Аналитик по информационной безопасности (Application Security)

Мы — СОВКОМБАНК-ТЕХНОЛОГИИ.

IT-компания финансовой группы «Совкомбанк», топ-5 лучших работодателей по версии Хабр Карьера. У нас работает более 5000 специалистов по всей России. Мы развиваем экосистему карты рассрочки «Халва», приложение «Совкомбанк Инвестиции» и собственные корпоративные продукты, проводим масштабные интеграции сервисов и компаний.

В связи с усилением команды кибербезопасности открыта вакансия Аналитика ИБ (Application Security), который совместно с DevSecOps будет развивать процессы SSDLC в продуктовых командах ГК «Совкомбанк».

Присоединяйся к команде — давай вместе прокачивать финтех!

Задачи, которые предстоит решать:

• Проводить анализ безопасности архитектуры приложений.
• Сортировать (триаж) уязвимости, найденные инструментами SSDLC.
• Писать proof-of-concept для критичных уязвимостей.
• Разрабатывать технические стандарты безопасной разработки.
• Повышать осведомленность, консультировать разработчиков в вопросах безопасной разработки и типовых уязвимостей.
• Соблюдать установленные KPI по обработке результатов от инструментов SSDLC.

Наши ожидания от кандидата:

Опыт от 1 года:

• Работа с любым из инструментов анализа безопасности приложений: SAST, DAST/Fuzzing, OSA/SCA, IAST.
• Верификация уязвимостей, их сортировка и приоритизация.
• Оценка угроз для веба и мобильных приложений, методы их устранения (OWASP Top 10, OWASP Mobile Top 10, OWASP API Top 10, OWASP MASVS, MASTG или аналоги).
• Разработка моделей угроз (STRIDE, PASTA или аналоги).
• Реализация современных протоколов авторизации (SAML 2.0, OpenID Connect).

Будет плюсом:

• Опыт работы с git (GitLab, GitHub, Jenkins или аналоги).
• Опыт работы с task-tracker (Jira, Yandex Tracker или аналогами).
• Опыт работы с уязвимостями в зависимостях. Анализ уязвимостей в прямых и транзитивных зависимостях.
• Участие в разработке по современным методологиям (Agile, Scrum).
• Разработка на одном из современных языков программирования, проведение ручного анализа кода.
• Опыт встраивания контролей безопасности в pipeline, в т.ч. в виде security-gates.
• Практический опыт тестирования на проникновение.
• Опыт со стандартами и лучшими практиками защиты платёжной инфраструктуры (PCI DSS, СТО БР ИББС, 821-П и другие).

Мы предлагаем:

• Оформление по ТК РФ — наша IT-компания аккредитована.
• Полный день, график работы: 5/2 (выходные: суббота, воскресенье).
• З/п белая, по результатам собеседования.
• Рассматриваются кандидаты по всей России: Калининград, Казань, Уфа, Новосибирск, Санкт-Петербург, Томск, Екатеринбург, Саратов, Краснодар и другие регионы.
• Развитие профессиональной экспертизы: ты сможешь обучаться и посещать конференции и митапы за счёт компании.
• Классная команда — мы за радость общения и дружбу в коллективе.
• Комфортный офис — у нас уютные рабочие пространства, комнаты отдыха с настольным теннисом, кикером, плойкой и другими плюшками.
• Коворкинги в Сочи и на Алтае — туда можно отправиться поработать и отдохнуть в режиме 4/3 за счёт Банка.
• Более 50 социальных программ — ДМС со стоматологией и страхованием от несчастных случаев и болезней, изучение английского, софинансирование летнего, зимнего и тематического отпуска, уникальные условия по продуктам и услугам Банка.
• Забота о детях: мы проводим праздники и экскурсии для детей наших сотрудников, софинансируем частный детский сад, отдых в лагере и подготовку к экзаменам.
• Много спорта: у нас есть клубы и секции, можно заниматься любым спортом за счёт Банка и участвовать в корпоративных турнирах и чемпионатах. Также мы софинансируем коллегам абонементы в фитнес-клубы.
• Вовлечённость, комфорт и свобода. У нас минимум бюрократии, нет дресс-кода, гибкое начало и завершение рабочего дня.
• Самая яркая корпоративная культура — летние IT-фесты, путешествия по России и за её пределами!