SOC-аналитик (мониторинг и реагирование на инциденты ИБ)

Дата размещения вакансии: 06.07.2026
Работодатель: ГКУ Ресурсы Ямала
Уровень зарплаты:
от 132000 до 366000 RUR
Город:
Салехард
улица Матросова 29
Требуемый опыт работы:
От 3 до 6 лет

ГКУ «Ресурсы Ямала» — оператор цифровой инфраструктуры Ямало-Ненецкого автономного округа: региональный дата-центр, магистральные и защищённые сети для органов власти и государственные информационные системы, которыми ежедневно пользуются десятки ведомств и сотни тысяч жителей округа.

Вы будете строить центр мониторинга и реагирования (SOC) окружного оператора КИИ: threat hunting, цифровая криминалистика (DFIR) и Threat Intelligence на реальном потоке событий целого региона. Это позиция для архитектора — вы будете формировать процессы, корреляционный контент и плейбуки под себя.

Обязанности:

— Мониторить события ИБ и разбирать алерты SIEM (MaxPatrol SIEM, KUMA): классифицировать инциденты, участвовать в контент-инжиниринге корреляционных правил

— Анализировать данные NDR/IDS (PT NAD, ViPNet IDS, Suricata) и EDR, выявлять аномалии и подозрительную активность

— Контролировать покрытие источников журналов событий, находить и закрывать слепые зоны мониторинга

— Вести полный цикл реагирования на инциденты — обнаружение, анализ, локализацию, ликвидацию, восстановление и извлечение уроков; формировать и отслеживать метрики SOC (MTTD/MTTR)

— Работать в команде реагирования (CSIRT) уровня L2/L3, координировать владельцев сервисов и подрядчиков

— Проводить threat hunting регулярными циклами на основе матрицы MITRE ATT&CK Enterprise

— Вести Threat Intelligence: работу с фидами, интеграцию индикаторов компрометации в средства защиты и мониторинга, обмен индикаторами с НКЦКИ

— Поддерживать каталог плейбуков и runbooks для приоритетных сценариев (шифровальщики, фишинг, компрометация привилегированных учётных записей, DDoS, атаки на веб-ресурсы, инсайдер) и автоматизировать реагирование средствами SOAR

— Взаимодействовать с ГосСОПКА и НКЦКИ по компьютерным инцидентам; обеспечивать готовность к категорированию и учёту объектов КИИ

— Участвовать в цифровой криминалистике (DFIR): сбор и фиксация доказательств, анализ артефактов оперативной памяти и дисков, восстановление цепочки атаки

— Участвовать в управлении уязвимостями: сканирование (MaxPatrol VM, RedCheck), риск-ориентированный backlog, контроль SLA по устранению, приоритизация по CVSS/EPSS/SSVC и построение моделей угроз на базе MITRE ATT&CK

— Поддерживать реестр информационных активов, потоков и внешних зависимостей во взаимодействии с CMDB, анализировать безопасность цепочки поставок (supply chain security), участвовать в эмуляции действий атакующего (purple team) для валидации детектов

Требования:

— Опыт от 3 лет в мониторинге и реагировании на инциденты ИБ, анализе эффективности средств защиты информации или управлении уязвимостями

— Высшее образование по направлениям «Информационная безопасность», «Компьютерные и информационные науки» или «Информатика и вычислительная техника»

— Уверенное владение SIEM на уровне аналитика (корреляционные правила, расследование алертов) — MaxPatrol SIEM, KUMA или аналоги

— Опыт работы с системами класса NDR/IDS и EDR, уверенный анализ сетевого трафика и журналов событий

— Знание матрицы MITRE ATT&CK Enterprise: тактики, техники, процедуры, моделирование угроз

— Понимание процесса реагирования на инциденты (ГОСТ Р 59709/59710/59711-2022, NIST SP 800-61) и ключевых метрик SOC (MTTD, MTTR)

— Опыт работы с процессами Threat Intelligence: фиды, индикаторы компрометации

— Навыки управления уязвимостями и их приоритизации по CVSS/EPSS/SSVC

— Уверенная работа с Linux и Windows

— Понимание профильных требований регуляторов в сфере ИБ, порядка категорирования объектов КИИ и взаимодействия с НКЦКИ/ГосСОПКА (187-ФЗ, 152-ФЗ, 149-ФЗ)

— Чтение технической документации на английском (ATT&CK, CVE, threat-репорты, вендорская документация)

— Готовность оперативно подключаться к разбору инцидентов вне обычного графика при серьёзных угрозах

Будет плюсом:

— Опыт работы в SOC/CSIRT и участия в разборе крупных инцидентов

— Практический опыт цифровой криминалистики (DFIR)

— Отраслевые сертификаты по ИБ (например, GCIH, GCFA, OSCP или отечественные аналоги)

— Практический опыт с продуктами Positive Technologies и «Лаборатории Касперского»

— Опыт threat hunting и построения корреляционного контента с нуля

— Опыт эмуляции противника (purple team) и валидации детектов, включая навыки пентеста/Red Team

— Навыки автоматизации анализа (Python, работа с API SIEM/SOAR)

— Опыт участия в CTF-соревнованиях или программах bug bounty

— Знание основ supply chain security и работы с CMDB

Условия:

Фиксированный оклад плюс ежемесячная премия за результат — сильный специалист выходит в верхнюю часть диапазона. Премия зависит от реально применяемых навыков и выполнения измеримых показателей, а за запущенные и востребованные округом проекты действует дополнительная надбавка.

— Частичная компенсация аренды жилья

— Бюджет на профессиональное обучение и профильные сертификации по ИБ

— Задачи регионального масштаба и влияние на архитектуру SOC и процессов реагирования