Ведущий специалист по информационной безопасности в разработке
Обязанности:
– Развитие и автоматизация процессов защищенной разработки (SSDLC);
– Анализ и разработка требований к продукту в части ИБ;
– Моделирование угроз безопасности продукта и определение поверхности атаки;
– Разработка плана и механизмов устранения выявленных уязвимостей;
– Консультирование команды разработки по вопросам безопасности и практикам написания безопасного кода, помощь разработчикам в устранении выявленных уязвимостей и ошибок в коде;
– Взаимодействие с командой DevOps-инженеров по вопросам автоматизации сценариев применения инструментов SAST и DAST, интеграции средств анализа в процессы CI/CD;
– Настройка инструментальных средств анализа уязвимостей и проверок безопасности (SAST, DAST, Fuzzing, SCA), повышение эффективности их работы;
– Проверка исходного кода программ с применением специализированных инструментов для выявления ошибок и уязвимостей;
– Применение инструментов контроля Open Source компонентов (OSA/SCA);
– Разбор результатов работы средств статического анализа и средств динамического анализа (проверка, приоритизация, корреляция выявляемых дефектов, поиск решений для их устранения);
– Оформление отчетов по проведенным анализам;
– Участие в сертификации решения в своей зоне ответственности;
– Участие в разработке процессов информационный безопасности, направленных на снижение рисков ИБ, в качестве технического эксперта.
Требования:
–
Образование в области ИТ, информационной безопасности или смежных дисциплин;
– Опыт работы в сфере информационной безопасности или аудита ПО (желательно в ИТ-компаниях);
– Опыт программирования или понимание основ языков разработки (для взаимодействия с командой разработчиков);
–
Понимание принципов безопасной разработки ПО и архитектуры защищенных систем;
– Навыки проведения и/или организации тестирования безопасности (SAST, DAST, пентест) и анализа уязвимостей;
– Уверенное владение русским и английским языками на уровне технической документации;
– Коммуникативные навыки
– Аналитический склад ума, умение планировать и вести несколько задач одновременно.
Плюсом будет:
– Знание российских нормативных документов и стандартов ИБ (ФСТЭК, 187-ФЗ, 572-ФЗ и др.), а также международных регламентов и стандартов (GDPR, ISO 27001, NIST и др.);
– Умение объяснять технические детали нетехническим специалистам (клиентам, аудиторам);
– Знание и практический опыт работы с системами видеонаблюдения или аналогичными встраиваемыми решениями;
– Опыт взаимодействия с государственными органами по вопросам аттестации ИБ (подготовка к экспертизе ФСТЭК, аттестация систем);
– Знакомство с открытыми инструментами и фреймворками для тестирования безопасности (OWASP ZAP, Metasploit, Burp Suite и др.);
– Наличие сертификатов в области ИБ (CISSP, CISM, OSCP/CEH и др.) или прохождение профессионального обучения по ИБ.
Условия:
–
Работу над продуктом мирового уровня;
– Задачи, которые вам точно будут интересны;
– Гибридный график работы (понедельник, среда офисные дни);
– Трудоустройство по ТК, "белая" заработная плата, полная оплата отпуска и больничных;
– Оплата обедов
– Участие в корпоративных мероприятиях и тимбилдингах;
– 12 отгулов в год;
– ДМС.