Ищем инженера по информационной безопасности (appsec) в Санкт-Петербургский филиал ЦФТ (Центр Финансовых Технологий).

Мы ищем коллегу в бизнес компании – «Золотая Корона», а именно – в службу информационной безопасности. Наша цель – обеспечение безопасности продуктов бизнеса и инфраструктуры компании. В команде у нас 24 человека, но в связи с расширением сферы деятельности и ростом задач было принято решение открыть ячейку в Санкт-Петербургском офисе.

Что мы делаем:

· Проводим анализ защищенности web и мобильных приложений;

· Внедряем цикл безопасной разработки (SDLC). В рамках внедрения цикла занимаемся построением процессов и внедрением автоматизации и обучением разработчиков.

· Помогаем разработчикам находить безопасные и оптимальные решения (это может быть и программная реализация, и построение безопасной архитектуры).

· Выстраиваем безопасность kubernetes

Фреймворки (например, spring, react, play), языки программирования (например, java, swift, kotlin, Objectiv-C, JS, TypeScript). Разбираться приходится не только в нашем коде, но и в разных технических средствах – например, WAF, SAST, DAST.

Мы занимаемся тестированием разных платформ: и web, и мобильные приложения, и даже терминалы.

Продукт «Денежные переводы» - это сервис мгновенных денежных переводов, который входит в ТОП 3 крупнейших систем в мире. Основная задача системы – предоставить людям удобные и надежные платежные услуги, в основе которых лежат инновационные технологии.

Что мы предлагаем:

ЦФТ (Центр Финансовых Технологий) – ведущий российский финтех-провайдер. Компания входит в рейтинг «ТОП 3 крупнейших разработчиков ПО в России». В Санкт-Петербурге центр разработки находится по адресу: ул. Малая Монетная, 2Г (м. Горьковская, бизнес-центр класса «А»).

ПРО ЗАРПЛАТУ: Мы полностью белая компания. Уровень дохода соответствует рынку, объему задач и профессиональному уровню каждого сотрудника. Финансовый рост обеспечивает развитие. Таким образом, грейд и доход могут расти быстро, однако для этого нужно будет глубоко погружаться в технологии.

ПРО РАЗВИТИЕ И ОБУЧЕНИЕ: Для развития мы предоставляем много возможностей. На первых этапах сотрудникам помогают опытные кураторы. У нас есть внутренний учебный центр, где можно пройти обучение по технологиям или бизнес-обучение. А также мы компенсируем внешнее обучение, например, курсы или посещение профессиональных конференций.

ПРО РОСТ: Возможности для профессионального роста есть разные: это может быть, как углубленное изучение технологий и повышение грейда, так и рост в сторону team lead-ства. Поскольку, бизнес активно растет и расширяется, появляются все новые роли. Например, можно попробовать себя в роли преподавателя в нашей IT школе Focus Start.

ПРО ЛЮДЕЙ: Отношения с коллегами для нас являются важным фактором продуктивного труда. Поэтому, так сложилось, что у нас все дружно и психологически комфортно : ) Внутри команд популярен обмен опытом.

Откликнуться на вакансию можно мне в личные сообщения: https://t.iss.one/Alina_HR

Добрый вечер, коллеги. В Рамблер открыты две вакансии. https://hh.ru/vacancy/34222818
https://hh.ru/vacancy/34874471
За подробностями можно ко мне в ЛС. Я редиректну на ответственных.

#Product_owner #Information_security #Moscow #Banking #Job #Вакансия #Банк

Всем хорошего дня!

Банк из топ -5 в поиске Product owner в команду разработки и внедрения инновационных решений в сфере информационной безопасности.
🔸Предлагаем:
Оклад + премия, официальное оформление в штат Банка.
ДМС после испытательного срока, скидки для родственников
Дисконт-программы от компаний-партнеров
Лучший цифровой офис и ТОП-3 мобильных банков 2019 года.
Релокационный пакет для коллеги из регионов.
🔸Чем предстоит заниматься:
Вести в роли Product Owner кросс-функциональные команды разработки функционала по безопасности;
Актуализировать модели угроз;
Формировать функциональные и нефункциональные требования, приоритеты, контролировать сроки и соответствие выполненных работ заявленным целям;
Анализировать инциденты, выявлять потенциальные угрозы, проводить пользовательские исследования, проверять гипотезы с целью построения решений для предотвращения инцидентов и уменьшения friction использования;
Анализировать, пилотировать, внедрять решения в сфере безопасности от внешних вендоров.

🔸Ты идеальный кандидат, если у тебя есть:
Знание методологий и опыт управления крупными проектами по разработке программных продуктов;
Знание принципов и опыт развития программных продуктов в сфере информационной безопасности и/или в финансовой сфере;
Опыт разработки проектной документации: Концепт, Скоуп, BRD;
Знание основ информационной безопасности (протоколов используемых для защиты каналов связи и принципов их работы, средств защиты информации и их предназначения, инфраструктуры PKI и понимания принципа работы криптографических алгоритмов при формировании ЭП и шифровании, законодательства РФ в части криптографии, персональных данных, стандарта PCI DSS , а также знание требований регулятора);
Понимание SDL;
Понимание принципа атак на информационные системы с использованием уязвимостей из OWASP TOP 10;
Навык поиска ошибок в проекте на уровне архитектуры и логике, минимизация/устранение последствий ошибок внедрением средств защиты, дополнительных проверок, изменением архитектуры.
🔸Подробности и вопросы - @miguelkr

Коллеги, ещё одна позиция в Рамблер. https://hh.ru/vacancy/35124219

Вакансия в Kaspersky
Presale engineer for Kaspersky Industrial CyberSecurity (KICS)

https://hh.ru/vacancy/35593904

Вакансия от: https://www.facebook.com/voevodin.andrey
Ищу коллегу в отдел (территориально СПб):
Задачи:
· контроль соблюдения работниками и подрядчиками требований ИБ
· составление аналитических отчетов по результатам контроля соблюдения требований ИБ
· участие в проектах по внедрению средств защиты в корпоративной сети
· аудит защищенности корпоративной сети
· контроль прав доступа учетных записей и доступ компьютеров и приведение их в соответствие с корпоративными политиками
· проведение расследований инцидентов ИБ
· разработка новых и доработка существующих программ/скриптов для автоматизации выполнения задач отдела
Требования:
· высшее техническое образование - специалитет, магистратура;
· опыт работы в области информационной безопасности не менее 3 лет;
· аналитические способности, умение нестандартно мыслить;
· знание английского языка на уровне чтения технической документации.
· опыт работы в области администрирования компьютерных систем и/или сетей не менее 3 лет;
· знание современных информационных технологий;
· знание технологий баз данных
· знание одного из языков программирования Perl/PHP/Python
Желательно:
· образование – высшее по направлению «Информационная безопасность» или техническое с дополнительной переподготовкой по этому направлению в объеме не менее 500 часов.
· опыт работы со сканерами уязвимостей, системами сбора, анализа и корреляции событий безопасности, корпоративными антивирусами.
· опыт в работах по повышению безопасности разрабатываемого ПО
· опыт подготовки технической документации по информационной безопасности, разработки регламентов и инструкций.
по деньгам: 100т.р.
За подробностями и с резюме в личку.

Вакансия от: https://www.facebook.com/voevodin.andrey
Коллеги, ищу в нам компанию архитектора по ИБ (правда клеточка не в подразделении ИБ, а в разработке ПО, в архитектурном отделе).
За подробностями и с резюме в личку.
по деньгам: от 250
Какие задачи надо решать:
1. Участие в процессе разработки продуктов Компании
a. Формирование требований по ИБ к разрабатываемым продуктам (формирование модели нарушителей, модели угроз, уязвимостей, учет требований регулятора и пр.)
b. Разработка типовых подходов к реализации требований ИБ в продуктах Компании
c. Интеграция подходов реализации требований ИБ в существующие процессы компании (разработка нормативных документов, интеграция их в стандарты предприятия)
d. Контроль исполнения требований по ИБ при разработке продуктов Компании
e. Консультирование архитекторов продуктов по вопросам ИБ (в т.ч. и формирование рекомендаций для решения практических задач)
f. Согласование спецификаций архитектуры новых продуктов с т.з. ИБ
g. Проведение аудитов продуктов Компании на предмет соответствия требованиям ИБ, формирование требований по доработкам по результатам аудита (комплексный анализ защищенности приложений)

2. Участие в разработке прикладных решений для операторов связи:
a. Участие в проектах внедрения решений у заказчика в качестве архитектора безопасности (в т.ч. взаимодействие с отделами ИБ операторов связи)
b. Формирование модели нарушителей, угроз, рисков для конкретного решения, поставляемого оператору
c. Проектирование подходов к реализации требований ИБ заказчика в прикладном решении

3. Участие в процессе обучения сотрудников Компании
a. Методическое и информационное обеспечение обучения работников по вопросам ИБ приложений;
b. Проведение внутренних обучающих курсов\митапов для инженерных специалистов Компании

Ожидания:
• Общий опыт работы в сфере IT не менее 7-ми лет, из них не менее 5-ти лет в направлении ИБ
• Практический опыт реализации проектов ИБ
• Опыт оценки рисков ИБ, разработки предложений по снижению рисков и совершенствованию ИБ
• Знания современных угроз и уязвимостей, связанных с нарушением ИБ, технологий, методов и средств защиты информации
• Знание международных Best Practice и регуляторных требований в области ИБ
• Знание безопасного цикла разработки приложений и сервисов
• Глубокое знание протоколов сетевого взаимодействия, принципов построения систем ИБ, понимание основ криптографической защиты информации
• Подтвержденный опыт сопровождения, анализа уязвимостей, внутренних и внешних аудитов и тестов на проникновение
• Практический опыт работы с SAST/DAST/IAST и SCA

Ищу Аналитика информационной безопасности РНКО в г. Новосибирск
Резюме и вопросы можно отправлять в телеграм: https://t.iss.one/Alina_HR

Приглашаем в команду информационной безопасности РНКО «Платежный центр». РНКО активно работает практически со всеми процессингами ЦФТ: Золотая Корона - Денежные переводы, Транспортная Карта, Faktura, Система «Город», Предоплаченные карты. А также находится в рейтинге S&P Global Ratings на уровне «ВВ+» и прогноз - «Стабильный» в связи с устойчивыми показателями. Приглашаем в нашу команду аналитика, отлично владеющего спецификой информационной безопасности в банковской сфере.

Задачи:

— анализ соответствия информационных систем требованиям СТО БР ИББС, SWIFT, 152-ФЗ, PCI DSS и иным обязательным для РНКО отраслевым стандартам по информационной безопасности;
— оценка технических, организационных, нормативных рисков ИБ схем информационных систем;
— анализ и согласование договоров и вопросов информационного взаимодействия РНКО с клиентами и партнерами, паспортов бизнес-проектов и иной проектной документации в части ИБ;
— разработка документации по выявлению критических событий и реагирование на инциденты ИБ;
внедрение новых защитных мер и средств защиты информации;
выполнение функций менеджера проектов по ИБ внутри РНКО, участие в проектных командах.

Мы ожидаем от кандидата:

— высшее образование в области ИБ/смежные области ИТ;
— опыт работы в ИБ от 2 лет;
— навыки построения модели угроз и нарушителей, оценки рисков;
— знание стандарта PCI DSS, СТО БР ИББС, ГОСТ 57580.1, SWIFT Customer Security Controls Framework, 152-ФЗ.
—понимание основ криптографии, сетевой модели, принципов работы межсетевых экранов, средств защиты информации, SIEM-систем, IDS/IPS;

Будет плюсом:

— опыт работы с Oracle Database, ОС Solaris;
— знание № 382-П, ISO/IEC 27001, регламента Евросоюза GDPR.

Мы предлагаем:

— корпоративное внутреннее и внешнее обучение, корпоративную библиотеку;
— работу в команде профессионалов, обмен опытом и знаниями;
— заботу о здоровье: добровольное медицинское страхование;
— вдохновляющую корпоративную культуру: общение во внутренней социальной сети, корпоративные мероприятия;
— место работы г. Новосибирск, рядом с м.Октябрьская.

Коллеги, добрый день!
Ищем спеца по эксплуатации СЗИ (Fortinet, VipNet, Континент, Cisco ISE, MP SIEM, KSC и вот это вот всё).
Москва, ст.м. Молодёжная. Оклад по итогам собеса (до 130)
https://hh.ru/vacancy/35488833

Вакансия Аналитик AppSec
Требования:
• Понимание принципов работы современных веб-приложений, процессов CI/CD и безопасной разработки S-SDLC;
• Уверенные знания в области Application security, умение находить и устранять веб-уязвимости из OWASP TOP10;
• Умение читать исходный код, знать тонкости и выявлять уязвимости нескольких языков программирования из списка – Python, PHP, JS/NodeJS, .Net;
• Опыт проведения ручного и автоматизированного анализа безопасности исходного кода веб-приложений (SAST/DAST);
• Понимание терминов и технологий: OAuth, LDAP, X.509, Redis/ELK/PostgreSQL/MS SQL, GitLab, Docker;
Будет плюсом:

• Опыт проведения тестов на проникновение, участия в CTF/BugBounty программах
• Знакомство с концепциями разработки мобильных приложений под: iOS, Android

Функционал
• Организация и развитие процесса безопасной разработки приложений S-SDLC;
• Интеграция DAST / SCA / SAST тестирования в процессы веб-разработки;
• Анализ защищенности веб-приложений (pentest и security code review);
• Моделирование угроз и формирование требований безопасности веб-приложений;
• Консультирование разработчиков и контроль устранения выявленных уязвимостей;
• Взаимодействие с командами разработки и другими департаментами по профильным вопросам

Условия:
Подрядный договор
Примерный оклад 150 000 в месяц

Вопросы/резюме в личку или на [email protected]

Ищем Application Security Engineer (г. Новосибирск), который поможет выстроить процессы и культуру по безопасной бэк-энд разработке на различных этапах жизненного цикла системы, начиная от проектирования и заканчивая развертыванием.

Резюме и вопросы можно отправлять в телеграм: https://t.iss.one/Alina_HR

Почему это может быть вам интересно:
— формирование практики информационной безопасности приложений с «нуля»;
— высокая зона ответственности, возможность внедрения инициативных решений, быть вдохновителем и двигателем процесса

Задачи:

— разработка и внедрение методологии безопасной разработки приложений от этапа проектирования до развертывания (включая внедрение автоматизированных проверок и средств безопасности в процессы разработки)

— проверка программных разработок на соответствие ТЗ и требованиям безопасности

— анализ кода на возможные уязвимости и организация их устранения

— работы по пен-тестам приложений

— контроль процессов безопасной разработки фронт-энд решений

— согласование интеграций с внешними системами,

— участие в работах по внедрению систем обнаружения атак и выявления критических событий ИБ, совершенствованию ролевой модели прав доступа в информационных системах

— консультирование команд разработки и подразделений информационной безопасности

Требования к кандидату:

— высшее профессиональное образование по ИБ (переподготовка по направлению ИБ) или ИТ

— опыт работы в ИБ не менее 1 года, разработки не менее 1 года

Знания:
— технологий, стандартов, фреймворков компьютерной безопасности
— моделей построения цикла безопасной разработки
— стандартов написания безопасного кода
— инструментов для сборки, отладки и тестирования приложений
— опыт разработки на языках PL/SQL, SQL, JavaScript (будет преимуществом)
— опыт работы с Oracle Database, ОС Solaris
— инструментальных средств анализа защищенности и выявления уязвимостей
технический английский

Будут плюсом:
— Знакомство с отраслевыми стандартами в области безопасности: PCI DSS/PA DSS, ISO 27001, СТО БР ИББС-1.0-2014;
— Знания прикладного программного обеспечения «ЦФТ-Банк», «ЦФТ-Ритейл» (на базе Oracle);

Навыки:
— Code review.
— умение разбираться в программных кодах на разных языках, новых технологиях, программном обеспечении
— умение интерпретировать найденные уязвимости в риски ИБ

Будет плюсом:
— опыт построения функции AppSec в крупной компании.

Мы предлагаем:

— корпоративное внутреннее и внешнее обучение, корпоративную библиотеку;

— работу в команде профессионалов, обмен опытом и знаниями;

— заботу о здоровье: добровольное медицинское страхование;

— вдохновляющую корпоративную культуру: общение во внутренней социальной сети, корпоративные мероприятия;

— место работы г. Новосибирск, Академгородок.

#вакансия #Москва #разработчик_аналитик

Всем привет!
Ситимобил ищет эксперта в поиске уязвимостей методом белого ящик; специалиста, который не только будет искать уязвимости вручную, но и автоматизирует этот процесс.

Компания: Ситимобил city-mobil.ru/about-us
Формат работы: фултайм, офис
График: гибкое начало рабочего дня
Подробнее о компании, позиции, условиях здесь: https://telegra.ph/Razrabotchik---Analitik-informacionnoj-bezopasnosti-02-03

Связаться можно:
Почта: [email protected]
mobile/ WhatsApp +7 977 817 24 94
telegram: @Malkovichnata