компания "цифра" «цифра» разрабатывает технологии цифровизации промышленности, инвестирует в продукты и развивает среду промышленного интернета вещей и искусственного интеллекта. ключевыми для компании отраслями являются машиностроение, металлургия, горная добыча, нефтегазовый сектор и химическая промышленность. наши продукты используются для учёта движения сырья и материалов, сведения материального баланса, анализа производственных показателей и эффективности производства, автоматизации деятельности заводских лабораторий и т. д., у нас существует полный цикл разработки от анализа потребностей заказчика до внедрения и технической поддержки. в компании существует четкое разделение ролей (есть it-архитекторы, бизнес-аналитики, разработчики, технические писатели и так далее), так что каждый занимается своим делом. чем предстоит заниматься: участвовать в проектах разработки и внедрения в роли security champion как по вопросам appsec, так и в части правовых вопросов внедрения/встраивания в защищённый контур заказчика продуктов компании (в т.ч. на объекты кии); осуществлять экспертизу, проводить оценку состава и объема работ по информационной безопасности при заключении контрактов на разработку и внедрение; оформлять проектную документацию в части описания системы защиты информации продукта (в соответствии с нормами законодательства и подзаконными актами), включающую в том числе ролевую модель и частную модель угроз; взаимодействовать с подрядными организациями по вопросам разработки поиб и сзпдн; защищать технические решения в части вопросов иб перед заказчиком; внедрять безопасные средства и практики в рамках runtime-инфраструктуры (защита контейнерных сред, управление доступом, контроль сессий, инжект секретов и др); моделировать угрозы и формировать требования к безопасности веб-приложений; консультировать разработчиков и контролировать устранение выявленных уязвимостей. что мы ожидаем от кандидата: знание нормативной базы в части защиты информации: законов и иных нормативных правовых актов рф, руководящих документов: фстэк, фсб (в т.ч. на проектах с интеграциями на уровне асутп), коммерческой тайны, pci dss, iso 27xxx; уверенные знания сетевых технологий, протоколов межсетевого взаимодействия, операционных систем (linux, windows), принципов безопасности и средств для их реализации; опыт разработки технической и аналитической документации в части обеспечения защиты информации; глубокое понимание принципов работы современных веб-приложений, процессов ci/cd и безопасной разработки; уверенные знания дефектов (cwe/sans top 25 most dangerous software errors), уязвимостей и рисков безопасности в web-приложениях (owasp top 10), а также способов их обнаружения, обхода и исправления. что будет преимуществом: опыт сопровождения процессов безопасной разработки крупных микросервисных продуктов и on-premise облаков; знание любого языка программирования на уровне достаточном для автоматизации задач; опыт тестирования веб-приложений с использованием различных инструментов (burpsuite, zap, fiddler и т.п.); опыт внедрения и сопровождение sast/dast/sca/asoc, мер ssdlc (ревью архитектур, моделирование угроз и пр.); опыт проведение тестов на проникновение, наличие профильных сертификатов, выступления на sec-конференциях и участия в ctf-соревнованиях. о нас: мы одна из немногих компаний, где существует полный цикл разработки от анализа потребностей заказчика до внедрения и технической поддержки; у нас существует четкое разделение ролей (есть квалифицированные it-архитекторы, бизнес-аналитики и технические писатели), так что тестировщик занимается своими обязанностями; мы готовы обучать тому, чего вы не умеете и учиться у вас тому, что вы знаете лучше нас; у нас все бело-официально, зарплата + квартальная премия, есть дмс и компенсация мобильной связи.
Адрес
Санкт-Петербург