улица Матросова 29
ГКУ «Ресурсы Ямала» — оператор цифровой инфраструктуры Ямало-Ненецкого автономного округа: региональный дата-центр, магистральные и защищённые сети для органов власти и государственные информационные системы, которыми ежедневно пользуются десятки ведомств и сотни тысяч жителей округа.
Вы будете строить центр мониторинга и реагирования (SOC) окружного оператора КИИ: threat hunting, цифровая криминалистика (DFIR) и Threat Intelligence на реальном потоке событий целого региона. Это позиция для архитектора — вы будете формировать процессы, корреляционный контент и плейбуки под себя.
Обязанности:
— Мониторить события ИБ и разбирать алерты SIEM (MaxPatrol SIEM, KUMA): классифицировать инциденты, участвовать в контент-инжиниринге корреляционных правил
— Анализировать данные NDR/IDS (PT NAD, ViPNet IDS, Suricata) и EDR, выявлять аномалии и подозрительную активность
— Контролировать покрытие источников журналов событий, находить и закрывать слепые зоны мониторинга
— Вести полный цикл реагирования на инциденты — обнаружение, анализ, локализацию, ликвидацию, восстановление и извлечение уроков; формировать и отслеживать метрики SOC (MTTD/MTTR)
— Работать в команде реагирования (CSIRT) уровня L2/L3, координировать владельцев сервисов и подрядчиков
— Проводить threat hunting регулярными циклами на основе матрицы MITRE ATT&CK Enterprise
— Вести Threat Intelligence: работу с фидами, интеграцию индикаторов компрометации в средства защиты и мониторинга, обмен индикаторами с НКЦКИ
— Поддерживать каталог плейбуков и runbooks для приоритетных сценариев (шифровальщики, фишинг, компрометация привилегированных учётных записей, DDoS, атаки на веб-ресурсы, инсайдер) и автоматизировать реагирование средствами SOAR
— Взаимодействовать с ГосСОПКА и НКЦКИ по компьютерным инцидентам; обеспечивать готовность к категорированию и учёту объектов КИИ
— Участвовать в цифровой криминалистике (DFIR): сбор и фиксация доказательств, анализ артефактов оперативной памяти и дисков, восстановление цепочки атаки
— Участвовать в управлении уязвимостями: сканирование (MaxPatrol VM, RedCheck), риск-ориентированный backlog, контроль SLA по устранению, приоритизация по CVSS/EPSS/SSVC и построение моделей угроз на базе MITRE ATT&CK
— Поддерживать реестр информационных активов, потоков и внешних зависимостей во взаимодействии с CMDB, анализировать безопасность цепочки поставок (supply chain security), участвовать в эмуляции действий атакующего (purple team) для валидации детектов
Требования:
— Опыт от 3 лет в мониторинге и реагировании на инциденты ИБ, анализе эффективности средств защиты информации или управлении уязвимостями
— Высшее образование по направлениям «Информационная безопасность», «Компьютерные и информационные науки» или «Информатика и вычислительная техника»
— Уверенное владение SIEM на уровне аналитика (корреляционные правила, расследование алертов) — MaxPatrol SIEM, KUMA или аналоги
— Опыт работы с системами класса NDR/IDS и EDR, уверенный анализ сетевого трафика и журналов событий
— Знание матрицы MITRE ATT&CK Enterprise: тактики, техники, процедуры, моделирование угроз
— Понимание процесса реагирования на инциденты (ГОСТ Р 59709/59710/59711-2022, NIST SP 800-61) и ключевых метрик SOC (MTTD, MTTR)
— Опыт работы с процессами Threat Intelligence: фиды, индикаторы компрометации
— Навыки управления уязвимостями и их приоритизации по CVSS/EPSS/SSVC
— Уверенная работа с Linux и Windows
— Понимание профильных требований регуляторов в сфере ИБ, порядка категорирования объектов КИИ и взаимодействия с НКЦКИ/ГосСОПКА (187-ФЗ, 152-ФЗ, 149-ФЗ)
— Чтение технической документации на английском (ATT&CK, CVE, threat-репорты, вендорская документация)
— Готовность оперативно подключаться к разбору инцидентов вне обычного графика при серьёзных угрозах
Будет плюсом:
— Опыт работы в SOC/CSIRT и участия в разборе крупных инцидентов
— Практический опыт цифровой криминалистики (DFIR)
— Отраслевые сертификаты по ИБ (например, GCIH, GCFA, OSCP или отечественные аналоги)
— Практический опыт с продуктами Positive Technologies и «Лаборатории Касперского»
— Опыт threat hunting и построения корреляционного контента с нуля
— Опыт эмуляции противника (purple team) и валидации детектов, включая навыки пентеста/Red Team
— Навыки автоматизации анализа (Python, работа с API SIEM/SOAR)
— Опыт участия в CTF-соревнованиях или программах bug bounty
— Знание основ supply chain security и работы с CMDB
Условия:
Фиксированный оклад плюс ежемесячная премия за результат — сильный специалист выходит в верхнюю часть диапазона. Премия зависит от реально применяемых навыков и выполнения измеримых показателей, а за запущенные и востребованные округом проекты действует дополнительная надбавка.
— Частичная компенсация аренды жилья
— Бюджет на профессиональное обучение и профильные сертификации по ИБ
— Задачи регионального масштаба и влияние на архитектуру SOC и процессов реагирования