Бизнес-партнер по ИБ = CISO бизнес-домена банка. Мы сделаем из вас сильного эксперта, который хорошо разбирается в процессах комплексной безопасности, современных угрозах и смузи технологиях. Данная роль подразумевает активное участие в строительстве комплексной ИБ нового формата, внедрении новых практик и подходов на уровне всей организации.
Обязанности:
Выстраивать единое окно ИБ для функциональных и ИТ-команд бизнес-доменов Банка;
Сопровождать новые и существующие проекты и информационные системы со стороны ИБ;
Внедрять подход Shift Left Security: повышать эффективность взаимодействия между бизнесом, ИТ и ИБ;
Принимать участие в проектировании безопасных архитектур внутренних информационных систем Банка, учитывая требования законодательства, регуляторов;
Моделировать угрозы безопасности приложений/сервисов/систем и предлагать механизмы защиты;
Согласовывать доступы и Firewall Request для курируемых команд;
Обеспечивать баланс между потребностями бизнеса, ИТ и защищённостью;
Участвовать в строительстве качественных процессов комплексной ИБ;
Быть играющим тренером, мини-CISO для курируемых команд.
Требования:
Понимание актуальных угроз в современных ИТ инфраструктурах компаний;
Понимание принципов работы микросервисной архитектуры и подходов к обеспечению безопасности микросервисов;
Понимание этапов CI/CD и SSDLC, используемых инструментов со стороны ИТ и ИБ;
Понимание типовых архитектур и угроз СЭДО, сервисов подписания, сервисов аутентификации внешних клиентов, сервисов нотификаций, сервисов обслуживания клиентов (КЦ, банкоматы, чаты, отделения, системы ДБО, виртуальные ассистенты...), сервисов доставки приложений; корпоративных шлюзов и сервисов (b2b и etc...)
Знание векторов атак, тактик, техник и процедур (TTP), используемых злоумышленниками при взломе компаний, включая MITRE ATT&CK;
Понимание принципов работы технологий виртуализации, контейнеризации и оркестрации;
Знания ОС (Windows, nix), популярных СУБД, web, сетевых и современных сервисных технологий (Redis, Kafka, Hadoop );
Понимание принципов атак через уязвимости CWE TOP 25, OWASP TOP10, Mobile TOP 10;
Понимание (или желание понять) международных требований и Банка России (PCI DSS/PA DSS, 851-П, 821-П,* ГОСТ 57580, СТО БР);
Понимание требований основных ФЗ для финансовой сферы (152-ФЗ ПДн, 161-ФЗ О Национальной платёжной системе, 97-ФЗ О банках и банковской деятельности, 187-ФЗ КИИ).
Будет плюсом:
Сертификаты OSCP и выступление на крупных технических ИБ/ИТ конференциях (например, Zeronights, Positive Hack Days, Black Hat, The Standoff, Cyberpoligon и т.д.);
Понимание стандартов, практик и рекомендаций в области ИБ (ISO 27001, NIST, CIS);
Опыт участия в соревнованиях по взлому компьютерных систем (CTF и пр.) и программах Bug Bounty;
Опыт разработки на Python/Go.
Условия:
Возможность работать из офиса или удаленно;
ДМС со стоматологией, массажем, телемедициной, ежегодными чек-апами, которое работает как в Москве, так и в регионах;
Страхование от несчастных случаев и онкологических заболеваний, страхование выезжающих за границу;
Три оплачиваемых отгула в год;
Доплата до уровня заработной платы по больничному листу за 14 календарных дней в год, доплата к отпускам, взятым в январе и мае;
Работа в банке с развитой культурой обратной связи;
Программа внутренних ротаций для сотрудников;
Бесплатные индивидуальные консультации психологов, юристов, экспертов по личным финансам и консультантов по здоровому образу жизни, карьерные консультации;
Льготные условия на банковские продукты и услуги;
Скидки от партнеров банка в приложении PrimeZone в сферах здоровья, развлечений, творчества и интернет-покупок.
