AppSec-инженер (Екатеринбург)

Чем предстоит заниматься:

• Определение угроз безопасности информации (списки актуальных атак в том числе), обоснование необходимости защиты информации;
• Разработка архитектуры системы защиты;
• Разработка структуры и содержания проектной и рабочей документации, определяющей технические и организационные платформенные решения, компоненты ИТС для обеспечения ИБ;
• Рассмотрение проектной и рабочей документации компонентов ИТС в части соответствия установленным требованиям ИБ;
• Разработка мер защиты информации для бизнес-процессов перевода денежных средств, совершения и сопровождения операций на финансовых рынках, обработки ПД;
• Проведение оценки защищенности прикладных платформ, компонентов ИТС (тестирование на проникновение и выявление известных уязвимостей);
• Участие в подготовке тест-кейсов для автоматического тестирования функций подсистемы ИБ.

Наши ожидания от кандидата:

• Высшее техническое образование (ИТ, ИБ);
• навыки чтения кода и выявления в нем уязвимостей (например, Java, Go, JavaScript, Python и т.д.);
• Понимание угроз ИБ и уязвимостей приложений (OWASP Top 10, CWE Top25, СТРК ФСТЭК, УБИ ФСТЭК);
• Знание стандартов и нормативных документов ИБ;
• Понимание технологий и принципов построения системы защиты информации. Опыт приемки автоматизированных систем, участие в проектной деятельности по предметной области;
• Знание индустриальных стандартов разработки безопасного программного обеспечения;
• Опыт работы со встроенными механизмами обеспечения ИБ в ОС Windows, Linux;
• Знание принципов и методологий жизненного цикла ИТ-решений, знание основ документирования ИТ-решений;
• Опыт работы с инструментами CI/CD, системами оркестрации и контейнеризации (Docker, Kubernetes)

Плюсом будет опыт работы с системами управления конфигурациями (SaltStack, Ansible), опыт сопровождения ОС Linux, MS Windows, опыт работы с системой управления HashiCorp Vault

Мы предлагаем:

• Компенсация релокации в Екатеринбург. Офис в центре города;
• Получение действительно уникального опыта в мегарегуляторе, участие в деятельности, которые напрямую или косвенно затрагивает весь финансовый рынок России;
• Возможности для профессионального развития и развитую корпоративную и ИТ-культуру: наставничество, обучение в Университете Банка России, профессиональные клубы, конференции, сильная команда руководителей и коллег;
• Использование как стандартных средств коллективной работы (Jira, Confluence), так и собственных средств (свой портал видео-конференц связи, собственная среда тестирования и разработки и т.п.);
• Работу в сбалансированных и полнофункциональных командах. Стабильность при постоянном развитии;
• Широкий социальный пакет (увеличенный отпуск, ДМС, возможности для отдыха по льготным ценам в собственных санаториях от Камчатки до Калининграда, подарки детям сотрудников на праздники, активная спортивная жизнь внутри Банка России и многое другое).