Руководитель группы безопасной разработки ПО

Сейчас мы находимся в поисках Руководителя группы безопасной разработки программного обеспечения в связи с расширением направлений деятельности компании в области защиты информации.

Что нужно будет делать:

• Разработка, внедрение и развитие процессов безопасной разработки в компании;
• Руководство группой: постановка задач, контроль выполнения, развитие сотрудников.
• Формирование и актуализация нормативной и методической документации по безопасной разработке;
• Организация и проведение аудитов процессов разработки на соответствие требованиям ИБ;
• Контроль выполнения требований безопасной разработки в командах разработки;
• Внедрение и сопровождение инструментов безопасной разработки: статический анализ (SAST), динамический анализ (DAST), композиционный анализ (SCA), фаззинг и др.;
• Организация процессов управления уязвимостями (выявление, анализ, приоритизация, контроль устранения);
• Взаимодействие с командами разработки, архитектуры и тестирования по вопросам ИБ;
• Участие в формировании требований ИБ к ПО и устройствам;
• Участие в подготовке продукции к сертификации/аттестации по требованиям ИБ (в части процессов разработки);
• Участие в расследовании инцидентов ИБ, связанных с разработкой ПО;
• Обучение и консультирование разработчиков по вопросам безопасной разработки.

Пожелания к специалисту:

• Оконченное высшее техническое образование (желательно профильное в области ИБ, информационных технологий, программной инженерии или смежных направлений);

• Опыт работы в сфере БРПО от 3 лет;

• Знание принципов и практик безопасной разработки ПО;
• Знание методологий организации безопасной разработки (BSIMM, OWASP SAMM), методов анализа защищённости ПО (статический, динамический анализ, фаззинг и др.) и инструментов анализа;
• Знание и понимание законодательства РФ и стандартов в области безопасной разработки;
• Знание архитектуры программного обеспечения и жизненного цикла разработки ПО;
• Знание основных классов уязвимостей и принципов управления уязвимостями;
• Знание основ CI/CD и интеграции инструментов безопасности, опыт интеграции инструментов безопасности в процессы разработки и CI/CD
• Навыки администрирования Linux, знание скриптовых языков (Python, Bash) и C/C++ (желательно).
• Опыт внедрения и развития процессов безопасной разработки;
• Опыт проведения аудитов процессов разработки;
• Опыт анализа уязвимостей и формирования рекомендаций по их устранению;
• Опыт разработки руководств и регламентов по процессам безопасной разработки;
• Опыт работы с инструментами SCA, SAST, DAST.

Что мы предлагаем:

• Оформление по ТК РФ с первого дня. У нас всё по закону, прозрачно и честно,
• Достойную заработную плату, которая складывается из оклада, квартальных и годовых премий,
• Профессиональную команду, которая поддержит, объяснит и поможет в адаптации,
• Интересные и сложные задачи,
• Гибкие начало/конец рабочего дня,
• Передовые технологии,
• Возможности для саморазвития: тренинги, конференции, обучение, профессиональная литература,
• Активности вне работы. Мы устраиваем походы, сплавы, вечеринки, спортивные мероприятия,
• Заботу о здоровье: ДМС, компенсация спортивного абонемента.