Обязанности:
Мы компания «Интегрикс» — разработчик программного обеспечения, на рынке ИТ с 2007 года. Уже 18 лет мы делаем инфраструктурные проекты для регионов и федеральных органов власти, помогая развитию ИТ в России.У нас ценят доверие, взаимовыручку и вовлечённость. Мы любим работать и отдыхать вместе: от ежедневного спорта в офисе до поездок на Байкал, в Карелию и даже в Майрхофен. В «Интегрикс» вы найдёте не только работу, но и команду единомышленников. Мы ищем специалиста по информационной безопасности, который хорошо ориентируется в требованиях ФСТЭК России к защите информации в государственных информационных системах и понимает, как эти требования применять на практике при разработке, внедрении и сопровождении программного обеспечения для государственных заказчиков.Основной фокус роли — помощь в приведении процессов разработки и поддержки ПО в соответствие с требованиями информационной безопасности, включая:Приказ ФСТЭК России от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений»;ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»;Иные применимые нормативные и методические документы ФСТЭК России в области защиты информации и безопасной разработки ПО.Специалисту предстоит:Проанализировать текущие процессы разработки, внедрения и сопровождения программного обеспечения;Определить, какие требования ФСТЭК и ГОСТ Р 56939-2024 применимы к нашим продуктам, проектам и внутренним процессам;Подготовить рекомендации по приведению процессов разработки и поддержки ПО в соответствие с требованиями информационной безопасности;Разработать комплект внутренних документов, регламентов, инструкций и чек-листов по ИБ;Описать процесс безопасной разработки ПО: от анализа требований и проектирования до разработки, тестирования, релиза, эксплуатации и сопровождения;Подготовить требования к безопасному проектированию, безопасному программированию, тестированию, сборке, поставке и развертыванию ПО;Описать порядок выявления, учета, анализа и устранения уязвимостей в программном обеспечении;Подготовить требования к использованию сторонних компонентов, библиотек и open-source-зависимостей;Описать порядок проведения проверок безопасности ПО, включая SAST, DAST, SCA, анализ зависимостей, контроль секретов и иные применимые практики;Сформировать требования к журналированию, мониторингу, резервному копированию, управлению доступом и реагированию на инциденты;Участвовать в обсуждении требований ИБ с заказчиками, подрядчиками, разработчиками, аналитиками, тестировщиками, DevOps-инженерами и специалистами сопровождения;Помогать готовить ответы на вопросы государственных заказчиков по части соответствия требованиям ФСТЭК и безопасной разработки ПО;Давать практические рекомендации по внедрению требований ИБ без избыточной бюрократизации рабочих процессов. Ожидаемый результат работы:По итогам работы должен быть сформирован практический комплект документов и рекомендаций, который можно использовать при разработке, внедрении и сопровождении программных решений для государственных организаций.Возможный состав документов:Политика информационной безопасности;Регламент безопасной разработки программного обеспечения;Регламент управления изменениями;Регламент управления доступом;Регламент управления уязвимостями;Регламент реагирования на инциденты ИБ;Регламент анализа защищенности ПО;Порядок проведения SAST/DAST/SCA-проверок;Порядок работы с результатами проверок безопасности;Требования к безопасному проектированию ПО;Требования к безопасному программированию;Требования к безопасной сборке, поставке и развертыванию ПО;Требования к контролю сторонних библиотек и open-source-компонентов;Порядок устранения выявленных уязвимостей и дефектов безопасности;Требования к журналированию и мониторингу событий безопасности;Требования к резервному копированию и восстановлению;Требования к работе с тестовыми, промышленными и демонстрационными средами;Чек-листы безопасной разработки для аналитиков, разработчиков, тестировщиков, DevOps-инженеров и специалистов сопровождения;Чек-лист соответствия процессов разработки требованиям ГОСТ Р 56939-2024;Рекомендации по организации DevSecOps-практик;Шаблоны документов для проектов, связанных с ГИС и информационными системами государственных организаций.Нам важно, чтобы кандидат:Имел практический опыт в информационной безопасности;Понимал специфику государственных информационных систем;Был знаком с приказами и методическими документами ФСТЭК России;Знал требования Приказа ФСТЭК России от 11.04.2025 № 117;Знал ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»;Понимал, как требования ИБ применяются на практике при разработке и сопровождении ПО;Мог сопоставить текущие процессы разработки компании с требованиями ФСТЭК и ГОСТ Р 56939-2024;Умел переводить нормативные требования в понятные регламенты, чек-листы и рабочие процедуры;Мог самостоятельно разрабатывать документы по ИБ;Понимал жизненный цикл разработки ПО: анализ, проектирование, разработка, тестирование, сборка, релиз, эксплуатация и сопровождение;Понимал основные классы уязвимостей ПО и подходы к их выявлению;Имел представление о secure SDLC и DevSecOps;Понимал назначение SAST, DAST, SCA, анализа зависимостей, контроля секретов и иных инструментов проверки безопасности ПО;Умел писать структурированные, юридически и технически корректные документы;мог взаимодействовать как с техническими специалистами, так и с управленческой командой;Мог объяснять требования информационной безопасности понятным языком для проектных команд.Плюсом будет опыт:Участия в проектах по созданию, модернизации или сопровождению ГИС;Подготовки систем к аттестации по требованиям безопасности информации;Разработки моделей угроз и требований к защите информации;Взаимодействия с государственными заказчиками;Внедрения процессов безопасной разработки ПО;Подготовки организации или проекта к оценке соответствия требованиям ГОСТ Р 56939;Разработки внутренних стандартов безопасного программирования;Внедрения SAST/DAST/SCA-инструментов;Настройки процесса управления уязвимостями;Участия в проектах, где требования ФСТЭК сочетались с требованиями к безопасной разработке ПО;Подготовки доказательной базы выполнения требований ИБ для заказчиков, аудиторов или аттестационных мероприятий;Подготовки документации для тендеров, контрактов или приемки работ по государственным проектам.Возможны разные форматы сотрудничества:Проектная работа;Частичная занятость;Консультационное сопровождение;Постоянная работа в команде.Формат и объем участия обсуждаются индивидуально в зависимости от опыта кандидата и готовности взять на себя разработку полного комплекта документов и рекомендаций.Что мы предлагаем:Работу с реальными проектами для государственных организаций;Задачи на стыке информационной безопасности, нормативного соответствия, разработки ПО и управления проектами;Возможность повлиять на процессы разработки и сопровождения программных продуктов;Участие в формировании внутренней системы требований к безопасной разработке;гибкий формат взаимодействия;Оплату по договоренности, в зависимости от квалификации, формата сотрудничества и объема задач. Кого мы хотим видеть:Нам нужен не формальный «аудитор по чек-листу», а практичный специалист, который понимает требования ФСТЭК и ГОСТ Р 56939-2024 и может помочь встроить их в реальные процессы разработки и поддержки программных продуктов.Важно, чтобы результатом работы были не только документы «для папки», но и понятные правила, которыми смогут пользоваться аналитики, разработчики, тестировщики, DevOps-инженеры, проектные менеджеры и специалисты сопровождения.Похожие вакансии
Эксперт по информационной безопасности
От 31 157 до 31 158 руб.
Волгоград
АКЦИОНЕРНОЕ ОБЩЕСТВО "ДИАЙПИ"
Главный специалист по информационной безопасности
От 75 000 до 100 000 руб.
Волгоград
ВНИКТИнефтехимоборудование
Преподаватель специалист по информационной безопасности
От 42 000 до 50 000 руб.
Волгоград
ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ПРОФЕССИОНАЛЬНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ "ВОЛГОГРАДСКИЙ ТЕХНИЧЕСКИЙ КОЛЛЕДЖ"