Обязанности:
Мы хотим изменить мир и поэтому делаем комплексное решение для Digital Pathology. Мы хотим, чтобы каждый человек мог быстро и без лишних трат получить диагноз по онкологии, а также второе мнение. Чтобы обеспечить это мы делаем: гистологический сканер, облачную платформу для второго мнения и AI-инструменты для поддержки принятия врачебных решений. Кого мы ищем: Лид информационной безопасности — это человек, который сочетает техническую экспертизу, системное мышление и способность выстраивать процессы. Задачи: 1. Построение функции безопасности: - Провести аудит в компании- Построить модель угроз, приоритезировать, согласовать и построить дорожную карту- Построить матрицу доступа к информации. Обеспечить её с помощью AD (или аналогов)- Сформировать требования безопасности в продукты, инфраструктуру, ПО, ML-производство- Построить процессы информационной безопасности, процедуры и регламенты: найм, увольнение, повышение прав доступа, регулярные проверки и ротации паролей и ключей 2. Техническая безопасность: - Провести аудит текущей инфраструктуры (Kubernetes, Kafka, Ceph, S3, VPN, сетевые сегменты).- Внедрить:- службу каталогов (AD)- межсетевые экраны- видеорегистрацию в офисе и на производстве- логгирование СКУД 3. Соответствие требованиям и регуляторике: - 152-ФЗ: ПДн, УЗ-уровни, модели угроз, ИСПДн, серверные мощности.- Подготовка к аудитам, взаимодействие с внешними инспекциями.- Политики, процедуры, инструкции, модели угроз, оценка рисков, планы улучшений. 4. Работа с командами: - Встроить культуру "security by design" в компанию, продукт, инфраструктуру, DevOps, ML.- Наставничество инженеров и обучение сотрудников.- Взаимодействие с топ-менеджментом — доклады, риск-позиция, roadmaps.- Red Teaming Требования: Обязательные: - Опыт в ИБ от 5 лет, из них опыт построения процессов/архитектуры от 2 лет.- Понимание современных атак, современных методов защиты.- Глубокая техническая база:- Linux, Kubernetes, сетевые протоколы, VPN (Wireguard, IPSec), TLS, Zero-Trust, FW, NGFW, WAF.- Практика проведения аудитов и управления уязвимостями.- Навыки разработки политик, процессов, регламентов.- Умение работать с требованиями ПДн, ISO (27001/27701). Желательные: - Опыт в медицинской отрасли или любом высокорегулируемом секторе.- Опыт со стеком: Kubernetes, Ceph, Kafka, Postgres, S3, VPN overlay, Zero-Trust.- Опыт PenTest'а или Red Team.- Понимание CI/CD и DevSecOps.- Понимание рисков ML-pipeline (приватность данных, model poisoning). Что предлагаем: - Построить направление ИБ «с нуля» — с полномочиями и опорой топ-менеджмента.- Работа с современной инфраструктурой.- Прямое влияние на безопасность медицинских данных и качество продукта.- Возможность развивать команду под собой.- Прозрачные процессы, техническая культура, быстрые решения. Формат работы: - Полный рабочий день.- Гибкий график, возможность удалённой работы.- Взаимодействие с CTO, COO, Head of Ops, DevOps, ML.Похожие вакансии