Специалист по информационной безопасности (нормативное соответствие и документация)

Битрикс24 — это платформа для бизнеса, объединяющая множество инструментов от CRM и таск-трекера до конструктора сайтов и сервисов коллаборации.

• 20+ лет мы создаем продукты для управления бизнесом
• Крупный российский Highload-проект
• Более 15 млн. компаний зарегистрировано в Битрикс24
• Распределенная команда 800+ человек
• Лучший работодатель среди IT-компаний в своем сегменте за 2024 год по версии hh.ru

В нашу команду ищем специалиста по информационной безопасности, от которого ожидаем качественного ускорения процессов сертификаций и лицензирования.

Задачи:

1. Нормативное сопровождение и лицензирование ФСТЭК

• Участие в процессах получения, продления и сопровождения лицензий ФСТЭК:
• Подготовка пакетов документов по Приказам № 17, 21, 239, 115/116.
• Актуализация организационно-распорядительной документации при изменениях требований.
• Подготовка уведомлений в ФСТЭК об изменениях в деятельности компании.
• Участие в ответах на запросы ФСТЭК и подготовке к проверкам.

2. Документационное обеспечение

• Разработка и актуализация документации:
• Политики, процедуры и регламенты ИБ.
• Технические задания на СЗИ (по ГОСТ 34.602-89, ГОСТ Р 57176-2024).
• Модели угроз и нарушителя (по методикам ФСТЭК).
• Инженерная документация (по ГОСТ Р 2.102-2019, ЕСКД).
• Ведение журналов учёта (сертифицированные продукты, инциденты, аудиты).​​​​​​​​​​​​​​

3. Сертификация процессов и продуктов

• Участие в подготовке к сертификации:
• РБПО (Разработка Безопасного ПО): актуализация регламентов Secure SDLC, политик управления уязвимостями, отчётов о внедрении процессов.
• ГОСТ Р ИСО/МЭК 27001-2022: формирование доказательной базы соответствия.
• SOC 2, PCI DSS, ISO 27701: подготовка документов для аудитов.
• Сопровождение циклов безопасной разработки (Threat Modeling, Security Code Review, Vulnerability Management).

4. Мониторинг нормативных требований

• Анализ изменений в законодательстве (152-ФЗ, 187-ФЗ, ГОСТы, требования ФСТЭК/ФСБ).
• Участие во внедрении требований в процессы компании.

Что мы ожидаем от кандидата:

• Высшее образование по направлениям: «Информационная безопасность», «Компьютерная безопасность».
• Опыт работы в лицензиате ФСТЭК, с сертификацией ISO 27001, SOC 2, с разработкой моделей угроз, ТЗ и инженерной документацией.
• Знания нормативной базы РФ: 152-ФЗ, 187-ФЗ, Приказы ФСТЭК № 17, 21, 239, ГОСТ Р ИСО/МЭК 27001-2022 (27001-2023), ГОСТ Р 56939-2024.
• Знания международных стандартов: SOC 2, PCI DSS, NIST CSF 2.0, OWASP SDLC.
• Опыт работы с документацией: составление ТЗ, моделей угроз, проектной документации по ГОСТ, регламенты Secure SDLC, политики управления уязвимостями.
• Опыт работы с СЗИ (DLP, SIEM, средства криптозащиты).
• Владение MS Office, Visio, системами электронного документооборота.

Что мы предлагаем:

• Работу в компании, стоявшей у истоков рунета;
• Возможность работать и влиять на цели и результаты продукта с аудиторией в миллионы компаний;
• Полная занятость, возможность гибкого начала и окончания рабочего времени в рамках часовых поясов GMT +03:00 и GMT +02:00.
• Весьма конкурентный ежемесячный оклад, о котором договоримся на интервью;
• Премии согласно политикам компании;
• Официальное оформление с первого рабочего дня;
• Удаленный формат работы. Возможность выбрать любой удобный формат работы (офис, гибрид удаленный формат работы), если ты в Калининграде или Москве;
• Возможность работать и реализовываться в адекватной и конструктивной рабочей среде;
• ДМС со стоматологией после трёх месяцев работы;
• Доступ к сервисам психологической поддержки;
• Насыщенная корпоративная жизнь, мероприятия в оффлайн и онлайн формате.