Архитектор по информационной безопасности

Что делать

• Проектировать и разрабатывать архитектуру безопасности продуктовой линейки.
• Создавать стратегию развития продуктов, ориентированную на безопасную архитектуру и модели угроз.
• Разрабатывать подходы по приоритизации наиболее критичных уязвимостей. Формировать предложения по митигационным мерам и их оценке, предлагать рекомендации по выбору митигационных мер, искать наиболее эффективные контрмеры.
• Формировать процессы, технические решения, доработки и разработки в качестве митигаторов рисков, в том числе процессы предоставления доступа и управления им, недопущения и минимизации уязвимостей.
• Интегрировать стратегии безопасности и надежности продукта с общей стратегией безопасности компании.
• Проверять применимость эксплойтов против приоритетных особо критичных уязвимостей.
• Взаимодействовать с ответственными командами и консультировать по устранению уязвимостей.
• Автоматизировать собственную деятельность — Python, Golang, SQL.

Требования

• У вас есть опыт работы в проектировании и дизайне high-load-продуктов.
• Участвовали в продуктовых командах, понимаете принципы их работы: пользовательские сценарии, NPS, охваты, UX, в приоритете — предоставление услуг по модели aaS.
• Знаете концепции и паттерны проектирования отказоустойчивых и масштабируемых систем.
• Умеете применять современные подходы в аутентификации и авторизации, управлять ролями и доступами.
• Разбираетесь в протоколах аутентификации и решениях по их реализации: Webauthn, OIDC, OAuth, FIDO2, MFA, 3FA, MPA, Ephemeral Accounts, PAM.
• Проводили инфраструктурные или прикладные пентесты, offensive-сертификацию — стек offensive security или ec-council.
• Глубоко понимаете технологии защиты сети и сетевых стеков: TCP/IP, HTTP, gRPC, mTLS, IPSec, QUIC.
• Знаете и понимаете стандарты и методологию управления рисками в ИТ и ИБ: ISO/IEC 27000, ITIL, SABSA, COBIT, NIST и другие.
• Знаете и понимаете методологию формирования моделей угроз: OCTAVE, PASTA, Trike, STRIDE, VAST и другие.
• Использовали современные cloud-инфраструктуры и понимаете устройство в части безопасности: AWS, GCP, Alibaba, YC.

Будет плюсом знание методологий обеспечения безопасности — сертификации от ISC2, ISACA, GIAC, EC-Council, CompTIA, ITIL, Comptia Security+.

Мы предлагаем

• Работу в офисе или удаленно — по договоренности.
• Платформу обучения и развития «Апгрейд». Курсы, тренинги, вебинары и базы знаний. Поддержку менторов и наставников, помощь в поиске точек роста и карьерном развитии.
• Комплексную программу заботы о здоровье. Оформим полис ДМС с широким покрытием и страховку от несчастных случаев. Предложим льготные условия страхования для ваших близких.
• Возможность работы в аккредитованной ИТ-компании.
• Линейку льготных тарифов на продукты Т-Банка.
• Частичную компенсацию затрат на спорт.
• Well-being-программу, которая помогает улучшить психологическое и физическое здоровье, а также разобраться с юридическими и финансовыми вопросами.
• Три дополнительных дня отпуска в год.
• Достойную зарплату — обсудим ее на собеседовании.