Описание вакансии
Условия работы
ОБЯЗАННОСТИ:
- анализ безопасности ПО и библиотек с открытым исходным кодом, предполагаемых к использованию в рамках процесса разработки ИС Банка;
- выявление уязвимостей информационной безопасности при использовании технологии контейнеризации;
- проведение работ по анализу исходного кода ИС Банка (в том числе, веб-приложений, мобильных приложений под iOS и Android и т.д.);
- проведение динамического анализа веб-приложений Банка;
- внедрение практик безопасной разработки ПО;
- автоматизация процессов поиска уязвимостей и выявления несоответствий требованиям ИБ в ИС Банка в соответствии с парадигмой DevSecOps;
- проведение тестирования на проникновение и оценки защищенности ИС Банка;
- консультация и оказание содействия подразделениям, осуществляющим создание, модернизацию и (или) эксплуатацию ИС Банка по устранению выявленных уязвимостей;
- взаимодействие с проектными командами Банка;
- разработка тестовых планов и отчетной документации в рамках проводимых работ.
ТРЕБОВАНИЯ:
- высшее образование в области информационных технологий или информационной безопасности;
- опыт работы от 2-х лет в сфере информационной безопасности;
- базовые знания языков программирования и современных методологий разработки;
- понимание процессов проектирования и разработки ПО;
- опыт проведения статистического анализа кода и динамического анализа приложений с использованием решений Microfocus Fortify, Checkmarx, Solar inCode/appScreener или аналогов;
- понимание особенностей веб-технологий, знание наиболее опасных типов уязвимостей веб-приложений в соответствии с методологией OWASP;
- знание и понимание основных подходов к безопасной разработке программного обеспечения (SSDLS, ГОСТ 56939);
- наличие навыков автоматизации текущей деятельности;
- знание и понимание технологии проведения оценки защищенности ИС и ПО, а также тестирования на проникновение;
- опыт применения инструментов для поиска уязвимостей, для оценки защищенности и тестирования на проникновение (nmap, Burp Suite, OwaspZap, Acunetix, Kali Linux, Nessus, Wireshark, MaxPatrol).
- знание уязвимостей ИС и ПО, их классификации и порядка оценки критичности;
- умение анализировать проектную документацию ИС с целью получения информации, необходимой для проведения работ;
- знание английского языка на уровне, достаточном для чтения технической литературы.
Бонусы
- трудоустройство согласно Законодательству;
- конкурентная заработная плата;
- профессиональное обучение и развитие;
- добровольное медицинское страхование, льготные условия кредитования;
- корпоративная пенсионная программа, материальная помощь;
- спортивная жизнь и корпоративные мероприятия;
- возможность построить карьеру в ведущем банке России.