Исследователь программного обеспечения
Аккредитованная ГК "ИнфоТеКС", входящая в ТОП-5 компаний России в сфере защиты информации, лидер в разработке СЗИ, приглашает в команду сертификационной лаборатории специалиста на задачи экспертного анализа множества программных и программно-аппаратных продуктов (в том числе с открытым исходным кодом и с использованием разнообразных фреймворков).
Задачи:
– Деятельность в качестве работника Испытательной лаборатории ФСТЭК России, в том числе подготовка и проведение сертификационных испытаний.
– Экспертиза сторонних продуктов на соответствие требованиям.
– Помощь внешним компаниям в разработке, документации и проведению исследований программных продуктов на соответствие требованиям.
– Автоматизация процессов проведения оценки.
Составляющие процесса:
– Подготовка ПМИ в соответствии с методиками ФСТЭК.
– Функциональный анализ. При необходимости, функциональное тестирование.
– Архитектурный анализ (в том числе с использованием базы уязвимостей CWE).
– Статический анализ (SAST). Разметка предупреждений анализатора (анализ каждого выделенного анализатором фрагмента кода для выявления False Positive).
– Динамический анализ (DAST), включая fazzing.
– При необходимости, OSINT (в случае использовании в коде фрагментов Open Source, поиск в сети известных для этих фрагментов уязвимостей, в том числе с использованием базы уязвимостей CVE).
– Другие необходимые испытания (pentest и прочее).
– Подготовка экспертного отчета по результатам испытания (ПМИ с ожидаемыми результатами, проведенные испытания, полученные результаты, подробная и детальная аргументация выводов). Совокупно «бумажная» часть занимает до 40% времени.
Ожидания от квалификации:
– ЯЗЫКИ ПРОГРАММИРОВАНИЯ: на входе – экспертный уровень знания хотя бы одного-двух популярных (могут встретится C/C++, C#, Java, Python, JS, Go и любые другие). В дальнейшем – готовность изучать другие ЯП до уровня экспертного анализа.
– Готовность на первом этапе работы подготовиться (с помощью коллег) и сдать обязательный экзамен ФСТЭК (части экзамена: нормативные документы, SAST, fazzing).
– Готовность к прохождению профильных курсов, участию в конференциях, самообучению.
– Высшее образование законченное (обязательно).
– Готовность и отсутствие препятствий для оформления допуска по 3 форме (обязательно).
Преимущество:
– Знакомство с инструментальными средствами динамического и статического тестирования.
– Опыт сертификации продуктов во ФСТЭК.
– Знание требований ФСТЭК к сертифицируемым продуктам.
– Умение готовить стенды для исследования ПО и ПАК.
– Опыт работы со средствами виртуализации.
– OS: Android, Linux, Windows, Mac и другие.
Условия работы:
– Работа в офисе в Пензе (бизнес-центр «Атриум»).
– Полное соблюдение трудового законодательства РФ, оплачиваемые отпуска и больничные листы, "белая" заработная плата.
– Продолжительность рабочего дня 8 часов + 1 час на обед.
– Оплачиваемое работодателем питание в офисе или кафе.
– ДМС (добровольное медицинское страхование) - различные варианты программ, страховка от несчастных случаев.
– Корпоративные мероприятия и спортивные инициативы (футбол, волейбол, баскетбол).
– Изучение английского по корпоративным расценкам.
– Возможность получения профессиональных сертификатов и прохождения курсов повышения квалификации за счёт компании.