Application Security Business Partner
ГородМосква
НаправлениеИнформационная безопасность
Дата публикации25.02.2022
Нажимайте смело — отклик произойдет только на следующем шаге

Application Security Business Partner

В этом году мы начали активно реформировать направление Информационной Безопасности и у нас открываются новые позиции. Мы открываем поиск на Application Бизнес Партнера по Информационной Безопасности.

Работа в Райфе на данной позиции - это участие в строительстве комплексной ИБ нового формата, внедрение новых практик и подходов. У нас кузница технических CISO.
Бизнес Партнер у нас - это mini-CISO в бизнес домене Банка.

Мы сделаем из вас прокачанного CISO, который глубоко разбирается в процессах комплексной безопасности, современных угрозах и «смузи» технологиях
Обязанности
• Выстраивание «единого окна ИБ» для бизнес-домена Банка (одного из SME, Retail, E-commerce, PCI, Investing);
• Сопровождать новые и существующие проекты и бизнес-системы со стороны ИБ;
• Внедрять подход Shift Left Security: уменьшать Time-to-Market (TTM) и повышать эффективности взаимодействия между бизнесом, ИТ и ИБ;
• Принимать участие в проектировании безопасных архитектур приложений бизнес домена, учитывая требования законодательства, регуляторов и европейской группы RBI;
• Моделировать угрозы безопасности приложений/сервисов и предлагать механизмы защиты;
• Согласовывать доступы и Firewall Request для бизнес-домена;
• Обеспечивать баланс между потребностями бизнеса, разработки (devops) и защищенностью;
• Участвовать в строительстве качественных процессов комплексной ИБ;
• Быть играющим тренером, мини-CISO для бизнес домена.
Требования
 Понимание актуальных угроз в современных ИТ инфраструктурах компаний;
• Понимание принципов работы микросервисной архитектуры и подходов к обеспечению безопасности микросервисов;
• Знание векторов атак, тактик, техник и процедур (TTP), используемых злоумышленниками при взломе компаний, включая MITRE ATT&CK
• Знание сетей на уровне близком к CCNA;
• Уверенные знания ОС (Windows, *nix), популярных СУБД, web, сетевых и современных сервисных технологий (Redis, Kafka, Hadoop…);
• Понимание принципов атак через уязвимости OWASP TOP10 и Mobile TOP 10, CWE TOP 25;
• Понимание принципов работы технологий CI/CD, контейнеризации и оркестрации (Docker/Kubernetes/Ansible/Saltstack/Gitlab);
• Понимание (или желание понять) международных требований и Банка России (PCI DSS/PA DSS, 382-П, 672-П, 716-П, ГОСТ 57580, СТО БР);
• Понимание требований основных ФЗ для финансовой сфера (152-ФЗ ПДн, 161-ФЗ Национальной платёжной системе, 97-ФЗ О банках и банковской деятельности, 187-ФЗ КИИ)

Плюсом будет:
• сертификаты OSCP, OSWE и выступление на крупных технических ИБ/ИТ конференциях (например Zeronights, Positive Hack Days, Black Hat, The Standoff, Cyberpoligon и т.д.)
• Понимание стандартов, практик и рекомендаций в области ИБ (ISO 27001, NIST, CIS)
• Опыт участия в соревнованиях по взлому компьютерных систем (CTF и пр.) и программах Bug Bounty;
• Опыт разработки на Python/Java/C++/Go.
Условия
  • у нас очень комфортная культура и отзывчивые люди;
  • команда состоит из настоящих профессионалов, готовых делиться опытом;
  • мы вкладываемся в развитие сотрудников: отправляем на курсы, проводим митапы;
  • боремся с бюрократией, костюмы не носим.
А еще:
  • Приятная заработная плата;
  • Формат работы: часть времени из дома, но примерно раз в неделю из офиса;
  • Наш офис находится всего в двух минутах пешком от метро Технопарк;
  • Бесплатный спортзал на первом этаже;
  • Социальный пакет, включая ДМС с первого дня, страхование выезжающих за рубеж и от несчастных случаев;
  • Доплата по больничным, выгодный отпуск в январе и мае, корпоративный пенсионный план;
  • Льготное кредитование, программа корпоративных скидок от множества партнеров.