Советник по сертификации СЗИ и взаимодействию с лабораториями

Ищем опытного технического советника, который поможет выстроить корректную стратегию общения с испытательными лабораториями и сертификационными консультантами по инфраструктурному IT/телеком-проекту.

На первом этапе нам нужен не исполнитель “документов под ключ”, а человек, который поможет правильно поставить вопросы, оценить ответы лабораторий и не допустить ошибок при определении сертификационной границы.

Детали проекта, техническую архитектуру и коммерческий контекст готовы обсуждать после первичного знакомства и NDA.

Задачи

• помочь сформулировать вопросы для испытательных лабораторий;
• оценить, какие варианты сертификационной границы реалистичны;
• подсказать, какие документы и исходные данные нужно подготовить до обращения в лабораторию;
• помочь разобрать ответы лабораторий и консультантов;
• отличить реальные требования от предположений, перестраховки и коммерческих предложений;
• дать рекомендации по дальнейшей сертификационной стратегии;
• при необходимости участвовать в рабочих встречах с лабораторией или консультантами.

Что важно

Нужен человек, который понимает не только нормативную часть, но и техническую архитектуру инфраструктурных решений.

• практический опыт взаимодействия с испытательными лабораториями или органами по сертификации;
• понимание сертификации СЗИ и инфраструктурных компонентов;
• опыт с тематикой ФСТЭК;
• понимание, что такое объект оценки, область сертификации, эксплуатационная среда, формуляр и ограничения применения;
• умение аккуратно работать с границами: что входит в область оценки, что остаётся снаружи, что требует отдельного трека;
• способность объяснять сложные сертификационные вопросы простым техническим языком;
• аккуратность в формулировках: нам важно не превращать неподтверждённые гипотезы в обязательные требования.

Будет плюсом

• опыт с КИИ / ЗОКИИ;
• опыт с ИСПДн;
• опыт с телеком-проектами;
• опыт с СКЗИ или криптографическими контурами;
• опыт с виртуализацией, Linux-based инфраструктурой или инфраструктурными платформами;
• опыт подготовки описания объекта оценки, Security Target, формуляров, эксплуатационной или сертификационной документации.

Нам не подойдёт

Не подойдёт формат, когда советник:

• сразу предлагает “сертифицировать всё целиком”, не разбирая границы;
• продаёт только посреднические услуги без реального понимания процесса;
• не готов обсуждать архитектуру на техническом уровне;
• обещает гарантированный результат без анализа объекта оценки;
• не может объяснить, какие утверждения требуют проверки лабораторией.

Формат работы

Формат обсуждаем. Возможны варианты:

• разовая консультация;
• серия рабочих сессий;
• проектное сопровождение;
• частичная занятость;
• сопровождение общения с лабораториями.
• Можно работать удалённо.

Что написать в отклике

Пожалуйста, кратко укажите:

С какими типами сертификационных проектов вы работали.

Был ли опыт взаимодействия с испытательными лабораториями.

Есть ли опыт с СЗИ, КИИ/ЗОКИИ, ИСПДн, СКЗИ или телекомом.

Какую роль вы обычно выполняли: консультант, архитектор, разработчик документации, представитель заказчика, представитель исполнителя.

В каком формате вам удобно работать.

Подробности проекта, архитектурные материалы и конкретные вопросы к лабораториям обсудим после NDA.