Эксперт ИБ по сопровождению разработки

Присоединяйтесь к команде Информационной безопасности Банка в роли Эксперта информационной безопасности по сопровождению разработки!

Вас привлекает мир информационной безопасности и вы хотите стать частью команды, которая обеспечивает защиту данных в одном из самых клиентоцентричных банков страны? Тогда эта вакансия для вас!

Ваши задачи будут включать:

• Обеспечение информационной безопасности новых и существующих проектов, включая системы дистанционного банковского обслуживания (ДБО);
• Реализация подхода Shift Left Security для оптимизации взаимодействия между подразделениями ИТ и ИБ;
• Участие в проектировании защищённых архитектур внутренних информационных систем банка с учётом требований ЦБ РФ, ФСТЭК, ФСБ, 115-ФЗ, 187-ФЗ, 152-ФЗ, PCI DSS и иных регуляторных норм;
• Проведение моделирования угроз (Threat Modeling) для банковских приложений, сервисов ДБО и платёжных систем с последующей разработкой мер защиты;
• Триаж уязвимостей, выявленных инструментальным анализом (SAST, DAST, SCA), включая оценку критичности, приоритизацию и координацию устранения;
• Контроль и согласование правил доступа и Firewall Requests для закреплённых продуктовых команд, включая системы онлайн-банкинга;
• Балансировка требований бизнеса, ИТ-инфраструктуры и уровня безопасности при реализации проектов ДБО;
• Совершенствование процессов управления информационной безопасностью банковских сервисов;
• Выполнение роли играющего тренера (CISO) для команд, разрабатывающих финансовые продукты.

Что мы ждём:

• Глубокое понимание архитектуры и угроз систем ДБО, включая мобильный и веб-банкинг, API-платформы;
• Опыт обеспечения соответствия требованиям Стандарта Банка России (СТБ BR IBBS), Положения № 684-П, 716-П, 808-П;
• Знание международных стандартов PCI DSS, NIST Cybersecurity Framework применительно к банковской сфере;
• Анализ современных угроз для корпоративных ИТ-инфраструктур финансовых организаций;
• Понимание принципов работы микросервисных архитектур и методов их защиты в банковской среде;
• Знание тактик, техник и процедур (TTPs), применяемых злоумышленниками, включая MITRE ATT&CK Framework;
• Опыт работы с инструментами статического (SAST), динамического (DAST) анализа и анализа зависимостей (SCA);
• Навыки приоритизации уязвимостей на основе CVSS, эксплуатируемости и бизнес-рисков.