ГКУ «Ресурсы Ямала» — оператор цифровой инфраструктуры Ямало-Ненецкого автономного округа: региональный дата-центр, магистральные и защищённые сети для органов власти и государственные информационные системы, которыми ежедневно пользуются десятки ведомств и сотни тысяч жителей округа. Вы будете строить центр мониторинга и реагирования (SOC) окружного оператора КИИ: threat hunting, цифровая криминалистика (DFIR) и Threat Intelligence на реальном потоке событий целого региона. Это позиция для архитектора — вы будете формировать процессы, корреляционный контент и плейбуки под себя. Обязанности: — Мониторить события ИБ и разбирать алерты SIEM (MaxPatrol SIEM, KUMA): классифицировать инциденты, участвовать в контент-инжиниринге корреляционных правил — Анализировать данные NDR/IDS (PT NAD, ViPNet IDS, Suricata) и EDR, выявлять аномалии и подозрительную активность — Контролировать покрытие источников журналов событий, находить и закрывать слепые зоны мониторинга — Вести полный цикл реагирования на инциденты — обнаружение, анализ, локализацию, ликвидацию, восстановление и извлечение уроков; формировать и отслеживать метрики SOC (MTTD/MTTR) — Работать в команде реагирования (CSIRT) уровня L2/L3, координировать владельцев сервисов и подрядчиков — Проводить threat hunting регулярными циклами на основе матрицы MITRE ATT&CK Enterprise — Вести Threat Intelligence: работу с фидами, интеграцию индикаторов компрометации в средства защиты и мониторинга, обмен индикаторами с НКЦКИ — Поддерживать каталог плейбуков и runbooks для приоритетных сценариев (шифровальщики, фишинг, компрометация привилегированных учётных записей, DDoS, атаки на веб-ресурсы, инсайдер) и автоматизировать реагирование средствами SOAR — Взаимодействовать с ГосСОПКА и НКЦКИ по компьютерным инцидентам; обеспечивать готовность к категорированию и учёту объектов КИИ — Участвовать в цифровой криминалистике (DFIR): сбор и фиксация доказательств, анализ артефактов оперативной памяти и дисков, восстановление цепочки атаки — Участвовать в управлении уязвимостями: сканирование (MaxPatrol VM, RedCheck), риск-ориентированный backlog, контроль SLA по устранению, приоритизация по CVSS/EPSS/SSVC и построение моделей угроз на базе MITRE ATT&CK — Поддерживать реестр информационных активов, потоков и внешних зависимостей во взаимодействии с CMDB, анализировать безопасность цепочки поставок (supply chain security), участвовать в эмуляции действий атакующего (purple team) для валидации детектов Требования: — Опыт от 3 лет в мониторинге и реагировании на инциденты ИБ, анализе эффективности средств защиты информации или управлении уязвимостями — Высшее образование по направлениям «Информационная безопасность», «Компьютерные и информационные науки» или «Информатика и вычислительная техника» — Уверенное владение SIEM на уровне аналитика (корреляционные правила, расследование алертов) — MaxPatrol SIEM, KUMA или аналоги — Опыт работы с системами класса NDR/IDS и EDR, уверенный анализ сетевого трафика и журналов событий — Знание матрицы MITRE ATT&CK Enterprise: тактики, техники, процедуры, моделирование угроз — Понимание процесса реагирования на инциденты (ГОСТ Р 59709/59710/59711-2022, NIST SP 800-61) и ключевых метрик SOC (MTTD, MTTR) — Опыт работы с процессами Threat Intelligence: фиды, индикаторы компрометации — Навыки управления уязвимостями и их приоритизации по CVSS/EPSS/SSVC — Уверенная работа с Linux и Windows — Понимание профильных требований регуляторов в сфере ИБ, порядка категорирования объектов КИИ и взаимодействия с НКЦКИ/ГосСОПКА (187-ФЗ, 152-ФЗ, 149-ФЗ) — Чтение технической документации на английском (ATT&CK, CVE, threat-репорты, вендорская документация) — Готовность оперативно подключаться к разбору инцидентов вне обычного графика при серьёзных угрозах Будет плюсом: — Опыт работы в SOC/CSIRT и участия в разборе крупных инцидентов — Практический опыт цифровой криминалистики (DFIR) — Отраслевые сертификаты по ИБ (например, GCIH, GCFA, OSCP или отечественные аналоги) — Практический опыт с продуктами Positive Technologies и «Лаборатории Касперского» — Опыт threat hunting и построения корреляционного контента с нуля — Опыт эмуляции противника (purple team) и валидации детектов, включая навыки пентеста/Red Team — Навыки автоматизации анализа (Python, работа с API SIEM/SOAR) — Опыт участия в CTF-соревнованиях или программах bug bounty — Знание основ supply chain security и работы с CMDB Условия: Фиксированный оклад плюс ежемесячная премия за результат — сильный специалист выходит в верхнюю часть диапазона. Премия зависит от реально применяемых навыков и выполнения измеримых показателей, а за запущенные и востребованные округом проекты действует дополнительная надбавка. — Частичная компенсация аренды жилья — Бюджет на профессиональное обучение и профильные сертификации по ИБ — Задачи регионального масштаба и влияние на архитектуру SOC и процессов реагирования
Похожие вакансии
От 132 000 до 366 000 руб.
Салехард
ГОСУДАРСТВЕННОЕ КАЗЁННОЕ УЧРЕЖДЕНИЕ "РЕСУРСЫ ЯМАЛА"
От 100 000 до 100 000 руб.
Салехард
ГОСУДАРСТВЕННОЕ КАЗЕННОЕ УЧРЕЖДЕНИЕ "СИТУАЦИОННЫЙ ЦЕНТР ЯМАЛО-НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА"
От 80 000 до 90 000 руб.
Салехард
ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ УЧРЕЖДЕНИЕ ЯМАЛО-НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА "ЦЕНТР СПОРТИВНОЙ ПОДГОТОВКИ"
От 72 000 до 80 000 руб.
Салехард
ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ УЧРЕЖДЕНИЕ ЯМАЛО-НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА "ЦЕНТР СПОРТИВНОЙ ПОДГОТОВКИ"