AppSec Business Partner (AppSec BP)

Чем предстоит заниматься:

• Участвовать в проработке задач на всех этапах жизненного цикла проекта от предпроектных исследований, до внедрения и контроля выполнения необходимых задач после внедрения
• Проводить анализ архитектуры решений на безопасность и участвовать в согласовании проектной документации (Включая организационно-распорядительную, архитектурную и техническую документацию)
• Моделировать сценарии угроз и участвовать в согласовании новых и пересмотре существующих рисков
• Анализировать планы и бэклог команд разработки, предъявлять требования и рекомендации к новым фичам
• Участвовать в расследованиях при выявлении инцидентов ИБ
• Оказывать экспертную поддержку командам разработки по вопросам ИБ, практикам написания безопасного кода, построения архитектуры ИС и выполнения требований безопасности
• Проводить Code Review по результатам автоматизированного и ручного анализа для выявления и устранения уязвимостей
• Проводить работу с результатами сканирования инструментов безопасной разработки для выявления и устранения уязвимостей
• Приоритизировать бэклог уязвимостей и контролировать их исправление

Что важно для нас:

• Высшее образование со специализацией в области ИТ или ИБ
• Опыт работы в области практического анализа защищенности и анализа архитектурной документации от двух лет
• Уверенные знания в области основ информационной безопасности (протоколов, средств защиты информации, их предназначения, инфраструктуры PKI и понимания принципа работы криптографических алгоритмов)
• Уверенные знания в области Application security, умение находить и устранять веб-уязвимости из OWASP Top 10, OWASP Mobile Top 10, CWE Top 25
• Уверенные знания в области экспертизы архитектуры информационных систем, умение находить ошибки/уязвимости на уровне проектной документации, в т.ч. логике бизнес процессов и предлагать релевантные, аргументированные механизмы и средства защиты
• Уверенные знания в технологиях построения прикладных систем в т.ч. с использованием микросервисов и контейнеризации
• Глубокие знания в анализе кода и программировании
• Глубокое понимание принципов работы современных веб-приложений, процессов CI/CD и безопасной разработки SSDLC
• Глубокие знания типовых практик по повышению защищенности веб-приложений
• Глубокие знания регуляторных требований в области ИБ, умение соотносить область действия регуляторных требований к разрабатываемому или дорабатываемому функционалу, а так же трансформировать регуляторное требование в практическую плоскость
• Глубокие знания методологии риск-ориентированного подхода, умение проводить качественную оценку рисков и формировать сценарии угроз
• Профессиональное владение Burp Suite

Что предлагаем взамен:

• Стабильный и прозрачный доход: размер заработной платы обсуждается по итогам собеседования + квартальная премия по результатам KPI
• Гибкий график работы: вы сможете планировать время так, как удобно вам и вашей команде
• Полную удалёнку или гибрид на выбор, а также уютный ИТ-хаб в Москве, Санкт-Петербурге, Екатеринбурге и сезонный коворкинг в Сочи
• Сложные и интересные задачи, современный стек технологий
• Заботу о вашем здоровье: программа ДМС с первых дней работы, куда входит стоматология, обслуживание в лучших клиниках города, страхование и компенсация 10-ти дней больничного
• Оплату посещения профильных конференций и курсов, помогаем с подготовкой к публичным выступлениям и написанием статей на Хабр
• Доступ к бесплатным корпоративным библиотекам Alpina Digital, MyBook и бизнес-изданий
• Предложения от Банка только для сотрудников: собственные спортзалы (Москва, Санкт-Петербург, Екатеринбург), а также скидки на услуги туристических агентств, продукты питания, в рестораны, бары, магазины