Просмотр вакансии

Домклик — единственный в России продукт, обеспечивающий полный цикл операций с недвижимостью. Доступен на всех популярных платформах (Web, iOS, Android). Решаем любые вопросы с недвижимостью, делая сложное простым, с заботой о каждом клиенте. Мы ищем единомышленников, чтобы вместе помогать людям исполнять мечту о собственном жилье.

Проект:
Команда архитектуры кибербезопасности отвечает за валидацию архитектурных решений и участвует в создании новых сервисов в Домклик. А также осуществляет интеграцию с внешними сервисами и занимается развитием кибербезопасности.

Чем предстоит заниматься:

• Проектирование архитектуры кибербезопасности по принципам Security-by-Design совместно с продуктовыми и ИТ-командами. Формирование требований к разрабатываемым сервисам (Web, iOS, Android) и контроль их реализации на всех этапах Secure SDLC;
• Выявление угроз и оценка рисков кибербезопасности для бизнес-процессов, сервисов и компонентов ИТ инфраструктуры;
• Участие в разработке и согласование проектной документации: архитектурные схемы, схемы бизнес-процессов, функциональные требования, технические задания, программы и методики испытаний;
• Разработка внутренней нормативной документации по кибербезопасности; Проведение аудита кибербезопасности существующих сервисов с целью выявления архитектурных отклонений и нарушений требований кибербезопасности, постановка задач на устранение выявленных отклонений и нарушений;
• Формирование требований к средствам защиты, участие в выборе, пилотировании и внедрении (WAF, PAM, антифрод и др.).;
• Консультирование продуктовых и ИТ команд по вопросам кибербезопасности;
• Проведение приёмо-сдаточных испытаний для сервисов, вводимых в эксплуатацию;
• Контроль соблюдения политик управления доступом, включая согласование запросов на доступ (RBAC/ABAC, принцип наименьших привилегий), аудит ролевых моделей к ИС.

Мы ожидаем:

• Понимание Security-by-Design и практический опыт построения защищённой архитектуры веб-приложений и микросервисов;
• Понимание безопасности инфраструктуры (Linux, Kubernetes, Docker, облачная сеть, мониторинг) и прикладного стека (Secure SDLC, DevSecOps, SAST/DAST, threat modeling, OWASP для веба и мобильных);
• Уверенное знание нормативной базы РФ: 152-ФЗ, приказы ФСТЭК (включая 21-й приказ), методики оценки угроз. ISO 27001/27002 — как плюс; Опыт разработки и актуализации внутренней нормативной документации по ИБ;
• Опыт построения моделей управления доступом (RBAC/ABAC, принцип наименьших привилегий);
• Умение доносить требования ИБ до продуктовых и ИТ-команд на их языке, аргументировать архитектурные решения.

Будет плюсом:

• Наличие отраслевых сертификатов (например, CCNP Security, CISSP, CISM, OSCP и т.д.);
• Участие в программах bug bounty, пентестах или red team-активностях.

Мы предлагаем:

• работу в аккредитованной IT компании;
• конкурентную заработную плату;
• полис ДМС с первого месяца работы;
• современную технику для работы;
• корпоративный университет, онлайн-курсы для повышения квалификации, конференции, митапы;
• фитнес-зал в здании офиса;
• льготную программу ипотеки для сотрудников;
• комфортный офис класса А в 5 минутах от станции метро и МЦК Кутузовская;
• гибкое начало рабочего дня и возможность работать в гибридном или удаленном формате в пределах РФ.