DevSecOps в Банк

Организация процесса безопасной разработки кода на всех этапах жизненного цикла программного обеспечения (SDLC)от формализации требований и построения модели угроз, до встраивания инструментов ИБ и написания тестов безопасности. Проведения анализа известных угроз (CVE), составление политик безопасности приложений, требований безопасности, непрерывная работа по направлению оценки рисков, вызванных наличием уязвимостей в приложениях или отсутствием необходимых контролей безопасности.

Обязанности:

• Фомирование культуры DevSecOps в Банке - Sec должен стать неотъемлемой частью планирования, разработки и эксплуатации;
• Фомирование правил и подходов, обеспечивающих безопасность (OWASP DevSecOps guideline):
  Кода (Custom Code Security);
  Цепочек поставок (Supply Chain Security);
  Среды исполнения (Runtime Protection);
• Построение процесса анализ состава программного обеспечения (SCA,SBOM);
• Внедрение инструментов и процессов анализа уязвимостей и угроз (SAST, DAST);
• Сотрудничество с командами разработки, эксплуатации, безопасности в части внедрения sec-инструментов;
• Участие в расследовании инцидентов информационной безопасности;

Требования:

• Релевантный опыт работы от 3х лет;

• Разработка требований ИБ для процесса разработки (SDLC), CI/CD-конвейера, инфраструктуры;
• Оценка уровня безопасности текущего процесса разработки и формирование рекомендаций по повышению уровня зрелости;

• Написание методических требований/рекомендаций по встраиванию AppSec инструментов в цикл разработки/эксплуатации;

• Участие в конфигурировании ИБ-инструментов с последующим встраиванием их в процесс разработки (SDLC);

• Реализация автоматизированных проверок требований безопасности контейнерных сред/приложений и консультация команд по устранению замечаний со стороны безопасности;

• Активное участие в разработке ИТ и ИБ стратегий;

• Реализация требований PCI DSS для в части взаимодействия приложений с карточным центром;
• Разработка харденинг-шаблонов для kubernetes кластеров, согласно требованиям по безопасности информации к средствам контейнеризации от ФСТЭК (6 класс);
• Контроль за реализацией принципа минимальных привелегий;
• Аудит и корректировка сетевых политик в kubernetes кластерах;
• Построение процесса работы с уязвимостями (отслеживание, планирование изменений, выдержка срока устранения);
• Участие в процессе обновления (переход на свежие версии) всех компоненнтов SDLC (в.т. инфраструктурных);
• Разработка пороговых значений Quality gates в статических анализаторах кода, разработка политик;
• Участие во внедрении механизма подписи образов и проверке подписи при деплое;

Мы предлагаем:

• Интересная работа в крупном банке (ТОП-10);
• Комфортабельный офис в районе ст. м. Технопарк (1 минута от метро) формат работы гибрид 1 день в неделю офис/удаленка;
• Официальное трудоустройство с первого рабочего дня (оплата больничных листов, отпусков);
• Белая заработная плата: фиксированный оклад обсуждается индивидуально;
• График работы: 5/2 (пн-пт);
• Соц. пакет: полис ДМС;
• Регулярные корпоративные мероприятия;
• Развивающие мастер-классы и тренинги в сфере ИТ;
• Перспектива карьерного роста;
• Работа в молодом, дружном коллективе.