Бизнес-партнер по информационной безопасности (для домена Data)
ГородМосква
НаправлениеИнформационная безопасность
Дата публикации24.11.2022
Нажимайте смело — отклик произойдет только на следующем шаге

Бизнес-партнер по информационной безопасности (для домена Data)


  • У нас кузница технических CISO
  • Mini-CISO или роль CISO (играющего тренера) в бизнес домене Банка
  • Мы сделаем из вас прокачанного CISO, который глубоко разбирается в процессах комплексной безопасности, современных угрозах и «смузи» технологиях
  • Участие в строительстве комплексной ИБ нового формата, новых практик и подходов
Обязанности
  • Выстраивать «единое окно ИБ» для домена Data;

  • Сопровождать новые и существующие проекты и информационные системы со стороны ИБ;

  • Внедрять подход Shift Left Security: повышать эффективности взаимодействия между командами домена и ИБ;

  • Прорабатывать вопросы обеспечения безопасности данных на уровне всего Банка;

  • Принимать участие в проектировании безопасных архитектур внутренних информационных систем Банка, учитывая требования законодательства, регуляторов и европейской группы RBI;

  • Моделировать угрозы безопасности приложений/сервисов/систем и предлагать механизмы защиты;

  • Согласовывать доступы и Firewall Request для сервисных-доменов;

  • Обеспечивать баланс между потребностями бизнеса и защищённостью;

  • Участвовать в строительстве качественных процессов комплексной ИБ;

  • Быть играющим тренером, мини-CISO для команд домена Data.

Требования
  • Понимание актуальных угроз в современных ИТ инфраструктурах компаний;

  • Понимание принципов работы систем обработки больших объемов данных, их архитектуры и подходов к обеспечению их безопасности;

  • Знание векторов атак, тактик, техник и процедур (TTP), используемых злоумышленниками при взломе компаний, включая MITRE ATT&CK;

  • Базовые знания ОС (Windows, *nix) и популярных СУБД;

  • Понимание подходов обеспечения безопасности данных в масштабах большой организации;

  • Понимание принципов атак через уязвимости CWE TOP 25, OWASP TOP10;

  • Понимание принципов работы технологий обработки и визуализации данных (Hadoop, Apache Zeppelin, Redis, Kafka, ...);

  • Понимание требований ФЗ и пложений Банка России (187-ФЗ, 152-ФЗ, 719-П, 747-П, 716-П, ГОСТ 57580, ...)

  • Понимание требований международных стандартов (PCI DSS, GDPR, ...)
Будет плюсом:
  • Сертификаты OSCP и выступление на крупных технических ИБ/ИТ конференциях (например Zeronights, Positive Hack Days, Black Hat, The Standoff, Cyberpoligon и т.д.)

  • Понимание стандартов, практик и рекомендаций в области ИБ (ISO 27001, NIST, CIS)

  • Опыт участия в соревнованиях по взлому компьютерных систем (CTF и пр.) и программах Bug Bounty;

  • Опыт разработки на Python.
Условия
• У нас очень комфортная культура и отзывчивые люди;
• Команда состоит из настоящих профессионалов, готовых делиться опытом;
• Мы вкладываемся в развитие сотрудников: отправляем на курсы, проводим митапы;
• Формат работы: часть времени из дома, часть в офисе;
• Наш офис находится всего в двух минутах пешком от метро Технопарк;
• Бесплатный спортзал на первом этаже;
• Социальный пакет, включая ДМС, страхование выезжающих за рубеж и от несчастных случаев;
• Доплата по больничным, выгодный отпуск в январе и мае, корпоративный пенсионный план;
• Льготное кредитование, программа корпоративных скидок от множества партнеров.