Специалист по исследованию средств защиты информации

SberTech приглашает в свою команду Специалиста по исследованию СЗИ в отдел Кибербезопасности.

Отдел методологии, сертификации и лицензирования - неотъемлемая часть команды кибербезопасности, лидирует процессы подготовки к независимой оценке безопасности программных продуктов Platform V и сопровождения её проведения, для использования в коммерческом и государственном секторе.

Обязанности

• выполнение исследований СЗИ в рамках QG (quality gates), включающих контроль выполнения требований по безопасной разработке ПО (требований внутренних стандартов Компании, требований ФСТЭК России по сертификации СЗИ) для продуктов (СЗИ), разрабатываемых в Компании, подготовка заключений о проведенных исследованиях (по Статическому анализу, Динамическому анализу, Композиционному анализу, Фаззингу)
• разработка утилит автоматизации для процедур безопасной разработки ПО, выполняемых в ходе подготовки продуктов к сертификации ФСТЭК России (Python и Bash)
• участие в выполнении работ по оценке соответствия технических практик безопасной разработки ПО требованиям ГОСТ серии Разработка безопасного программного обеспечения (ГОСТ Р 56939-2024, ГОСТ Р 71207-2024 и т.д.), а также в внедрении технических практик в конвейер CI/CD
• участие в методологической проработке требований Регулятора к процессам безопасной разработки ПО Компании (по желанию).

Требования

• глубокие знания в практиках безопасной разработки (статический анализ, динамический анализ, композиционный анализ, фаззинг)
• опыт работы с SAST/DAST/SCA/Fuzzing - инструментами
• понимание причин возникновения уязвимостей в программном обеспечении (OWASP top 10, CVE/CWE)
• владение инструментами системы контроля версий, понимание CI/CD;
• опыт автоматизации на Python и Bash для автоматизации исследований в рамках QG и выполнения рутинных задач
• умение выстраивать рабочую коммуникацию с разными подразделениями компании (разработчики, аналитики, руководство).

Будет плюсом:

• опыт и знания в процессах разработки безопасного программного обеспечения в соответствии с ГОСТ серии Разработка безопасного программного обеспечения (ГОСТ Р 56939-2024, ГОСТ Р 71207-2024 и т.д.)
• опыт работы в испытательной лаборатории, органе по сертификации или компании - разработчике сертифицируемых средств защиты информации в системе сертификации ФСТЭК России.

Условия

• работа в крупнейшей IT-компании России
• прозрачная система годовых премий, достойная заработная плата
• официальное трудоустройство согласно ТК РФ
• ДМС, страхование от несчастных случаев и тяжелых заболеваний, скидки на медицинскую страховку для родственников, бесплатный корпоративный терапевт в офисе
• профессиональное развитие: бесплатное обучение в Корпоративном университете, Виртуальная школа, конференции, митапы
• материальная помощь и социальная поддержка, корпоративная пенсионная программа
• льготные условия кредитования, субсидии для сотрудников.