Обязанности:
Привет! Мы Юникорн – российская продуктовая IT-компания, лидер рынка «Умное здание». Мы разрабатываем облачную платформу и оборудование для цифровизации зданий и городской инфраструктуры. Продукт живёт в реальной эксплуатации, у крупных заказчиков, с повышенными требованиями к безопасности, надёжности и соответствию регуляторике. Что ты получаешь, работая у нас: Оформление в штат с первого дня и конкурентная зарплата; Классный офис в Технопарке Morion Digital с развитой инфраструктурой (бесплатная парковка, кафе, спортзал, шиномонтаж, химчистка и др.) Востребованный инновационный продукт и интересные задачи; Поддержка сотрудников со стороны руководителей, наставник – на период адаптации; Возможность обучаться и постоянно развивать свои навыки; Программа лояльности (скидки на обучение, спорт, кафе, корпоративный мерч и многое другое); Насыщенная корпоративная жизнь: сплавы, тренинги и лучшие корпоративы Цель роли Это не исполнительская позиция и не SOC-аналитик. Мы ищем специалиста уровня Senior / Lead, который: владеет процессом информационной безопасности end-to-end; способен самостоятельно строить и поддерживать модель угроз продукта и инфраструктуры; умеет расставлять приоритеты и балансировать риск, бизнес и регуляторные требования; автоматизирует ИБ-контроли и встраивает безопасность в разработку, а не тормозит её; может аргументированно отстаивать позицию компании перед заказчиком и аудиторами. Зоны ответственности Управление безопасностью и рисками Формирование и поддержка модели угроз (продукт, инфраструктура, интеграции, поставщики). Управление ИБ-рисками: выявление, приоритизация, контроль mitigations. Участие в принятии архитектурных решений с точки зрения безопасности. Ведение и развитие Secure SDLC (S-SDLC). DevSecOps и автоматизация Встраивание проверок безопасности в CI/CD (quality gates, security checks). Автоматизация рутинных ИБ-процессов (скрипты, пайплайны, политики). Контроль безопасности секретов, доступов, артефактов. Взаимодействие с DevOps и разработкой как партнёр, а не контролёр. Compliance и регуляторика Владение требованиями и практическая реализация: ФЗ-152, ФЗ-187, ПДн, КИИ, ГИС, при необходимости — ISO/IEC 27001, GDPR. Подготовка и сопровождение аудитов, проверок, опросников заказчиков. Формирование разумных и реализуемых требований, а не формального «бумажного» compliance. Инциденты и взаимодействие Участие в разборе инцидентов ИБ, анализ корневых причин, улучшение процессов. Коммуникация с заказчиками и партнёрами по вопросам ИБ. Обучение команд базовым принципам безопасной разработки и эксплуатации. Документация Модели угроз, регламенты, политики, архитектурные и эксплуатационные документы. Поддержка документации в актуальном («живом») состоянии. Ожидаемый опыт и компетенции Обязательное Опыт в ИБ 6+ лет, в том числе: DevSecOps / Security Engineer / AppSec — от 2 лет. Уверенное понимание: безопасности приложений и инфраструктуры; сетевых взаимодействий; аутентификации, авторизации, IAM. Практический опыт: threat modeling; анализа и триажа уязвимостей; внедрения ИБ-контролей в CI/CD. Умение автоматизировать (Bash / Python / пайплайны). Способность вести диалог с заказчиком и защищать техническую позицию компании. Технологически (без фанатизма) Опыт работы хотя бы с частью стека: Linux, SQL (на уровне эксплуатации и анализа). CI/CD: GitLab CI, Jenkins или аналоги. SAST / DAST / SCA, secret scanning. IAM / SSO (OAuth 2.0, OIDC, SAML). Secrets Management (Vault или аналоги). Важно: мы не ищем человека, который знает всё, мы ищем того, кто понимает зачем и как это применять. Будет плюсом DevOps-инструменты: Ansible, Terraform. Docker, Kubernetes (на уровне эксплуатации и рисков). Опыт работы с Zero Trust-подходами. Опыт прохождения внешних аудитов и крупных заказчиков. Профильные сертификаты (CISSP, CISM, OSCP и др.).Похожие вакансии