Архитектор ИБ (AppSec)

АО ГЛОНАСС является оператором ГАИС "ЭРА ГЛОНАСС", позволяющей спасать жизни при тяжёлых ДТП, и системы мониторинга коммерческого транспорта. Наша технологическая среда лежит на стыке оператора мобильной связи и ИТ.

Описание вакансии:
• Проектирование и перепроектирование безопасных архитектур информационных систем в доменах ГИС и беспилотных систем с учётом требований некорректируемости (обеспечение целостности и защиты от несанкционированных изменений) на современной архитектуре (микросервисы, контейнеризация, облачные технологии).
• Взаимодействие с регуляторами (ФСТЭК России, ФСБ России, Минцифры) по вопросам согласования архитектурных решений, подходов к реализации систем, подготовка обоснований, моделей угроз, технических заданий и иной документации, необходимой для получения разрешений и аттестации.
• Выстраивание «единого окна ИБ» для команд разработки продуктов в доменах ГИС и беспилотных систем: консультирование, согласование архитектурных решений и требований безопасности.
• Участие в разработке и согласовании документов для аттестации систем, включая частные технические задания, паспорта защиты, планы мероприятий.
• Проведение моделирования угроз и анализ рисков для новых и модифицируемых систем, выработка мер по их нейтрализации.
• Определение интерфейсов, составляющих поверхность атаки, и проведение их анализа с точки зрения безопасности.
• Контроль соответствия проектных решений требованиям законодательства РФ (включая 187-ФЗ, 152-ФЗ, приказы ФСТЭК/ФСБ, требования Минцифры, распоряжение 91-Р).
• Участие в приёмочных испытаниях, проверка технической и рабочей документации.
• Выполнение роли эксперта и наставника для команд разработки, повышение их компетенций в области безопасного проектирования.

Требования к кандидату:
Образование и квалификация
• Высшее образование в области информационной безопасности, информационных технологий, прикладной математики или смежных специальностей.
• Дополнительное профессиональное образование (курсы, переподготовка) в сфере ИБ приветствуется.
Опыт работы
• Опыт работы в области информационной безопасности не менее 5 лет, в том числе в задачах проектирования защищённых систем, взаимодействия с регуляторами и аттестации.
• Опыт взаимодействия с регуляторами (ФСТЭК, ФСБ, Минцифры) по вопросам согласования проектных решений, аттестации, выполнения требований законодательства.
• Опыт разработки проектной, рабочей и эксплуатационной документации в соответствии с требованиями ГОСТ серий 34 и 19 (ЕСКД).
• Опыт проектирования архитектуры защищенных систем, включая опыт работы с требованиями некорректируемости (целостность, защита от модификаций).
• Опыт взаимодействия с командами разработки, сопровождения проектов на разных стадиях (от проектирования до эксплуатации).
• Опыт проведения моделирования угроз (например, STRIDE) и анализа рисков.
Профессиональные знания и навыки
• Понимание актуальных угроз в современных ИТ-инфраструктурах, знание векторов атак, тактик, техник и процедур (TTP), включая MITRE ATT&CK.
• Знание сетевых технологий, операционных систем (Windows, Linux), популярных СУБД, веб-технологий и современных сервисных решений (Redis, Kafka, Hadoop).
• Понимание принципов атак через уязвимости OWASP TOP 10, Mobile TOP 10, CWE TOP 25.
• Понимание принципов работы микросервисной архитектуры и подходов к обеспечению безопасности микросервисов.
• Знание технологий контейнеризации и оркестрации (Docker, Kubernetes) — на уровне понимания архитектуры, а не глубокого администрирования.
• Глубокое знание требований законодательства РФ и нормативных актов Минцифры в области защиты информации, включая:
o 187-ФЗ (безопасность критической информационной инфраструктуры, КИИ);
o 152-ФЗ (персональные данные, ПДн);
o требования к государственным информационным системам (ГИС);
o иные нормативные акты ФОИВ, включая требования, касающиеся предприятий из списка 91-Р;
o приказы ФСТЭК России (№ 17, 21, 31, 239 и др.) и ФСБ России.
• Понимание требований международных стандартов (PCI DSS, ISO 27001) и отечественных ГОСТ по направлению ИБ (включая требования к документированию для информационных систем и ПО).
• Навыки написания скриптов на одном из языков программирования: Python, Go, Ruby, Bash — для автоматизации анализа или подготовки данных.

Личные качества:
• Аналитический склад ума, способность выявлять риски и предлагать меры по их снижению.
• Коммуникабельность, умение выстраивать диалог с разработчиками и регуляторами, находить компромиссы между безопасностью и функциональностью.
• Обучаемость, интерес к новым технологиям и методам атак.
• Ответственность, ориентация на результат.
• Навыки наставничества (опыт обучения коллег или команды).

Мы предлагаем:

Современный офис в 5 минутах от станции метро Новокузнецкая, в 10 минутах от станции метро Третьяковская.

Трудоустройство согласно ТК РФ с первого рабочего дня.

Испытательный срок - 3 месяца (локация в офисе).

Наставник у каждого нового сотрудника.

График работы: 5/2, ПН -ЧТ с 09:00 до 18:00, ПТ - с 09:00 до 16:45 (график можно сдвинуть в любую сторону).

Формат работы - офисный, гибрид

7 дней дополнительного отпуска за ненормированный рабочий день.

После испытательного срока предоставляем:

ДМС расширенный (включая стоматологию), на детей после 2 лет стажа в компании.

Рабочую мобильную связь.

Ежедневное питание.

Фитнес (компенсация услуг).

Развитие:

Корпоративный университет (проводим онлайн и офлайн обучение).

Корпоративная библиотека (доступ к электронным и аудиокнигам).

Конференции, митапы, тренинги, семинары (проводим онлайн и офлайн встречи).

Любим спорт: играем в волейбол, баскетбол, бадминтон, дартс, шахматы, настольный теннис.

До встречи на интервью!