Эксперт по разработке безопасного ПО

ООО «СибКом Цифра» - аккредитованная IT-компания, производитель софта для автоматизации и цифровизации промышленных процессов. Наши решения применяются в металлургии, нефтегазовом секторе, энергетике, химической и нефтехимической промышленности, автопроме, легкой и пищевой промышленности.

Наша разработка – универсальная цифровая платформа КАСКАД ЦИФРА - объединяет в себе комплекс модулей для построения SCADA-систем, БДРВ, PIMS, диспетчерских центров и др.

В нашу команду мы ищем Специалиста по разработке безопасного ПО.

Задачи:

• Проектировать компоненты прикладного ПО, относящихся к СЗКИ (авторизация, аутентификация, ролевая модель, защита данных, встроенные методы шифрования).
• Внедрять процессы безопасной разработки ПО компании (аналитика процессов, разработка метрик, анализ и управление уязвимостями, работа с рисками).
• Реализовывать требования по безопасной разработке ПО согласно действующему законодательству (ГОСТ Р 56939-2016 и приказ ФСТЭК №239):
  • Проводить композиционный анализа разрабатываемых и используемых компонентов ПО в части разработки безопасного ПО;
  • Проводить статический и динамический анализ ПО;
  • При необходимости проводить ручной анализ кода.

• Участвовать в процедуре получения сертификата ФСТЭК на СЗКИ.
• Разрабатывать и внедрять нормативные и распорядительные документы (правила, регламенты, шаблоны).
• Выстраивать взаимодействие между сотрудниками отдела информационной безопасности и отдела разработки.

Требования к кандидату:

Обязательно:

• Высшее образование по направлению информационной безопасности /технической защиты информации или профессиональная переподготовка не менее 360 часов по направлению информационной безопасности.
• Опыт работы от 2,5 лет по специальности.
• Опыт работы с ОС Windows, Unix на уровне системного администратора.
• Знание веб-протоколов и протоколов безопасности: HTTP, REST, CSP, CORS, OAuth
• Умение читать код на распространенных языках программирования (Python, Java, PHP, C#).
• Знание международных стандартов безопасной разработки (CIS, NIST, OWASP ASV/MASV/STG/RC, BSIMM).
• Опыт работы с инструментами анализа безопасности кода (SAST, DAST, SCA и другие).
• Знание типов уязвимостей приложений OWASP Top 10 или CWE Top 25 и подходов по их устранению.
• Знание методологий и стандартов, связанных с практическим анализом защищенности (OWASP, OSSTMM, PTES, BSIMM).
• Понимание принципов работы различных классов средств защиты информации (802.1x, AV, DLP, SIEM, WAF, IDS/IPS, EDR, NAC, NAD, PAM, UEBA).
• Знание действующего законодательства РФ в сфере информационной безопасности (в частности ГОСТ Р 56939-2016 и приказ ФСТЭК №239).

Желательно:

• Опыт в получении лицензий ФСТЭК России (ТЗКИ и РПСЗКИ) и ФСБ России, в том числе опыт разработки комплектов организационно-распорядительной документации с учетом требований регуляторов

Мы предлагаем:

• Официальное трудоустройство в аккредитованной IT-компании.
• Возможность работать в офисе (в любом городе присутствия компании) или удаленно.
• Гибкий график, по договоренности с командой и руководителем.
• ДМС после испытательного срока.
• Зарплату каждый месяц, а раз в год - бонус по итогам работы. Размер оклада готовы обсуждать.
• Классную команду и уютный офис.
• Обучение за счет компании.