Просмотр вакансии

Мы создаём и развиваем финтех-продукты, работающие с конфиденциальными данными и финансовыми транзакциями. Безопасность — ключевой элемент нашего продукта. Нам нужен эксперт, который возьмёт под контроль вопросы ИБ, связанные как с прикладной безопасностью, так и с соответствием российским требованиям (ФСТЭК, ФСБ), криптографией и защитой инфраструктуры.

Основные задачи:

• Техническая безопасность
• Анализ защищённости ИТ-продукта, веб-сервисов и внутренней инфраструктуры.
• Проведение threat modeling, участие в secure-design и secure-development.
• Внедрение и сопровождение DevSecOps-практик.
• Управление уязвимостями (сканирование, приоритизация, контроль устранения).
• Настройка и сопровождение средств защиты: Касперский (KES, KATA, KICS, KESL), IDS/IPS, WAF, EDR, средства мониторинга и корреляции событий (SIEM).
• Реагирование на инциденты, расследование, разработка мер предотвращения.
• Криптография и соответствие.
• Работа со средствами криптографической защиты информации (СКЗИ): КриптоПро CSP, КриптоПро ЭЦП, КриптоПро NGate, управление ключами и сертификатами.
• Участие во внедрении и поддержке ГОСТ-криптографии.
• Подготовка и актуализация политики криптографической защиты.

Регуляторные требования:

• Выполнение требований нормативных документов ФСТЭК России и ФСБ в области защиты информации.
• Подготовка и ведение документации ИБ: модели угроз, политика ИБ, инструкции, журналы.
• Работа с категорированием ИС и соблюдение требований по технической защите.
• Сопровождение проверок, аудиторов, внешних и внутренних оценок.
• Обеспечение выполнения требований отраслевых стандартов (при наличии):PCI DSS, ГОСТ Р 57580.1–2017, ISO 27001, регуляторика финтех/банковской сферы.

Требования:

• Опыт работы в информационной безопасности от 2–3 лет, желательно в финтехе или высоконагруженных ИТ-системах.
• Практический опыт работы с продуктами Касперский, СКЗИ (КриптоПро).
• Знание законодательства и требований ФСТЭК/ФСБ.
• Опыт подготовки пакета документации по ИБ и сопровождения аудитов.
• Знание OWASP, стека веб-уязвимостей, принципов безопасной архитектуры.
• Навыки работы с SIEM, системами контроля трафика и endpoint-защиты.
• Базовое понимание сетевой безопасности (VPN, firewall, сегментация).

Плюсами будут:

• опыт в DevSecOps,
• умение работать с контейнеризацией (Docker, K8s),
• опыт настройки средств доверенной загрузки/защиты ОС,
• наличие профильных сертификатов (ФСТЭК, КриптоПро, Касперский, ISO).

Мы предлагаем

• Работа с безопасностью ключевого финтех-продукта.
• Возможность строить и развивать контур ИБ почти «с нуля».
• Полное влияние на архитектуру и процессы безопасности.
• Современный стек и профессиональная команда.
• Конкурентная компенсация и бонусы.
• Гибкий график и комфортные условия.