Начальник отдела информационной безопасности

Добрый день! Мы активно развиваем ИТ направление, и в связи с этим ищем начальника отдела информационной безопасности.

Обязанности:

1. Стратегическое планирование, управление рисками и ресурсами

• Формирование, защита и реализация стратегии информационной безопасности, синхронизированной с бизнес-стратегией и планами цифровой трансформации холдинга (включая специфику АСУ ТП, IoT).
• Организация процесса идентификации, анализа и оценки рисков ИБ, ведение и актуализация матрицы рисков ИБ.
• Разработка и контроль исполнения плана минимизации рисков с учётом бюджетных ограничений и приоритетов бизнеса.
• Формирование и защита бюджета функции ИБ (OPEX/CAPEX), управление портфелем проектов по внедрению и модернизации средств защиты информации (KSC, DLP, SIEM, IDS/IPS, NGFW).
• Взаимодействие с вендорами и системными интеграторами, курирование тендерных процедур и контроль исполнения контрактов.
• Проведение анализа требований заинтересованных сторон, регуляторов (ФСТЭК, ФСБ, Роскомнадзор) и нормативно-правовых актов РФ, ведение Реестра требований ИБ.
• Организация развития профессиональных компетенций сотрудников отдела, актуализация и утверждение их KPI.

2. Реализация и обеспечение технической защиты

• Разработка, согласование и утверждение документов Системы управления ИБ (политики, регламенты, стандарты, инструкции).
• Разработка, согласование и утверждение политик управления доступом, включая контроль привилегированных учётных записей (PAM).
• Разработка, согласование и утверждение технических заданий и планов внедрения средств защиты информации, контроль их эксплуатации и модернизации.
• Организация процесса управления уязвимостями: утверждение реестров выявленных уязвимостей, планов устранения и контроль сроков закрытия критичных уязвимостей.

3. Оценка соответствия, аудит и мониторинг эффективности

• Планирование, организация и контроль проведения внутренних и внешних аудитов ИБ (ГОСТ Р 57580, СТО БР ИББС, ISO/IEC 2700x, требования ФСТЭК России).
• Организация и контроль проведения тестирований на проникновение (Pentest) и анализа защищённости внешнего периметра и внутренней инфраструктуры.
• Анализ отчётов по мониторингу (SOC), результатов внешних сканирований и аудитов, оценка эффективности технических и организационных мер защиты.
• Сбор, верификация и анализ ключевых показателей эффективности (KPI) процессов ИБ, подготовка сводной аналитической отчётности.
• Проведение анализа по вопросам функционирования Системы управления ИБ (не реже одного раза в год).
• Разработка планов корректирующих и предупреждающих действий по результатам аудитов и инцидентов, контроль их выполнения.

4. Управление инцидентами и обеспечение непрерывности бизнеса (BCP/DRP)

• Организация процесса управления инцидентами ИБ в соответствии с утверждёнными регламентами.
• Оценка критичности инцидента, эскалация и координация реагирования (целевое время реакции — не более одного часа с момента обнаружения критического события).
• Координация взаимодействия с подразделениями ИТ и департаментом безопасности в ходе реагирования.
• Руководство расследованием сложных инцидентов, включая взаимодействие с регуляторами (ГосСОПКА / НКЦКИ, ФСТЭК России).
• Проведение анализа корневых причин (RCA) и контроль внедрения мер по недопущению повторения инцидента.
• Разработка, актуализация и тестирование планов обеспечения непрерывности бизнеса и восстановления после сбоев (BCP/DRP) в части информационной безопасности.

5. Защита персональных данных и взаимодействие с регуляторами (Compliance)

• Определение уровня защищённости персональных данных в информационных системах холдинга.
• Организация разработки и актуализации модели угроз безопасности ПДн.
• Разработка, согласование и утверждение комплекта организационно-распорядительной документации по обработке и защите ПДн, контроль реализации технических и организационных мер защиты ИСПДн.
• Взаимодействие с Роскомнадзором (подготовка уведомлений об обработке ПДн, ответы на запросы субъектов ПДн).
• Координация работ по аттестации объектов информатизации на соответствие требованиям безопасности информации (при необходимости).

6. Развитие культуры информационной безопасности (Awareness)

• Разработка и реализация ежегодной программы повышения осведомлённости сотрудников в области ИБ (включая дистанционное обучение и распределенные бизнес-единицы).
• Организация и контроль проведения инструктажей и тестирования знаний персонала по ИБ.
• Консультирование руководителей структурных подразделений и топ-менеджмента по вопросам применения политик ИБ и управления рисками.

• Высшее образование в области информационных технологий или информационной безопасности.

  Профессиональная переподготовка по направлению информационная безопасность.
• Опыт в сфере ИБ не менее 3-ех лет, включая не менее 2 лет на руководящей должности или в роли ведущего специалиста с управленческими функциями.

• Официальное оформление по ТК РФ;
• Конкурентный уровень заработной платы;
• Полис ДМС;
• Интересные, амбициозные задачи;
• Комфортное рабочее место в современном офисе;
• Дружный коллектив;
• Подарки к праздникам;
• Путевки в детские лагеря.

Откликайтесь, мы будем рады познакомиться!