Исследователь программного обеспечения

Аккредитованная ГК "ИнфоТеКС", входящая в ТОП-5 компаний России в сфере защиты информации, лидер в разработке СЗИ, приглашает в команду сертификационной лаборатории специалиста на задачи экспертного анализа множества программных и программно-аппаратных продуктов (в том числе с открытым исходным кодом и с использованием разнообразных фреймворков).

Задачи:

• Деятельность в качестве работника Испытательной лаборатории ФСТЭК России, в том числе подготовка и проведение сертификационных испытаний.
• Экспертиза сторонних продуктов на соответствие требованиям.
• Помощь внешним компаниям в разработке, документации и проведению исследований программных продуктов на соответствие требованиям.
• Автоматизация процессов проведения оценки.

Составляющие процесса:

• Подготовка ПМИ в соответствии с методиками ФСТЭК.
• Функциональный анализ. При необходимости, функциональное тестирование.
• Архитектурный анализ (в том числе с использованием базы уязвимостей CWE).
• Статический анализ (SAST). Разметка предупреждений анализатора (анализ каждого выделенного анализатором фрагмента кода для выявления False Positive).
• Динамический анализ (DAST), включая fazzing.
• При необходимости, OSINT (в случае использовании в коде фрагментов Open Source, поиск в сети известных для этих фрагментов уязвимостей, в том числе с использованием базы уязвимостей CVE).
• Другие необходимые испытания (pentest и прочее).
• Подготовка экспертного отчета по результатам испытания (ПМИ с ожидаемыми результатами, проведенные испытания, полученные результаты, подробная и детальная аргументация выводов). Совокупно «бумажная» часть занимает до 40% времени.

Ожидания от квалификации:

• ЯЗЫКИ ПРОГРАММИРОВАНИЯ: на входе – экспертный уровень знания хотя бы одного-двух популярных (могут встретится C/C++, C#, Java, Python, PHP, JS, Go и любые другие). В дальнейшем – готовность изучать другие ЯП до уровня экспертного анализа.
• Готовность на первом этапе работы подготовиться (с помощью коллег) и сдать обязательный экзамен ФСТЭК (части экзамена: нормативные документы, SAST, fazzing).
• Готовность к прохождению профильных курсов, участию в конференциях, самообучению.
• Высшее образование законченное (обязательно).
• Готовность и отсутствие препятствий для оформления допуска по 3 форме (обязательно).

Преимущество:

• Знакомство с инструментальными средствами динамического и статического тестирования.
• Опыт сертификации продуктов во ФСТЭК.
• Знание требований ФСТЭК к сертифицируемым продуктам.
• Умение готовить стенды для исследования ПО и ПАК.
• Опыт работы со средствами виртуализации.
• OS: Android, Linux, Windows, Mac и другие.

Условия работы:

• Работа в офисе в Пензе (бизнес-центр «Атриум»).
• Полное соблюдение трудового законодательства РФ, оплачиваемые отпуска и больничные листы, "белая" заработная плата.
• Продолжительность рабочего дня 8 часов + 1 час на обед.
• Оплачиваемое работодателем питание в офисе или кафе.
• ДМС (добровольное медицинское страхование) - различные варианты программ, страховка от несчастных случаев.
• Корпоративные мероприятия и спортивные инициативы (футбол, волейбол, баскетбол).
• Изучение английского по корпоративным расценкам.
• Возможность получения профессиональных сертификатов и прохождения курсов повышения квалификации за счёт компании.