Руководитель Информационной Безопасности

Мы хотим изменить мир и поэтому делаем комплексное решение для Digital Pathology.

Мы хотим, чтобы каждый человек мог быстро и без лишних трат получить диагноз по онкологии, а также второе мнение. Чтобы обеспечить это мы делаем: гистологический сканер, облачную платформу для второго мнения и AI-инструменты для поддержки принятия врачебных решений.

Кого мы ищем:

Лид информационной безопасности — это человек, который сочетает техническую экспертизу, системное мышление и способность выстраивать процессы.

Задачи:

1. Построение функции безопасности:

- Провести аудит в компании
- Построить модель угроз, приоритезировать, согласовать и построить дорожную карту
- Построить матрицу доступа к информации. Обеспечить её с помощью AD (или аналогов)
- Сформировать требования безопасности в продукты, инфраструктуру, ПО, ML-производство
- Построить процессы информационной безопасности, процедуры и регламенты: найм, увольнение, повышение прав доступа, регулярные проверки и ротации паролей и ключей

2. Техническая безопасность:

- Провести аудит текущей инфраструктуры (Kubernetes, Kafka, Ceph, S3, VPN, сетевые сегменты).
- Внедрить:
- службу каталогов (AD)
- межсетевые экраны
- видеорегистрацию в офисе и на производстве
- логгирование СКУД

3. Соответствие требованиям и регуляторике:

- 152-ФЗ: ПДн, УЗ-уровни, модели угроз, ИСПДн, серверные мощности.
- Подготовка к аудитам, взаимодействие с внешними инспекциями.
- Политики, процедуры, инструкции, модели угроз, оценка рисков, планы улучшений.

4. Работа с командами:

- Встроить культуру "security by design" в компанию, продукт, инфраструктуру, DevOps, ML.
- Наставничество инженеров и обучение сотрудников.
- Взаимодействие с топ-менеджментом — доклады, риск-позиция, roadmaps.
- Red Teaming

Требования:

Обязательные:

- Опыт в ИБ от 5 лет, из них опыт построения процессов/архитектуры от 2 лет.
- Понимание современных атак, современных методов защиты.
- Глубокая техническая база:
- Linux, Kubernetes, сетевые протоколы, VPN (Wireguard, IPSec), TLS, Zero-Trust, FW, NGFW, WAF.
- Практика проведения аудитов и управления уязвимостями.
- Навыки разработки политик, процессов, регламентов.
- Умение работать с требованиями ПДн, ISO (27001/27701).

Желательные:

- Опыт в медицинской отрасли или любом высокорегулируемом секторе.
- Опыт со стеком: Kubernetes, Ceph, Kafka, Postgres, S3, VPN overlay, Zero-Trust.
- Опыт PenTest'а или Red Team.
- Понимание CI/CD и DevSecOps.
- Понимание рисков ML-pipeline (приватность данных, model poisoning).

Что предлагаем:

- Построить направление ИБ «с нуля» — с полномочиями и опорой топ-менеджмента.
- Работа с современной инфраструктурой.
- Прямое влияние на безопасность медицинских данных и качество продукта.
- Возможность развивать команду под собой.
- Прозрачные процессы, техническая культура, быстрые решения.

Формат работы:

- Полный рабочий день.
- Гибкий график, возможность удалённой работы.
- Взаимодействие с CTO, COO, Head of Ops, DevOps, ML.