Специалист по безопасной разработке ПО

Специальный Технологический Центр (ООО СТЦ) работает с 2001 года и является одним из ведущих предприятий в сфере разработки программного обеспечения, защиты информации, производства средств радиоконтроля и радиомониторинга. ООО «СТЦ» — крупное производственное предприятие оборонно-промышленного комплекса, официально входящее в реестр аккредитованных IT-компаний.

Мы ищем специалиста, который поможет выстроить процессы безопасной разработки ПО с учетом требований ФСТЭК, ГОСТ Р 56939-2024 и подготовки ПО по 4 уровню доверия. Нам нужен специалист, который понимает жизненный цикл разработки ПО, требования к безопасной разработке, работу с уязвимостями, анализаторами кода и сторонними компонентами.

Основные задачи:

• Проанализировать текущие процессы разработки, тестирования, сборки, поставки, внедрения и сопровождения ПО;
• Определить применимые требования ФСТЭК и ГОСТ Р 56939-2024 к ПО и процессам разработки;
• Выстроить процесс безопасной разработки ПО: от анализа требований и проектирования до релиза, эксплуатации и сопровождения;
• Организовать применение SAST, DAST, SCA, анализа зависимостей, контроля секретов и других инструментов проверки безопасности;
• Настроить работу с результатами проверок: анализ срабатываний, приоритизация, постановка задач, контроль устранения уязвимостей и повторная проверка после исправлений;
• Организовать порядок выявления, учета, анализа и устранения уязвимостей в ПО;
• Определить требования к безопасному проектированию, программированию, тестированию, сборке, поставке и развертыванию ПО;
• Определить порядок работы со сторонними компонентами, библиотеками и open-source-зависимостями;
• Подготовить регламенты, инструкции, чек-листы, отчеты и другие материалы, подтверждающие выполнение требований;
• Взаимодействовать с разработчиками, аналитиками, тестировщиками, DevOps, сопровождением, ИБ и заказчиками.

Требования:

• Опыт в ИБ, безопасной разработке ПО или анализе защищенности ПО;
• Понимание требований ФСТЭК и ГОСТ Р 56939-2024;
• Понимание требований к ПО, которое применяется в ГИС, ИСПДн, ЗОКИИ, АС/АСУ и других информационных системах;
• Знание жизненного цикла разработки ПО и понимание, как встроить в него проверки безопасности;
• Понимание назначения SAST, DAST, SCA, анализа зависимостей и контроля секретов;
• Умение работать с результатами анализаторов кода и зависимостей;
• Понимание основных классов уязвимостей ПО и подходов к их выявлению;
• Умение выстраивать процесс учета, анализа, устранения и повторной проверки уязвимостей;
• Умение переводить требования ФСТЭК в понятные правила, задачи и документы для команды разработки;
• Опыт взаимодействия с разработчиками, DevOps, ИБ, руководителями и заказчиками.

Будет плюсом:

• Опыт внедрения РБПО или DevSecOps-практик;
• Опыт подготовки ПО к сертификации по требованиям ФСТЭК;
• Опыт внедрения SAST/DAST/SCA-инструментов;
• Опыт работы с ПО для ГИС, ИСПДн, ЗОКИИ, АС/АСУ;
• Опыт подготовки материалов для государственных заказчиков, проверок и сертификации.

Условия:

• Стабильная работа на крупном предприятии оборонно-промышленного комплекса с 25-летней историей в команде опытных специалистов;
• Официальное оформление согласно ТК РФ, белая заработная плата;
• ДМС со стоматологией по окончании испытательного срока;
• Частичная компенсация затрат на спортивные абонементы;
• Возможность повышать свой профессиональный уровень, участвовать в конференциях и проходить обучения за счёт компании;
• Поддержка сотрудников в радостных и сложных жизненных ситуациях (материальная помощь);
• Проведение для сотрудников карьерных мероприятий (экскурсий, интеллектуальных и спортивных состязаний и т.д.);
• Перспективы карьерного роста и самореализации: мы растим и повышаем специалистов в рамках компании
• Большой комфортный офис в Брянске или полностью удаленная работа;
• Гибкий график;
• Чай / кофе + отдельное помещение-столовая.

Предоставляется право на получение отсрочки от призыва на военную службу (для военнообязанных) (в соответствии с Постановлением правительства №1725 от 30.09.2022)

Уважаемый соискатель, обращаем Ваше внимание, что рассмотрение Вашего резюме не может расцениваться как приглашение на работу или гарантию последующего трудоустройства.