Начальник отдела информационной безопасности

Добрый день! Мы активно развиваем ИТ направление, и в связи с этим ищем начальника отдела информационной безопасности. Обязанности: 1. Стратегическое планирование, управление рисками и ресурсами Формирование, защита и реализация стратегии информационной безопасности, синхронизированной с бизнес-стратегией и планами цифровой трансформации холдинга (включая специфику АСУ ТП, SCADA, IoT). Организация процесса идентификации, анализа и оценки рисков ИБ, ведение и актуализация матрицы рисков ИБ. Разработка и контроль исполнения плана минимизации рисков с учётом бюджетных ограничений и приоритетов бизнеса. Формирование и защита бюджета функции ИБ (OPEX/CAPEX), управление портфелем проектов по внедрению и модернизации средств защиты информации (KSC, DLP, SIEM, IDS/IPS, NGFW). Взаимодействие с вендорами и системными интеграторами, курирование тендерных процедур и контроль исполнения контрактов. Проведение анализа требований заинтересованных сторон, регуляторов (ФСТЭК, ФСБ, Роскомнадзор) и нормативно-правовых актов РФ, ведение Реестра требований ИБ. Организация развития профессиональных компетенций сотрудников отдела, актуализация и утверждение их KPI. 2. Реализация и обеспечение технической защиты Разработка, согласование и утверждение документов Системы управления ИБ (политики, регламенты, стандарты, инструкции). Разработка, согласование и утверждение политик управления доступом, включая контроль привилегированных учётных записей (PAM). Разработка, согласование и утверждение технических заданий и планов внедрения средств защиты информации, контроль их эксплуатации и модернизации. Организация процесса управления уязвимостями: утверждение реестров выявленных уязвимостей, планов устранения и контроль сроков закрытия критичных уязвимостей. 3. Оценка соответствия, аудит и мониторинг эффективности Планирование, организация и контроль проведения внутренних и внешних аудитов ИБ (ГОСТ Р 57580, СТО БР ИББС, ISO/IEC 2700x, требования ФСТЭК России). Организация и контроль проведения тестирований на проникновение (Pentest) и анализа защищённости внешнего периметра и внутренней инфраструктуры. Анализ отчётов по мониторингу (SOC), результатов внешних сканирований и аудитов, оценка эффективности технических и организационных мер защиты. Сбор, верификация и анализ ключевых показателей эффективности (KPI) процессов ИБ, подготовка сводной аналитической отчётности. Проведение анализа по вопросам функционирования Системы управления ИБ (не реже одного раза в год). Разработка планов корректирующих и предупреждающих действий по результатам аудитов и инцидентов, контроль их выполнения. 4. Управление инцидентами и обеспечение непрерывности бизнеса (BCP/DRP) Организация процесса управления инцидентами ИБ в соответствии с утверждёнными регламентами. Оценка критичности инцидента, эскалация и координация реагирования (целевое время реакции — не более одного часа с момента обнаружения критического события). Координация взаимодействия с подразделениями ИТ и департаментом безопасности в ходе реагирования. Руководство расследованием сложных инцидентов, включая взаимодействие с регуляторами (ГосСОПКА / НКЦКИ, ФСТЭК России). Проведение анализа корневых причин (RCA) и контроль внедрения мер по недопущению повторения инцидента. Разработка, актуализация и тестирование планов обеспечения непрерывности бизнеса и восстановления после сбоев (BCP/DRP) в части информационной безопасности. 5. Защита персональных данных и взаимодействие с регуляторами (Compliance) Определение уровня защищённости персональных данных в информационных системах холдинга. Организация разработки и актуализации модели угроз безопасности ПДн. Разработка, согласование и утверждение комплекта организационно-распорядительной документации по обработке и защите ПДн, контроль реализации технических и организационных мер защиты ИСПДн. Взаимодействие с Роскомнадзором (подготовка уведомлений об обработке ПДн, ответы на запросы субъектов ПДн). Координация работ по аттестации объектов информатизации на соответствие требованиям безопасности информации (при необходимости). 6. Развитие культуры информационной безопасности (Awareness) Разработка и реализация ежегодной программы повышения осведомлённости сотрудников в области ИБ (включая дистанционное обучение и распределенные бизнес-единицы). Организация и контроль проведения инструктажей и тестирования знаний персонала по ИБ. Консультирование руководителей структурных подразделений и топ-менеджмента по вопросам применения политик ИБ и управления рисками. Требования: Высшее образование в области информационных технологий или информационной безопасности. Профессиональная переподготовка по направлению информационная безопасность. Опыт в сфере ИБ не менее 3-ех лет, включая не менее 2 лет на руководящей должности или в роли ведущего специалиста с управленческими функциями. Условия: Официальное оформление по ТК РФ; Конкурентный уровень заработной платы; Полис ДМС; Интересные, амбициозные задачи; Комфортное рабочее место в современном офисе; Дружный коллектив; Подарки к праздникам; Путевки в детские лагеря. Откликайтесь, мы будем рады познакомиться!