Специалист по кибербезопасности

«КОНСИСТ БИЗНЕС ГРУПП» - российский вендор, разрабатывающий собственную линейку тиражных решений ТУРБО для управления предприятиями по направлениям ERP, EAM, EPM и др.

Мы и наши реселлеры-интеграторы работаем с корпоративными заказчиками – крупнейшими российскими предприятиями и организациями.

Обязанности:

• Развитие и автоматизация процессов защищенной разработки (SSDLC);
• Анализ и разработка требований к продукту в части ИБ;
• Настройка инструментальных средств анализа уязвимостей и проверок безопасности (SAST, DAST, Fuzzing, SCA), повышение эффективности их работы;
• Проверка исходного кода программ с применением специализированных инструментов для выявления ошибок и уязвимостей (AppScreener);
• Проведение динамического анализа и фаззинг-тестирования web-приложений (OWASP ZAP);
• Применение инструментов контроля Open Source компонентов (OSA/SCA);
• Разбор результатов работы средств статического анализа и средств динамического анализа (проверка, приоритизация, корреляция выявляемых дефектов, поиск решений для их устранения);
• Оформление отчетов по проведенным анализам;
• Моделирование угроз безопасности продукта и определение поверхности атаки;
• Разработка плана и механизмов устранения выявленных уязвимостей;
• Консультирование команды разработки по вопросам безопасности и практикам написания безопасного кода, помощь разработчикам в устранении выявленных уязвимостей и ошибок в коде;
• Взаимодействие с командой DevOps-инженеров по вопросам автоматизации сценариев применения инструментов SAST и DAST, интеграции средств анализа в процессы CI/CD;
• Участие в сертификации решения в своей зоне ответственности. Взаимодействие с лабораториями и регулятором;
• Участие в разработке процессов информационный безопасности направленных на снижение рисков ИБ в качестве технического эксперта;
• Внедрение и поддержка инструментов защиты внутренней инфраструктуры;
• Формирование внутренних нормативных документов для сертификации решения и документов в части РБП.

• Понимание и опыт внедрения современных процессов и практик безопасной разработки: SDLC/SSDLC, DevSecOps;
• Опыт проведения ручного и автоматизированного анализа безопасности кода приложений с использованием решений SAST/DAST, включая разбор результатов анализа, фильтрацию ложных срабатываний и выдачу рекомендаций по устранению найденных уязвимостей;
• Умение анализировать CVE/CWE/CVSS;
• Понимание основных угроз (OWASP Top-10) и недостатков ПО (CWE Top-25), знание методов противодействиям им;
• Умение читать и выявлять ошибки в коде;
• Опыт работы со сканерами уязвимостей;
• Опыт работы с Git, GitLab (или аналогами);
• Понимание ОС *NIX, сетевых технологиях и протоколах (TCP/IP, DNS, маршрутизация, DHCP, NAT, proxy, принципы работы межсетевых экранов);
• Знание нормативных актов в области ИБ и РБПО, руководящих документов ФСТЭК по сертификации СЗИ.

Будет плюсом:

• Опыт построения CI/CD с использованием DevSecOps-продуктов;
• Практический опыт проведения анализа защищённости веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC);
• Опыт тестирования REST API;
• Опыт применения руководящих документов ФСТЭК по сертификации СЗИ и РБПО;
• Опыт работы в построении безопасной инфраструктуры;
• Умение автоматизировать рутинные задачи при помощи bash, python.

• Удаленный, гибридный или офисный формат работы (в городах присутствия);
• Предусмотренные законодательством гарантии: льготы для сотрудников Консист Бизнес Групп как аккредитованной ИТ-компании;
• Гибкое начало рабочего дня (по согласованию с руководителем);
• Подключение к ДМС после трёх месяцев работы в компании, включая стоматологию и безлимитный доступ к психологическому и юридическому консультированию;
• Персональную скидочную карту сотрудника: до 40% в магазинах re:Store, Samsung, STREET BEAT, Hiker (The North Face), Мир кубиков, UNOde50;
• Возможность брать отгул по болезни - 3 дня в году без оформления больничного;
• Обучение: корпоративный университет, электронная библиотека, вебинары с внешними и внутренними экспертами, центр карьерного консультирования;
• Профильное обучение и сертификация.