Специалист по безопасности ИТ-продуктов

Направляем энергию в дело. Мы развиваем цифровую платформу сбытового департамента «Газпром нефти», запускаем IT-проекты и совершенствуем клиентский опыт, чтобы скорые приезжали к людям, промышленные предприятия добывали, а люди успевали по своим делам и путешествовали.

Центр информационной безопасности приглашает опытных IT-инженеров по информационной безопасности. Основная задача – повысить уровень безопасности в существующих и создаваемых системах. Выбирайте преимущества и бонусы работы в стабильной компании, реализуйте себя в масштабных проектах.

РОЛЬ И ЗАДАЧИ В КОМАНДЕ:

• Выступать в роли специалиста по информационной безопасности для продуктовых, проектных команд.
• Участвовать в проработке новых продуктов, сервисов и изменений в существующих ИТ-системах с точки зрения информационной безопасности.
• Анализировать бизнес-задачи и технические решения на предмет соответствия требованиям ИБ.
• Проводить security review архитектурных и технических решений.
• Формировать и обосновывать требования ИБ к продуктам, API, веб-приложениям, мобильным приложениям, интеграциям и инфраструктурным компонентам.
• Участвовать в threat modeling: выявлять ключевые сценарии атак, критичные активы, доверенные границы и возможные точки компрометации.
• Сопровождать процессы безопасной разработки: от требований и дизайна до тестирования и промышленного запуска.
• Взаимодействовать с командами разработки, архитекторами, аналитиками, DevOps, владельцами продуктов и смежными подразделениями ИБ.
• Помогать в разборе инцидентов информационной безопасности и фрода, связанных с продуктами и ИТ-системами.
• Формировать, систематизировать и тиражировать лучшие практики по Product Security и Application Security.
• Повышать осведомленность продуктовых и инженерных команд в вопросах безопасной разработки и защиты данных.

НЕОБХОДИМЫЕ ОПЫТ И НАВЫКИ:

• Высшее техническое образование.
• Опыт взаимодействия с командами разработки, аналитиками, архитекторами, DevOps и владельцами продуктов.
• Понимание принципов безопасной разработки приложений и типовых этапов SDLC.
• Способность объяснять требования ИБ простым языком и аргументировать решения для технических и бизнес-команд.
• Знание типовых уязвимостей веб-приложений, API, мобильных приложений, операционных систем и прикладного ПО.
• Понимание способов эксплуатации уязвимостей и подходов к их устранению.
• Понимание базовых принципов защиты веб-приложений, API, внешнего периметра и микросервисной архитектуры.
• Понимание принципов работы средств защиты: WAF, IDS/IPS, FW, SIEM, VPN, proxy, DLP, сканеров уязвимостей, антивирусной защиты.
• Знание основ сетевого взаимодействия: TCP/IP, HTTP/HTTPS, TLS, DNS, REST, SOAP, gRPC, WebSocket.
• Понимание базовых механизмов защиты операционных систем Windows/Linux, СУБД, веб-серверов и контейнерных сред.
• Знание современных механизмов аутентификации и авторизации: OAuth 2.0, OpenID Connect, SAML, Kerberos, JWT, MFA.
• Готовность разбираться в новых технологиях и развиваться в направлении Product Security / Application Security.
• Знание стандартов и лучших практик в области ИБ: OWASP, CIS, NIST, ISO 27001, PCI DSS, ГОСТ, РД ФСТЭК, законодательство РФ.

МЫ ПРЕДЛАГАЕМ.

Официальные гарантии:

• Бессрочный трудовой договор.
• Фиксированная часть вознаграждения обсуждается индивидуально.
• Годовое премирование по итогам общих достижений и индивидуального результата.
• ДМС со стоматологией и страхование жизни.

Заботу о сотрудниках:

• Профессиональное развитие в IT-сообществе лидирующей в отрасли компании.
• Корпоративный спорт, командные турниры и забеги.
• Комфортный офис в центре города: капсула сна, лекторий, спортзал, кафе и киноклуб.
• Семейные мероприятия: праздники и спортивные мероприятия на свежем воздухе.
• Поддержка волонтерских инициатив сотрудников, экологичного поведения и участие в благотворительных проектах.

Присоединяйтесь к IT-команде департамента региональных продаж «Газпром нефти»!