Старший эксперт по безопасной разработке

БФТ-Холдинг (входит в группу компаний «Ростелеком») – российский разработчик программных продуктов и заказных решений для государственного сектора и бизнеса.
Проекты, выполняемые нами, меняют в лучшую сторону жизнь людей по всей стране!

За 27 лет на IT-рынке:
· более 6500 проектов в 83 регионах и более 15 масштабных федеральных проектов
· в ТОП-10 крупнейших поставщиков услуг заказной разработки ПО
· в ТОП-5 компаний по поставке ИТ-решений из реестра отечественного программного обеспечения
· в ТОП-10 самых быстрорастущих ИТ-компаний

Проект по созданию современных, эффективных, корпоративных решений класса ERP, MDM, BPM на low-code платформе.

Обязанности:

• Обеспечивать и развивать процессы безопасной разработки (AppSec best practices, ГОСТ Р 58412, ГОСТ 56939);

• Участвовать в разработке требований по безопасности в проектах и продуктах;

• Проводить моделирование угроз;

• Интегрировать инструменты безопасной разработки в процессы разработки, разрабатывать рекомендации и требования по настройке;

• Проводить аудиты безопасности разрабатываемых продуктов (security architecture review, анализ результатов работы инструментов безопасной разработки, White/Gray Box Pentesting etc);

• Подготавливать рекомендации по устранению выявленных недостатков в проектных решения, коде и т.д.;

• Проводить консультации разработчиков в части разработки безопасного кода;

• При возможности, самостоятельно проводить ревью кода (java, kotlin, c#) в разрезе безопасности;

• Подготовка Security Champions в командах разработки; проведение обучения в командах;

• Сопровождение проектов аудита программных продуктов и проектов внешними подрядчиками;

• Работа с инцидентами ИБ на этапе эксплуатации, подготовка рекомендаций по устранению выявленных проблем и улучшению процессов БРПО.

• Знание техник обхода СЗИ. Знание и понимание основных методов и способов эксплуатации уязвимостей в программном коде, практические навыки по их устранению. OWASP, CWE;

• Навыки формулирования требований по безопасности, моделирования угроз;

• Опыт проведения аудитов безопасности программных продуктов и платформ;

• Опыт использования и интеграции инструментов статического, динамического анализа и фаззинга;

• Знания принципов работы и аспектов безопасности современных систем (микросервисы, облачные технологии, REST API, gRPC, OAuth2.0/OpenID);

• Работа в аккредитованной ИТ-Компании, занимающей лидирующие позиции на рынке;
• Оформление в строгом соответствии с ТК РФ;
• Профессиональный коллектив, реальная возможность карьерного роста и развития;
• ДМС после испытательного срока с возможностью страхования детей и родственников;
• Организованные, удобные для сотрудников компании внутренние процессы: КЭДО (электронный кадровый документооборот, отсутствие бумажных документов), удобный Интранет портал с возможностью заказа любых необходимых справок и услуг, запросы в электронном виде и пр.
• Корпоративный магазин: внутренняя валюта позволяет приобрести ценные подарки, компенсировать расходы на детский лагерь или занятия спортом;
• Праздники и ивенты — неотъемлемая часть нашей корпоративной культуры;

• Гибкий график работы, есть возможность удаленной работы (технику для работы, компания предоставляет).