Специалист по аттестации ИСПДн (OpenStack, 152-ФЗ)

Что предстоит делать

Ищем специалиста, который уже делал аттестацию ИСПДн в виртуальных средах. Наш кейс — OpenStack (не VMware). Нужно довести облачную IaaS-платформу Trustum до соответствия 152-ФЗ (уровень УЗ-3): от выбора аккредитованной лаборатории до внедрения СЗИ в инфраструктуру.

• Блок 1. Выбор партнера по сертификации
• Найти аккредитованную организацию/лицензиата ФСТЭК, которая проведет оценку эффективности или аттестацию. На выходе: сравнение 3–5 КП и рекомендация с кем работать.
• Блок 2. Разработка ТЗ на проект
• Сделать gap-анализ текущей инфраструктуры (OpenStack, Ceph, сеть, биллинг) под требования 152-ФЗ.;
• Подтвердить классификацию УЗ-3 по ПП №1119. Разработаете модель угроз по методике ФСТЭК (с учётом multi-tenant: side-channel между тенантами, компрометация гипервизора, инсайдер-админ);
• Сформировать набор мер по приказу ФСТЭК №21 и пропишете их в ТЗ с привязкой к конкретным компонентам OpenStack.
• Блок 3. Непосредственное внедрение
• Подобрать сертифицированные СЗИ (уровня доверия 5–6, без избыточного УД4). Совместно с нашей командой доработать архитектуру: изоляция тенантов (Neutron security groups, VLAN/VXLAN), защита гипервизора KVM/QEMU, шифрование at-rest для Ceph RBD, настройка RBAC Keystone, интеграция аудита всех сервисов в SIEM;
• Провести установку и настройку СЗИ.
• Блок 4. Сопровождение до результата
• Закрыть замечания аттестатора, подготовите пакет ОРД (Политика обработки ПДн, Акт классификации, Регламент реагирования и т. д.) и быть на связи во время проверок.
• Кто нам нужен:
• Самостоятельно вели минимум 2 проекта по приведению ИСПДн к 152-ФЗ "под ключ"(от аудита до получения протокола/аттестата);
• Знание регуляторики: ПП №1119, Приказы ФСТЭК №21 и №17, методика моделирования угроз (БДУ ФСТЭК) на уровне, чтобы защищать позицию перед регулятором;
• Технический стек: Практический опыт именно с OpenStack (Nova, Neutron, Cinder, Keystone, Glance). Знаете, как настроить защиту сети между тенантами, как разделить admin- и tenant-контуры, как организовать защищённый аудит логов;
• СЗИ под виртуализацию: Опыт внедрения сертифицированных средств для KVM/OpenStack (vGate, Аккорд или аналоги). Понимаете, что голый OpenStack без российской надстройки не аттестуется, и знаете, чем это заменить;
• Понимаете границы ответственности: где меры защиты ложатся на провайдера (нас), а где на клиента-оператора ПДн (прописывается в SLA).
• Формат сотрудничества:
• Проектная работа/фриланс;
• Удалённо/с выездом на площадку для аудита физической инфраструктуры ЦОДа;
• Оплата обсуждается, по договоренности.