Application security (AppSec, DevSecOps)

В аккредитованную ИТ-компанию DataUniverse ищем Инженера по информационной безопасности.

Наша компания входит в группу фармацевтических компаний Гранд Капитал, осуществляющей разработку ПО для нужд группы компаний и внешних клиентов, техническую поддержку группы компаний.

Одно из наших направлений работы - разработка Travel Tech приложения.

О продукте:

Продукт разрабатывается с нуля отдельной группой команд (аналитики, Java разработчики, тестировщики, DevOps, ИБ), на данный момент разработка уже в процессе. Особенности проекта - сложная бизнес-логика и большое количество интеграций.

Вам предстоит:

участвовать в организации и поддержании процессов безопасной разработки программного обеспечения в новом проекте в сфере путешествий.

Строить безопасную инфраструктуру для приложения.

Обязанности:

• Анализ архитектуры, функционала и инфраструктуры приложения на предмет рисков информационной безопасности (серверная часть – Java и PostgreSQL, клиентская часть – web и мобильное приложение);
• Участие в планировании разработки нового функционала приложения, анализ решения по результатам разработки;
• Организация мероприятий по предотвращению угроз ИБ (пентестинг, мониторинг, сканирование на уязвимости, WAF, анализ библиотек приложения);
• Организация и участие в процессах Patch Management, Vulnerability Management, Incident Management;
• Разработка модели угроз для приложения;
• Участие в анализе инцидентов ИБ, работа с SOC;
• Взаимодействие с подрядчиками в зоне своей ответственности.

Требования:

• Опыт работы в сфере информационной безопасности от 3-х лет;
• Понимание рисков и основных векторов атаки на структурные компоненты приложения (серверная часть, база данных, web-интерфейс, мобильное приложение), понимание основных механизмов защиты;
• Понимание основ архитектуры web-ориентированных приложений, принципа работы основных компонентов;
• Понимание организации сетевого взаимодействия компонентов приложений;
• Понимание принципов безопасной разработки ПО.

Будет плюсом:

• Опыт работы c PCI DSS и ФЗ-152,;
• ISO/IEC 12207:2008 и/или российском ИСО/МЭК 12207–2010
• ISO/IEC 27001
• Понимание основных подходов к шифрованию данных.

Условия:

• Оформление по ТК в аккредитованную ИТ-компанию (возможность оформления ИТ ипотеки и получения отсрочки от армии по действующим в РФ программам);
• Интересные и масштабные задачи, работа в команде профессионалов (набираем в команду сотрудников уровня middle и senior);
• Возможность профессионального и управленческого развития вместе с компанией;
• Корпоративное обучение за счет компании;
• ДМС после испытательного срока и льготное страхование для близких;
• Материальная помощь в разных жизненных ситуациях;
• Регулярный пересмотр заработной платы с ростом скиллов и по результатам работы;
• Технику для работы;
• Формат работы на выбор: из дома (в РФ)/гибридный/из офиса (Москва, м Динамо);
• Гибкое начало рабочего дня;
• Корпоративные скидки в ряд фитнес-клубов;
• Уровень заработной платы определяется по итогам собеседования, зависит от квалификации кандидата.