Инженер по информационной безопасности (DevSecOps)

«Консист Бизнес Групп» - группа компаний, реализующая полный комплекс ИТ-сервисов, включая разработку и внедрение информационных систем, а также услуги в области бизнес-консалтинга на территории России и стран СНГ,

Приглашает Инженера по информационной безопасности (DevSecOps)

Мы предлагаем:

• Полное соблюдение норм трудового кодекса РФ, официальную и стабильную заработную плату;
• Предусмотренные законодательством гарантии: Льготы для сотрудников Консист Бизнес Групп (ГК Ланит) как аккредитованной ИТ-компании;
• Подключение к ДМС после трёх месяцев работы в компании, включая стоматологию;
• Возможность брать отгул по болезни - 3 дня в году без оформления больничного;
• Внутренние семинары и вебинары;
• Обучение на внешних конференциях, тренингах и образовательных программах за счет компании;
• Корпоративную библиотеку (профессиональная и художественная литература.

Сфера ответственности:

• Развитие и автоматизация процессов защищенной разработки (SSDLC);
• Анализ и разработка требований к продукту в части ИБ;
• Настройка инструментальных средств анализа уязвимостей и проверок безопасности (SAST, DAST, Fuzzing, SCA), повышение эффективности их работы;
• Проверка исходного кода программ с применением специализированных инструментов для выявления ошибок и уязвимостей (AppScreener);
• Проведение динамического анализа и фаззинг-тестирования web-приложений (OWASP ZAP);
• Применение инструментов контроля Open Source компонентов (OSA/SCA);
• Разбор результатов работы средств статического анализа и средств динамического анализа (проверка, приоритизация, корреляция выявляемых дефектов, поиск решений для их устранения);
• Оформление отчетов по проведенным анализам;
• Моделирование угроз безопасности продукта и определение поверхности атаки;
• Разработка плана и механизмов устранения выявленных уязвимостей;
• Консультирование команды разработки по вопросам безопасности и практикам написания безопасного кода, помощь разработчикам в устранении выявленных уязвимостей и ошибок в коде;
• Взаимодействие с командой DevOps-инженеров по вопросам автоматизации сценариев применения инструментов SAST и DAST, интеграции средств анализа в процессы CI/CD;
• Участие в сертификации решения в своей зоне ответственности;
• Участие в разработке процессов информационный безопасности, направленных на снижение рисков ИБ, в качестве технического эксперта;
• Внедрение и поддержка инструментов защиты внутренней инфраструктуры.

Требования к знаниям и опыту:

• Понимание и опыт внедрения современных процессов и практик безопасной разработки: SDLC/SSDLC, DevSecOps;
• Опыт проведения ручного и автоматизированного анализа безопасности кода приложений с использованием решений SAST/DAST, включая разбор результатов анализа, фильтрацию ложных срабатываний и выдачу рекомендаций по устранению найденных уязвимостей;
• Умение анализировать CVE/CWE/CVSS;
• Понимание основных угроз (OWASP Top-10) и недостатков ПО (CWE Top-25), знание методов противодействиям им;
• Умение читать и выявлять ошибки в коде;
• Опыт работы со сканерами уязвимостей;
• Опыт работы с Git, GitLab (или аналогами);
• Понимание ОС *NIX, сетевых технологий и протоколов (TCP/IP, DNS, маршрутизация, DHCP, NAT, proxy, принципы работы межсетевых экранов).

Преимущества (будут плюсом):

• Опыт построения CI/CD с использованием DevSecOps-продуктов;
• Практический опыт проведения анализа защищённости веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC);
• Опыт тестирования REST API;
• Знание или опыт применения руководящих документов ФСТЭК по сертификации СЗИ;
• Опыт работы в построении безопасной инфраструктуры;
• Умение автоматизировать рутинные задачи при помощи bash, python.