертификации

• Найти аккредитованную организацию/лицензиата ФСТЭК, которая проведет оценку эффективности или аттестацию. На выходе: сравнение 3–5 КП и рекомендация с кем работать.

Блок 2. Разработка ТЗ на проект

• Сделать gap-анализ текущей инфраструктуры (OpenStack, Ceph, сеть, биллинг) под требования 152-ФЗ.;
• Подтвердить классификацию УЗ-3 по ПП №1119. Разработаете модель угроз по методике ФСТЭК (с учётом multi-tenant: side-channel между тенантами, компрометация гипервизора, инсайдер-админ);
• Сформировать набор мер по приказу ФСТЭК №21 и пропишете их в ТЗ с привязкой к конкретным компонентам OpenStack.

Блок 3. Непосредственное внедрение

• Подобрать сертифицированные СЗИ (уровня доверия 5–6, без избыточного УД4). Совместно с нашей командой доработать архитектуру: изоляция тенантов (Neutron security groups, VLAN/VXLAN), защита гипервизора KVM/QEMU, шифрование at-rest для Ceph RBD, настройка RBAC Keystone, интеграция аудита всех сервисов в SIEM;
• Провести установку и настройку СЗИ.

Блок 4. Сопровождение до результата

• Закрыть замечания аттестатора, подготовите пакет ОРД (Политика обработки ПДн, Акт классификации, Регламент реагирования и т. д.) и быть на связи во время проверок.

Кто нам нужен:

• Самостоятельно вели минимум 2 проекта по приведению ИСПДн к 152-ФЗ "под ключ"(от аудита до получения протокола/аттестата);

• Знание регуляторики: ПП №1119, Приказы ФСТЭК №21 и №17, методика моделирования угроз (БДУ ФСТЭК) на уровне, чтобы защищать позицию перед регулятором;

• Технический стек: Практический опыт именно с OpenStack (Nova, Neutron, Cinder, Keystone, Glance). Знаете, как настроить защиту сети между тенантами, как разделить admin- и tenant-контуры, как организовать защищённый аудит логов;

• СЗИ под виртуализацию: Опыт внедрения сертифицированных средств для KVM/OpenStack (vGate, Аккорд или аналоги). Понимаете, что голый OpenStack без российской надстройки не аттестуется, и знаете, чем это заменить;

• Понимаете границы ответственности: где меры защиты ложатся на провайдера (нас), а где на клиента-оператора ПДн (прописывается в SLA).

Формат сотрудничества:

• Проектная работа/фриланс;
• Удалённо/с выездом на площадку для аудита физической инфраструктуры ЦОДа;
• Оплата обсуждается, по договоренности.