Согласен. Но если я захочу стоков — на деньги я могу их купить) и необязательно яндекса)

Но, собственно, именно поэтому я писал про зарплату а не общий пакет компенсаций. Общий пакет он +- в рынке, но специфичный)

Взрослая компания для взрослых спецов по безопасности приложений
Большая, белая и пушистая© ИТ-компания, находясь в процессе планомерного расширения Центра кибербезопасности, ищет дополнительных специалистов (уровня TeamLead, Seniore и Middle) по AppSec/WebAppSec, DevSecOps/SDLC/SSDLC, QA (SAST, DAST, IAST, Fuzzing) и Pentest (Kali, BlackArch) для внедрения и сопровождения (со стороны ИБ) указанных практик в производственный процесс, начиная с формирования требований и проектирования архитектуры и заканчивая приёмочными испытаниями и внедрением в собственное облако.
Наш техстек в первую очередь: OpenShift , Java, WildFly, SpringBoot, Kafka, Linux, Postgre, Jenkins, Git / Bitbucket.
А так же: IBM WebSphere и MQ, Apache Ignite, JavaScript, C/C++, Oracle, Kotlin, Kubernetes, Openstack
Если ваши знания и/или навыки ее полностью соответствуют требованиям – мы готовы рассматривать и договариваться.
Стандартные плюшки разменявший второй десяток лет компании (ДМС с первого дня, помощь в сложных жизненных ситуациях, спорт-зал и врач в офисе...), оклад 230-280 т.р. gross (на старте, это не потолокне потолок) + премия. Сейчас доступны офисы в Питере и Москве.
На выбор отделы:
- Безопасности разработки
- Экспертизы кибербезопасности
- Сопровождения внедрений.
Режим работы - в офисе, 40 часов в неделю (совместителей и практикантов пока не рассматриваем)
Без кровавого энтерпрайза (в отпуске и выходные/праздничные дни можно опаздывать ходить по офису без галстука - шуткав отпуске и выходные/праздничные дни можно опаздывать ходить по офису без галстука - шутка) и закидонов стартапов (наши сотрудники не знают расшифровки аббревиатур ФНС, СК, ГУЭБиПК, ФСФР и т.п.).
Обязанности:
∙ Внедрение практик безопасной разработки в производственных командах.
∙ Настройка и эксплуатация инструментальных средств анализа кода, включая средства статического и динамического анализа кода, средства анализа открытого исходного кода.
∙ Участие в проектах по тестированию на проникновение, в том числе с привлечением подрядных организаций.
∙ Анализ различных решений и технологий с точки зрения информационной безопасности и разработка рекомендаций по повышению уровня их защищенности.
∙ Организация и проведение внутреннего обучения сотрудников подразделения.
Требования:
∙ Практический опыт в области проведения тестов на проникновение и анализа защищенности ИС.
∙ Владение основными инструментами для проведения тестов на проникновение и анализа защищенности ИС.
∙ Практический опыт работы основными инструментами анализа кода.
∙ Опыт подготовки отчетной документации по результатам исследований безопасности.
∙ Глубокое понимание в следующих областях: основные угрозы информационной безопасности, типы уязвимостей и практический опыт их эксплуатации, способы проведения атак, методики и технологии противодействия.
∙ Наличие знаний в области сетевых технологий (стек TCP\IP, модель OSI).
∙ Наличие знаний в области архитектуры и принципов функционирования ОС (Windows, Linux), общесистемного и прикладного ПО.
∙ Знания английского языка (чтение технической литературы).
Преимуществом будет:
∙ Опыт внедрения процессов безопасной разработки.
∙ Наличие PenTest+, GSSP-JAVA, GWEB, GPEN, GWAPT, GXPN, CEH, LPT, OSEP, OSCP, OCSE, OSEP, OSWE, eCPPT, eWPT, eCPTX, ECSA, CMWAPT, C) SWAE, CPT, CRT, CCSP, CISSP, CSSLP...

Интересно, где этот терминатор с таким комплексом памяти и опыта. Дополню, я ссылаясь на все эти преимущества)

Это на случай, если обладатель одного из этих прекрасных сертификатов, захотев стать на шаг ближе к мечте, будет искать наше объявление по названию своего сертификата.

Сразу CCSP и CISSP в России меньше 15 человек.
Я лично одного только такого знаю .

И нужны ли эти навыки для анализа кода, большой вопрос

Отлично, такие спецы нам точно не помешают!

Зрелые спецы нам нужны для сопровождения полного цикла работ, начиная с формирования ТЗ по ПОИБ с плавным переходом к экспертизе архитектуры и заканчивая развёртыванием в собственных облаках: частном и публичном.

🙈

Если CCSP по официальной статистике всего 14, то даже если все из них ещё и CISSP, что вполне вероятно...

Интересно, сколько стои специалист входящий в двадцатку по стране ?

А так ли они нужны в России??! Может по этому их и не много, не смотря на лояльные условия подтверждения этого статуса?

Согласен, для их сил нужны корпораты с высоким уровнем процессный зрелости. А в России таких как бы не менее чем спецов на сайте isc2 будет

Прям про нашу взрослую ИТ-компанию!)))

нафиг не нужны. во-первых, сами экзамены недешевы и подготовка трудоемка, во-вторых, рынок маленький.
зачем вам курс, на котором вам будут рассказывать, что под облаками имеет в виду aws, если 90% рынка местного иб там все равно никогда не окажутся, а на остальных 10% конкуренция зашкаливает и будут смотреть не в сертификат, а в резюме.

Если человек защитил диссертацию или сдал серьёзный экзамен, значит он:
1. Обучаемый.
2. Целеустремлённый.
3. Самостоятельный.
4. Не нуждается в микроменеджменте.
Не скажу за все ИТ-компании, но в большой, белой и пушистой© эти качества ценятся.

и вот одного экзамена похожего уровня для этого обычно хватает) все равно конкурировать с индусами по количеству лычек рядом с линкединовым профилем у нас не получится

А если человек вторым высшим получил юридическое образование??!

Знания доменов в объёме, достаточно для сдачи экзамена, можно сравнить с навыками решения уравнений с параметрами.

Я прошел и сдал тест по утвержденную программе ФСТЭК в учебном заведении расположенной в другом городе с личным приездом, имею сертификат не государственного образца, впрочем получается как и зарубежные. Я обучаем, целеустремленный, самостоятельный и т.д. ))))