Ведущий специалист/специалист по безопасности приложений

компания "группа компаний пик" пик — крупнейший в россии застройщик. наши it-проекты и иб-проекты касаются всей деятельности пик: производства материалов, проектирования домов, строительства, девелопмента, финансов и экономики, закупок и продаж. мы разрабатываем системы, сайты, мобильные приложения, боты и хранилища данных, которые помогают нашим коллегам создавать самые лучшие дома. мы начинаем крупный проект по трансформации и развитию информационной безопасности в гк пик, поэтому сейчас мы ищем в команду специалистов по безопасности приложений задачи: аудит и обеспечение безопасности существующих бизнес-систем, приложений и сервисов, а также соответствующих бизнес-процессов компании; построение процессов безопасной разработки в смежных подразделениях (appsec, devsecops); формирование и контроль исполнения технических требований безопасности при разработке и внедрении по; применение средств статического и динамического анализа кода, обработка результатов; настройка и администрирование систем защиты веб-приложений (waf, api gateway и т.п.); сопровождение внешних тестов на проникновение (pentest) и bug bounty; обеспечение безопасности данных при их хранении, передаче и обработке; управление и контроль устранения уязвимостей и угроз в приложениях и инфраструктуре; участие в разработке регламентов, политик и правил иб. мы ожидаем: знание принципов и подходов разработки программного обеспечения (agile, devops); знание принципов безопасной разработки и опыт их применения; знание современных угроз и уязвимостей иб, а также методов и технологий защиты информации; знание стандартов и лучших практик по обеспечению иб приложений и систем (owasp, cis, nist, фстэк); понимание архитектуры и работы web-серверов и приложений (клиент-серверные протоколы, rest/soap api, sql/nosql базы данных, микросервисная архитектура и пр.); общее понимание технологий виртуализации и контейнеризации, облачных сервисов; общее понимание работы корпоративных информационных систем и сервисов (ad, email, file storages, web-portals); умение пользоваться системами автоматизации типа sast/dast; понимание принципов работы ос (linux/windows); знание каких-либо скриптовых языков (python/bash/powershell и пр.); знание систем контроля версий (git, gitflow); ответственность, результативность, творческий подход, целеустремленность, внимательность к деталям, стремление к развитию. будет плюсом: высшее образование в области ит/иб; опыт проведения тестов на проникновение, участия в ctf; навыки программирования на каком-либо из языков; опыт обеспечения безопасности сетевой и серверной инфраструктуры (cisco, windows server, linux); знание принципов компьютерной и сетевой безопасности, безопасности web-приложений, devsecops. условия: возможность для быстрого роста и развития вместе с командой; пятидневный график работы; собственный портал обучения; электронная библиотека; оформление по тк рф; программа лояльности.