Специалист по выстраиванию процесса безопасной разработки

Твои задачи:

• Внедрение процессов разработки безопасного программного обеспечения, выстраивание и контроль процессов разработки безопасного ПО в соответствии с требованиями ГОСТ Р 56939-2024
• Контроль уязвимостей, организация и проведение процедур поиска уязвимостей в программном коде (SAST, DAST, SCA)
• Проведение анализа угроз и рисков ИБ
• Формирование и контроль требований ИБ к CI/CD процессам и инфраструктуре разработки
• Управление патчингом, координация процесса оперативного устранения выявленных уязвимостей и выпуска исправлений
• Подготовка технической документации для прохождения согласования ПО на соответствие требованиям заказчика в части разработки безопасного ПО
• Разработка внутренних регламентов, инструкций и рекомендаций по безопасной разработке
• Участие в построении DevSecOps методологии в компании

Мы ждем от тебя:

• Глубокое знание стандарта ГОСТ Р 56939-2024, ГОСТ Р 71207-2024, ГОСТ Р 71206-2024, методических документов ФСТЭК России по разработке безопасного ПО
• Умение планировать процессы разработки безопасного ПО, формировать требования ИБ к ПО
• Опыт работы со средствами статического и динамического анализа кода (например, Checkmarx, PT Application Inspector, SonarQube, AppChecker и др.)
• Понимание принципов DevSecOps и умение встраивать проверки безопасности в CI/CD конвейеры
• Знание основных типов уязвимостей (OWASP Top 10, CWE Top 25) и способов их нейтрализации на уровне кода
• Умение анализировать и верифицировать предупреждения анализаторов вручную
• Навыки написания скриптов для автоматизации
• Способность доступно объяснять сложные технические проблемы разработчикам и менеджерам
• Грамотная письменная и устная речь, коммуникабельность, умение работать в команде
• Высшее образование в области компьютерной безопасности, ИТ, кибербезопасности или смежной области
• Опыт работы от 3 лет в сфере ИБ, из них не менее 1 года на позиции связанной с разработкой безопасного ПО

Что мы обеспечим:

• Гибкое начало рабочего дня с возможностью выбора удобного формата работы
• Современную технику для работы
• Возможность расширить свою экспертизу, используя современный стек технологий
• Сессии профессионального развития, конференции (посещения или самостоятельные выступления), курсы и тренинги