Руководитель направления Application Security (Екатеринбург)

Чем предстоит заниматься:

• Руководить командой AppSec-инженеров: распределять задачи, контролировать сроки и качество выполнения работ;
• Развивать процессы безопасной разработки и внедрять практики DevSecOps в команды разработки;
• Формировать и сопровождать процессы безопасной разработки на всех этапах жизненного цикла ПО;
• Участвовать в проектировании архитектуры ИТ-решений с учетом требований информационной безопасности;
• Встраивать инструменты автоматизированного анализа безопасности в CI/CD-пайплайны;
• Организовывать процессы SAST, DAST, SCA, secrets scanning, container scanning и IaC scanning;
• Разрабатывать и совершенствовать стандарты безопасной разработки, методики и внутренние регламенты;
• Проводить анализ архитектурных решений, технических заданий и требований в части обеспечения ИБ;
• Взаимодействовать с командами разработки, инфраструктуры, эксплуатации и ИБ по вопросам безопасного внедрения сервисов;
• Участвовать в анализе уязвимостей и контролировать устранение выявленных уязвимостей;
• Оценивать актуальные угрозы безопасности, риски и формировать предложения по их минимизации;
• Выступать техническим экспертом по вопросам DevSecOps и безопасной разработки.

Наши ожидания от кандидата:

• Высшее техническое образование (ИБ, ИТ);

• Понимание принципов работы платформ разработки, управления жизненным циклом программного обеспечения, средств непрерывной разработки и интеграции программного обеспечения, принципов и методологий безопасной разработки;

• Навык работы с различными видами исходных данных об ИТ-решениях (ТЗ, требования, схемы и пр.). Понимание архитектуры распределенных систем и принципов их защиты;

• Знание технологии средств защиты операционных и прикладных систем, СУБД и сетевой инфраструктуры;

• Понимание принципов работы сетей, протоколов безопасности и маршрутизации. Знание встроенных механизмов обеспечения безопасности в Docker и Kubernetes;

• Понимание работы высоконагруженных транзакционных систем и принципов их защиты;

• Знание принципов работы, функций, методов применения систем мониторинга, систем сбора данных и метрик;

• Умение выявлять уязвимости, классифицировать и оценивать актуальные угрозы информационной безопасности ИТ-решений.

• Опыт настройки и сопровождения CI/CD-инструментов (GitLab CI, Jenkins, TeamCity, GitHub Actions или аналогов);
• Понимание принципов работы микросервисной и распределенной архитектуры;
• Знание подходов к защите API, веб-приложений и высоконагруженных систем;
• Практический опыт работы с инструментами SAST/DAST/SCA и анализом уязвимостей;
• Навыки анализа архитектурной документации, схем и технических требований;
• Умение выстраивать взаимодействие с командами разработки и инфраструктуры;
• Системное мышление, лидерские навыки и способность принимать технические решения;
• Знание нормативной базы в области информационной безопасности.

Мы предлагаем:

• Компенсация релокации в Екатеринбург. Офис в центре города;
• Получение действительно уникального опыта в мегарегуляторе, участие в деятельности, которые напрямую или косвенно затрагивает весь финансовый рынок России;
• Возможности для профессионального развития и развитую корпоративную и ИТ-культуру: наставничество, обучение в Университете Банка России, профессиональные клубы, конференции, сильная команда руководителей и коллег;
• Использование как стандартных средств коллективной работы (Jira, Confluence), так и собственных средств (свой портал видео-конференц связи, собственная среда тестирования и разработки и т.п.);
• Работу в сбалансированных и полнофункциональных командах. Стабильность при постоянном развитии;
• Широкий социальный пакет (увеличенный отпуск, ДМС, возможности для отдыха по льготным ценам в собственных санаториях от Камчатки до Калининграда, подарки детям сотрудников на праздники, активная спортивная жизнь внутри Банка России и многое другое).