Эксперт отдела контроля сопровождения проектов

Обязанности:
• Анализ безопасности ПО и библиотек с открытым исходным кодом, предполагаемых к использованию в рамках процесса разработки ИС Банка.
• Выявление уязвимостей информационной безопасности при использовании технологии контейнеризации.
• Проведение работ по анализу исходного кода ИС Банка (в том числе, веб-приложений, мобильных приложений под iOS и Android и т.д.).
• Проведение динамического анализа веб-приложений Банка.
• Внедрение практик безопасной разработки ПО.
• Автоматизация процессов поиска уязвимостей и выявления несоответствий требованиям ИБ в ИС Банка в соответствии с парадигмой DevSecOps.
• Проведение тестирования на проникновение и оценки защищенности ИС Банка.
• Консультация и оказание содействия подразделениям, осуществляющим создание, модернизацию и (или) эксплуатацию ИС Банка по устранению выявленных уязвимостей.
• Консультация и оказание содействия командам разработки и поддержки ИС Банка по вопросам устранения выявленных уязвимостей.
• Взаимодействие с проектными командами Банка.
• Разработка тестовых планов и отчетной документации в рамках проводимых работ.


Требования:
• Опыт работы от 2 лет.
• Высшее образование в области информационных технологий или информационной безопасности.
• Базовые знания языков программирования и современных методологий разработки.
• Хорошее понимание процессов проектирования и разработки ПО.
• Опыт проведения статистического и динамического анализа приложений с использованием решений Microfocus Fortify или аналогов.
• Понимание особенностей веб-технологий, знание наиболее опасных типов уязвимостей веб-приложений в соответствии с методологией OWASP.
• Знание и понимание основных подходов к безопасной разработке программного обеспечения (SSDLS, ГОСТ 56939).
• Наличие навыков автоматизации текущей деятельности.
• Знание и понимание технологии проведения оценки защищенности ИС и ПО, а также тестирования на проникновение.
• Опыт применения инструментов для поиска уязвимостей, для оценки защищенности и тестирования на проникновение (nmap, Burp Suite, OwaspZap, Acunetix, Kali Linux, Nessus, Wireshark, MaxPatrol).
• Знание уязвимостей ИС и ПО, их классификации и порядка оценки критичности.
• Умение анализировать проектную документацию ИС с целью получения информации, необходимой для проведения работ.
• Знание английского языка на уровне, достаточном для чтения технической литературы.
Плюсом является:
• Опыт встраивания инструментов обеспечения информационной безопасности в процессы CI/CD.
• Навыки работы с технологиями и платформами контейнеризации (Docker, Kubernetes, OpenShift).
• Опыт настройки WAF.
• Пройденное обучение (курсы) по анализу защищенности web-приложений, тестированию на проникновение, безопасной разработке.
• Знание основных нормативно-правовых актов по информационной безопасности (152-ФЗ, СТО БР, 382-п, 683-П, стандарты серии ISO 270хх, Стандарты Совета PCI SSC, ГОСТы 57580, 15408, документы ФСТЭК и ФСБ).
Условия:
- Трудоустройство согласно Законодательству;

- Конкурентная заработная плата;

- Профессиональное обучение и развитие;

- Добровольное медицинское страхование, льготные условия кредитования;

- Корпоративная пенсионная программа, материальная помощь;

- Спортивная жизнь и корпоративные мероприятия;

- Возможность построить карьеру в ведущем банке России.
Москва
Занятость:
Полный рабочий день
Похожие вакансии