О компании и команде
ООО «СибКом Цифра» - аккредитованная IT-компания, производитель софта для автоматизации и цифровизации промышленных процессов. Наши решения применяются в металлургии, нефтегазовом секторе, энергетике, химической и нефтехимической промышленности, автопроме, легкой и пищевой промышленности.
Наша разработка – универсальная цифровая платформа КАСКАД ЦИФРА - объединяет в себе комплекс модулей для построения SCADA-систем, БДРВ, PIMS, диспетчерских центров и др.
В нашу команду мы ищем Специалиста по разработке безопасного ПО.
Ожидания от кандидата
Обязательно:
- Высшее образование по направлению информационной безопасности /технической защиты информации или профессиональная переподготовка не менее 360 часов по направлению информационной безопасности.
- Опыт работы от 2,5 лет по специальности.
- Опыт работы с ОС Windows, Unix на уровне системного администратора.
- Знание веб-протоколов и протоколов безопасности: HTTP, REST, CSP, CORS, OAuth
- Умение читать код на распространенных языках программирования (Python, Java, PHP, C#).
- Знание международных стандартов безопасной разработки (CIS, NIST, OWASP ASV/MASV/STG/RC, BSIMM).
- Опыт работы с инструментами анализа безопасности кода (SAST, DAST, SCA и другие).
- Знание типов уязвимостей приложений OWASP Top 10 или CWE Top 25 и подходов по их устранению.
- Знание методологий и стандартов, связанных с практическим анализом защищенности (OWASP, OSSTMM, PTES, BSIMM).
- Понимание принципов работы различных классов средств защиты информации (802.1x, AV, DLP, SIEM, WAF, IDS/IPS, EDR, NAC, NAD, PAM, UEBA).
- Знание действующего законодательства РФ в сфере информационной безопасности (в частности ГОСТ Р 56939-2016 и приказ ФСТЭК №239).
Желательно:
- Опыт в получении лицензий ФСТЭК России (ТЗКИ и РПСЗКИ) и ФСБ России, в том числе опыт разработки комплектов организационно-распорядительной документации с учетом требований регуляторов
Задачи:
- Проектировать компоненты прикладного ПО, относящихся к СЗКИ (авторизация, аутентификация, ролевая модель, защита данных, встроенные методы шифрования).
- Внедрять процессы безопасной разработки ПО компании (аналитика процессов, разработка метрик, анализ и управление уязвимостями, работа с рисками).
- Реализовывать требования по безопасной разработке ПО согласно действующему законодательству (ГОСТ Р 56939-2016 и приказ ФСТЭК №239):
- Проводить композиционный анализа разрабатываемых и используемых компонентов ПО в части разработки безопасного ПО;
- Проводить статический и динамический анализ ПО;
- При необходимости проводить ручной анализ кода.
- Участвовать в процедуре получения сертификата ФСТЭК на СЗКИ.
- Разрабатывать и внедрять нормативные и распорядительные документы (правила, регламенты, шаблоны).
- Выстраивать взаимодействие между сотрудниками отдела информационной безопасности и отдела разработки.
Условия работы
Мы предлагаем:
- Официальное трудоустройство в аккредитованной IT-компании.
- Возможность работать в офисе (в любом городе присутствия компании) или удаленно.
- Гибкий график, по договоренности с командой и руководителем.
- ДМС после испытательного срока.
- Зарплату каждый месяц, а раз в год - бонус по итогам работы. Размер оклада готовы обсуждать.
- Классную команду и уютный офис.
- Обучение за счет компании.