AppSec - инженер/РПБО

Мы команда ИБ центра по развитию HR сервисов корпорации Росатом.

Совместно с продуктовыми командами центра мы сформировали ряд продуктов (как собственных, так и внедренных подрядчиком). Требуется переход на качественно новый уровень с точки зрения пользовательского опыта – необходимо связать все продукты в единую экосистему, удобную и понятную для пользователя.

Тебе потребуется участвовать в проектировании, создании и развитии информационных систем в части информационной безопасности. Текущие клиенты: отраслевые сервисы

Чем предстоит заниматься:

• Анализировать архитектуру сервисов;
• Выявлять и оценивать риски ИБ web приложений;
• Определять требования ИБ и их реализацию;
• Совместно с командами ИТ прорабатывать реализацию требований, формировать бэклог;
• Создавать архитектурные стандарты и типовые технические решения реализации требований ИБ;
• Проводить архитектурное ревью планируемых разработок центра по вопросам ИБ;
• Выстраивать процесс безопасной разработки информационных систем, реализовывать этот процесс в рамках ci/cd;
• Работа с инструментарием контроля безопасности разрабатываемых решений (SAST, DAST, fuzzing тестирование, тестирование на проникновение);
• Разбирать результаты работы инструментов, ставить задачи на исправление и контролировать устранение выявленных дефектов;
• Взаимодействовать с командами разработки, помогать им в улучшении безопасности разрабатываемых систем.

Мы ждем:

• Глубокое понимание принципов создания комплексной подсистемы безопасности систем и сервисов;
• Умение создавать архитектуру без негативного влияния на решение;
• Знание стандартов в области безопасности приложений и умение их применять (OWASP ASVS, WSTG и т.п.);
• Знание подходов обеспечения безопасности разработки (devsecops);
• Знание и опыт работы с решениями по анализу кода (SAST, DAST и др) · знание принципов обеспечения безопасности ci/cd, опыт их реализации;
• Понимание принципов работы kubernetes и рисков безопасности; · умение документировать проделанную работу;
• Английский язык – чтение технической литературы.
  
  Будет плюсом:
• Опыт нахождения и эксплуатации уязвимостей/ опыт пентестов;
• Высшее образование в области ИБ;
• Понимание этапов создания систем (ГОСТ 34-XXX, ГОСТ РО 0043-003-2012);
• Опыт проектирования ИС уровня enterprise.
• Знание требований российского законодательства и международных стандартов в области ИБ (ФСТЭК России (ПДн, КИИ, ГИС…), ФСБ России, ISO 27001, PCI DSS);
• Опыт использования систем коллективной работы;
• Умение декомпозировать задачу на подзадачи, при необходимости дробление до атомарных задач;
• Способность планировать работу и контролировать срок своей работы без ежедневного контроля "сверху";
• Ценим опыт, обратную связь и предложения по улучшению процессов;
• Работа в команде единомышленников с экспертами по ИБ, архитекторами, бизнес-аналитиками, front и back разработчиками уровня senior, тестировщиками, DevOps-инженерами.

Условия:

• Удаленная работа;

• Современные рабочие места;
• Цифровые сервисы для сотрудников.
• Обучение и развитие;
• Собственная онлайн-платформа с программами профессионального и личностного роста – от инженерных курсов до изучения иностранных языков;
• Участие в конференциях, тренингах и конкурсах профессионального мастерства;
• Карьерные возможности;
• Карьерные консультации для построения экспертной или управленческой траектории роста;
• Поддержка карьерного развития сотрудников;

• Социальные программы;

• ДМС со стоматологией и госпитализацией;
• Страхование несчастных случаев на производстве;
• Линия психологической поддержки;
• Финансовая помощь в особых жизненных ситуациях;

• Корпоративная жизнь;

• Тимбилдинги;
• Спортивные активности и отраслевые соревнования;
• Волонтерские движения;
• Мероприятия для сотрудников и их семей.