Senior Security Engineer / DevSecOps

Привет! Мы Юникорн – российская продуктовая IT-компания, лидер рынка «Умное здание». Мы разрабатываем облачную платформу и оборудование для цифровизации зданий и городской инфраструктуры. Продукт живёт в реальной эксплуатации, у крупных заказчиков, с повышенными требованиями к безопасности, надёжности и соответствию регуляторике.

Что ты получаешь, работая у нас:

• Оформление в штат с первого дня и конкурентная зарплата;

• Классный офис в Технопарке Morion Digital с развитой инфраструктурой (бесплатная парковка, кафе, спортзал, шиномонтаж, химчистка и др.)

• Востребованный инновационный продукт и интересные задачи;

• Поддержка сотрудников со стороны руководителей, наставник – на период адаптации;

• Возможность обучаться и постоянно развивать свои навыки;

• Программа лояльности (скидки на обучение, спорт, кафе, корпоративный мерч и многое другое);

• Насыщенная корпоративная жизнь: сплавы, тренинги и лучшие корпоративы

Цель роли

Это не исполнительская позиция и не SOC-аналитик. Мы ищем специалиста уровня Senior / Lead, который:

• владеет процессом информационной безопасности end-to-end;

• способен самостоятельно строить и поддерживать модель угроз продукта и инфраструктуры;

• умеет расставлять приоритеты и балансировать риск, бизнес и регуляторные требования;

• автоматизирует ИБ-контроли и встраивает безопасность в разработку, а не тормозит её;

• может аргументированно отстаивать позицию компании перед заказчиком и аудиторами.

Зоны ответственности

Управление безопасностью и рисками

• Формирование и поддержка модели угроз (продукт, инфраструктура, интеграции, поставщики).

• Управление ИБ-рисками: выявление, приоритизация, контроль mitigations.

• Участие в принятии архитектурных решений с точки зрения безопасности.

• Ведение и развитие Secure SDLC (S-SDLC).

DevSecOps и автоматизация

• Встраивание проверок безопасности в CI/CD (quality gates, security checks).

• Автоматизация рутинных ИБ-процессов (скрипты, пайплайны, политики).

• Контроль безопасности секретов, доступов, артефактов.

• Взаимодействие с DevOps и разработкой как партнёр, а не контролёр.

Compliance и регуляторика

• Владение требованиями и практическая реализация: ФЗ-152, ФЗ-187, ПДн, КИИ, ГИС, при необходимости — ISO/IEC 27001, GDPR.

• Подготовка и сопровождение аудитов, проверок, опросников заказчиков.

• Формирование разумных и реализуемых требований, а не формального «бумажного» compliance.

Инциденты и взаимодействие

• Участие в разборе инцидентов ИБ, анализ корневых причин, улучшение процессов.

• Коммуникация с заказчиками и партнёрами по вопросам ИБ.

• Обучение команд базовым принципам безопасной разработки и эксплуатации.

Документация

• Модели угроз, регламенты, политики, архитектурные и эксплуатационные документы.

• Поддержка документации в актуальном («живом») состоянии.

Ожидаемый опыт и компетенции

Обязательное

• Опыт в ИБ 6+ лет, в том числе:

• DevSecOps / Security Engineer / AppSec — от 2 лет.

• Уверенное понимание:

• безопасности приложений и инфраструктуры;

• сетевых взаимодействий;

• аутентификации, авторизации, IAM.

• Практический опыт:

• threat modeling;

• анализа и триажа уязвимостей;

• внедрения ИБ-контролей в CI/CD.

• Умение автоматизировать (Bash / Python / пайплайны).

• Способность вести диалог с заказчиком и защищать техническую позицию компании.

Технологически (без фанатизма)

Опыт работы хотя бы с частью стека:

• Linux, SQL (на уровне эксплуатации и анализа).

• CI/CD: GitLab CI, Jenkins или аналоги.

• SAST / DAST / SCA, secret scanning.

• IAM / SSO (OAuth 2.0, OIDC, SAML).

• Secrets Management (Vault или аналоги).

Важно: мы не ищем человека, который знает всё, мы ищем того, кто понимает зачем и как это применять.

Будет плюсом

• DevOps-инструменты: Ansible, Terraform.

• Docker, Kubernetes (на уровне эксплуатации и рисков).

• Опыт работы с Zero Trust-подходами.

• Опыт прохождения внешних аудитов и крупных заказчиков.

• Профильные сертификаты (CISSP, CISM, OSCP и др.).