Эксперт по анализу ИТ-проектов (Кибербезопасность)

Задачи

• Обеспечение информационной безопасности (ИБ) новых и существующих проектов и информационных систем.
• Реализация подхода Shift Left Security для оптимизации взаимодействия между подразделениями ИТ и ИБ.
• Участие в проектировании защищенных архитектур внутренних информационных систем банка с учетом требований регуляторов и законодательства.
• Проведение моделирования угроз (Threat Modeling) для приложений, сервисов и систем с последующей разработкой мер защиты.
• Триаж уязвимостей, выявленных инструментальным анализом (SAST, DAST, SCA), включая оценку критичности, приоритизацию и координацию устранения.
• Контроль и согласование правил доступа и Firewall Requests для закрепленных продуктовых команд.
• Балансировка требований бизнеса, ИТ-инфраструктуры и уровня безопасности.
• Совершенствование процессов управления информационной безопасностью на уровне предприятия.
• Выполнение роли играющего тренера (CISO) для команд выбранного бизнес-домена.
• Участие в проектировании защищенных архитектур внутренних информационных систем банка с учетом требований ЦБ РФ, ФСТЭК, ФСБ, 115-ФЗ, 187-ФЗ, 152-ФЗ, PCI DSS и иных регуляторных норм.

Что мы ждем

• Глубокое понимание архитектуры и угроз систем ДБО, включая мобильный и веб-банкинг, API-платформы.
• Опыт обеспечения соответствия требованиям Стандарта Банка России (СТБ BR IBBS), Положения № 684-П, 716-П, 808-П.
• Знание международных стандартов PCI DSS, NIST Cybersecurity Framework применительно к банковской сфере.
• Анализ современных угроз для корпоративных ИТ-инфраструктур финансовых организаций.
• Понимание принципов работы микросервисных архитектур и методов их защиты в банковской среде.
• Знание тактик, техник и процедур (TTPs), применяемых злоумышленниками, включая MITRE ATT&CK Framework.
• Опыт работы с инструментами статического (SAST), динамического (DAST) анализа и анализа зависимостей (SCA).
• Навыки приоритизации уязвимостей на основе CVSS, эксплуатируемости и бизнес-рисков.