Менеджер по безопасной разработке (DevSecOps)
ЭОС – компания, которая с 1994 создает профессиональные системы управления информацией и многопрофильные платформы.
Компания-лидер на рынке СЭД и ECM-систем, что гарантирует обеспечение надежных и долгих отношений. Продукты компании установлены у более, чем 7000 клиентов и более 1 000 000 рабочих мест.
Наши системы работают в большинстве госорганов РФ, а также в крупнейших коммерческих предприятиях – нефтегазовой, банковской, транспортной, торговой, топливно-энергетической отраслях.
Основная задача компании – создавать качественные продукты, которые ежедневно используют миллионы людей.
Мы ищем к себе в команду Менеджера по безопасной разработке (DevSecOps). В дружной, молодой, профессиональной команде вам предстоит работать над созданием СЭД для крупнейших государственных и коммерческих заказчиков. С тем, что вы создадите, будут каждый день работать по всей стране тысячи людей.
Вам предстоит:
- Внедрение культуры безопасной разработки в компании в соответствии с ГОСТ Р 56939-2016.
- Определение и реализацией мер, направленных на развитие DevSecOps.
- Написание и поддержание документации по безопасной разработке: разработка и актуализация политик, стандартов и процедур, связанных с безопасной разработкой.
- Формирование компетенций в области ИБ у команд разработки.
- Организация взаимодействия между службы DevSecOps с командами разработки.
- Взаимодействие с руководством компании, испытательными лабораториями, ФСТЭК и ФСБ.
- Организация проведения динамического и статического анализа исходного кода программных продуктов (SAST, DAST), проведение фаззинг тестирования, компонентного анализа, тестов на проникновение и анализа результатов проведенных исследований с выпуском отчетных документов.
- Работа с системами CI/CD.
- Участие в формировании требований ИБ к продукту, в моделировании угроз.
- Формирование аудит-отчетов, контроль и помощь разработчикам в устранении замечаний.
- Консультирование внутренних и внешних команд разработки в вопросах организации SDLC.
Наши ожидания от кандидата:
- Высшее образование в области информационных технологий или информационной безопасности.
- Знание уязвимостей из OWASP Top-10, понимание как они возникают и как митигируются.
- Опыт применения инструментов безопасной разработки (SAST, DAST и других).
- Опыт построения и развития инженерных практик DevSecOps, их реализация в pipeline в качестве Security Gate.
- Опыт работы с одним или несколькими инструментами CI/CD (Git/AzureDevOps).
- Опыт работы с системами коллективного взаимодействия, администрирования проектов и репозиториев (Git, Confluence, AzureDevOps).
- Знание стандартов и лучших практик по обеспечению безопасности ПО и выявлению уязвимостей (NIST, OWASP, ФСТЭК, OWASP SAMM, Microsoft SDL).
- Понимание принципов построения процесса DevSecOps в компании-разработчике ПО.
- Понимание принципов работы современных веб-приложений, процессов CI/CD.
- Уверенное знание ГОСТ 56939-2016, регламентирующих документов ФСТЭК и ФСБ в части сертификации программного обеспечения.
Будет преимуществом:
- Опыт расследования инцидентов.
- Опыт разработки архитектур, проектирования информационных систем, систем безопасной разработки, а также опыт управления небольшой командой ИБ.
- Знание стандартов, фреймворков и лучших мировых практик по разработке безопасного программного обеспечения.
- Знание английского на уровне чтения технической документации.
- Знание и практическое применение современных средств, систем и методик защиты информации веб-приложений.
- Знание методологии управления проектами и опыт разработки технических требований, архитектуры решений, структуры и объема работ, графиков проекта.
- Понимание циклов SSDLC, DevSecOps.
- Опыт работы с инструментами АК-ВС3, Svace, Dependency-Track и аналогичными.
Мы предлагаем:
- Участие в крупных проектах федерального и регионального масштаба по созданию социально значимых приложений – возможность внести собственный вклад в развитие страны.
- Официальное оформление по ТК РФ.
- «Белая» заработная плата, выплачиваем точно в срок.
- Гибкий график работы.
- Готовы рассмотреть вариант дистанционного сотрудничества.
- Материальная помощь к отпуску.
- Компенсация фитнеса, ДМС.
- Возможность обучения и сертификации за счет компании.
- Молодой и дружный коллектив.
- Корпоративы, team building.
- Минимум бюрократии.
Мы ищем специалиста, которому будет интересно развиваться и приносить пользу нашей компании и клиентам.
Заработная плата определятся по результатам собеседования и зависит от навыков и опыта кандидата.
Обслуживать клиентов: работать со счетами, пластиковыми картами и денежными переводами. Продавать банковские и страховые продукты (кредитные продукты, карты, вклады).
Обслуживать клиентов: работать со счетами, пластиковыми картами и денежными переводами. Продавать банковские и страховые продукты (кредитные продукты, карты, вклады).