Application Security Business Partner
ГородМосква
НаправлениеИнформационная безопасность
Дата публикации26.05.2022
Нажимайте смело — отклик произойдет только на следующем шаге

Application Security Business Partner

В этом году мы начали активно реформировать направление Информационной Безопасности и у нас открываются новые позиции. Мы открываем поиск на Application Бизнес Партнера по Информационной Безопасности.

Работа в Райфе на данной позиции - это участие в строительстве комплексной ИБ нового формата, внедрение новых практик и подходов. У нас кузница технических CISO.
Бизнес Партнер у нас - это mini-CISO в бизнес домене Банка.

Мы сделаем из вас прокачанного CISO, который глубоко разбирается в процессах комплексной безопасности, современных угрозах и «смузи» технологиях
Обязанности
  • Выстраивание «единого окна ИБ» для бизнес-домена Банка (одного из SME, Retail, E-commerce, PCI, Investing);
  • Сопровождать новые и существующие проекты и бизнес-системы со стороны ИБ;
  • Внедрять подход Shift Left Security: уменьшать Time-to-Market (TTM) и повышать эффективности взаимодействия между бизнесом, ИТ и ИБ;
  • Принимать участие в проектировании безопасных архитектур приложений бизнес домена, учитывая требования законодательства, регуляторов и европейской группы RBI;
  • Моделировать угрозы безопасности приложений/сервисов и предлагать механизмы защиты;
  • Согласовывать доступы и Firewall Request для бизнес-домена;
  • Обеспечивать баланс между потребностями бизнеса, разработки (devops) и защищенностью;
  • Участвовать в строительстве качественных процессов комплексной ИБ;
  • Быть играющим тренером, мини-CISO для бизнес домена.
Требования
  •  Понимание актуальных угроз в современных ИТ инфраструктурах компаний;
  • Понимание принципов работы микросервисной архитектуры и подходов к обеспечению безопасности микросервисов;
  • Знание векторов атак, тактик, техник и процедур (TTP), используемых злоумышленниками при взломе компаний, включая MITRE ATT&CK
  • Знание сетей на уровне близком к CCNA;
  • Уверенные знания ОС (Windows, *nix), популярных СУБД, web, сетевых и современных сервисных технологий (Redis, Kafka, Hadoop…);
  • Понимание принципов атак через уязвимости OWASP TOP10 и Mobile TOP 10, CWE TOP 25;
  • Понимание принципов работы технологий CI/CD, контейнеризации и оркестрации (Docker/Kubernetes/Ansible/Saltstack/Gitlab);
  • Понимание (или желание понять) международных требований и Банка России (PCI DSS/PA DSS, 382-П, 672-П, 716-П, ГОСТ 57580, СТО БР);
  • Понимание требований основных ФЗ для финансовой сфера (152-ФЗ ПДн, 161-ФЗ Национальной платёжной системе, 97-ФЗ О банках и банковской деятельности, 187-ФЗ КИИ)

    Плюсом будет:
  • сертификаты OSCP, OSWE и выступление на крупных технических ИБ/ИТ конференциях (например Zeronights, Positive Hack Days, Black Hat, The Standoff, Cyberpoligon и т.д.)
  • Понимание стандартов, практик и рекомендаций в области ИБ (ISO 27001, NIST, CIS)
  • Опыт участия в соревнованиях по взлому компьютерных систем (CTF и пр.) и программах Bug Bounty;
  • Опыт разработки на Python/Java/C++/Go.
Условия
  • у нас очень комфортная культура и отзывчивые люди;
  • команда состоит из настоящих профессионалов, готовых делиться опытом;
  • мы вкладываемся в развитие сотрудников: отправляем на курсы, проводим митапы;
  • боремся с бюрократией, костюмы не носим.
А еще:
  • Приятная заработная плата;
  • Формат работы: часть времени из дома, но примерно раз в неделю из офиса;
  • Наш офис находится всего в двух минутах пешком от метро Технопарк;
  • Бесплатный спортзал на первом этаже;
  • Социальный пакет, включая ДМС с первого дня, страхование выезжающих за рубеж и от несчастных случаев;
  • Доплата по больничным, выгодный отпуск в январе и мае, корпоративный пенсионный план;
  • Льготное кредитование, программа корпоративных скидок от множества партнеров.