Главный специалист (процесс безопасной разработки) Отдел технической защиты информации

В 2022 году Московской бирже исполнилось 30 лет. Мы появились вместе с современной Россией и за эти годы с нуля создали рынок инвестиций.

Сегодня миллионы людей и тысячи компаний доверяют нам и пользуются нашей инфраструктурой.

• Ежедневно на наших торговых платформах совершаются миллионы транзакций в минуту – без задержек, без перебоев.
• Мы храним в депозитарии цифровые записи о каждом активе, который торгуется на бирже.
• Мы следим за тем, чтобы все операции соответствовали правилам торгов и требованиям регуляторов.

А еще мы активно развиваемся и давно вышли за рамки классического биржевого бизнеса.

• Мы разрабатываем и поддерживаем платформы, которые соединяют финансовые компании и клиентов,
• Мы идем на внебиржевой рынок и создаем на нем удобные сервисы,
• Мы открываем новые возможности для инвесторов, корпораций, банков.
• Мы развиваем финансовую культуру страны.

В #moexteam уже больше 2200 человек: ИТ-специалисты и эксперты по развитию рынков, продуктовые и проектные менеджеры, финансисты и юристы, маклеры и многие другие. Мы разные, но всех нас объединяет общая цель – помочь людям и компаниям управлять деньгами, используя передовые технологии и знания.

В Отделе технической защиты информации открыта вакансия «Главный специалист (процесс безопасной разработки)».

Чем предстоит заниматься:

• Формирование требований по обеспечению информационной безопасности для разрабатываемых информационных систем в рамках процесса разработки программного обеспечения.
• Формирование требований по обеспечению информационной безопасности процесса безопасной разработки и для инструментов разработки.
• Детализация требований по информационной безопасности для команды разработки.
• Моделирование угроз информационной безопасности с учетом контекста информационной системы.
• Идентификация и анализ выявленных недостатков.
• Взаимодействие с архитектором и владельцем продукта по анализу архитектурных решений в проектах безопасной разработки программного обеспечения.
• Проведение контрольных мероприятий выполнения требований информационной безопасности в рамках процессов безопасной разработки программного обеспечения.
• Участие в разработке автоматизированных тест-контролей требований информационной безопасности.
• Подготовка документов по итогам проведения работ.
• Взаимодействие с командами ИТ и командами разработки ПО

• Высшее техническое (предпочтительно в области информационной безопасности)
• Понимание основных тактик, используемых атакующими.
• Понимание техник проведения анализа защищенности информационных систем.
• Понимание формирования векторов атак на целевые системы.
• Опыт работы с системами класса SAST, DAST, с системами обеспечения ИБ для микросервисной архитектуры (kubernetes), с системами класса Vulnerability scanner.
• Опыт создания исходного кода (С, С++, С#, Java, JavaScript, Python).
• Опыт проведения code review с целью выявления недостатков ИБ.
• Опыт написания фаззинг-тестов или постановки задач на разработку таких тестов.
• Понимание принципов построения систем защиты информации.
• Понимание принципов защиты приложений и WEB-приложений в частности.
• Понимание принципов нормативного регулирования в области информационной безопасности.
• Опыт разработки функциональных и технических заданий на реализацию требований по информационной безопасности.
• В качестве плюса: опыт участия в проектах по ГОСТ 15408.