Обязанности:
АО ГЛОНАСС является оператором ГАИС "ЭРА ГЛОНАСС", позволяющей спасать жизни при тяжёлых ДТП, и системы мониторинга коммерческого транспорта. Наша технологическая среда лежит на стыке оператора мобильной связи и ИТ. Описание вакансии:• Проектирование и перепроектирование безопасных архитектур информационных систем в доменах ГИС и беспилотных систем с учётом требований некорректируемости (обеспечение целостности и защиты от несанкционированных изменений) на современной архитектуре (микросервисы, контейнеризация, облачные технологии).• Взаимодействие с регуляторами (ФСТЭК России, ФСБ России, Минцифры) по вопросам согласования архитектурных решений, подходов к реализации систем, подготовка обоснований, моделей угроз, технических заданий и иной документации, необходимой для получения разрешений и аттестации.• Выстраивание «единого окна ИБ» для команд разработки продуктов в доменах ГИС и беспилотных систем: консультирование, согласование архитектурных решений и требований безопасности.• Участие в разработке и согласовании документов для аттестации систем, включая частные технические задания, паспорта защиты, планы мероприятий.• Проведение моделирования угроз и анализ рисков для новых и модифицируемых систем, выработка мер по их нейтрализации.• Определение интерфейсов, составляющих поверхность атаки, и проведение их анализа с точки зрения безопасности.• Контроль соответствия проектных решений требованиям законодательства РФ (включая 187-ФЗ, 152-ФЗ, приказы ФСТЭК/ФСБ, требования Минцифры, распоряжение 91-Р).• Участие в приёмочных испытаниях, проверка технической и рабочей документации.• Выполнение роли эксперта и наставника для команд разработки, повышение их компетенций в области безопасного проектирования. Требования к кандидату:Образование и квалификация• Высшее образование в области информационной безопасности, информационных технологий, прикладной математики или смежных специальностей.• Дополнительное профессиональное образование (курсы, переподготовка) в сфере ИБ приветствуется.Опыт работы• Опыт работы в области информационной безопасности не менее 5 лет, в том числе в задачах проектирования защищённых систем, взаимодействия с регуляторами и аттестации.• Опыт взаимодействия с регуляторами (ФСТЭК, ФСБ, Минцифры) по вопросам согласования проектных решений, аттестации, выполнения требований законодательства.• Опыт разработки проектной, рабочей и эксплуатационной документации в соответствии с требованиями ГОСТ серий 34 и 19 (ЕСКД).• Опыт проектирования архитектуры защищенных систем, включая опыт работы с требованиями некорректируемости (целостность, защита от модификаций).• Опыт взаимодействия с командами разработки, сопровождения проектов на разных стадиях (от проектирования до эксплуатации).• Опыт проведения моделирования угроз (например, STRIDE) и анализа рисков.Профессиональные знания и навыки• Понимание актуальных угроз в современных ИТ-инфраструктурах, знание векторов атак, тактик, техник и процедур (TTP), включая MITRE ATT&CK.• Знание сетевых технологий, операционных систем (Windows, Linux), популярных СУБД, веб-технологий и современных сервисных решений (Redis, Kafka, Hadoop).• Понимание принципов атак через уязвимости OWASP TOP 10, Mobile TOP 10, CWE TOP 25.• Понимание принципов работы микросервисной архитектуры и подходов к обеспечению безопасности микросервисов.• Знание технологий контейнеризации и оркестрации (Docker, Kubernetes) — на уровне понимания архитектуры, а не глубокого администрирования.• Глубокое знание требований законодательства РФ и нормативных актов Минцифры в области защиты информации, включая:o 187-ФЗ (безопасность критической информационной инфраструктуры, КИИ);o 152-ФЗ (персональные данные, ПДн);o требования к государственным информационным системам (ГИС);o иные нормативные акты ФОИВ, включая требования, касающиеся предприятий из списка 91-Р;o приказы ФСТЭК России (№ 17, 21, 31, 239 и др.) и ФСБ России.• Понимание требований международных стандартов (PCI DSS, ISO 27001) и отечественных ГОСТ по направлению ИБ (включая требования к документированию для информационных систем и ПО).• Навыки написания скриптов на одном из языков программирования: Python, Go, Ruby, Bash — для автоматизации анализа или подготовки данных. Личные качества:• Аналитический склад ума, способность выявлять риски и предлагать меры по их снижению.• Коммуникабельность, умение выстраивать диалог с разработчиками и регуляторами, находить компромиссы между безопасностью и функциональностью.• Обучаемость, интерес к новым технологиям и методам атак.• Ответственность, ориентация на результат.• Навыки наставничества (опыт обучения коллег или команды). Мы предлагаем: Современный офис в 5 минутах от станции метро Новокузнецкая, в 10 минутах от станции метро Третьяковская. Трудоустройство согласно ТК РФ с первого рабочего дня. Испытательный срок - 3 месяца (локация в офисе). Наставник у каждого нового сотрудника. График работы: 5/2, ПН -ЧТ с 09:00 до 18:00, ПТ - с 09:00 до 16:45 (график можно сдвинуть в любую сторону). Формат работы - офисный, гибрид 7 дней дополнительного отпуска за ненормированный рабочий день. После испытательного срока предоставляем: ДМС расширенный (включая стоматологию), на детей после 2 лет стажа в компании. Рабочую мобильную связь. Ежедневное питание. Фитнес (компенсация услуг). Развитие: Корпоративный университет (проводим онлайн и офлайн обучение). Корпоративная библиотека (доступ к электронным и аудиокнигам). Конференции, митапы, тренинги, семинары (проводим онлайн и офлайн встречи). Любим спорт: играем в волейбол, баскетбол, бадминтон, дартс, шахматы, настольный теннис. До встречи на интервью!Похожие вакансии