Специалист по информационной безопасности

Описание

Привет! Мы Юникорн российская продуктовая IT-компания.

На рынке известны под брендом Ujin . Мы общепризнанный лидер в сегменте Умное здание и являемся особо значимым проектом для отрасли Строительства и ЖКХ . Разрабатываем облачную платформу и производим оборудование для создания умных зданий. Сейчас мы ищем специалиста по информационной безопасности в Перми .

Наши ценности:

1. Люди - наша главная ценность!
2. Мы за идеи и команду. Предлагай, пробуй, делай мы поддержим!
3. Мы не дадим в обиду свою работу и наших клиентов.
4. Свобода наше всё! Ты можешь творить, ошибаться, мечтать, главное, будь собой.

Если тебе близки наши ценности, то мы ждем тебя в нашей большой и очень амбициозной команде!

Что ты получаешь, работая у нас:

• Оформление в штат с первого дня и конкурентная зарплата;

• Классный офис в Технопарке Morion Digital с развитой инфраструктурой (бесплатная парковка, кафе, спортзал, шиномонтаж, химчистка и др.)

• Востребованный инновационный продукт и интересные задачи;

• Поддержка сотрудников со стороны руководителей, наставник на период адаптации;

• Возможность обучаться и постоянно развивать свои навыки;

• Программа лояльности (скидки на обучение, спорт, кафе, корпоративный мерч и многое другое);

• Насыщенная корпоративная жизнь: сплавы, тренинги и лучшие корпоративы

Мы ищем человека, у которого есть:

• Опыт работы в ИБ от 3 лет (в том числе в роли DevSecOps / Security Engineer / AppSec Engineer от 1 года);
• Глубокие знания безопасности приложений, инфраструктуры, сетей и облачных сред;
• Понимание принципов шифрования, аутентификации, авторизации, контроля доступа;
• Знание нормативно-правовой базы ИБ: ФЗ-152, ФЗ-187, ПДн, КИИ, ГИС, GDPR, ISO/IEC 27001;
• Опыт проведения аудитов безопасности, анализа и триажа уязвимостей;
• Практический опыт работы с SAST, DAST, SCA, Secret Scanning, Fuzzing (включая Fuzzing Mast), ASOC и Quality Gate;
• Опыт работы с OWASP ZAP, BurpSuite, NMAP, WAVTT, XSS-TT, FSMT, SMMT, CISAT, NSAT, ARMT, ISTT;
• Опыт работы с DefectDojo или аналогичными системами управления уязвимостями;
• Уверенное знание Linux и опыт работы с реляционными базами данных;
• Навыки автоматизации задач ИБ с использованием скриптов и пайплайнов;
• Опыт интеграции проверок безопасности в CI/CD (GitLab CI, Jenkins и аналогичные);
• Понимание и практический опыт безопасной разработки ПО и архитектуры SSDLC;
• Опыт проектирования, внедрения и поддержки IAM-решений;
• Знание OAuth 2.0, SAML, OpenID Connect, SSO, MFA;
• Практический опыт работы с Keycloak, FreeIPA или аналогами;
• Практический опыт внедрения и эксплуатации PAM-решений: NGR Softlab PAM Infrascope, CyberArk, Wallix, Teleport или аналоги;
• Практический опыт внедрения и эксплуатации Secrets Management: HashiCorp Vault, OpenBao, Passwork, Passbolt, Bitwarden и др.;
• Опыт работы с Zero Trust и защищенными сетями: Cloudflare Warp Zero Trust, NetBird;
• Опыт администрирования облачных и внутренних сервисов;
• Опыт участия в проверке и верификации ИБ-требований к решениям партнеров и заказчиков;
• Опыт проведения проверок ИБ-рисков, KYC, background screening, анализа финансовых и юридических рисков;
• Навыки разработки технической документации: модели угроз, технические проекты, эксплуатационная документация.

Будет плюсом:

• Знание и практический опыт DevOps-инструментов: Ansible, Terraform;
• Опыт работы с контейнерами и оркестрацией: Docker, Kubernetes;
• Глубокая экспертиза в compliance и PCI DSS (аудит, внедрение, мониторинг);
• Опыт разработки стратегии внедрения инструментов безопасности с минимальной нагрузкой на разработчиков;
• Сертификаты: CISSP, CISM, CEH, OSCP, CompTIA Security+, CCSP
• Продвинутые знания сетевой безопасности;
• Опыт создания и поддержки актуальной ("живой") документации по процессам и регламентам ИБ.

Чем предстоит заниматься:

• Развитие и улучшение Secure SDLC (S-SDLC), внедрение и оптимизация инструментов безопасности на всех этапах жизненного цикла ПО;
• Проведение регулярных аудитов информационной безопасности, проверок уязвимостей и анализа рисков;
• Отработка, анализ и предупреждение инцидентов ИБ, мониторинг угроз и актуальных векторов атак;
• Консультирование и обучение команд разработки и эксплуатации вопросам ИБ и безопасной разработки;
• Внедрение, настройка и эксплуатация технических средств защиты информации, включая AppSec, IAM, PAM и Secrets Management;
• Поддержка и развитие CI/CD процессов с учетом требований безопасности и quality gates;
• Разработка и поддержка регламентов, инструкций, моделей угроз и рабочей документации по ИБ.