CISO

Web3 Tech — ведущий разработчик продуктов на основе блокчейн-технологий, создатель платформы «Конфидент» (реестр российского ПО). Среди реализованных проектов — Национальная система ДЭГ, блокчейн-платформа для ФНС, платформы ЦФА для Альфа-Банка и Тинькофф, кастодиальное решение «Цифровое казначейство».

Мы развиваем отдел ИБ и находимся в поиске CISO для обеспечения стратегического управления информационной безопасностью, операционной надежностью и защитой цифровых активов клиентов в компании.

Чем предстоит заниматься:

— Стратегия и архитектура безопасности: разработать и внедрить комплексную систему защиты продукта, выбирая стек и методологии.
— Пентесты и анализ защищённости: планировать и проводить внутренние пентесты инфраструктуры, приложений и API, координировать внешние аудиты, инициировать Red Teaming.
— Application Security (AppSec): внедрить безопасный SDLC, проводить security review кода, SAST/DAST, threat modeling, обучение разработчиков.
— DevSecOps: интегрировать контроль безопасности в CI/CD-пайплайны (Gitlab CI), управлять hardening конвейеров и контейнеров.
— Защита инфраструктуры: аудит и hardening Linux, Kubernetes, сетей, баз данных (PostgreSQL), балансировщиков (Nginx/ingress-nginx).
— Криптографическая безопасность: анализ угроз, проектирование защиты криптографических ключей и кастодиальной инфраструктуры (HSM, TEE, key management).
— Мониторинг и реагирование: построить SIEM, SOAR, систему мониторинга инцидентов и алертинга, разработать playbooks.
— Управление доступом и секретами: внедрить политики доступов, работу с Vault, интеграцию с IAM.
— Лидерство: сформировать (при необходимости) и руководить небольшой командой security-инженеров, взаимодействовать с разработкой, DevOps, IT и топ-менеджментом, определять OKR по безопасности.

Мы ждём от кандидата:

— Опыт работы в роли Lead Security Engineer от 5+ лет, из них минимум 2 года на позиции с лидерскими функциями.
— Глубокие знания во всех перечисленных областях:
— Практика пентеста и анализа защищённости (ручные и автоматизированные методы).
— AppSec: код-ревью, SAST/DAST, моделирование угроз (STRIDE, OWASP).
— DevSecOps: интеграция безопасности в пайплайны, кибербезопасность контейнеров (Docker, Kubernetes).
— Построение защищённой облачной инфраструктуры (Yandex Cloud, AWS, Azure).
— Инструменты: Kubernetes, Terraform/Ansible, Gitlab CI, PostgreSQL, Nginx, SIEM (любой), Vault.
— Криптографическая экспертиза: понимание работы с ключами, сертификатами, HSM, протоколами (TLS, MPC, threshold signatures) — приветствуется.
— Понимание современных атак на веб/API, kubernetes, цепочку поставок, умение строить защиту по модели нулевого доверия.

— знание/готовность быстро изучить 757-П (ИБ), положения 779-П (ОН), ГОСТ Р 57580.1-2017
— Soft skills: лидерство, системное мышление, навыки документации, умение донести риски до руководства.

Будет плюсом:

— Опыт в криптовалютных/fintech-продуктах или работе с кастодиальными решениями.
— Сертификации OSCP, OSWE, CISSP, AWS Security Specialty.
— Опыт внедрения комплаенса (SOC 2, ISO 27001, PCI DSS).

• Высшее образование в области ИБ.

Условия:

• Официальное трудоустройство по ТК РФ.

• Аккредитованная ИТ-компания.

• Возможность работать в гибком графике.

• Удаленную работу.

• ДМС.

• Частичную компенсацию занятий спортом.

• Возможность компенсации профильного обучения.

• Совместные мероприятия и корпоративы.