Москва
Обязанности:
- Формирование культуры DevSecOps в Банке - Sec должен стать неотъемлемой частью планирования, разработки и эксплуатации;
- Фомирование правил и подходов, обеспечивающих безопасность (OWASP DevSecOps guideline):
Кода (Custom Code Security);
Цепочек поставок (Supply Chain Security);
Среды исполнения (Runtime Protection);
- Построение процесса анализ состава программного обеспечения (SCA,SBOM);
- Внедрение инструментов и процессов анализа уязвимостей и угроз (SAST, DAST);
- Сотрудничество с командами разработки, эксплуатации, безопасности в части внедрения sec-инструментов;
- Участие в расследовании инцидентов информационной безопасности.
Требования:
- Разработка требований ИБ для процесса разработки (SDLC), CI/CD-конвейера, инфраструктуры;
- Оценка уровня безопасности текущего процесса разработки и формирование рекомендаций по повышению уровня зрелости;
- Написание методических требований/рекомендаций по встраиванию AppSec инструментов в цикл разработки/эксплуатации;
- Участие в конфигурировании ИБ-инструментов с последующим встраиванием их в процесс разработки (SDLC);
- Реализация автоматизированных проверок требований безопасности контейнерных сред/приложений и консультация команд по устранению замечаний со стороны безопасности;
- Активное участие в разработке ИТ и ИБ стратегий;
- Реализация требований PCI DSS для в части взаимодействия приложений с карточным центром;
- Разработка харденинг-шаблонов для kubernetes кластеров, согласно требованиям по безопасности информации к средствам контейнеризации от ФСТЭК (6 класс);
- Контроль за реализацией принципа минимальных привилегий;
- Аудит и корректировка сетевых политик в kubernetes кластерах;
- Построение процесса работы с уязвимостями (отслеживание, планирование изменений, выдержка срока устранения);
- Участие в процессе обновления (переход на свежие версии) всех компонентов SDLC (в т.ч. инфраструктурных);
- Разработка пороговых значений Quality gates в статических анализаторах кода, разработка политик;
- Участие во внедрении механизма подписи образов и проверке подписи при деплое.
Что мы предлагаем:
- Достойный уровень заработной платы (по итогам технического интервью);
- Работа в аккредитованной IT компании;
- Сотрудничество: ТК РФ, ИП, ГПХ;
- ДМС, расширенные возможности стандартного социального пакета;
- Корпоративный абонемент на фитнес и курсы английского языка;
- Командная работа по гибким методологиям;
- Реферальная система «Приведи друга – получи бонус»;
- Удалённый формат работы из любой точки.