Обязанности: - стандартизация подходов к применению практик application security (на основе BSIMM, OWASP SAMM); - обследование процессов жизненного цикла разработки ПО в рамках проектов, определение степени соответствия требованиям и общепринятым практикам; - определение целевого состояния процессов безопасной разработки и стратегии внедрения практик appsec; - разработка документации, определяющей требования к реализации процессов безопасной разработки ПО и применению инструментальных средств; - анализ и формирование требований по информационной безопасности к разрабатываемому ПО, моделирование угроз ИБ для разрабатываемого ПО; - участие в анализе защищенности разрабатываемого ПО; - методологическая поддержка внедрения инструментов SAST / DAST / SCA и др.; - консультирование по применению практик и рекомендаций в области безопасной разработки ПО; - участие в разработке обучающих материалов по направлению. Требования: Компетенции: - высшее образование в области информационной безопасности/информационных технологий или переподготовка по соответствующим курсам (не менее 500 аудиторных часов); - релевантный опыт работы по предметной области не менее 2-х лет; - знание практик Application Security (BSIMM, OWASP SAMM и пр.); - понимание уязвимостей OWASP Top-10 и способов их эксплуатации; - понимание принципов CI/CD, работы средств контроля безопасности в процессах разработки ПО; - практический опыт разработки документации различного уровня (политики, регламенты и т.д.); - опыт проведения интервью, анализа технической документации и оценки соответствия требованиям; - английский язык на уровне не ниже B1 (возможность чтения текста стандартов и других руководящих документов с листа). Личные качества: - желание постоянно развиваться, получать новые знания и опыт (в том числе, в смежных областях); - ответственность, готовность самостоятельно выстраивать свое рабочее пространство и планировать свой рабочий день; - грамотная письменная и устная речь; - умение аргументировать свою позицию; - инициативность; - внимание к деталям; - готовность делиться опытом и знаниями. Преимуществами являются: - опыт в разработке ПО; - опыт работы с k8s, знание подходов к обеспечению безопасности в среде контейнеризации; - опыт работы с инструментами SAST / DAST / SCA. Эта работа для Вас, если Вы: - готовы постоянно получать новые знания и опыт, развивать профессиональные компетенции; - видите за нормативными документами реальные процессы организации и стоящие перед ней цели и задачи; - готовы много работать с нормативными документами - читать, писать, предлагать правки и работать по замечаниям, доводить документы до совершенства; - уделяете должное (но не избыточное) внимание деталям, тонкостям определений и формулировок - понимаете или готовы разбираться, в чем разница между "effectiveness" и "efficiency", между "корректирующим действием" и "коррекцией" и т.д. - любите работать самостоятельно, без избыточного контроля со стороны руководителя; - хотите сделать окружающий мир чуточку лучше :) Условия: - мы являемся аккредитованной ИТ компанией; - оформление по ТК РФ (трудовой договор); - удаленная работа, за исключением встреч с Заказчиками и командировок (командировки по РФ и за рубежом ~ до 10% времени в год); - гибкий график работы - Вы сами выстраиваете свой рабочий день; - возможности для постоянного совершенствования навыков и знаний, обучения и профессиональной сертификации; - молодой профессиональный коллектив, минимум бюрократии; - испытательный срок – 3 месяца; - офис г.Москва, Преображенская площадь, 8 (Вы можете использовать его как рабочее место по своему усмотрению, но регулярное посещение офиса не требуется); - размер вознаграждения обсуждается индивидуально с успешными кандидатами.
Адрес
Москва