Бизнес-партнёр по ИБ

Бизнес-партнер по ИБ = CISO бизнес-домена банка. Наши ISBP хорошо разбираются в процессах комплексной безопасности, современных угрозах и "смузи" технологиях.

Данная роль подразумевает активное участие в строительстве комплексной ИБ нового формата, внедрении новых практик и подходов на уровней всей организации.

Задачи

• Выстраивать "единое окно ИБ" для функциональных и ИТ-команд доменов Банка (Operations & Finance, Risks & Compliance, Data, HR Tech).
• Сопровождать новые и существующие проекты и информационные системы со стороны ИБ.
• Внедрять подход Shift Left Security: повышать эффективность взаимодействия между бизнесом, ИТ и ИБ.
• Принимать участие в проектировании безопасных архитектур внутренних информационных систем Банка, учитывая требования законодательства.
• Моделировать угрозы безопасности приложений/сервисов/систем и предлагать механизмы защиты.
• Согласовывать доступы и Firewall Request для курируемых команд.
• Обеспечивать баланс между потребностями бизнеса, ИТ и защищённостью.
• Участвовать в строительстве качественных процессов комплексной ИБ.
• Быть играющим тренером, мини-CISO для курируемых команд.

Навыки

• Знание актуальных угроз в современных ИТ-инфраструктурах компаний.
• Понимание принципов работы монолитных систем, микросервисной архитектуры и подходов к обеспечению их безопасности.
• Знание этапов CI/CD и SSDLC, используемых инструментов со стороны ИТ и ИБ.
• Понимание типовых архитектур и угроз СЭДО, сервисов подписания, сервисов аутентификации внутренних и внешних пользователей, корпоративных шлюзов и сервисов (b2b и etc...), процессинговых систем, систем АБС, АРМ КБР/СПФС.
• Понимание типовых архитектур и угроз AI-сервисов и LLM.
• Понимание (или желание понять) типовых архитектур и угроз сервисов обслуживания клиентов (КЦ, банкоматы, чаты, отделения, системы ДБО, виртуальные ассистенты...).
• Знание базовых моделей разграничения доступа (MAC, DAC, RBAC, ABAC), их преимуществ и недостатков.
• Знание векторов атак, тактик, техник и процедур (TTP), используемых злоумышленниками при взломе компаний, включая MITRE ATT&CK.
• Понимание принципов работы технологий виртуализации, контейнеризации и оркестрации.
• Знания ОС (Windows, nix), популярных СУБД, web, сетевых и современных сервисных технологий (Redis, Kafka, Hadoop…).
• Понимание принципов атак через уязвимости CWE TOP 25, OWASP TOP10, Mobile TOP 10.
• Понимание (или желание понять) международных требований и Банка России (PCI DSS/PA DSS, 851-П, 821-П, ГОСТ 57580, СТО БР).
• Понимание требований основных ФЗ для финансовой сферы (152-ФЗ ПДн, 161-ФЗ О Национальной платёжной системе, 395-1-ФЗ О банках и банковской деятельности, 187-ФЗ КИИ).
• Стремление к саморазвитию и умение работать с обратной связью.

Условия

• Возможность работать из офиса или удаленно.
• ДМС со стоматологией, массажем, телемедициной, ежегодными чек-апами, которое работает как в Москве, так и в регионах.
• Страхование от несчастных случаев и онкологических заболеваний, страхование выезжающих за границу.
• Три оплачиваемых отгула в год.
• Доплата до уровня заработной платы по больничному листу за 14 календарных дней в год, доплата к отпускам, взятым в январе и мае.
• Работа в банке с развитой культурой обратной связи.
• Программа внутренних ротаций для сотрудников.
• Бесплатные индивидуальные консультации психологов, юристов, экспертов по личным финансам и консультантов по здоровому образу жизни, карьерные консультации.
• Льготные условия на банковские продукты и услуги.