G
Создаётся обманчивое впечатление, что руководитель, который сам сиемку крутит, пентестит, и патчи менеджит. Просто моё восприятие.
Size: a a a
2022 January 11
В
так и звучит
BS
Это дословный перевод Vulnerability management 🌚 там целый процесс
М
#вакансия #Системныйаналитик #аналитикКБ #офис #гибрид
Системный Аналитик КБ
Компания: СберЗдоровье
Формат: гибрид офис/удаленка
Офис: Москва, м.Автозаводская
Вилка зп 180-230k на руки
Задачи:
Проведение исследований по КБ в разрезе всех продуктовых команд
Выявление рисков по КБ.
Предложения по устранению рисков по КБ, а также формализация требований по КБ.
Коммуникации с командами и их консультирование с целью реализации требования КБ.
Формализация и визуализация высокоуровневых бизнес-требований.
Анализ процессов и декомпозиция требований.
Проектирование и описание интеграционных потоков между системами.
Написание, сопровождение и актуализация Технического задания на разработку ПО.
Разработка требований КБ к ПО с учетом стандартов компании, нормативных актов и международных практик.
Проведение аудитов требований по методологиям BIA.
Разработка и актуализации моделей угроз, ВНД и документации по направлению КБ.
Разработка и стандартизация требований КБ.
Обработка запросов на изменение и уточнение требований.
Первичная оценка трудоемкости задач вместе с тех. лидом.
Изучение существующих продуктов и участие в интеграционных проектах.
Требования:
Опыт работы в области информационной безопасности приложений от 3-х лет
Понимание процессов и этапов цикла безопасной разработки ПО (SSDLC).
Системное мышление и умение выделять главное.
Понимание основ сетевой безопасности.
Знание наложенных средств защиты КБ.
Знание и понимание законодательства и стандартов КБ РФ и международных практик.
Хорошо развитые навыки коммуникации.
Моделирование процессов и систем в нотациях UML, BPMN .
Понимать, как работают угрозы из OWASP Top 10, OWASP Mobile Top 10, CWE Top 25
Понимание процесса работы с требованиями заказчика, уверенное владение. методами сбора, формализации, согласования требований.
Знание стандартов в области безопасности приложений и умение их применять (OWASP ASVS, WSTG и т.п.)
Понимание принципов работы облачной инфраструктуры, и рисков безопасности.
Понимание принципов работы микросервисной архитектуры и подходов к безопасности микросервисов.
Понимание различий видов тестирования (SAST,DAST,IAST).
Будет плюсом:
Опыт взаимодействия с продуктовыми командами в сфере КБ.
CISM,CISA,CEH или аналогичные сертификаты
Опыт работы в направлении DevSecOps,AppSec
Знание английского языка на уровне Intermediate.
Условия:
Сильную команду профессионалов, увлеченных своим делом. Вам будет у кого поучиться;
Полный рабочий день, гибкий график (возможен гибрид);
Уютный офис в БЦ Симонов Плаза с видом на Москва-реку;
Свободный дресс-код и общение на «ты»;
ДМС после прохождения испытательного срока;
Оплачиваемые курсы английского языка в нашем офисе;
Бесплатные занятия спортом: йога, сайкл, футбол/волейбол;
Чай, кофе, фрукты, полезные йогурты:)
У нас есть своя библиотека бумажных книг, которая пополняется по запросу;
Компенсация спортивного абонемента.
А еще:
Всегда поддержим, если ты захочешь посетить профильные конференции;
Не любим бюрократию и всегда помогаем друг другу. подробнее @Marya_Korotkova
Системный Аналитик КБ
Компания: СберЗдоровье
Формат: гибрид офис/удаленка
Офис: Москва, м.Автозаводская
Вилка зп 180-230k на руки
Задачи:
Проведение исследований по КБ в разрезе всех продуктовых команд
Выявление рисков по КБ.
Предложения по устранению рисков по КБ, а также формализация требований по КБ.
Коммуникации с командами и их консультирование с целью реализации требования КБ.
Формализация и визуализация высокоуровневых бизнес-требований.
Анализ процессов и декомпозиция требований.
Проектирование и описание интеграционных потоков между системами.
Написание, сопровождение и актуализация Технического задания на разработку ПО.
Разработка требований КБ к ПО с учетом стандартов компании, нормативных актов и международных практик.
Проведение аудитов требований по методологиям BIA.
Разработка и актуализации моделей угроз, ВНД и документации по направлению КБ.
Разработка и стандартизация требований КБ.
Обработка запросов на изменение и уточнение требований.
Первичная оценка трудоемкости задач вместе с тех. лидом.
Изучение существующих продуктов и участие в интеграционных проектах.
Требования:
Опыт работы в области информационной безопасности приложений от 3-х лет
Понимание процессов и этапов цикла безопасной разработки ПО (SSDLC).
Системное мышление и умение выделять главное.
Понимание основ сетевой безопасности.
Знание наложенных средств защиты КБ.
Знание и понимание законодательства и стандартов КБ РФ и международных практик.
Хорошо развитые навыки коммуникации.
Моделирование процессов и систем в нотациях UML, BPMN .
Понимать, как работают угрозы из OWASP Top 10, OWASP Mobile Top 10, CWE Top 25
Понимание процесса работы с требованиями заказчика, уверенное владение. методами сбора, формализации, согласования требований.
Знание стандартов в области безопасности приложений и умение их применять (OWASP ASVS, WSTG и т.п.)
Понимание принципов работы облачной инфраструктуры, и рисков безопасности.
Понимание принципов работы микросервисной архитектуры и подходов к безопасности микросервисов.
Понимание различий видов тестирования (SAST,DAST,IAST).
Будет плюсом:
Опыт взаимодействия с продуктовыми командами в сфере КБ.
CISM,CISA,CEH или аналогичные сертификаты
Опыт работы в направлении DevSecOps,AppSec
Знание английского языка на уровне Intermediate.
Условия:
Сильную команду профессионалов, увлеченных своим делом. Вам будет у кого поучиться;
Полный рабочий день, гибкий график (возможен гибрид);
Уютный офис в БЦ Симонов Плаза с видом на Москва-реку;
Свободный дресс-код и общение на «ты»;
ДМС после прохождения испытательного срока;
Оплачиваемые курсы английского языка в нашем офисе;
Бесплатные занятия спортом: йога, сайкл, футбол/волейбол;
Чай, кофе, фрукты, полезные йогурты:)
У нас есть своя библиотека бумажных книг, которая пополняется по запросу;
Компенсация спортивного абонемента.
А еще:
Всегда поддержим, если ты захочешь посетить профильные конференции;
Не любим бюрократию и всегда помогаем друг другу. подробнее @Marya_Korotkova
AZ
Предполагается что будет работа в международных проектах, я к тому что английский intermediate?
М
нет, не предполагается)
1G
Это же типа плюс
VS
"Для чтения технической документации" (с) Любой HR Отдел
AZ
Я именно про это и говорю)
В
intermediate немного не тянет на возможность участия в международных проектах)
DY
Спорно)
Если формально подходить к оцениванию на предмет upper или inter, то в inter есть абсолютно все чтобы прочитать доклад, обсудить технику, провести общение с партнерами и написать отчёт )
Если формально подходить к оцениванию на предмет upper или inter, то в inter есть абсолютно все чтобы прочитать доклад, обсудить технику, провести общение с партнерами и написать отчёт )
LL
подскажите хороший ресурс с шаблонами по ПДн
В
Для чего?
R
Сайт Роскомнадзора. На хабре тоже встречал комплект шаблонов
АН
Ахахха
2022 January 12
I
#вакансия #информационнаябезопаность
Аналитик по информационной безопасности (подразделение ИТ)
Компания: ДОМ.РФ
Требуемый опыт работы: 1–3 года
Вилка ЗП 150-200 тыс. руб.
Ищем коллегу для работы с уязвимостями/инцидентами ИБ.
Основная цель позиции: выявление и управление уязвимостями, подготовка отчетов по анализу и устранению уязвимостей, участие в проектах внедрения систем защиты.
Основная цель позиции: выявление и управление уязвимостями, подготовка отчетов по анализу и устранению уязвимостей, участие в проектах внедрения систем защиты.
Рабочие задачи:
Участие в процессах устранения уязвимостей (Vulnerability & Patch Management, Compliance Check);
Участие во внутренних аудитах ИБ (выявление уязвимостей, приоритезация рисков, выдача рекомендаций по их устранению).
Мониторинг открытых источников на предмет публикации информации о новых уязвимостях.
Участие в проектах по построению комплексной системы информационной безопасности;
Ищем человека, который:
Имеет опыт организации проведения анализа защищенности, оценки эффективности мер защиты информации, участия в проведении аудитов информационной безопасности;
Имеет опыт работы со сканерами безопасности (MaxPatrol, Nessus);
Владеет сетевыми технологиями.
Имеет понимание рисков связанных с наличием конкретных уязвимостей;
Умеет создавать оптимизированные под конкретные задачи конфигурации сканирования;
Имеет навыки по работе с проверкой конфигураций ПО на соответствие стандартам безопасности (compliance scans).
Подробнее: @iri.irinaaa 🙃
Аналитик по информационной безопасности (подразделение ИТ)
Компания: ДОМ.РФ
Требуемый опыт работы: 1–3 года
Вилка ЗП 150-200 тыс. руб.
Ищем коллегу для работы с уязвимостями/инцидентами ИБ.
Основная цель позиции: выявление и управление уязвимостями, подготовка отчетов по анализу и устранению уязвимостей, участие в проектах внедрения систем защиты.
Основная цель позиции: выявление и управление уязвимостями, подготовка отчетов по анализу и устранению уязвимостей, участие в проектах внедрения систем защиты.
Рабочие задачи:
Участие в процессах устранения уязвимостей (Vulnerability & Patch Management, Compliance Check);
Участие во внутренних аудитах ИБ (выявление уязвимостей, приоритезация рисков, выдача рекомендаций по их устранению).
Мониторинг открытых источников на предмет публикации информации о новых уязвимостях.
Участие в проектах по построению комплексной системы информационной безопасности;
Ищем человека, который:
Имеет опыт организации проведения анализа защищенности, оценки эффективности мер защиты информации, участия в проведении аудитов информационной безопасности;
Имеет опыт работы со сканерами безопасности (MaxPatrol, Nessus);
Владеет сетевыми технологиями.
Имеет понимание рисков связанных с наличием конкретных уязвимостей;
Умеет создавать оптимизированные под конкретные задачи конфигурации сканирования;
Имеет навыки по работе с проверкой конфигураций ПО на соответствие стандартам безопасности (compliance scans).
Подробнее: @iri.irinaaa 🙃
T
#Вакансия #Москва
Коллеги, мы находимся в поиске кандидата на позицию Архитектор ИБ
У вас есть отличная возможность быть у истоков крупного Digital стартапа в направлении страхования (Акционером, которого, является ВТБ)!
Немного о нас:
Идея и задача - создание компании нового формата, с фокусом на клиентоориентированную модель через формирование долгосрочных партнерских отношений с клиентами и постоянное улучшение клиентского опыта, используя все современные инновационные цифровые решения.
Обязанности:
- Проведение анализа существующих и разрабатываемых в компании информационных систем, процессов, качества данных с позиций обеспечения ИБ
- Оценка архитектуры и конфигурации информационных систем на полноту и достаточность мероприятий по обеспечению ИБ
- Анализ качества программного обеспечения и его соответствия установленным требованиям по обеспечению ИБ компании
Внедрение систем информационной безопасности
- Участие во внедрении разрабатываемых решений, интеграции новых систем и процессов информационной безопасности в инфраструктуру компании
- Проведение выбора и тестирования решений по информационной безопасности
Разработка новых процессов и процедур обеспечения информационной безопасности, совершенствование уже имеющихся.
Осуществление мониторинга рынка с целью поиска и внедрения лучших практик. Подчиненные отсутствуют
Опыт:
Знание нормативной документации по информационной безопасности, требований законодательства РФ и Банка России, стандартов обеспечения ИБ (CIS, NIST, COBIT, ГОСТ и т.д.)
Знание основных технологий и способов обеспечения информационной безопасности (FW, VPN, IDS, PKI, AAA, AV и.т.д)
Знание способов обеспечения информационной безопасности серверных операционных систем (Windows, Linux) и баз данных (MS SQL, Oracle, PostgreSQL и т.д.)
Знание сетевых технологий в объеме программы Cisco CCNA Security
Опыт проектирования систем информационной безопасности, практический опыт работы с оборудованием и продуктами информационной безопасности.
Знание технологий виртуализации, контейнеризации операционных систем, программно-определяемых сетей
Английский – чтение технической документации
Коллеги, у нас также открыты позиции: DevSecOps, аналитик ИБ (compliance), аналитик и эксперт ИБ
Контакты: TG: @ant_bondarr @alcher13
Коллеги, мы находимся в поиске кандидата на позицию Архитектор ИБ
У вас есть отличная возможность быть у истоков крупного Digital стартапа в направлении страхования (Акционером, которого, является ВТБ)!
Немного о нас:
Идея и задача - создание компании нового формата, с фокусом на клиентоориентированную модель через формирование долгосрочных партнерских отношений с клиентами и постоянное улучшение клиентского опыта, используя все современные инновационные цифровые решения.
Обязанности:
- Проведение анализа существующих и разрабатываемых в компании информационных систем, процессов, качества данных с позиций обеспечения ИБ
- Оценка архитектуры и конфигурации информационных систем на полноту и достаточность мероприятий по обеспечению ИБ
- Анализ качества программного обеспечения и его соответствия установленным требованиям по обеспечению ИБ компании
Внедрение систем информационной безопасности
- Участие во внедрении разрабатываемых решений, интеграции новых систем и процессов информационной безопасности в инфраструктуру компании
- Проведение выбора и тестирования решений по информационной безопасности
Разработка новых процессов и процедур обеспечения информационной безопасности, совершенствование уже имеющихся.
Осуществление мониторинга рынка с целью поиска и внедрения лучших практик. Подчиненные отсутствуют
Опыт:
Знание нормативной документации по информационной безопасности, требований законодательства РФ и Банка России, стандартов обеспечения ИБ (CIS, NIST, COBIT, ГОСТ и т.д.)
Знание основных технологий и способов обеспечения информационной безопасности (FW, VPN, IDS, PKI, AAA, AV и.т.д)
Знание способов обеспечения информационной безопасности серверных операционных систем (Windows, Linux) и баз данных (MS SQL, Oracle, PostgreSQL и т.д.)
Знание сетевых технологий в объеме программы Cisco CCNA Security
Опыт проектирования систем информационной безопасности, практический опыт работы с оборудованием и продуктами информационной безопасности.
Знание технологий виртуализации, контейнеризации операционных систем, программно-определяемых сетей
Английский – чтение технической документации
Коллеги, у нас также открыты позиции: DevSecOps, аналитик ИБ (compliance), аналитик и эксперт ИБ
Контакты: TG: @ant_bondarr @alcher13
Y
Всем привет!🙃
✅Компания: Ростелеком (центр кибербезопасности)
✅Города: Нижний Новгород или Воронеж
✅Формат работы: Удаленная
✅Зарплата: оклад 70 000 гросс (+ стабильные квартальные и годовая премии).
✅Чем нужно будет заниматься:
Основная задача – согласование заявок на сетевую связность, анализ заявок на базовые принципы безопасности/комплайнс.
Это не работа с сетевым оборудованием.
✅Мы ожидаем:
Хорошие теоретические знания и опыт работы с сетевыми технологиями (протоколы, порты)
Хорошие коммуникативные навыки
Резюме можно направлять на почту Yuliya.V.Grigoryan@rt.ru или в телеграм @Yuli_Grigoryan
✅Компания: Ростелеком (центр кибербезопасности)
✅Города: Нижний Новгород или Воронеж
✅Формат работы: Удаленная
✅Зарплата: оклад 70 000 гросс (+ стабильные квартальные и годовая премии).
✅Чем нужно будет заниматься:
Основная задача – согласование заявок на сетевую связность, анализ заявок на базовые принципы безопасности/комплайнс.
Это не работа с сетевым оборудованием.
✅Мы ожидаем:
Хорошие теоретические знания и опыт работы с сетевыми технологиями (протоколы, порты)
Хорошие коммуникативные навыки
Резюме можно направлять на почту Yuliya.V.Grigoryan@rt.ru или в телеграм @Yuli_Grigoryan
EV
#вакансия #AppSec #pentest #пентест #Сбер
Компания: Сбер
Позиция: AppSec engineer/Pentester
ЗП: 200-300К (в зависимости от опыта и знаний)
Занятость: полная
Формат работы: на выбор: удаленно/офис/смешанный график
Обязанности:
- Анализ защищённости веб-приложений (white/gray box), анализ защищённости backend-приложений;
- Разработка, интеграция различного инструментария в процессы DevOps;
- Анализ различных решений и технологий с точки зрения информационной безопасности и разработка рекомендаций по повышению уровня их защищенности;
- Подготовка рекомендаций по устранению уязвимостей в приложениях.
Требования:
- Практический опыт проведения анализа защищённости веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC), понимание принципов защиты веб-приложений и умение исправлять найденные уязвимости на архитектурном уровне;
- Понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2 etc);
- Понимание принципов работы микросервисной архитектуры веб-приложений, знание ООП;
- Умение разбираться в чужом коде (Java, Scala, Kotlin, Python, PHP);
- Знание SQL (T-SQL, PL/SQL);
- Понимание методологии OWASP ASVS и умение с ней работать;
- Знание скриптовых языков программирования и навыки разработки прикладных инструментов для проведения тестов на проникновение;
- Навыки работы с инструментами DAST;
- Понимание современных процессов и практик разработки ПО: Agile, CI/CD; (SDLC, DevSecOps).
Контакт: Telegram: @katemisha (Катя), e-mail: EMVarlygina@sberbank.ru
Компания: Сбер
Позиция: AppSec engineer/Pentester
ЗП: 200-300К (в зависимости от опыта и знаний)
Занятость: полная
Формат работы: на выбор: удаленно/офис/смешанный график
Обязанности:
- Анализ защищённости веб-приложений (white/gray box), анализ защищённости backend-приложений;
- Разработка, интеграция различного инструментария в процессы DevOps;
- Анализ различных решений и технологий с точки зрения информационной безопасности и разработка рекомендаций по повышению уровня их защищенности;
- Подготовка рекомендаций по устранению уязвимостей в приложениях.
Требования:
- Практический опыт проведения анализа защищённости веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC), понимание принципов защиты веб-приложений и умение исправлять найденные уязвимости на архитектурном уровне;
- Понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2 etc);
- Понимание принципов работы микросервисной архитектуры веб-приложений, знание ООП;
- Умение разбираться в чужом коде (Java, Scala, Kotlin, Python, PHP);
- Знание SQL (T-SQL, PL/SQL);
- Понимание методологии OWASP ASVS и умение с ней работать;
- Знание скриптовых языков программирования и навыки разработки прикладных инструментов для проведения тестов на проникновение;
- Навыки работы с инструментами DAST;
- Понимание современных процессов и практик разработки ПО: Agile, CI/CD; (SDLC, DevSecOps).
Контакт: Telegram: @katemisha (Катя), e-mail: EMVarlygina@sberbank.ru
Ю
#вакансия #инженерИБ #гибрид #удаленка
Вакансия «Администратор DPI решения» (вилка 100-150)
Приглашаем в свою команду инженера ИБ.
Требования к вакансии:
- знание и опыт администрирования ОС Linux (Debian, RHEL)
- знание основных системных сервисов, стека протоколов TCP/IP, веб-протоколов и стандартов
Плюсом будет:
- знание Elastic Search, Grafana
- общее понимание продуктов ИБ
Задачи:
- Администрирование централизованного сервиса по защите информации (DPI)
- Подключение к сервису новых систем и их сопровождение
- Подготовка отчетности по выявленным угрозам
- Контроль выполнения заявок
Условия:
- официальное трудоустройство
- Full Time
- годовая премия
- возможность удаленной работы
- работа в дружном коллективе единомышленников 😊
Контактное лицо: @julipanteleeva
Вакансия «Администратор DPI решения» (вилка 100-150)
Приглашаем в свою команду инженера ИБ.
Требования к вакансии:
- знание и опыт администрирования ОС Linux (Debian, RHEL)
- знание основных системных сервисов, стека протоколов TCP/IP, веб-протоколов и стандартов
Плюсом будет:
- знание Elastic Search, Grafana
- общее понимание продуктов ИБ
Задачи:
- Администрирование централизованного сервиса по защите информации (DPI)
- Подключение к сервису новых систем и их сопровождение
- Подготовка отчетности по выявленным угрозам
- Контроль выполнения заявок
Условия:
- официальное трудоустройство
- Full Time
- годовая премия
- возможность удаленной работы
- работа в дружном коллективе единомышленников 😊
Контактное лицо: @julipanteleeva