Обязанности:
ООО «СибКом Цифра» - аккредитованная IT-компания, производитель софта для автоматизации и цифровизации промышленных процессов. Наши решения применяются в металлургии, нефтегазовом секторе, энергетике, химической и нефтехимической промышленности, автопроме, легкой и пищевой промышленности. Наша разработка – универсальная цифровая платформа КАСКАД ЦИФРА - объединяет в себе комплекс модулей для построения SCADA-систем, БДРВ, PIMS, диспетчерских центров и др. В нашу команду мы ищем Специалиста по разработке безопасного ПО. Задачи: Проектировать компоненты прикладного ПО, относящихся к СЗКИ (авторизация, аутентификация, ролевая модель, защита данных, встроенные методы шифрования). Внедрять процессы безопасной разработки ПО компании (аналитика процессов, разработка метрик, анализ и управление уязвимостями, работа с рисками). Реализовывать требования по безопасной разработке ПО согласно действующему законодательству (ГОСТ Р 56939-2016 и приказ ФСТЭК №239): Проводить композиционный анализа разрабатываемых и используемых компонентов ПО в части разработки безопасного ПО; Проводить статический и динамический анализ ПО; При необходимости проводить ручной анализ кода. Участвовать в процедуре получения сертификата ФСТЭК на СЗКИ. Разрабатывать и внедрять нормативные и распорядительные документы (правила, регламенты, шаблоны). Выстраивать взаимодействие между сотрудниками отдела информационной безопасности и отдела разработки. Требования к кандидату: Обязательно: Высшее образование по направлению информационной безопасности /технической защиты информации или профессиональная переподготовка не менее 360 часов по направлению информационной безопасности. Опыт работы от 2,5 лет по специальности. Опыт работы с ОС Windows, Unix на уровне системного администратора. Знание веб-протоколов и протоколов безопасности: HTTP, REST, CSP, CORS, OAuth Умение читать код на распространенных языках программирования (Python, Java, PHP, C#). Знание международных стандартов безопасной разработки (CIS, NIST, OWASP ASV/MASV/STG/RC, BSIMM). Опыт работы с инструментами анализа безопасности кода (SAST, DAST, SCA и другие). Знание типов уязвимостей приложений OWASP Top 10 или CWE Top 25 и подходов по их устранению. Знание методологий и стандартов, связанных с практическим анализом защищенности (OWASP, OSSTMM, PTES, BSIMM). Понимание принципов работы различных классов средств защиты информации (802.1x, AV, DLP, SIEM, WAF, IDS/IPS, EDR, NAC, NAD, PAM, UEBA). Знание действующего законодательства РФ в сфере информационной безопасности (в частности ГОСТ Р 56939-2016 и приказ ФСТЭК №239). Желательно: Опыт в получении лицензий ФСТЭК России (ТЗКИ и РПСЗКИ) и ФСБ России, в том числе опыт разработки комплектов организационно-распорядительной документации с учетом требований регуляторов Мы предлагаем: Официальное трудоустройство в аккредитованной IT-компании. Возможность работать в офисе (в любом городе присутствия компании) или удаленно. Гибкий график, по договоренности с командой и руководителем. ДМС после испытательного срока. Зарплату каждый месяц, а раз в год - бонус по итогам работы. Размер оклада готовы обсуждать. Классную команду и уютный офис. Обучение за счет компании.