Специалист по информационной безопасности и защите персональных данных

Основная задача - обеспечение конфиденциальности, целостности и доступности информационных ресурсов организации, соответствие требованиям российского законодательства в области информационной безопасности, защиты персональных данных и критической информационной инфраструктуры, а также минимизация кибер-рисков.

Обязанности:

Нормативное соответствие и compliance

• Обеспечение выполнения требований Федерального закона №152-ФЗ «О персональных данных»: разработка политик, уведомление Роскомнадзора, локализация ПДн.
• Реализация мер защиты в соответствии с Приказами ФСТЭК России №17, №21, №239 и требованиями ФСБ (Приказ №378)
• Категорирование объектов КИИ и выполнение требований Федерального закона №187-ФЗ; взаимодействие с ГосСОПКА/НКЦКИ.
• Обеспечение соответствия стандартам: ГОСТ Р ИСО/МЭК 27001, СТО БР ИББС, Положениям ЦБ РФ №382-П / №683-П (при необходимости)
• Подготовка к регуляторным проверкам и аудитам ФСТЭК, Роскомнадзора, ФСБ; ведение актуальной документации.

2. ​​​​​​​Техническая защита информации

• Разработка и актуализация модели угроз и нарушителя в соответствии с Методикой ФСТЭК России 2021 года.
• Проектирование, внедрение и сопровождение средств защиты информации (СЗИ): межсетевые экраны, DLP, EDR, SIEM, PAM, IDS/IPS.
• Управление уязвимостями: регулярный инструментальный анализ защищённости, контроль патч-менеджмента, пентест.
• Обеспечение безопасности сети, серверной инфраструктуры, рабочих мест и облачных сервисов.
• Настройка и контроль применения средств криптографической защиты информации (СКЗИ) в соответствии с требованиями ФСБ​​​​​​​. ​​​​​​​​​​​​​​ ​​​​​​​​​​​​

​​​​​​​​​​​​​​​​​​​​​3. ​​​​​​​Управление инцидентами и рисками ИБ

• Мониторинг событий ИБ, выявление аномалий, расследование и устранение инцидентов.
• Оценка и управление рисками ИБ по ГОСТ Р ИСО/МЭК 27005; подготовка реестра рисков для руководства.
• Разработка и тестирование планов реагирования на инциденты (IR Plan), планов обеспечения непрерывности (BCP/DRP).
• Участие в киберучениях и табличных учениях (tabletop exercises)​​​​​​​​​​​​​​

​​​​​​​4. Документирование и осведомлённость персонала

• Разработка и поддержание в актуальном состоянии политик, регламентов, инструкций и приказов по ИБ.
• Проведение инструктажей и тренингов для сотрудников; формирование культуры ИБ в организации.
• Подготовка отчётности для руководства и регуляторов; ведение журналов событий и нарушений.

Требования:

• Высшее образование по специальности «Информационная безопасность», «Компьютерная безопасность» или смежной ИТ-дисциплине — ОБЯЗАТЕЛЬНО.

• Дополнительное профессиональное образование в области защиты ПДн или ТЗИ (ФСТЭК-лицензиат) — ЖЕЛАТЕЛЬНО.

• Программы повышения квалификации в области КИИ (187-ФЗ) или ИБ FinTech — ЖЕЛАТЕЛЬНО.

• Опыт в области информационной безопасности: не менее 3 лет (для уровня Middle) / 5 лет (для Senior)

• Практический опыт работы с требованиями 152-ФЗ, Приказов ФСТЭК №17/21/239 -ОБЯЗАТЕЛЬНО.

• Опыт прохождения проверок Роскомнадзора и/или ФСТЭК — ЖЕЛАТЕЛЬНО

• Опыт категорирования объектов КИИ (187-ФЗ) — ЖЕЛАТЕЛЬНО для Senior

• Опыт построения SOC или внедрения SIEM — ЖЕЛАТЕЛЬНО

• Законодательство РФ: 152-ФЗ, 187-ФЗ, 149-ФЗ, 98-ФЗ, 63-ФЗ; УК РФ ст. 272–274.1

• Нормативные акты ФСТЭК: Приказы №17, №21, №31, №239; Методика моделирования угроз (2021)

• Требования ФСБ России: Приказ №378 — применение СКЗИ для защиты ПДн

  ГОСТ Р ИСО/МЭК 27001-2021, ГОСТ Р ИСО/МЭК 27005-2022

• Оценка и управление рисками ИБ; построение реестра рисков

• Управление уязвимостями (VM); опыт проведения анализа защищённости

• Криптографическая защита информации (ГОСТ-алгоритмы, VipNet/КриптоПро)

Будет +

• Сертификаты: CISSP, CISM, CEH, OSCP или эквивалентные

• Знание принципов работы и архитектуры СЗИ: NGFW, DLP, EDR/XDR, SIEM, IDS/IPS, PAM

• Аттестат эксперта ФСТЭК по технической защите информации (ТЗИ)

• Знание DevSecOps-практик и инструментов (SAST, DAST, SCA) ГОСТ Р 56939-2016

• Знание стандартов: MITRE ATT&CK, PCI DSS, ISO 27017/27018, ISO 27001, ГОСТ Р ИСО/МЭК 27001-2021

Условия:

• Работа в аккредитованной IT-компании.

• Оформление по ТК РФ, конкурентная заработная плата.

• Формат работы - офис, гибрид.

• Техника для продуктивной работы - ThinkPad.

• Полис ДМС для сотрудников, включая стоматологию (после успешного прохождения испытательного срока) и врач общей практики в офисе.

• Приятные бонусы от компании и скидки от наших партнеров (сервис Ясно, Skyeng)

• Комфортный офис в центре столицы – Москва, рядом с метро Тверская, Охотный Ряд, Театральная.

• Профессиональное обучение, конференции, внутренние митапы, семинары для сотрудников.

• Пицца и роллы по пятницам, чай/кофе, печеньки, фрукты всегда в наличии на офисной кухне, чилл-зона для релакса и настольный теннис в офисе.

• Корпоративы, тимбилдинги и прочие атрибуты жизни офисного сотрудника.