Senior менеджер по кибербезопасности (OpenStack, ФСТЭК)

Дата размещения вакансии: 10.07.2026
Работодатель: Талай
Уровень зарплаты:
з/п не указана
Город:
Москва
Требуемый опыт работы:
От 3 до 6 лет

Ищем специалиста, который уже делал аттестацию ИСПДн в виртуальных средах. Наш кейс — OpenStack (не VMware). Нужно довести облачную IaaS-платформу Trustum до соответствия 152-ФЗ (уровень УЗ-3): от выбора аккредитованной лаборатории до внедрения СЗИ в инфраструктуру.

Чем предстоит заниматься:

Блок 1. Выбор партнера по сертификации

  • Найти аккредитованную организацию/лицензиата ФСТЭК, которая проведет оценку эффективности или аттестацию. На выходе: сравнение 3–5 КП и рекомендация с кем работать.

Блок 2. Разработка ТЗ на проект

  • Сделать gap-анализ текущей инфраструктуры (OpenStack, Ceph, сеть, биллинг) под требования 152-ФЗ.;
  • Подтвердить классификацию УЗ-3 по ПП №1119. Разработать модель угроз по методике ФСТЭК (с учётом multi-tenant: side-channel между тенантами, компрометация гипервизора, инсайдер-админ);
  • Сформировать набор мер по приказу ФСТЭК №21 и пропишете их в ТЗ с привязкой к конкретным компонентам OpenStack.

Блок 3. Непосредственное внедрение

  • Подобрать сертифицированные СЗИ (уровня доверия 5–6, без избыточного УД4). Совместно с нашей командой доработать архитектуру: изоляция тенантов (Neutron security groups, VLAN/VXLAN), защита гипервизора KVM/QEMU, шифрование at-rest для Ceph RBD, настройка RBAC Keystone, интеграция аудита всех сервисов в SIEM;
  • Провести установку и настройку СЗИ.

Блок 4. Сопровождение до результата

  • Закрыть замечания аттестатора, подготовить пакет ОРД (Политика обработки ПДн, Положение об обработке ПДн, Модель угроз, Акт классификации ИСПДн, Технический паспорт ИСПДн, Регламент реагирования на инциденты, Приказы о назначении ответственных) и быть на связи во время проверок.

Кто нам нужен:

  • Опыт самостоятельного ведения проектов приведения в соответствие 152-ФЗ под ключ, включая подбор и взаимодействие с аккредитованными организациями/лицензиатами ФСТЭК, а не только выполнение технической части;
  • Подтверждённый опыт аттестации/оценки эффективности ИСПДн (желательно несколько кейсов именно для облачных/виртуализированных сред, не только коробочных офисных ИС;
  • Знание регуляторики: Знание ПП №1119, приказов ФСТЭК №21 и №17, методик моделирования угроз ФСТЭК (БДУ);

  • Практический опыт сертификации именно с OpenStack (Nova, Neutron, Cinder, Keystone, Glance), а не только VMware/Hyper-V;

  • СЗИ под виртуализацию: Опыт внедрения сертифицированных средств для KVM/OpenStack (vGate, Аккорд или аналоги). Плюсом будет опыт именно для KVM/OpenStack, а не только VMware ESXi;

  • Понимание текущей ситуации с аккредитацией испытательных лабораторий — важно, чтобы выбранные СЗИ имели действующий, а не приостановленный сертификат.

Формат сотрудничества:

  • Проектная работа/фриланс;
  • Удалённо/с выездом на площадку для аудита физической инфраструктуры ЦОДа;
  • Оплата обсуждается, по договоренности.