Специалист по кибербезопасности

«КОНСИСТ БИЗНЕС ГРУПП» - российский вендор, разрабатывающий собственную линейку тиражных решений ТУРБО для управления предприятиями по направлениям ERP, EAM, EPM и др. Мы и наши реселлеры-интеграторы работаем с корпоративными заказчиками – крупнейшими российскими предприятиями и организациями. Обязанности: Развитие и автоматизация процессов защищенной разработки (SSDLC); Анализ и разработка требований к продукту в части ИБ; Настройка инструментальных средств анализа уязвимостей и проверок безопасности (SAST, DAST, Fuzzing, SCA), повышение эффективности их работы; Проверка исходного кода программ с применением специализированных инструментов для выявления ошибок и уязвимостей (AppScreener); Проведение динамического анализа и фаззинг-тестирования web-приложений (OWASP ZAP); Применение инструментов контроля Open Source компонентов (OSA/SCA); Разбор результатов работы средств статического анализа и средств динамического анализа (проверка, приоритизация, корреляция выявляемых дефектов, поиск решений для их устранения); Оформление отчетов по проведенным анализам; Моделирование угроз безопасности продукта и определение поверхности атаки; Разработка плана и механизмов устранения выявленных уязвимостей; Консультирование команды разработки по вопросам безопасности и практикам написания безопасного кода, помощь разработчикам в устранении выявленных уязвимостей и ошибок в коде; Взаимодействие с командой DevOps-инженеров по вопросам автоматизации сценариев применения инструментов SAST и DAST, интеграции средств анализа в процессы CI/CD; Участие в сертификации решения в своей зоне ответственности. Взаимодействие с лабораториями и регулятором; Участие в разработке процессов информационный безопасности направленных на снижение рисков ИБ в качестве технического эксперта; Внедрение и поддержка инструментов защиты внутренней инфраструктуры; Формирование внутренних нормативных документов для сертификации решения и документов в части РБП. Требования: Понимание и опыт внедрения современных процессов и практик безопасной разработки: SDLC/SSDLC, DevSecOps; Опыт проведения ручного и автоматизированного анализа безопасности кода приложений с использованием решений SAST/DAST, включая разбор результатов анализа, фильтрацию ложных срабатываний и выдачу рекомендаций по устранению найденных уязвимостей; Умение анализировать CVE/CWE/CVSS; Понимание основных угроз (OWASP Top-10) и недостатков ПО (CWE Top-25), знание методов противодействиям им; Умение читать и выявлять ошибки в коде; Опыт работы со сканерами уязвимостей; Опыт работы с Git, GitLab (или аналогами); Понимание ОС *NIX, сетевых технологиях и протоколах (TCP/IP, DNS, маршрутизация, DHCP, NAT, proxy, принципы работы межсетевых экранов); Знание нормативных актов в области ИБ и РБПО, руководящих документов ФСТЭК по сертификации СЗИ. Будет плюсом: Опыт построения CI/CD с использованием DevSecOps-продуктов; Практический опыт проведения анализа защищённости веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC); Опыт тестирования REST API; Опыт применения руководящих документов ФСТЭК по сертификации СЗИ и РБПО; Опыт работы в построении безопасной инфраструктуры; Умение автоматизировать рутинные задачи при помощи bash, python. Условия: Удаленный, гибридный или офисный формат работы (в городах присутствия); Предусмотренные законодательством гарантии: льготы для сотрудников Консист Бизнес Групп как аккредитованной ИТ-компании; Гибкое начало рабочего дня (по согласованию с руководителем); Подключение к ДМС после трёх месяцев работы в компании, включая стоматологию и безлимитный доступ к психологическому и юридическому консультированию; Персональную скидочную карту сотрудника: до 40% в магазинах re:Store, Samsung, STREET BEAT, Hiker (The North Face), Мир кубиков, UNOde50; Возможность брать отгул по болезни - 3 дня в году без оформления больничного; Обучение: корпоративный университет, электронная библиотека, вебинары с внешними и внутренними экспертами, центр карьерного консультирования; Профильное обучение и сертификация.