Ведущий эксперт DevSecOps

Обязанности:

- стандартизация подходов к применению практик application security (на основе BSIMM, OWASP SAMM);

- обследование процессов жизненного цикла разработки ПО в рамках проектов, определение степени соответствия требованиям и общепринятым практикам;

- определение целевого состояния процессов безопасной разработки и стратегии внедрения практик appsec;

- разработка документации, определяющей требования к реализации процессов безопасной разработки ПО и применению инструментальных средств;

- анализ и формирование требований по информационной безопасности к разрабатываемому ПО, моделирование угроз ИБ для разрабатываемого ПО;

- участие в анализе защищенности разрабатываемого ПО;

- методологическая поддержка внедрения инструментов SAST / DAST / SCA и др.;

- консультирование по применению практик и рекомендаций в области безопасной разработки ПО;

- участие в разработке обучающих материалов по направлению.

Требования:Компетенции:

- высшее образование в области информационной безопасности/информационных технологий или переподготовка по соответствующим курсам (не менее 500 аудиторных часов);

- релевантный опыт работы по предметной области не менее 2-х лет;

- знание практик Application Security (BSIMM, OWASP SAMM и пр.);

- понимание уязвимостей OWASP Top-10 и способов их эксплуатации;

- понимание принципов CI/CD, работы средств контроля безопасности в процессах разработки ПО;

- практический опыт разработки документации различного уровня (политики, регламенты и т.д.);

- опыт проведения интервью, анализа технической документации и оценки соответствия требованиям;

- английский язык на уровне не ниже B1 (возможность чтения текста стандартов и других руководящих документов с листа).

Личные качества:

- желание постоянно развиваться, получать новые знания и опыт (в том числе, в смежных областях);

- ответственность, готовность самостоятельно выстраивать свое рабочее пространство и планировать свой рабочий день;

- грамотная письменная и устная речь;

- умение аргументировать свою позицию;

- инициативность;

- внимание к деталям;

- готовность делиться опытом и знаниями.

Преимуществами являются:

- опыт в разработке ПО;

- опыт работы с k8s, знание подходов к обеспечению безопасности в среде контейнеризации;

- опыт работы с инструментами SAST / DAST / SCA.

Эта работа для Вас, если Вы:

- готовы постоянно получать новые знания и опыт, развивать профессиональные компетенции;

- видите за нормативными документами реальные процессы организации и стоящие перед ней цели и задачи;

- готовы много работать с нормативными документами - читать, писать, предлагать правки и работать по замечаниям, доводить документы до совершенства;

- уделяете должное (но не избыточное) внимание деталям, тонкостям определений и формулировок - понимаете или готовы разбираться, в чем разница между "effectiveness" и "efficiency", между "корректирующим действием" и "коррекцией" и т.д.

- любите работать самостоятельно, без избыточного контроля со стороны руководителя;

- хотите сделать окружающий мир чуточку лучше :)

Условия:

- мы являемся аккредитованной ИТ компанией;

- оформление по ТК РФ (трудовой договор);

- удаленная работа, за исключением встреч с Заказчиками и командировок (командировки по РФ и за рубежом ~ до 10% времени в год);

- гибкий график работы - Вы сами выстраиваете свой рабочий день;

- возможности для постоянного совершенствования навыков и знаний, обучения и профессиональной сертификации;

- молодой профессиональный коллектив, минимум бюрократии;

- испытательный срок – 3 месяца;

- офис г.Москва, Преображенская площадь, 8 (Вы можете использовать его как рабочее место по своему усмотрению, но регулярное посещение офиса не требуется);

- размер вознаграждения обсуждается индивидуально с успешными кандидатами.