Обязанности:
– стандартизация подходов к применению практик application security (на основе BSIMM, OWASP SAMM);
– обследование процессов жизненного цикла разработки ПО в рамках проектов, определение степени соответствия требованиям и общепринятым практикам;
– определение целевого состояния процессов безопасной разработки и стратегии внедрения практик appsec;
– разработка документации, определяющей требования к реализации процессов безопасной разработки ПО и применению инструментальных средств;
– анализ и формирование требований по информационной безопасности к разрабатываемому ПО, моделирование угроз ИБ для разрабатываемого ПО;
– участие в анализе защищенности разрабатываемого ПО;
– методологическая поддержка внедрения инструментов SAST / DAST / SCA и др.;
– консультирование по применению практик и рекомендаций в области безопасной разработки ПО;
– участие в разработке обучающих материалов по направлению.
Требования:
Компетенции:
– высшее образование в области информационной безопасности/информационных технологий или переподготовка по соответствующим курсам (не менее 500 аудиторных часов);
– релевантный опыт работы по предметной области не менее 2-х лет;
– знание практик Application Security (BSIMM, OWASP SAMM и пр.);
– понимание уязвимостей OWASP Top-10 и способов их эксплуатации;
– понимание принципов CI/CD, работы средств контроля безопасности в процессах разработки ПО;
– практический опыт разработки документации различного уровня (политики, регламенты и т.д.);
– опыт проведения интервью, анализа технической документации и оценки соответствия требованиям;
– английский язык на уровне не ниже B1 (возможность чтения текста стандартов и других руководящих документов с листа).
Личные качества:
– желание постоянно развиваться, получать новые знания и опыт (в том числе, в смежных областях);
– ответственность, готовность самостоятельно выстраивать свое рабочее пространство и планировать свой рабочий день;
– грамотная письменная и устная речь;
– умение аргументировать свою позицию;
– инициативность;
– внимание к деталям;
– готовность делиться опытом и знаниями.
Преимуществами являются:
– опыт в разработке ПО;
– опыт работы с k8s, знание подходов к обеспечению безопасности в среде контейнеризации;
– опыт работы с инструментами SAST / DAST / SCA.
Эта работа для Вас, если Вы:
– готовы постоянно получать новые знания и опыт, развивать профессиональные компетенции;
– видите за нормативными документами реальные процессы организации и стоящие перед ней цели и задачи;
– готовы много работать с нормативными документами – читать, писать, предлагать правки и работать по замечаниям, доводить документы до совершенства;
– уделяете должное (но не избыточное) внимание деталям, тонкостям определений и формулировок – понимаете или готовы разбираться, в чем разница между "effectiveness" и "efficiency", между "корректирующим действием" и "коррекцией" и т.д.
– любите работать самостоятельно, без избыточного контроля со стороны руководителя;
– хотите сделать окружающий мир чуточку лучше 🙂
Условия:
– мы являемся аккредитованной ИТ компанией;
– оформление по ТК РФ (трудовой договор);
– удаленная работа, за исключением встреч с Заказчиками и командировок (командировки по РФ и за рубежом ~ до 10% времени в год);
– гибкий график работы – Вы сами выстраиваете свой рабочий день;
– возможности для постоянного совершенствования навыков и знаний, обучения и профессиональной сертификации;
– молодой профессиональный коллектив, минимум бюрократии;
– испытательный срок – 3 месяца;
– офис г.Москва, Преображенская площадь, 8 (Вы можете использовать его как рабочее место по своему усмотрению, но регулярное посещение офиса не требуется);
– размер вознаграждения обсуждается индивидуально с успешными кандидатами.
