Специалист по тестированию на проникновение и анализу защищенности

Компания АО НПО «Эшелон» (является аккредитованной IT-компанией) специализируется на оказании услуг по сертификации, как обязательной, так и в рамках добровольной системы сертификации (СДС).

Основные направления Центра оценки соответствия и тестирования:

• Проведение внешнего и внутреннего тестирования на проникновение и анализ защищённости информационных систем и инфраструктуры организаций.
• Сертификация по требованиям ФСТЭК России.
• Оценка соответствия по требованиям ОУД в рамках проверки банковских приложений (требования ГОСТ ИСО/МЭК 15408, Профиля защиты ЦБ, положения Банка России).
• Проведение тематических исследований по требованиям ФСБ России.
• Проведение оценки по требованиям стандарта платформы Цифрового Рубля.
• Принятие участия в разработке стандартов в области защиты информации (в рамках в рабочей группы ТК-362).
• Внедрение процессов безопасной разработки по требованиям
  ГОСТ Р 56939-2016, ГОСТ Р 56939-2024.

Обязанности:

• Проведение тестирования на проникновение в инфраструктуру организации, включая внешние и внутренние системы, веб-приложения, десктопные приложения, мобильные приложения.
• Идентификация уязвимостей и оценка рисков для информационной безопасности.
• Разработка и выполнение сценариев атак для имитации действий злоумышленников, эксплуатация уязвимостей.
• Проведение тестирования на проникновение в инфраструктуру организации по моделям Purple Team, Red Team и по принципам Black/Gray/White Box Testing.
• Тестирование и оптимизация процессов мониторинга, анализа и реагирования на инциденты безопасности информации.
• Выявление угроз безопасности информации, в том числе со стороны легитимных пользователей (инсайдеров).
• Составление отчетов о проведенных атаках, анализ случаев срабатывания систем безопасности, а также выполнение повторных тестирований для оценки эффективности внедренных улучшений.
• Подготовка отчетов о проведенных тестированиях, включая матрицы атак и GAP-анализ.

Наши ожидания:

• Высшее/неоконченное техническое образование.
• Знание действующих нормативных требований в сфере защиты информации (24-ФЗ, 149-ФЗ, 152-ФЗ, 187-ФЗ и пр.).
• Опыт работы с системами защиты информации: SIEM, EDR/XDR, IDS/IPS, NGFW, WAF.
• Понимание сетевых технологий (TCP/IP, VLAN, NAT, VPN), знание модели OSI, принципов IP-маршрутизации, принципов работы прикладных протоколов (DNS, HTTP и пр.).
• Знание принципов виртуализации, контейнеризации и сервисов, составляющих инфраструктуру приложений (веб-сервера, СУБД и пр.).
• Понимание актуальных векторов атак и уязвимостей, а также наличие навыков выявления и эксплуатации уязвимостей OWASP Top 10.
• Опыт проведения тестирований на проникновение и (или) работы с результатами таких тестов.
• Опыт работы с инструментами тестирования на проникновение, сканерами безопасности.
• Умение писать эксплойты или PoC под известные уязвимости.
• Хорошие аналитические навыки и опыт документирования результатов тестирования.

Будет плюсом:

• Знание английского языка на уровне понимания зарубежных стандартов.
• Наличие сертификатов в области информационной безопасности (CEH, OSCP, CISSP и др.)
• Опыт взаимодействия с командой SOC.
• Опыт анализа защищенности Windows.
• Опыт работы администратором Linux или администратором сетевого оборудования.
• Желание в развитии методологии и стандартов тестирования на проникновение и анализа защищенности.

Мы предлагаем:

• Интересную работу в дружелюбном молодом коллективе с адекватным менеджментом.
• Участие в интересных проектах и задачах, связанных с информационной безопасностью.
• Прозрачную и понятную финансовую мотивацию (оклад + премиальная часть от выполненного проекта), а также возможность карьерного роста.
• Возможность участия в проведении обучающих мероприятий и консультаций для заказчиков (с дополнительной оплатой).
• Индивидуальный график работы (8:00-17:00; 9:00-18:00; 10:00-19:00).
• Официальное трудоустройство в соответствии с ТК РФ.
• Оплату мобильной связи.
• Оплату обучающих курсов для сотрудников.
• Обеспечение материально-технической базой (корпоративная техника - компьютеры, ноутбуки, мобильные устройства и пр.).
• Частичную компенсацию ДМС и абонемента в фитнес-клуб.
• Корпоративная пенсионная программа (дополнительные перечисления взносов работодателем в НПФ).
• Возможность внутреннего обучения, повышения квалификации в учебном центре компании.
• Возможность профессионального роста и самореализации, введение в рабочий процесс новых подходов и методик.