Application Security Engineer (AppSec)

Гибрид/офис. Работа из Екатеринбурга.

Задачи:

• Определение угроз безопасности информации и модели нарушителя, обоснование необходимости и выбор средств обеспечения информационной безопасности (ИБ);

• Разработка проектной и рабочей документации по платформенным решениям и компонентам ИТС в части реализации функций обеспечения ИБ;

• Рассмотрение и согласование проектной и рабочей документации на предмет соответствия установленным требованиям ИБ;

• Участие в разработке архитектуры систем защиты, разработка мер защиты информации для автоматизируемых бизнес-процессов совершения и сопровождения операций на финансовых рынках, переводов денежных средств, обработки защищаемой информации и т.д.;

• Подготовка программы и методики тестирования, тест-кейсов для автоматического тестирования функций подсистемы ИБ;

• Проведение оценки защищенности прикладных платформ, компонентов ИТС, включая тестирование на проникновение и выявление известных уязвимостей;

• Контроль и консультация разработчиков и тестировщиков программного обеспечения в вопросах, связанных с ИБ, обеспечением необходимого уровня защиты в процессе развития и сопровождения платформенных решений и компонентов ИТС.

Наши ожидания от кандидата:

• Высшее техническое образование (оконченное);

• Знание федеральных законов и подзаконных актов, нормативных документов в области ИБ;

• Понимание технологий и принципов построения систем защиты информации;

• Знание актуальных угроз ИБ и уязвимостей приложений, методов защиты информации и минимизации рисков реализации угроз и эксплуатации уязвимостей;

• Понимание жизненного цикла разработки программного обеспечения (в том числе разработки безопасного программного обеспечения);

• Опыт в разработке проектной, технической, рабочей документации в части реализации функций обеспечения ИБ;

• Опыт подготовки программы и методики тестирования, тест-кейсов для автоматического тестирования функций подсистемы ИБ;

• Опыт участия в тестировании, приемках автоматизированных систем и программных комплексов. Приветствуется знание лучших российских и мировых практик и стандартов ИБ.

Будет плюсом: навыки организации безопасной разработки программного обеспечения (DevSecOps, SSDLC), знание технологий виртуализации и контейнеризации, базовые знание ЯП (Java, JS, Python), опыт работы с инструментами CI/CD, системами управления конфигурациями (SaltStack, Ansible), инструментами хранения и управления секретами (HashiCorp Vault).

Мы предлагаем:

• Получение действительно уникального опыта в мегарегуляторе, участие в деятельности, которые напрямую или косвенно затрагивает весь финансовый рынок России;
• Возможности для профессионального развития и развитую корпоративную и ИТ-культуру: наставничество, обучение в Университете Банка России, профессиональные клубы, конференции, сильная команда руководителей и коллег;
• Использование собственных средств коллективной работы (свой портал видео-конференц связи, собственная среда разработки и т.п.);
• Работу в сбалансированных и полнофункциональных командах. Стабильность при постоянном развитии;
• Широкий социальный пакет: компенсация релокации, ДМС, увеличенный отпуск, возможности для отдыха по льготным ценам в собственных санаториях от Камчатки до Калининграда, яркие корпоративные мероприятия, активная спортивная жизнь внутри Банка России и многое другое

Ждем Ваш отклик!