Аналитик информационной безопасности (Appsec/devsec)

В 2022 году Московской бирже исполнилось 30 лет. Мы появились вместе с современной Россией и за эти годы с нуля создали рынок инвестиций.

Сегодня миллионы людей и тысячи компаний доверяют нам и пользуются нашей инфраструктурой.

• Ежедневно на наших торговых платформах совершаются миллионы транзакций в минуту – без задержек, без перебоев.
• Мы храним в депозитарии цифровые записи о каждом активе, который торгуется на бирже.
• Мы следим за тем, чтобы все операции соответствовали правилам торгов и требованиям регуляторов.

А еще мы активно развиваемся и давно вышли за рамки классического биржевого бизнеса.

• Мы разрабатываем и поддерживаем платформы, которые соединяют финансовые компании и клиентов,
• Мы идем на внебиржевой рынок и создаем на нем удобные сервисы,
• Мы открываем новые возможности для инвесторов, корпораций, банков.
• Мы развиваем финансовую культуру страны.

В #moexteam уже больше 2200 человек: ИТ-специалисты и эксперты по развитию рынков, продуктовые и проектные менеджеры, финансисты и юристы, маклеры и многие другие. Мы разные, но всех нас объединяет общая цель – помочь людям и компаниям управлять деньгами, используя передовые технологии и знания.

Чем предстоит заниматься:

• Аудит и оптимизация Secure SDLC – проанализировать текущие процессы разработки, выявить «узкие места» и построить улучшенные flow‑ы с учётом требований безопасности.
• Внедрение DevSecOps‑инструментов – организовать работу SAST, DAST, SCA, Secret‑Scanning, интегрировать их в CI/CD‑конвейеры, обеспечить автоматический контроль качества кода.
• Secure by Design – участвовать в проектировании архитектуры новых сервисов, внося рекомендации по защите данных и криптографическим механизмам.
• Регуляторное соответствие – контролировать соблюдение внутренних и внешних (ФСБ, ФСТЭК и др.) требований, готовить отчёты, получать заключения ФСБ.
• Защита исходного кода и Supply Chain – проводить регулярный анализ Open‑Source библиотек и компонентов, оценивать уязвимости, лицензии и потенциальные векторы атак; формировать план по их устранению.
• Оценка влияния СКЗИ – проверять, как встраивание средств криптографической защиты влияет на безопасность продукта, документировать результаты.

Мы ожидаем, что у вас

• Опыт ≥ 3‑5 лет в AppSec/DevSecOps
• Практические навыки работы с SAST/DAST/SCA
• Понимание Secure SDLC и умение внедрять его в мульти‑командных проектах.
• Знание регуляторных требований РФ в области ИБ (ФСБ, ФСТЭК, PCI‑DSS, GDPR) и опыт подготовки соответствующей документации.
• Умение проводить Supply‑Chain Security‑оценку: проверка Open‑Source компонентов, оценка CVE, анализ лицензий, построение «exploitability»‑моделей.
• Навыки Secure Architecture: концепции «Zero Trust», «Defense in Depth», криптографические стандарты (СКЗИ, ГОСТ).
• Хорошие коммуникативные способности: взаимодействие с разработчиками, архитекторами и аудиторами, умение доносить технические требования простым языком.