Чем нужно будет заниматься:
У тебя точно всё получится, если есть:
-
Приведение ИТ-систем к требованиям:
- ФЗ-152, Постановления Правительства РФ №1119 и №687,
- ГОСТ Р 57580, СТО БР ИББС,
- регламенты ФСТЭК и ФСБ.
- Внедрение и сопровождение СКЗИ: VipNet, Signal-COM, КриптоПро CSP, TLS/GOST, интеграция с HSM;
- Управление роадмапом безопасности продукта: планирование, приоритизация и контроль внедрения мер ИБ;
- Проведение аудитов ИБ и пентестов (с привлечением подрядчиков или самостоятельно);
- Мониторинг событий ИБ (SIEM, IDS/IPS, WAF, DLP, EDR);
- Выявление и расследование инцидентов ИБ, формирование отчётов, устранение последствий;
- Проведение анализа уязвимостей (Nessus, OpenVAS, Burp Suite, Metasploit);
- Организация процессов SSDLC: статический и динамический анализ кода (SAST, DAST), управление зависимостями (SCA);
- Обеспечение защищённости инфраструктуры (Linux, Docker/Kubernetes, CI/CD, API, мобильные клиенты iOS/Android);
- Взаимодействие с разработкой, DevOps и продактом для внедрения практик обеспечения безопасности ИТ системы.
У тебя точно всё получится, если есть:
- Опыт работы от 3 лет в сфере прикладной ИБ;
- Глубокое знание требований ФЗ-152, ГОСТ Р 57580, СТО БР ИББС;
- Практика внедрения и эксплуатации СКЗИ (КриптоПро, VipNet, аппаратные ключи/токены);
- Опыт администрирования средств защиты (DLP, WAF, IDS/IPS, SIEM);
- Умение проводить аудит, тестирование на проникновение и анализ уязвимостей;
- Навыки работы с инструментами: Burp Suite, Nessus/OpenVAS, Metasploit, ZAP, nmap, Wireshark;
- Понимание DevSecOps и опыт интеграции ИБ в CI/CD;
Будет плюсом:
- сертификаты (CISSP, CISA, CEH, OSCP, ISO 27001 LA/LI),
- опыт работы в FinTech или с системами обработки ПДн класса 2.