Specjalista/tka ds. systemów niejawnych

W Spyrosoft Solutions rozszerzamy naszą działalność w sektorach obronności i bezpieczeństwa w ramach jednostki biznesowej Spyrosoft Defence & Aerospace. W związku z uruchamianiem nowych projektów oraz nawiązywaniem współpracy z potencjalnymi klientami poszukujemy doświadczonych osób, które będą wspierać projektowanie, akredytację oraz użytkowanie systemów niejawnych, zgodnie z krajowymi i międzynarodowymi standardami bezpieczeństwa.

Główne obowiązki

• Zarządzanie systemami niejawnymi

• Znajomość polskich przepisów o ochronie informacji niejawnych

• Znajomość procedur akredytacji bezpieczeństwa systemów niejawnych

• Klasyfikacja informacji i zarządzanie dostępem do nich

• Praca z audytorami i organami państwowymi

• Dokumentowanie decyzji projektowych dot. bezpieczeństwa danych

• Umiejętność uzasadniania wybranych rozwiązań technicznych w systemach niejawnych

• Umiejętność zarządzania procedurami w projektowaniu, certyfikowaniu i akredytacji systemów niejawnych

• Umiejętność tworzenia dokumentacji dla systemów bezpiecznych takich jak polityki i procedury min. szczególne wymagania bezpieczeństwa (SWB), procedury bezpiecznej eksploatacji (PBE)

• Zarządzanie konfiguracją projektów i konfiguracją systemu niejawnego

• Prowadzenie audytów i kontroli systemów niejawnych

• Szkolenie integratorów i użytkowników systemów niejawnych

Architektura systemów niejawnych

Architektura Systemu:

• Znajomość i umiejętność projektowanie architektury systemów niejawnych

• Systemy stand-alone vs. sieci wydzielone

• Air-gap i kontrolowane transfery danych

• Segmentacja sieci

• Defense in depth

• Modelowanie zagrożeń

• Strategie defense in depth, secure by design, secure by default

• OS hardening

• Kontrola integralności systemu

• Minimalizacja TCB (trusted computing base) w HAS (high assurance systems)

• Integracja i konfiguracja w środowiskach zamkniętych

• Selekcja komponentów systemu (np. TEMPEST, emisja EMC, ochrona nośników danych etc.)

• Zarządzanie aktualizacjami w środowiskach zamkniętych

Sieci:

• Projektowanie sieci o podwyższonym bezpieczeństwie

• Analiza ruchu sieciowego

• Zabezpieczanie sieci

Kryptografia:

• Znajomość technik kryptograficznych

• Generowanie i przechowywanie kluczy

• Implementacja kryptografii zgodnie z wymaganiami państwowymi

• Zarządzanie cyklem życia kluczy

Bezpieczeństwo fizyczne:

• Podstawowa znajomość dot. stref ochronnych (np. strefy bezpieczeństwa)

• Podstawowa znajomość dot. kontroli dostępu fizycznego

Ocena systemu & cybersecurity:

• Ocena komponentów systemu

• Znajomość Secure SDLC

• Zarządzanie zależnościami (VM/VA, SBOM)

• Integracja komponentów w środowisku zamkniętym

• Znajomość technik wykorzystywanych w testach cybersecurity

• Planowanie i nadzór nad testami potwierdzającymi osiągnięcie/utrzymanie zakładanego poziomu bezpieczeństwa systemów niejawnych

• Weryfikacja poprawności raportów z testów cybersecurity

Zarządzanie ryzykiem i incydenty:

• Znajomość procedur związanych z zarządzaniem incydentami

• Raportowanie do odpowiednich organów

• Planowanie procedur i nadzór nad procedurami związanymi z IR

• Identyfikacja zagrożeń

• Analiza ryzyka (jakościowa/ilościowa)

• Dobór środków bezpieczeństwa

• Residual risk acceptance

Pozostałe:

• Dobra komunikacja z zespołem projektowym

• Prowadzenie komunikacji z klientem

• Prowadzenie komunikacji z jednostkami certyfikującymi i/lub akredytującymi

• Przygotowanie ofert dla klientów

Poświadczenia bezpieczeństwa & standardy:

• Poświadczenie bezpieczeństwa osobowego o klauzuli TAJNE, NATO SECRET oraz SECRET UE/ EU SECRET włącznie

• lub gotowość do poddania się postępowaniu sprawdzającemu

• Znajomość standardów ISO/IEC 27000, ISO/IEC 15408, NATO Infosec/ Cryptographic standards, Security Policy NIS2, CRA, NIST NATO/STANAG

Dodatkowe atuty:

• Doświadczenie w pracy z administracją publiczną, obroną i/lub sektorem bezpieczeństwa