Привет! Мы Юникорн – российская продуктовая IT-компания, лидер рынка «Умное здание». Мы разрабатываем облачную платформу и оборудование для цифровизации зданий и городской инфраструктуры. Продукт живёт в реальной эксплуатации, у крупных заказчиков, с повышенными требованиями к безопасности, надёжности и соответствию регуляторике.
Что ты получаешь, работая у нас:
– Оформление в штат с первого дня и конкурентная зарплата;
– Классный офис в Технопарке Morion Digital с развитой инфраструктурой (бесплатная парковка, кафе, спортзал, шиномонтаж, химчистка и др.)
– Востребованный инновационный продукт и интересные задачи;
– Поддержка сотрудников со стороны руководителей, наставник – на период адаптации;
– Возможность обучаться и постоянно развивать свои навыки;
– Программа лояльности (скидки на обучение, спорт, кафе, корпоративный мерч и многое другое);
– Насыщенная корпоративная жизнь: сплавы, тренинги и лучшие корпоративы
Цель роли
Это не исполнительская позиция и не SOC-аналитик. Мы ищем специалиста уровня Senior / Lead, который:
– владеет процессом информационной безопасности end-to-end;
– способен самостоятельно строить и поддерживать модель угроз продукта и инфраструктуры;
– умеет расставлять приоритеты и балансировать риск, бизнес и регуляторные требования;
– автоматизирует ИБ-контроли и встраивает безопасность в разработку, а не тормозит её;
– может аргументированно отстаивать позицию компании перед заказчиком и аудиторами.
Зоны ответственности
Управление безопасностью и рисками
– Формирование и поддержка модели угроз (продукт, инфраструктура, интеграции, поставщики).
– Управление ИБ-рисками: выявление, приоритизация, контроль mitigations.
– Участие в принятии архитектурных решений с точки зрения безопасности.
– Ведение и развитие Secure SDLC (S-SDLC).
DevSecOps и автоматизация
– Встраивание проверок безопасности в CI/CD (quality gates, security checks).
– Автоматизация рутинных ИБ-процессов (скрипты, пайплайны, политики).
– Контроль безопасности секретов, доступов, артефактов.
– Взаимодействие с DevOps и разработкой как партнёр, а не контролёр.
Compliance и регуляторика
– Владение требованиями и практическая реализация: ФЗ-152, ФЗ-187, ПДн, КИИ, ГИС, при необходимости — ISO/IEC 27001, GDPR.
– Подготовка и сопровождение аудитов, проверок, опросников заказчиков.
– Формирование разумных и реализуемых требований, а не формального «бумажного» compliance.
Инциденты и взаимодействие
– Участие в разборе инцидентов ИБ, анализ корневых причин, улучшение процессов.
– Коммуникация с заказчиками и партнёрами по вопросам ИБ.
– Обучение команд базовым принципам безопасной разработки и эксплуатации.
Документация
– Модели угроз, регламенты, политики, архитектурные и эксплуатационные документы.
– Поддержка документации в актуальном («живом») состоянии.
Ожидаемый опыт и компетенции
Обязательное
– Опыт в ИБ 6+ лет, в том числе:
– DevSecOps / Security Engineer / AppSec — от 2 лет.
– Уверенное понимание:
– безопасности приложений и инфраструктуры;
– сетевых взаимодействий;
– аутентификации, авторизации, IAM.
– Практический опыт:
– threat modeling;
– анализа и триажа уязвимостей;
– внедрения ИБ-контролей в CI/CD.
– Умение автоматизировать (Bash / Python / пайплайны).
– Способность вести диалог с заказчиком и защищать техническую позицию компании.
Технологически (без фанатизма)
Опыт работы хотя бы с частью стека:
– Linux, SQL (на уровне эксплуатации и анализа).
– CI/CD: GitLab CI, Jenkins или аналоги.
– SAST / DAST / SCA, secret scanning.
– IAM / SSO (OAuth 2.0, OIDC, SAML).
– Secrets Management (Vault или аналоги).
Важно: мы не ищем человека, который знает всё, мы ищем того, кто понимает зачем и как это применять.
Будет плюсом
– DevOps-инструменты: Ansible, Terraform.
– Docker, Kubernetes (на уровне эксплуатации и рисков).
– Опыт работы с Zero Trust-подходами.
– Опыт прохождения внешних аудитов и крупных заказчиков.
– Профильные сертификаты (CISSP, CISM, OSCP и др.).