DevSecOps\Ведущий специалист по информационной безопасности

Наш заказчик — крупная биржевая структура. В рамках проекта реализуется пользовательский терминал для участия в электронных торгах с подсистемами аналитики и доступа к биржевым данным. В настоящее время Терминал состоит из двух частей:

серверная часть – набор сервисов, обеспечивающих авторизацию и доступ к данным, а также взаимодействие с внешними системами и сервисами. Сервисы выполняются под управлением Linux/РЕДОС;

клиентская часть – кросс-платформенное приложение для ПК, представляющее собой централизованное рабочее место, которое позволяет в едином окне получить доступ к различным биржевым сервисам — как сотрудникам заказчика, так и его клиентам.

В 2026 году запланировано начало реализации торгового web-терминала, аналога имеющегося приложения для ПК.

Также разрабатывается и поддерживается несколько web-консолей с соответствующими backend-сервисами для общего администрирования и управления профилями пользователей. 

• разработка и поддержка организационно-распорядительных документов (ОРД) в рамках функционирования системы обеспечения информационной безопасности, разработка локальных нормативных документов: политик, регламентов, процедур;

• мониторинг применимых внешних нормативных и отраслевых требований безопасности;

• инвентаризация и контроль эффективности процессов обеспечения безопасности ПО;

• подготовка ответов: на запросы регуляторов, аудиторов и контрагентов по вопросам обработки информации, информационных технологий и защиты информации;

• своевременное обновление, доработка или разработка новых процессов безопасности взамен неэффективных;

• формирование беклога задач по устранению проблем безопасности для команд Разработки, Администрирования, DevOps, Эксплуатации, ИБ заказчика;

• ведение документации по разработке и внедрению организационных и технических мер по обеспечению безопасности, в том числе с учетом требований ОУД4;

• формирование модели угроз, поддержка соответствующей проектной и рабочей (эксплуатационной) документации;

• организация и обеспечение коммуникации с заинтересованными сторонами для обмена информацией о безопасности программного обеспечения;

• мониторинг изменений кода программного обеспечения для своевременного обнаружения и реагирования на несанкционированные попытки вмешательства в код или доступа к нему;

• мониторинг и управление уязвимостями ИТ-инфраструктуры;

• реагирование на инциденты безопасности ИТ-инфраструктуры;

• участие в тестировании продукта на уязвимости (включая статический и динамический анализ кода);

• контроль резервного копирования и восстановления данных в инфраструктуре разработки;

• контроль защищённости сред разработки и тестирования;

• контроль и управление доступами к информационным системам компании;

• периодическое обучение сотрудников по тематике ИБ.

• опыт работы в области информационной безопасности от 4-х лет;

• актуальные знания типов уязвимостей ПО и инфраструктуры;

• практический опыт инструментального поиска уязвимостей ПО и ИТ-инфраструктуры;

• опыт самостоятельного ведения активностей по ИБ;

• знание процессов и механизмов обеспечения ИБ: сеть, веб-, ОС, базы данных, облачные инфраструктуры;

• знание TCP/IP на уровне понимания работы сетевых протоколов;

• уверенное владение Linux (bash, systemd, iptables);

• знание принципов работы прикладных протоколов (DNS, HTTP и др.);

• знание категорий кибератак и методов защиты (сетевые, вирусные, фишинг, социальная инженерия, DDoS).

• опыт проведения или анализа результатов тестов на проникновение;

• практика внедрения систем защиты контроля привилегированных пользователей (NGFW, IPS, WAF, DPI, PAM);

• навыки работы со сканерами уязвимостей (Qualys, Acunetix, Nessus, Invicti, MaxPatrol и др.);

• опыт программирования;

• опыт DevOps;

• опыт сетевого администрирования;

• опыт расследования инцидентов ИБ;

• опыт проектирования и внедрения систем защиты информации;

• наличие лицензии/опыта работы в лицензиате ФСТЭК или ФСБ.