Офицер по информационной безопасности

PCI DSS и международные стандарты
● Подготовка компании к сертификации PCI DSS v4.0 Service Provider Level 1.
● Поддержание соответствия требованиям PCI DSS.
● Взаимодействие с внешними QSA-аудиторами.
● Разработка и сопровождение политик и процедур информационной безопасности.
● Поддержание актуальности документации и контроль выполнения требований PCI DSS.
Информационная безопасность платежной инфраструктуры
● Обеспечение безопасности Cardholder Data Environment (CDE).
● Контроль защиты данных держателей платежных карт.
● Контроль применения токенизации, шифрования и сегментации сети.
● Контроль журналирования и мониторинга событий безопасности.
● Проведение регулярных проверок доступа.
Visa / Mastercard
● Обеспечение соответствия требованиям безопасности Visa и Mastercard.
● Работа с Security Bulletins и Security Alerts.
● Контроль выполнения требований VSIP и Mastercard SDP.
● Подготовка материалов для прохождения проверок международных платежных систем.
Криптография и HSM
● Контроль процессов управления криптографическими ключами.
● Организация Key Ceremony.
● Контроль эксплуатации HSM.
● Управление жизненным циклом криптографических ключей.
● Контроль соответствия требованиям PCI PIN Security.
Управление уязвимостями
● Организация процессов Vulnerability Management.
● Контроль устранения выявленных уязвимостей.
● Организация внешних и внутренних Penetration Test.
● Контроль выполнения требований по Patch Management.
Инциденты информационной безопасности
● Разработка и сопровождение Incident Response Plan.
● Расследование инцидентов информационной безопасности.
● Организация реагирования на инциденты.
● Подготовка отчетности руководству.
● Взаимодействие с регуляторами при необходимости.
Управление доступом
● Контроль модели RBAC.
● Проведение регулярных Access Review.
● Контроль применения MFA.
● Контроль процессов onboarding/offboarding пользователей.
Работа с поставщиками
● Проведение оценки безопасности подрядчиков.
● Контроль требований к внешним поставщикам.
● Оценка рисков интеграций.
● Проверка соответствия требованиям информационной безопасности.
Обучение сотрудников
● Организация ежегодного обучения по информационной безопасности.
● Проведение фишинговых тестов.
● Повышение осведомленности сотрудников.
Регуляторное соответствие
● Контроль выполнения требований законодательства Республики Казахстан в области информационной безопасности.
● Подготовка материалов для регуляторов и аудитов.
● Контроль соответствия требованиям по защите персональных данных.

• Обязательные
  ● Высшее образование в области информационной безопасности, информационных технологий или компьютерных наук.
  ● Опыт работы в информационной безопасности не менее 5 лет.
  ● Опыт работы в банковской сфере, финтехе или платежных организациях.
  ● Практический опыт подготовки и прохождения PCI DSS аудита.
  ● Понимание требований Visa и Mastercard.
  ● Опыт взаимодействия с внешними аудиторами.
  ● Знание современных технологий защиты информации.
  ● Опыт построения процессов управления информационной безопасностью.
  ● Английский язык — уверенное чтение технической документации.
  - Будет преимуществом
  ● Опыт работы с HSM.
  ● Опыт работы с 3DS2.
  ● Опыт защиты высоконагруженных платежных систем.
  ● Опыт внедрения ISO/IEC 27001.
  ● Знание требований GDPR.
  -Сертификации
  Преимуществом будут:
  ● CISSP
  ● CISM
  ● PCI ISA
  ● CISA
  ● ISO/IEC 27001 Lead Implementer / Lead Auditor
  ● CEH
  ● OSCP

• 5 на 2
• с 9:00 - 18:00