Ведущий специалист по аудиту

Команда инфобезопасности ревьюит архитектуру и код, анализирует защищённость релизов, автоматизирует проверки безопасности, плотно взаимодействует с разработчиками, аналитиками и продактами.

Ищем технически сильного специалиста, который будет участвовать в аудитах безопасности продуктов VK на уровне архитектуры, разработки и инфраструктуры. По итогам проверок — готовить рекомендации. А ещё — участвовать в развитии и автоматизации методологической базы. Важно глубоко знать подходы к построению контролей ИБ.

Задачи

• Проводить аудиты безопасности продуктов VK по внутреннему фреймворку
• Разрабатывать практические рекомендации по результатам аудита — в связке с технической командой продукта
• Развивать системы метрик информационной безопасности: определять показатели, источники данных, автоматизировать их сбор и визуализацию
• Участвовать в развитии фреймворка оценки безопасности продуктов
• Предлагать варианты актуализации политик и стандартов безопасности

Требования

• Опыт проведения технически ориентированных аудитов ИБ в продуктовых или технологических компаниях
• Понимание архитектуры современных веб-приложений, микросервисов, IAM-моделей, CI/CD-процессов, практик DevSecOps
• Понимание принципов инфраструктурной безопасности, специфики безопасности сред виртуализации и контейнеризации
• Умение анализировать и систематизировать документацию по контролям ИБ
• Навыки работы с техническими командами, способность формулировать рекомендации с учётом бизнес-контекста продукта
• Умение быстро разбираться в новых технологиях, архитектурах и процессах
• Глубокое знание стандартов и лучших практик ИБ: ISO 27k, PCI DSS, 21-й приказ ФСТЭК, NIST

Будет плюсом

• Базовые знания в области тестирования на проникновение, ручного и автоматизированного анализа защищённости
• Знание и умение применять подходы к оценке и моделированию угроз — OWASP, STRIDE, PASTA, MITRE ATT&CK
• Опыт проработки интеграции с источниками данных для сбора метрик безопасности
• Опыт написания коннекторов или скриптов для передачи данных в аналитические и SGRC-системы
• Понимание принципов работы SGRC-платформ и участие в их настройке и внедрении
• Навыки настройки дашбордов, отчётов