Ведущий специалист по информационной безопасности в разработке

• Развитие и автоматизация процессов защищенной разработки (SSDLC);
• Анализ и разработка требований к продукту в части ИБ;
• Моделирование угроз безопасности продукта и определение поверхности атаки;
• Разработка плана и механизмов устранения выявленных уязвимостей;
• Консультирование команды разработки по вопросам безопасности и практикам написания безопасного кода, помощь разработчикам в устранении выявленных уязвимостей и ошибок в коде;
• Взаимодействие с командой DevOps-инженеров по вопросам автоматизации сценариев применения инструментов SAST и DAST, интеграции средств анализа в процессы CI/CD;
• Настройка инструментальных средств анализа уязвимостей и проверок безопасности (SAST, DAST, Fuzzing, SCA), повышение эффективности их работы;
• Проверка исходного кода программ с применением специализированных инструментов для выявления ошибок и уязвимостей;
• Применение инструментов контроля Open Source компонентов (OSA/SCA);
• Разбор результатов работы средств статического анализа и средств динамического анализа (проверка, приоритизация, корреляция выявляемых дефектов, поиск решений для их устранения);
• Оформление отчетов по проведенным анализам;
• Участие в сертификации решения в своей зоне ответственности;
• Участие в разработке процессов информационный безопасности, направленных на снижение рисков ИБ, в качестве технического эксперта.

• Образование в области ИТ, информационной безопасности или смежных дисциплин;

• Опыт работы в сфере информационной безопасности или аудита ПО (желательно в ИТ-компаниях);

• Опыт программирования или понимание основ языков разработки (для взаимодействия с командой разработчиков);

• Понимание принципов безопасной разработки ПО и архитектуры защищенных систем;

• Навыки проведения и/или организации тестирования безопасности (SAST, DAST, пентест) и анализа уязвимостей;

• Уверенное владение русским и английским языками на уровне технической документации;

• Коммуникативные навыки

• Аналитический склад ума, умение планировать и вести несколько задач одновременно.

Плюсом будет:

• Знание российских нормативных документов и стандартов ИБ (ФСТЭК, 187-ФЗ, 572-ФЗ и др.), а также международных регламентов и стандартов (GDPR, ISO 27001, NIST и др.);
• Умение объяснять технические детали нетехническим специалистам (клиентам, аудиторам);
• Знание и практический опыт работы с системами видеонаблюдения или аналогичными встраиваемыми решениями;
• Опыт взаимодействия с государственными органами по вопросам аттестации ИБ (подготовка к экспертизе ФСТЭК, аттестация систем);
• Знакомство с открытыми инструментами и фреймворками для тестирования безопасности (OWASP ZAP, Metasploit, Burp Suite и др.);
• Наличие сертификатов в области ИБ (CISSP, CISM, OSCP/CEH и др.) или прохождение профессионального обучения по ИБ.

• Работу над продуктом мирового уровня;

• Задачи, которые вам точно будут интересны;

• Гибридный график работы (понедельник, среда офисные дни);

• Трудоустройство по ТК, "белая" заработная плата, полная оплата отпуска и больничных;

• Оплата обедов

• Участие в корпоративных мероприятиях и тимбилдингах;

• 12 отгулов в год;

• ДМС.