Инженер по безопасности приложений (Digital)

Кого мы ищем:

Мы ищем человека готового организовать и развивать процессы безопасной разработки программного обеспечения. Ты должен уметь и любить разбираться в принципах разработки безопасных web -приложений и мобильных приложений (SSDLC).

Что мы предлагаем:

• У нас ты сможешь развиваться в области AppSec, влиять на технические решения и планомерно повышать качество разработки ПО
• Работать с командой амбициозных людей, увлеченных своим делом и проектом
• Участвовать в разработке востребованных продуктов, находящихся под постоянными атаками
• Работать в компании, где тебя слышат и ценят твой вклад
• Получить профессиональный рост (у нас есть тренинги, конференции, сильная команда, которая готова делиться знаниями и в которой можно быстро расти)

Что планируем сделать:

• Внедрить, развивать и тиражировать практики информационной безопасности в рамках процессов разработки ПО.
• Построить процесс DevSecOps в рамках проектов по разработке ПО, в которых принимает участие ЦК Digital.

На практике это значит, что мы будем решать следующие задачи:

• Выполнять в ЦК Digital процессы безопасной разработки ПО: формирование требований по безопасности приложений, анализ рисков ИБ для нового функционала, анализ безопасности кода на этапах разработки и тестирования, поддержка базы знаний по безопасной разработке, консультирование сотрудников, проведение внутренних воркшопов
• Контролировать исполнение проектов с привлечением внешней экспертизы по направлению аудита информационной безопасности, включая все виды работ по тестированию на проникновение.
• Поддерживать внутреннюю экспертизу и технические средства для автоматизированного анализа безопасности приложений (статические и динамические анализаторы кода, сканеры уязвимостей, собственные скрипты).
• Давать оценку рискам и угрозам ИБ по запросам от бизнес-функций, включая разработку и контроль мер по исключению или минимизации рисков ИБ. Анализировать бизнес требования и то, как они влияют на уровень защищенности продукта
• Контролировать устранение уязвимостей и проводить необходимые консультации о путях устранения проблем безопасности. Консультирует по вопросам ИБ разработчиков, тестировщиков, аналитиков и менеджеров

Что для нас важно в тебе:

• Лидерские качества и развитое чувство ответственности
• Широкий технический кругозор
• Высшее образование в областях ИБ (Информационная безопасность или Комплексная защита объектов информатизации) или ИТ
• Навыки проведения работ по тестированию на проникновение и анализу защищенности веб-приложений, мобильных приложений.
• Навыки ведения переговоров и конструктивного кросс-функционального взаимодействия для выполнения поставленных задач.
• Глубокое понимание архитектурных принципов построения и работы web и mobile приложений.
• Знание современных угроз информационной безопасности для корпоративной и технологической инфраструктуры телекоммуникационных компаний.
• Знание стандартов и методик по аудиту информационной безопасности, по управлению рисками информационной безопасности.
• Знание основных аспектов обеспечения безопасности web/mobile приложений (OWASP Top 10, OWASP Top 10 Mobile), а также best practices безопасного программирования.
• Ответственность за конечный результат и ориентация на бизнес
• Активность и самомотивация

Не обязательно, но будет очень здорово, если ты:

• Имеешь проектный опыт по анализу защищенности для крупного бизнеса.
• Имеешь опыт разработки отчётов и рекомендаций по результатам аудита информационной безопасности и анализа защищенности.
• Владеешь языками программирования.
• Принимал участие в программах BugBounty.
• Принимал участие в соревнованиях CTF.
• Имеешь сертификаты Offensive Security, подтверждающих квалификацию.

Что есть у нас и чем готовы делиться:

• Современное “железо”
• Работа в шикарном бизнес центре класса А, витаминный заряд из фруктов каждую неделю
• Полное соответствие ТК РФ. Конкурентная заработная плата - оклад и годовой бонус
• Гибкий график работы, возможность начала рабочего дня с 8:00 до 10:00, короткая пятница
• Возможность профессионального и карьерного роста (у нас есть внутреннее обучение, возможность посещать конференции, митапы, хакатоны)
• Расширенная медицинская страховка в России и за пределами страны
• Компенсация затрат на мобильную связь
• Дополнительные материальные выплаты (пособия при рождении ребенка, вступлении в брак и т.п.)
• Компенсация занятий спортом через год работы
• Зеленый свет для новых идей и предложений: мы часто делаем то, на что другие не отваживаются