Application Security/AppSec инженер

Мы команда ИБ центра по развитию HR сервисов корпорации Росатом.Совместно с продуктовыми командами центра мы сформировали ряд продуктов (как собственных, так и внедренных подрядчиком). Требуется переход на качественно новый уровень с точки зрения пользовательского опыта – необходимо связать все продукты в единую экосистему, удобную и понятную для пользователя.Тебе потребуется участвовать в проектировании, создании и развитии информационных систем в части информационной безопасности. Текущие клиенты: отраслевые сервисыЧем предстоит заниматься: Анализировать архитектуру сервисов; Выявлять и оценивать риски ИБ web приложений; Определять требования ИБ и их реализацию; Совместно с командами ИТ прорабатывать реализацию требований, формировать бэклог; Создавать архитектурные стандарты и типовые технические решения реализации требований ИБ; Проводить архитектурное ревью планируемых разработок центра по вопросам ИБ; Выстраивать процесс безопасной разработки информационных систем, реализовывать этот процесс в рамках ci/cd; Работа с инструментарием контроля безопасности разрабатываемых решений (SAST, DAST, fuzzing тестирование, тестирование на проникновение); Разбирать результаты работы инструментов, ставить задачи на исправление и контролировать устранение выявленных дефектов; Взаимодействовать с командами разработки, помогать им в улучшении безопасности разрабатываемых систем. Мы ждем: Глубокое понимание принципов создания комплексной подсистемы безопасности систем и сервисов; Умение создавать архитектуру без негативного влияния на решение; Знание стандартов в области безопасности приложений и умение их применять (OWASP ASVS, WSTG и т.п.); Знание подходов обеспечения безопасности разработки (devsecops); Знание и опыт работы с решениями по анализу кода (SAST, DAST и др) · знание принципов обеспечения безопасности ci/cd, опыт их реализации; Понимание принципов работы kubernetes и рисков безопасности; · умение документировать проделанную работу; Английский язык – чтение технической литературы.Будет плюсом: Опыт нахождения и эксплуатации уязвимостей/ опыт пентестов; Высшее образование в области ИБ; Понимание этапов создания систем (ГОСТ 34-XXX, ГОСТ РО 0043-003-2012); Опыт проектирования ИС уровня enterprise. Знание требований российского законодательства и международных стандартов в области ИБ (ФСТЭК России (ПДн, КИИ, ГИС…), ФСБ России, ISO 27001, PCI DSS); Опыт использования систем коллективной работы; Умение декомпозировать задачу на подзадачи, при необходимости дробление до атомарных задач; Способность планировать работу и контролировать срок своей работы без ежедневного контроля "сверху"; Ценим опыт, обратную связь и предложения по улучшению процессов; Работа в команде единомышленников с экспертами по ИБ, архитекторами, бизнес-аналитиками, front и back разработчиками уровня senior, тестировщиками, DevOps-инженерами.
Условия:
Удаленная работа; Современные рабочие места; Цифровые сервисы для сотрудников. Обучение и развитие; Собственная онлайн-платформа с программами профессионального и личностного роста – от инженерных курсов до изучения иностранных языков; Участие в конференциях, тренингах и конкурсах профессионального мастерства; Карьерные возможности; Карьерные консультации для построения экспертной или управленческой траектории роста; Поддержка карьерного развития сотрудников; Социальные программы; ДМС со стоматологией и госпитализацией; Страхование несчастных случаев на производстве; Линия психологической поддержки; Финансовая помощь в особых жизненных ситуациях; Корпоративная жизнь; Тимбилдинги; Спортивные активности и отраслевые соревнования; Волонтерские движения; Мероприятия для сотрудников и их семей.