Специалист по методологии (Информационная безопасность / Регуляторное соответствие РФ)

Мы ищем специалиста, который поможет контролировать и методологически обеспечивать выполнение работ на всех стадиях и этапах приведения систем и проектов компании в соответствие с требованиями законодательства РФ в области защиты информации и персональных данных, с фокусом на:

• Приказы ФСТЭК России №21 и №117;
• Постановление Правительства РФ №1119;
• Подготовку и сопровождение аттестации ИСПДн / ГИС;
• (Опционально) выполнение требований по безопасности КИИ.

Что нужно делать:

• Проведение обследований инфраструктуры компании для классификации/категорирования ИС и построения систем защиты;
• Разработка ТЗ, проектной, рабочей, эксплуатационной документации к системам защиты информации;
• Разработка организационно-распорядительных документов по защите ИСПДн/ГИС;
• Сопровождение проектов компании, связанных с аттестацией ИС, сертификацией ПО, выполнением требований регуляторов;
• Обработка потребностей бизнеса (продуктов, сервисов), выявление и проработка архитектуры, способов и методов реализации требований по защите информации;
• Проведение оценки эффективности текущих мер ИБ. Разработка и контроль исполнение рекомендаций по повышению уровня защищенности, включая модернизацию архитектуры безопасности.

Какой опыт и знания нужны:

• Практический опыт работы с ФСТЭК №21, №117, ПП РФ №1119;
• Опыт проведения аттестации ИСПДн и ГИС;
• Опыт подготовки к аттестации по требованиям ФСТЭК №21, №117;
• Опыт проектирования систем защиты информации;
• Понимание ИТ-архитектуры и методов и современных практик обеспечения ИБ, способов их технической реализации и измерения их эффективности;
• Опыт разработки моделей угроз и нарушителей безопасности информации;
• Владение понятийной базой отечественных регуляторов и ее применения (в том числе ГОСТ на АС, документов ФСТЭК России, ФСБ России, Минцифры России);
• Разработка ТЗ, проектной и эксплуатационной документации на систему защиты информации;
• Понимание и способность составить актуальные, применимые сценарии реализации угроз информационной безопасности в рамках моделирования угроз и нарушителей;
• Знание особенностей применения и эксплуатации отечественных СЗИ (IAM, DLP, SIEM, SOC, WAF и т.д.) и СКЗИ (в том числе реализовывающих требования к СУБД, виртуализации, контейнеризации);
• Знание и понимание современных технологий обработки и передачи данных и угроз ИБ (контейнеризации, оркестрации, web, etc).

Будет плюсом:

• Практический опыт подготовки к проведению оценки соответствия СЗИ в форме приемки (испытаний) в части разработки методик, протоколов
• Опыт взаимодействия с аттестующими организациями.