Ведущий специалист по аудиту в Информационная безопасность

Any

По договоренности

Hybrid, remoteЗанятость: ПолнаяТребуемый опыт: Не указан

Москва

Откликнуться
company logo
VK
Перейти на сайт

Размер компании

-

Описание компании не указано

Описание вакансии

Команда инфобезопасности ревьюит архитектуру и код, анализирует защищённость релизов, автоматизирует проверки безопасности, плотно взаимодействует с разработчиками, аналитиками и продактами. Ищем технически сильного специалиста, который будет участвовать в аудитах безопасности продуктов VK на уровне архитектуры, разработки и инфраструктуры. По итогам проверок — готовить рекомендации. А ещё — участвовать в развитии и автоматизации методологической базы. Важно глубоко знать подходы к построению контролей ИБ. Мы защищаем данные пользователей, продукты, сети и серверы. Создаём сервисы безопасности для пользователей, а внутри команды — обучаем правилам ИБ и развиваем киберкультуру. Задачи: Проводить аудиты безопасности продуктов VK по внутреннему фреймворку; Разрабатывать практические рекомендации по результатам аудита — в связке с технической командой продукта; Развивать системы метрик информационной безопасности: определять показатели, источники данных, автоматизировать их сбор и визуализацию; Участвовать в развитии фреймворка оценки безопасности продуктов; Предлагать варианты актуализации политик и стандартов безопасности Требования: Опыт проведения технически ориентированных аудитов ИБ в продуктовых или технологических компаниях; Понимание архитектуры современных веб-приложений, микросервисов, IAM-моделей, CI/CD-процессов, практик DevSecOps; Понимание принципов инфраструктурной безопасности, специфики безопасности сред виртуализации и контейнеризации; Умение анализировать и систематизировать документацию по контролям ИБ; Навыки работы с техническими командами, способность формулировать рекомендации с учётом бизнес-контекста продукта; Умение быстро разбираться в новых технологиях, архитектурах и процессах; Глубокое знание стандартов и лучших практик ИБ: ISO 27k, PCI DSS, 21-й приказ ФСТЭК, NIST

Дополнительно

Секреты цифровой доступности Как попасть в команду Проводить аудиты безопасности продуктов VK по внутреннему фреймворку Разрабатывать практические рекомендации по результатам аудита — в связке с технической командой продукта Развивать системы метрик информационной безопасности: определять показатели, источники данных, автоматизировать их сбор и визуализацию Бонусы: Гибкий график работы; Бонусы и скидки от партнеров; Офис в центре города; ДМС; Профессиональная команда Дополнительные плюсы: Базовые знания в области тестирования на проникновение, ручного и автоматизированного анализа защищённости; Знание и умение применять подходы к оценке и моделированию угроз — OWASP, STRIDE, PASTA, MITRE ATT&CK; Опыт проработки интеграции с источниками данных для сбора метрик безопасности; Опыт написания коннекторов или скриптов для передачи данных в аналитические и SGRC-системы; Понимание принципов работы SGRC-платформ и участие в их настройке и внедрении; Навыки настройки дашбордов, отчётов