Эксперт по информационной безопасности

Цель должности:

Обеспечение информационной и кибербезопасности IT-ландшафта Asia Retail, включающего кассовые системы, ERP (1С), WMS, системы лояльности, интернет-сервисы (сайт, мобильное приложение), внутреннюю инфраструктуру и каналы обмена данными между распределительными центрами и магазинами.

Задачи и ответственность:

• Разработка и реализация политики информационной безопасности в компании.
• Организация защиты кассовой зоны (POS), серверов, рабочих станций и сетевой инфраструктуры.
• Контроль безопасности интеграций с внешними сервисами (Яндекс, Glovo, онлайн-доставка, платёжные шлюзы, банковские API).
• Мониторинг инцидентов ИБ, реагирование и расследование (SIEM, логирование, отчётность).
• Организация управления доступами (RBAC, Keycloak/AD, минимизация прав).
• Защита персональных данных клиентов и сотрудников (соответствие законодательству КР).
• Аудит уязвимостей систем (сканирование, пентесты, тестирование кассового ПО).
• Контроль сетевого периметра (межсетевые экраны, VPN, сегментация сети).
• Разработка планов реагирования на кибератаки и планов восстановления после сбоев (Disaster Recovery, BCP).
• Взаимодействие с разработчиками (1С, фронтенд, бэкенд) для внедрения безопасных практик (DevSecOps).
• Проведение обучения сотрудников по вопросам кибербезопасности.

Образование и опыт:

• Высшее образование в области ИБ, IT или смежных направлениях.
• Опыт работы от 3–5 лет в области информационной безопасности, предпочтительно в ритейле или банке.
• Опыт организации процессов ИБ в среде с большим количеством торговых точек и распределённых систем.

Знания и навыки

• Хорошее знание стандартов и практик: ISO 27001, PCI DSS, NIST, GDPR (желательно).
• Понимание архитектуры POS-систем, ERP (1С), WMS, CRM, мобильных приложений.
• Опыт работы с SIEM, DLP, IDS/IPS, антивирусами корпоративного уровня.
• Знание принципов защиты баз данных, API и веб-сервисов.
• Навыки проведения аудита, анализа рисков, написания отчётности.
• Владение инструментами мониторинга и анализа логов.
• Понимание DevSecOps и CI/CD процессов.

Личные качества:

• Системное мышление, умение видеть «узкие места» в бизнес-процессах.
• Внимательность к деталям.
• Стрессоустойчивость, умение действовать в кризисных ситуациях.
• Коммуникабельность — готовность взаимодействовать и с IT, и с бизнес-подразделениями.