Сопровождение СЗИ от этапа создания до этапа получения сертификата, а также поддержание СЗИ в сертифицированном состоянии;
Взаимодействие с производственными командами, испытательной лабораторией, ФСТЭК России и другими участниками процесса сертификации;
Планирование и регулярный контроль выполнения проектов по сертификации;
Проверка конструкторской (КД), эксплуатационной (ЭД) и программной (ПД) документации на соответствие требованиям безопасности ФСТЭК России;
Проведение сертификационных испытаний на соответствие требованиям нормативных документов по информационной безопасности ФСТЭК России, МО РФ;
Анализ технической документации на средства защиты информации (антивирусы, межсетевые экраны, системы обнаружения вторжений, средства разграничения доступа и т.п.), анализ их функциональных возможностей и предъявляемых к ним требований;
Подготовка к тестированию средств защиты информации, включая разработку методик проведения испытаний, детальных описаний тестов и настройка тестовой среды;
Проведение экспертного, статического, динамического и ручного анализа с целью выявления уязвимостей и недекларированных возможностей программного обеспечения;
Анализ уязвимостей средств защиты информации и среды функционирования;
Проведение функционального тестирования средств защиты информации;
Оформление отчетных материалов по результатам сертификационных испытаний;
Знания и навыки
Знание нормативно-правовых и методических документов ФСТЭК России в области обеспечения информационной безопасности;
Знание нескольких языков программирования (C/C++, C#, Java, PHP, JavaScript, SQL, Python, Delphi и т.д.) на уровне понимания исходного кода;
Знания нормативной регуляторики ФСТЭК России (17/21/239 приказы, 55 положение, 76 приказ, Методика выявления уязвимостей и недекларированных возможностей и др.);
Знание принципов работы основных типов средств защиты информации (антивирусы, межсетевые экраны, системы обнаружения вторжений, средства разграничения доступа и т.п.);
Навыки сопровождения (или проведения) сертификационных испытаний СЗИ по линии ФСТЭК России;
Понимание принципов функционирования OC Linux, контейнеризации приложений и микросервисной архитектуры, а также облачной безопасности;
Владение профессиональной терминологией (способность отличить аутентификацию от авторизации и ключ электронной подписи от сертификата ключа проверки);
Инструментальное владение AI для анализа, генерации и автоматизации;
Опыт проведения сертификационных испытаний на соответствие требованиям нормативных документов по информационной безопасности ФСТЭК России, МО РФ;
Опыт взаимодействия с разработчиками в части устранения уязвимостей и подготовки различных материалов (тестовых стендов, документации, отчетов по анализу уязвимостей);
Будет плюсом
Отсутствие ограничений на оформление допуска к гостайне;
Знание требований ЕСКД и ЕСПД (ГОСТы 19 и 34 серий) а также ГОСТ Р ИСО/МЭК 15408;
Наличие профильных сертификатов: Security+ от CompTIA, Certified Cloud Security Engineer (CCSE) от EC-Council, Certified Cloud Security Professional (CCSP) от ISC2, Cloud Security Essentials (GCLD) от GIAC или аналогичных как альтернатива профильности образования;
Опыт и знания процессов разработки безопасного программного обеспечения (например, в соответствии с ГОСТ Р 56939);
Опыт работы в испытательной лаборатории, органе по сертификации или разработчике сертифицируемых средств защиты информации;