Аудитор по информационной безопасности

Голд Линк - интегратор систем безопасности и связи. Мы специализируемся на промышленной инфраструктуре. Департамент информационной безопасности активно развивается и мы ищем аудитор по информационной безопасности.

Задачи:

• планировать, организовывать и проводить аудит информационной безопасности на требования законодательства в компаниях различных отраслей;
• оценивать информационные системы на соответствие требованиям законодательства по одному из направлений (152-ФЗ, Приказ №17/21, 187-ФЗ и т.д.);
• проводить аудит систем защиты информации, применяемых мер защиты, бизнес-процессов и процессов управления и обеспечения информационной безопасности;
• проводить оценку рисков и разрабатывать рекомендаций по повышению уровня информационной безопасности инфраструктуры Заказчиков, в соответствии с требованиями законодательства, нормативных документов, стандартов;
• оценивать достаточность или избыточность выбранных ИТ-решений (программное и аппаратное обеспечение, организационные меры);
• проводить категорирование объектов критической информационной инфраструктуры;
• разрабатывать модель угроз информационной безопасности (в первую очередь по актуальной Методике ФСТЭК РФ);
• участвовать в разработке проектной и технической документации в рамках своей компетенции;
• разработка комплекта ОРД по ИБ для систем заказчика (акты категорирования, регламенты, политики, инструкции по эксплуатации СЗИ);
• участвовать в подготовке технических заданий на работы в рамках своей компетенции;
• обоснование перед Заказчиком выбранных архитектурных решений и наложенных СЗИ с точки зрения выполнения требований ФЗ и приказов регуляторов (маппинг технических мер на нормативку);
• участие во взаимодействии со ФСТЭК (написание запросов, консультации) для уточнения регуляторных требований и трактовки «серых зон» законодательства в рамках проектов.

Что мы ожидаем:

• глубокое знание профильного законодательства и нормативно-методической базы в области ИБ:
  1. Федеральные законы: 152-ФЗ (о персональных данных), 187-ФЗ (о безопасности КИИ), 149-ФЗ (об информации, ИТ и защите информации);
  2. Постановления Правительства РФ: № 1119 (требования к защите ПДн) и № 127 (правила категорирования объектов КИИ);
  3. Приказы ФСТЭК России: № 117 (ГИС), № 21 (ПДн), № 31 (АСУ ТП), № 235 и № 239 (КИИ);
  4. базовые руководящие документы: СТР-К (Специальные требования и рекомендации по технической защите конфиденциальной информации) и серия Руководящих документов (РД) Гостехкомиссии/ФСТЭК по защите автоматизированных систем (АС) от НСД;
  5. методология регулятора: актуальные методические документы ФСТЭК России по моделированию угроз и оценке уязвимостей;
  6. государственные стандарты: ГОСТ 34, 21 и 24 серии в части разработки, структурирования и оформления проектной и организационно-распорядительной документации.
• знание продуктов на рынке информационной безопасности, основных вендоров и средств защиты информации;
• знание технологий обеспечения информационной безопасности, передового отечественного и зарубежного опыта и их применения на практике;
• понимание принципов построения современных ИТ-инфраструктур (виртуализация, сети, СУБД) для корректной оценки применимости мер защиты и написания релевантных моделей угроз;
• навыки структурированного изложения мыслей, опыт самостоятельной разработки ОРД, моделей угроз и разделов проектной документации;
• высшее образование в области защиты информации либо высшее техническое образование и диплом о переквалификации в области защиты информации;
• опыт работы в лицензиате ФСТЭК на позициях связанных с защитой информации от 3 лет;
• готовность к командировкам.

Мы предлагаем:

• соблюдение трудового законодательства РФ;
• конкурентная заработная плата (обсуждается по итогам технического собеседования);
• годовые бонусы по итогам работы;
• ежегодная индексация;
• гибкое начало дня;
• офис класса А+ в современном бизнес-центре с фитнес-залом и фудкортом;
• профессиональное обучение и участие в профильных мероприятиях;
• дополнительные дни отдыха для мам с детьми и доноров крови.