CISO руководитель службы информационной безопасности ИБ, криптографической защиты

Мы ищем опытного и целеустремленного руководителя директора по информационной безопасности, который возглавит наши усилия по обеспечению безопасности информации. CISO получит возможность построить функцию ИБ 0→1: от стратегии и политики до команды, при прямой поддержке руководства и выделенных ресурсов. Прямой канал к CEO, CPO, CTO и участие в продуктовых/технических комитетах. Готового взять ответственность за разработку, внедрение и поддержание комплексной, многоуровневой стратегии и программы информационной безопасности, направленной на защиту наших финансовых систем, конфиденциальных данных, интеллектуальной собственности и репутации компании. CISO будет играть ключевую роль в интеграции безопасности в каждый аспект нашей деятельности, от разработки продуктов до операций, инфраструктуры и комплаенса. Сначала — программа и процессы, затем — команда под ваш мандат.

Задачи и направления:

• Разработка и реализация стратегии безопасности: Разработка, внедрение и постоянное совершенствование комплексной стратегии и архитектуры информационной безопасности, соответствующей бизнес-целям компании, требованиям регуляторов и мировым лучшим практикам (ГОСТ, NIST, ISO).
• Управление рисками: Выявление, анализ, оценка и управление рисками информационной безопасности. Разработка и реализация планов реагирования на инциденты, планов непрерывности бизнеса (BCP) и планов восстановления после аварий (DRP). Создание и поддержание модели угроз и рисков.
• Документация и регламенты: Разработка, внедрение и поддержание политик, стандартов, процедур и регламентов информационной безопасности, включая политики доступа, политики шифрования, политики резервного копирования и восстановления данных. Разработка документов по безопасности финансовых систем.
• Соответствие требованиям и аудиты: Обеспечение соответствия нормативным требованиям и стандартам, таким как PCI DSS, GDPR, нормативам ФСТЭК и другим применимым законам и отраслевым стандартам. Организация и успешное прохождение внешних аудитов информационной безопасности, включая аудиты SOC 2, ISO 27001, 22301 и другие.
• Безопасность приложений (AppSec): Руководство процессом безопасной разработки программного обеспечения (SSDLC/DevSecOps), включая проведение анализа рисков, разработку требований безопасности, проведение статического и динамического анализа кода, а также тестирования на проникновение. Внедрение практик DevSecOps.
• Инфраструктурная безопасность: Обеспечение безопасности инфраструктуры компании, включая операционные системы, аппаратное обеспечение (HW Security), сети (Networks Security) и облачные сервисы. Внедрение средств защиты, таких как межсетевые экраны, системы обнаружения и предотвращения вторжений (IDS/IPS), антивирусное программное обеспечение.
• Безопасность данных: Реализация мер по защите данных на всех этапах жизненного цикла, включая шифрование, маскирование, токенизацию и другие методы защиты конфиденциальной информации. Внедрение политик и процедур управления доступом к данным и предотвращения утечек данных (DLP).
• Управление инцидентами безопасности: Руководство командой реагирования на инциденты, расследование и устранение инцидентов информационной безопасности. Разработка и реализация планов предотвращения инцидентов.
• Управление СКЗИ: Опыт работы с средствами криптографической защиты информации (СКЗИ), включая аппаратные модули безопасности (HSM), генераторы ключей и другие криптографические устройства. Обеспечение правильного хранения и использования криптографических ключей.
• Фактор людей: Разработка и проведение программ обучения и повышения осведомленности сотрудников в области информационной безопасности, включая обучение распознаванию фишинговых атак и других социальных инженерных приемов. Внедрение мер по предотвращению умышленных и неумышленных сливов информации, включая мониторинг действий пользователей и политику "чистого стола".
• Аудит и мониторинг: Проведение регулярных аудитов безопасности и мониторинга систем для выявления и устранения уязвимостей. Внедрение системы мониторинга событий безопасности (SIEM).
• Взаимодействие: Поддержание эффективного взаимодействия с внешними партнерами, регуляторами и другими заинтересованными сторонами по вопросам информационной безопасности.
• Управление командой: как будущее развитие деятельности CISO в компании видится руководство командой специалистов по информационной безопасности, включая найм, обучение и развитие персонала.
• Бюджет: Управление бюджетом информационной безопасности, включая планирование, обоснование и контроль расходов.
• Постоянное улучшение: Постоянное отслеживание новых угроз и технологий в области информационной безопасности и адаптация стратегии и программы безопасности компании в соответствии с меняющимися условиями.

Наши ожидания:

• Опыт: Минимум 5 лет опыта работы в области информационной безопасности, включая минимум 2 года на руководящей должности (например, руководитель проекта, отдела безопасности, архитектор безопасности).
• Образование: Высшее образование в области компьютерных наук, информационной безопасности или смежной области.
• Сертификации: Большим плюсом будет наличие сертификаций, таких как CISSP, CISM, CISA, CEH или аналогичных.
• Технические навыки/опыт. Глубокое понимание принципов и технологий информационной безопасности, включая:
  • Управление рисками и соответствие нормативным требованиям (NIST, ISO)
  • Безопасность сети и инфраструктуры (Firewalls, IDS/IPS, VPN)
  • Безопасность приложений (OWASP, SAST/DAST)
  • Шифрование и защита данных (PKI, HSM)
  • Криптография, в том числе пороговая
  • Реагирование на инциденты (Incident Response Plan)
  • Аудит и тестирование на проникновение (pentest)
  • Работа с SIEM-системами
• Лидерские качества: Отличные лидерские, коммуникативные и межличностные навыки. Способность мотивировать команду и эффективно взаимодействовать с руководством компании.
• Опыт в финтехе: Подтвержденный опыт работы в финтех компании или в финансовой сфере, понимание специфических рисков и требований безопасности, характерных для этой отрасли.
• Опыт Блокчейн / Криптовалют будет приятным дополнением
• Опыт вывода функции ИБ на новый уровень (создание или масштабирование программ безопасности), умение договариваться с продуктом и платформой, практичный подход “сначала риски/ценность — потом инструменты”
• Знание нормативных требований: Глубокое знание нормативных требований и стандартов в области информационной безопасности, таких как PCI DSS, GDPR и другие применимые законы и отраслевые стандарты. Опыт прохождения аудитов соответствия этим стандартам.
• Навыки принятия решений: Способность принимать обоснованные решения в условиях неопределенности и высокого давления, основываясь на анализе рисков и данных.
• Стратегическое мышление: Способность разрабатывать и реализовывать долгосрочные стратегии информационной безопасности, учитывающие бизнес-цели компании и меняющиеся угрозы.

Предлагаем:

• Участие в интересных проектах (банки, финтех, блокчейн, web3, AI/ML), в т.ч. международные рынки.

• Гибкие условия работы, полностью удалённый формат, офис или гибрид.

• Конкурентную компенсацию + бонусы (по результатам собеседования).

• Проекты по разные типы сотрудничества: ТК РФ / контракт / ГПХ (по договорённости).

• Пакет: ДМС, компенсация спорта, корпоративная техника высокого класса.

• Развитие: корпоративное обучение, повышение квалификации, менторство.

• Перспектива многократного роста и прямое взаимодействие с высшим менеджментом для быстрой реализации идей.

• Опционально: релокация в Евросоюз и содействие в получении ВНЖ