CISO / Chief Information Security Officer

Задачи:

• сформировать и поддерживать security strategy + 12–18-месячный roadmap, привязанный к продуктовым и операционным приоритетам;
• настроить модель управления: risk register, владельцы рисков, цикл пересмотра, комитет/ритуалы, правила принятия решений по security-исключениям;
• построить и вести ISMS, подготовку и сопровождение аудитов/сертификаций (включая ISO 27001/27701, PCI DSS, GDPR и релевантные требования регуляторов iGaming);
• обеспечить evidence-процесс: сбор артефактов, контроль корректирующих действий, управление сроками и владельцами;
• совместно с CDO/Head of Data закрепить политики классификации данных, PII/consent, DPIA, DLP; обеспечить контроль доступов (RBAC/ABAC), аудит и расследования;
• задать требования к хранению/передаче данных и логированию для критичных контуров;
• настроить модель обнаружения и реагирования: SIEM/SOAR и/или MDR, playbooks, triage, эскалации, метрики, пост-инцидентные разборы (RCA);
• организовать tabletop-упражнения, проверку DR/BCP сценариев, readiness для ключевых сервисов;
• выстроить сканирование/управление уязвимостями, SLA на исправления по критичности, контроль выполнения;
• запустить/масштабировать регулярные pentest/VA, security assessments, контроль ремедиации;
• внедрить secure SDLC: threat modeling для ключевых изменений, security requirements, code review практики, SAST/DAST, секреты, dependency scanning;
• построить security champions подход в engineering-командах и стандарты API/app security для интеграций с провайдерами/агрегаторами;
• задать требования и контроль по IAM, сегментации, ключам/секретам, логированию, hardening, доступам, управлению изменениями и конфигурациями;
• вести third-party risk по инфраструктурным и продуктовым вендорам (контрактные требования, SLA, аудит-права, оценки);
• спроектировать структуру (GRC / SecOps / AppSec / Security Engineering), hiring-план, зоны ответственности и модель “in-house vs vendors”;
• настроить обучение сотрудников: security awareness, фишинг-симуляции, обязательные политики и контроль прохождения;

• опыт построения и масштабирования security-программы в digital/regulated среде (iGaming/fintech/payments/marketplaces) на уровне Head/Director/CISO, включая управление несколькими потоками: GRC + SecOps + AppSec;
• практика управления compliance и аудитами по ISO 27001/27701, PCI DSS, GDPR; опыт подготовки evidence и прохождения внешних проверок;
• опыт выстраивания incident response: процессы, SOC/MDR, SIEM, playbooks, post-mortem, учения;
• практика vulnerability management + pentest/assessments и доведение ремедиации до результата;
• понимание security-аспектов интеграционного B2B-ландшафта: third-party risk, требования к API, контрактные security-клаузы, контроль доступов и логирования;
• лидерство и коммуникации: управление приоритетами между продуктом/engineering/data/legal/finance, формализация риск-решений, работа с эскалациями и отчётность для CEO/CTO и руководителей функций.