Chief Information Security Officer (CISO)

Описание вакансии

Bilim Group – продуктовая EdTech-компания, которая с 2011 года является ведущим разработчиком цифрового обучающего контента и образовательных платформ в Казахстане.
Наша цель – создание образовательно-развивающей экосистемы для каждого человека, начиная с детского сада до повышения квалификации и получения новых специальностей и навыков.

Мы в поисках Chief Information Security Officer (CISO) - человека который сможет сформировать культуру ИБ: Обеспечить высокий уровень информационной безопасности всех цифровых продуктов компании, включая защиту персональных данных граждан РК, соответствие государственным стандартам и международным требованиям (GDPR, ISO/IEC 27001), и выстраивание зрелой системы управления ИБ как части корпоративной стратегии и в рамках интеграции

Основные зоны ответственности

Стратегия и управление ИБ

Разработка и внедрение стратегии информационной безопасности компании;
Формирование и контроль выполнения политики безопасности для всех бизнес-юнитов и продуктовых команд;
Управление рисками безопасности, разработка и поддержание модели угроз (Threat Model) и матрицы рисков.
Мониторинг и анализ рисков ИБ, включая угрозы для персональных данных граждан РК, с внедрением мер по их минимизации.
Разработка политик, процедур и стандартов ИБ, включая инцидент-менеджмент, шифрование данных и контроль доступа.
Интеграция ИБ в процессы разработки продуктов (DevSecOps), включая оценку уязвимостей и пентестирование.
Обучение сотрудников компании по вопросам ИБ и повышение осведомленности о рисках.
Бюджетирование и управление ресурсами отдела ИБ, включая выбор инструментов и технологий

Законодательное соответствие и технический комплаенс

Обеспечение соответствия всех цифровых продуктов требованиям GDPR, ISO/IEC 27001, а также национальным стандартам РК по защите данных (включая Закон РК "О персональных данных и их защите", Закон "О доступе к информации", Закон "Об информатизации" и др.).
Проведение DPIA, подготовка к внутренним и внешним аудитам;
Координация аудитов и сертификаций (внутренних и внешних), подготовка отчетов для руководства и регуляторов.
Взаимодействие с госорганами: КИБ, ГТС и пр.;
Участие в тендерах и переговорах с госзаказчиками в части ИБ и комплаенса.

Управление ИБ-инфраструктурой

Контроль работы SOC, SIEM, WAF, DLP, IAM, DevSecOps и других систем защиты;
Внедрение процессов secure-by-design в SDLC и CI/CD пайплайны;
Формирование требований к процессам безопасной разработки и контроль их соблюдения
Участие в выборе архитектурных решений и политик доступа;
Интеграция ИБ в цифровые продукты, включая облачные среды (PS, Yandex.Cloud, Aitu.Cloud и пр.) и мобильные приложения.

Руководство командой

Формирование и развитие отдела информационной безопасности (GRC, DevSecOps, SOC, privacy);
Постановка целей, контроль KPI, найм, наставничество, развитие команды;
Взаимодействие с руководителями продуктов, разработки, инфраструктуры, правового отдела.

Образование

Высшее техническое или математическое образование (предпочтительно в области ИБ, ИТ, телеком, кибербезопасности);
Дополнительные сертификации: CISSP, CISM, ISO 27001 LA/LI, CEH, OSCP - преимущество.
Знание нормативной базы: GDPR, ISO/IEC 27001, PCI DSS, а также законодательства РК по защите персональных данных.

Опыт

5+ лет в сфере информационной безопасности;
2+ года в роли CISO, Head of Security или аналогичной;
Опыт внедрения ISMS, работы с персональными данными, участие в госпрограммах и B2G проектах;
Желательно: опыт работы в холдингах, международных или регулируемых организациях (финтех, govtech, edtech).
Практический опыт обеспечения соответствия международным стандартам (GDPR, ISO 27001) и национальным регуляциям (РК, ЕС).
Опыт управления инцидентами ИБ, включая кибератаки, утечки данных и восстановление после них.

Навыки

Уверенное понимание моделей угроз, риск-менеджмента, архитектур защиты;
Знание и практическое применение требований ЗППД РК, GDPR, ISO/IEC 27001, NIST, SOC2;
Глубокие знания в области кибербезопасности: угрозы, уязвимости, шифрование, сетевые протоколы, SIEM-системы, firewalls и IDS/IPS.
Умение строить и внедрять системы управления рисками ИБ (ERM, GRC).
Навыки стратегического планирования и бюджетирования в ИБ.
Опыт работы с инструментами: Splunk, Qualys, Nessus, или аналогичными для мониторинга и анализа.
Знание методологий: NIST, COBIT, ITIL в контексте ИБ.
Сильные аналитические навыки для оценки рисков и принятия решений в кризисных ситуациях.
Умение говорить на «бизнес-языке» и объяснять сложные технические риски простым языком для C-level;
Лидерство, ответственность, стратегическое мышление.

Инструменты и технологии (желательно знать/использовать)

SIEM (Wazuh, Graylog, Splunk);
DLP, EDR, WAF, IDS/IPS;
DevSecOps пайплайны (GitLab CI/CD, SAST/DAST, Snyk, Trivy и пр.);
Identity Management (Keycloak, Azure AD, AWS IAM);
Облачные платформы: OpenStack, Yandex.Cloud;
Jira, Confluence, Miro, Slack, Telegram bots - как часть рабочих процессов.

Что предлагает компания

Конкурентная заработная плата (обсуждается индивидуально).
Участие в развитии продуктов, влияющих на миллионы пользователей по всей стране;
Работа в технологичной команде и с высокими стандартами качества;
Возможность формировать культуру ИБ и повлиять на зрелость компании;
Прозрачная и гибкая система мотивации.
Работа с гибридным форматов: в офисе в Астане (Expo, Мангилик ел 55/13) или Алматы (Нурлы-Тау, Аль-Фараби 17/1)
График: пн–пт, с 9:00 до 18:00
Официальный найм с первого дня, испытательный срок — 3 месяца
Тёплая и поддерживающая команда — ценим уважение, открытость и чувство юмора.
Прокачка знаний — доступ к курсам Kitap.kz, Bilimland.com, Lerna.kz и другим образовательным платформам.
Языки — легко: изучай иностранные на Qlang.kz в удобном тебе ритме.
Уютный офис с зонами отдыха — кофе, чай, Xbox, настольный футбол и пространство для перезагрузки.
Кафетерий бенефитов — спорт, здоровье, обучение. Ты сам выбираешь, что важно (доступ через полгода).
Ивенты, квизы, meet-up’ы и Тәтті күн — традиция вкусных угощений и веселых встреч.
BYOD — если работаешь со своим ноутом, мы это компенсируем.