Менеджер по информационной безопасности

Компания по Рефинансированию Ипотеки Узбекистана – небанковская финансовая организация, предоставляющая коммерческим банкам долгосрочные финансовые ресурсы для ипотечных кредитов.

На данный момент компания сотрудничает с более чем 10 банками Узбекистана и в партнерстве с АБР (Азиатский Банк Развития) и ЕБР (Европейский Банк Развития) рефинансировала ипотечные средства на сумму более чем $300 миллионов (USD).

Наша миссия:

• Предоставление долгосрочных финансовых ресурсов коммерческим банкам для удовлетворения растущей потребности населения в доступном жилье;
• Повышение доступности ипотечных кредитов;
• Развитие первичного и вторичного ипотечного рынка;
• Внедрение мировых стандартов ипотечного кредитования.

Наши основные отраслевые направления это:

Рефинансирование ипотечных кредитов

Выпуск облигаций и развитие рынка ценных бумаг Узбекистана

Компания состоит из 30+ международных специалистов финансового сектора.

Обязанности:

• Разработка и внедрение политик и процедур информационной безопасности.
• Проведение анализа рисков и уязвимостей, а также принятие мер по их устранению.
• Администрирование систем защиты информации, включая антивирусное ПО, файрволлы, системы обнаружения и предотвращения вторжений (IDS/IPS).
• Мониторинг и реагирование на инциденты информационной безопасности.
• Организация аудита ИТ-систем в части соблюдения требований информационной безопасности и формирование рекомендаций по полученным результатам
• Управление правами доступа пользователей в программных обеспечениях и системах компании.
• Внедрение и поддержка систем управления инцидентами безопасности (SIEM).
• Разработка и проведение тестов на проникновение (пентестов).
• Контроль выполнения требований информационной безопасности работниками организации.
• Взаимодействие с другими отделами для обеспечения комплексной защиты данных и ИТ-инфраструктуры.
• Участия, разработка и реализация планов по обеспечению непрерывности бизнеса и восстановлению после чрезвычайных ситуаций (BCP/DR).
• Ведение документации/списков/журналов по всем процессам и процедурам информационной безопасности.
• Участие в разработке и обновлении стратегий и тактик защиты от киберугроз.
• Обеспечение соответствия законодательным и регуляторным требованиям в области информационной безопасности.
• Анализ и расследование инцидентов безопасности, подготовка отчетов и предложений по улучшению.
• Внедрение и настройка систем шифрования данных.
• Обеспечение защиты данных при передаче и хранении.
• Администрирование систем двухфакторной аутентификации (2FA).
• Разработка и внедрение процедур управления инцидентами и реагирования на них.
• Создание и поддержка системы отчетности по вопросам информационной безопасности.
• Участие в создании и тестировании резервных копий данных.
• Разработка и поддержка системы управления изменениями в ИТ-инфраструктуре.
• Проведение внутренних тренингов и семинаров по вопросам информационной безопасности.
• Управление системой контроля доступа к сети (NAC).
• Взаимодействие с внешними поставщиками и подрядчиками по вопросам информационной безопасности.
• Обеспечение безопасности веб-приложений и сайтов организации.
• Проведение оценки безопасности новых систем и приложений перед их внедрением.
• Разработка рекомендаций по безопасной настройке операционных систем и приложений.
• Участие в разработке и поддержке системы управления инцидентами (Incident Management).
• Проведение регулярного мониторинга и анализа логов безопасности.
• Обеспечение физической безопасности серверных и дата-центров.
• Обеспечение защиты данных при использовании облачных сервисов.
• Разработка и внедрение процедур безопасного уничтожения данных.
• Подготовка и проведение аудитов соответствия стандартам и требованиям безопасности.
• Анализ и оценка новых угроз и уязвимостей, выработка мер по их предотвращению.
• Ведение базы данных инцидентов и уязвимостей.
• Обеспечение безопасности мобильных устройств и приложений.
• Консультирование сотрудников компании по вопросам информационной безопасности.
• Управление доступом к сетевым ресурсам и конфиденциальной информации.
• Разработка и внедрение политик и процедур для защиты данных в дата-лейках (Data Lake Protection).
• Мониторинг и анализ трафика сети для выявления подозрительной активности.
• Оценка и внедрение новых технологий и инструментов для повышения уровня безопасности.
• Управление и контроль процессов резервного копирования и восстановления данных.
• Проведение тестирования и оценки эффективности систем безопасности.
• Обеспечение соответствия требованиям GDPR и других регуляторов по защите данных.
• Анализ и контроль безопасности в процессе разработки ПО (DevSecOps).
• Управление и контроль доступа к облачным ресурсам и сервисам.
• Проведение регулярных учений и симуляций инцидентов безопасности.
• Разработка и внедрение мер по защите от DDoS-атак.
• Мониторинг и управление системой защиты от утечек данных (DLP).
• Взаимодействие с правоохранительными органами в случае инцидентов безопасности.
• Разработка стратегий по защите от фишинговых атак и социальной инженерии.
• Оценка и управление рисками, связанными с внешними поставщиками и подрядчиками.
• Разработка и поддержка планов восстановления после инцидентов (Incident Response Plans).
• Обеспечение защиты данных в корпоративных почтовых системах.
• Мониторинг и управление уязвимостями в используемых системах и приложениях.
• Проведение анализа угроз и разработка рекомендаций по их предотвращению.
• Внедрение и управление системами мониторинга и контроля безопасности в режиме реального времени.
• Обеспечение безопасности виртуализованных сред и контейнеров.

Требования:

• Высшее образование в области информационных технологий, кибербезопасности или смежных дисциплин.
• Опыт работы в области информационной безопасности не менее 3 лет, предпочтительно в финансовом секторе.
• Знание международных стандартов и практик в области информационной безопасности (ISO/IEC 27001, NIST, PCI DSS и др.).
• Опыт работы с системами защиты информации (SIEM, DLP, антивирусные решения, фаерволы и т.д.).
• Опыт работы по одному или нескольким направлениям: обеспечение безопасности АРМ Linux/Windows, обеспечение сетевой безопасности;
• Понимание принципов и технологий криптографии.
• Навыки работы с инструментами анализа уязвимостей и тестирования на проникновение.
• Общее понимание технологий и принципов работы инфраструктуры открытых ключей, защиты каналов связи, обеспечения целостности, антивирусной защиты, защиты от НСД, идентификации, аутентификации и авторизации, обнаружения вторжений, межсетевого экранирования, защиты сред виртуализации и контейнеризации.
• Знание принципов работы сети, сетевых служб и протоколов.
• Администрирование unix инфраструктуры, АВПО, NGFW
• Сертификаты в области информационной безопасности (CISSP, CISM, CEH, CompTIA Security+ и др.) будут преимуществом.
• Аналитический склад ума, внимание к деталям и способность быстро реагировать на угрозы.

Условия:

• Конкурентоспособная заработная плата;
• Социальный пакет (добровольный медицинский страховой полис, возмещение спорткомплекса, возмещение обучения и повышения квалификации);
• Возможности для профессионального роста и развития;
• Работа в дружном и профессиональном коллективе;
• Участие в интересных и значимых проектах

Кроме этого предоставляется open space офис с доступом 24/7 в IBC (International Business Centre) всем необходимым для эффективной работы.