Специалист по информационной безопасности / эксперт по требованиям ФСТЭК и безопасной разработке ПО (удаленная работа)

Вакансия: Специалист по информационной безопасности / эксперт по требованиям ФСТЭК и безопасной разработке ПО

Описание вакансии

Мы компания Интегрикс разработчик программного обеспечения, на рынке ИТ с 2007 года . Уже 18 лет мы делаем инфраструктурные проекты для регионов и федеральных органов власти, помогая развитию ИТ в России.
У нас ценят доверие, взаимовыручку и вовлечённость. Мы любим работать и отдыхать вместе: от ежедневного спорта в офисе до поездок на Байкал, в Карелию и даже в Майрхофен. В Интегрикс вы найдёте не только работу, но и команду единомышленников.

Мы ищем специалиста по информационной безопасности, который хорошо ориентируется в требованиях ФСТЭК России к защите информации в государственных информационных системах и понимает, как эти требования применять на практике при разработке, внедрении и сопровождении программного обеспечения для государственных заказчиков.

Основной фокус роли помощь в приведении процессов разработки и поддержки ПО в соответствие с требованиями информационной безопасности, включая:

Приказ ФСТЭК России от 11.04.2025 117 Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений ;
ГОСТ Р 56939-2024 Защита информации. Разработка безопасного программного обеспечения. Общие требования ;
Иные применимые нормативные и методические документы ФСТЭК России в области защиты информации и безопасной разработки ПО.

Специалисту предстоит:

Проанализировать текущие процессы разработки, внедрения и сопровождения программного обеспечения;
Определить, какие требования ФСТЭК и ГОСТ Р 56939-2024 применимы к нашим продуктам, проектам и внутренним процессам;
Подготовить рекомендации по приведению процессов разработки и поддержки ПО в соответствие с требованиями информационной безопасности;
Разработать комплект внутренних документов, регламентов, инструкций и чек-листов по ИБ;
Описать процесс безопасной разработки ПО: от анализа требований и проектирования до разработки, тестирования, релиза, эксплуатации и сопровождения;
Подготовить требования к безопасному проектированию, безопасному программированию, тестированию, сборке, поставке и развертыванию ПО;
Описать порядок выявления, учета, анализа и устранения уязвимостей в программном обеспечении;
Подготовить требования к использованию сторонних компонентов, библиотек и open-source-зависимостей;
Описать порядок проведения проверок безопасности ПО, включая SAST, DAST, SCA, анализ зависимостей, контроль секретов и иные применимые практики;
Сформировать требования к журналированию, мониторингу, резервному копированию, управлению доступом и реагированию на инциденты;
Участвовать в обсуждении требований ИБ с заказчиками, подрядчиками, разработчиками, аналитиками, тестировщиками, DevOps-инженерами и специалистами сопровождения;
Помогать готовить ответы на вопросы государственных заказчиков по части соответствия требованиям ФСТЭК и безопасной разработки ПО;
Давать практические рекомендации по внедрению требований ИБ без избыточной бюрократизации рабочих процессов.

Ожидаемый результат работы:

По итогам работы должен быть сформирован практический комплект документов и рекомендаций, который можно использовать при разработке, внедрении и сопровождении программных решений для государственных организаций.

Возможный состав документов:

Политика информационной безопасности;
Регламент безопасной разработки программного обеспечения;
Регламент управления изменениями;
Регламент управления доступом;
Регламент управления уязвимостями;
Регламент реагирования на инциденты ИБ;
Регламент анализа защищенности ПО;
Порядок проведения SAST/DAST/SCA-проверок;
Порядок работы с результатами проверок безопасности;
Требования к безопасному проектированию ПО;
Требования к безопасному программированию;
Требования к безопасной сборке, поставке и развертыванию ПО;
Требования к контролю сторонних библиотек и open-source-компонентов;
Порядок устранения выявленных уязвимостей и дефектов безопасности;
Требования к журналированию и мониторингу событий безопасности;
Требования к резервному копированию и восстановлению;
Требования к работе с тестовыми, промышленными и демонстрационными средами;
Чек-листы безопасной разработки для аналитиков, разработчиков, тестировщиков, DevOps-инженеров и специалистов сопровождения;
Чек-лист соответствия процессов разработки требованиям ГОСТ Р 56939-2024;
Рекомендации по организации DevSecOps-практик;
Шаблоны документов для проектов, связанных с ГИС и информационными системами государственных организаций.

Нам важно, чтобы кандидат:

Имел практический опыт в информационной безопасности;
Понимал специфику государственных информационных систем;
Был знаком с приказами и методическими документами ФСТЭК России;
Знал требования Приказа ФСТЭК России от 11.04.2025 117;
Знал ГОСТ Р 56939-2024 Защита информации. Разработка безопасного программного обеспечения. Общие требования ;
Понимал, как требования ИБ применяются на практике при разработке и сопровождении ПО;
Мог сопоставить текущие процессы разработки компании с требованиями ФСТЭК и ГОСТ Р 56939-2024;
Умел переводить нормативные требования в понятные регламенты, чек-листы и рабочие процедуры;
Мог самостоятельно разрабатывать документы по ИБ;
Понимал жизненный цикл разработки ПО: анализ, проектирование, разработка, тестирование, сборка, релиз, эксплуатация и сопровождение;
Понимал основные классы уязвимостей ПО и подходы к их выявлению;
Имел представление о secure SDLC и DevSecOps;
Понимал назначение SAST, DAST, SCA, анализа зависимостей, контроля секретов и иных инструментов проверки безопасности ПО;
Умел писать структурированные, юридически и технически корректные документы;
мог взаимодействовать как с техническими специалистами, так и с управленческой командой;
Мог объяснять требования информационной безопасности понятным языком для проектных команд.

Плюсом будет опыт:

Участия в проектах по созданию, модернизации или сопровождению ГИС;
Подготовки систем к аттестации по требованиям безопасности информации;
Разработки моделей угроз и требований к защите информации;
Взаимодействия с государственными заказчиками;
Внедрения процессов безопасной разработки ПО;
Подготовки организации или проекта к оценке соответствия требованиям ГОСТ Р 56939;
Разработки внутренних стандартов безопасного программирования;
Внедрения SAST/DAST/SCA-инструментов;
Настройки процесса управления уязвимостями;
Участия в проектах, где требования ФСТЭК сочетались с требованиями к безопасной разработке ПО;
Подготовки доказательной базы выполнения требований ИБ для заказчиков, аудиторов или аттестационных мероприятий;
Подготовки документации для тендеров, контрактов или приемки работ по государственным проектам.

Возможны разные форматы сотрудничества:

Проектная работа;
Частичная занятость;
Консультационное сопровождение;
Постоянная работа в команде.

Формат и объем участия обсуждаются индивидуально в зависимости от опыта кандидата и готовности взять на себя разработку полного комплекта документов и рекомендаций.

Что мы предлагаем:

Работу с реальными проектами для государственных организаций;
Задачи на стыке информационной безопасности, нормативного соответствия, разработки ПО и управления проектами;
Возможность повлиять на процессы разработки и сопровождения программных продуктов;
Участие в формировании внутренней системы требований к безопасной разработке;
гибкий формат взаимодействия;
Оплату по договоренности, в зависимости от квалификации, формата сотрудничества и объема задач.

Кого мы хотим видеть:

Нам нужен не формальный аудитор по чек-листу , а практичный специалист, который понимает требования ФСТЭК и ГОСТ Р 56939-2024 и может помочь встроить их в реальные процессы разработки и поддержки программных продуктов.

Важно, чтобы результатом работы были не только документы для папки , но и понятные правила, которыми смогут пользоваться аналитики, разработчики, тестировщики, DevOps-инженеры, проектные менеджеры и специалисты сопровождения.