
НПО Эшелон
Эксперт департамента сертификации и тестирования (анализ защищенности)
Не указана
- Информационная безопасность
- Пентест
- Pentest
- CVE
- MITRE АТТ&СК
- Сертификация ФСТЭК
- Тестирование на проникновение
- Fuzzing
- Динамический анализ
Мы – аккредитованная, активно развивающаяся российская IT-компания АО «НПО «Эшелон», специализирующаяся на комплексном обеспечении информационной безопасности и производстве сертифицированных средств защиты информации.
Мы приглашает в команду испытательной лаборатории АО «НПО «Эшелон» коллег-единомышленников, готовых участвовать в интересных проектах, решать интересные задачи, общаться с профессионалами своего дела, постоянно развивать свои профессиональные знания и навыки.
Какие задачи предстоит решать:
- проведение сертификационных испытаний в части анализа защищённости средств защиты информации, в соответствии с требованиями ФСТЭК России;
- исследование документации и иных исходных данных на изделие для определения модулей, что могут быть подвержены атакам или являются критически важными для безопасности системы;
- подготовка к тестированию программных и технических средств защиты информации в части анализа их работы и наличия программных закладок;
- тестирование на проникновение (Пентест) изделия, а также поиск уязвимостей из открытых источников (БДУ ФСТЭК, CVE и т.д.);
- проведение модульного (unit-тестов) и регрессивного тестирования изделия;
- фаззинг-тестирование;
- разработка модели угроз для изделия;
- оформление отчетов по результатам сертифицированных испытаний в части анализа защищённости изделий.
Мы ожидаем, что у вас есть:
- высшее техническое образование (желательно по направлению «Информационная безопасность»;
- опыт работы в области практического анализа защищенности и тестирования на проникновение;
- знание методик анализа защищенности (MITRE АТТ&СК);
- навык владения основными инструментами тестирования на проникновение (Burp Suite, Metasploit и т.д.);
- опыт работы со сканерами уязвимостей (Nmap, Acunetix, OpenVAS и т.д.);
- наличие знаний в области архитектуры и принципов функционирования операционных систем (Windows, Linux), общесистемного и прикладного программного обеспечения;
- опыт работы с различными средами виртуализации (VMware, VirtualBox, и т.д.);
- понимание требований и порядка сертификации средств защиты информации в соответствии с приказами ФСТЭК России № 55, № 76;
- понимание принципов модульного, регрессивного или фаззинг-тестирования;
- навык формирования отчётов о выполненной работе.
Будет преимуществом:
- опыт работы с программным обеспечением для выполнения фаззинг-тестирования (AFL++, Atheris, Jazzer);
- опыт работы с программным обеспечением для выполнения модульного тестирования (JUnit, pytest и т.д.);
- опыт в использовании инструментов мониторинга (Strace, Process Monitor, Wireshark);
- хорошее понимание угроз из OWASP Top 10;
- знание нормативно-правовых и методических документов ФСТЭК России в части анализа уязвимостей;
- опыт разработки модели угроз в соответствии с методическим документ «Методика оценки угроз безопасности информации» (ФСТЭК России, 2021);
- аналитические навыки в части исследования документации и кода программного обеспечения.
Мы предлагаем:
- уникальную возможность работать в одной из крупнейших аккредитованных IT Компаний с возможностью карьерного и функционального роста;
- мы заинтересованы в развитии пришедших к нам специалистов - наша команда профессионалов готова делиться своим опытом;
- стабильный и прозрачный доход;
- строгое соблюдение гарантии установленных Трудовым законодательством РФ;
- комфортные условия для работы наших сотрудников (офис в 10 минутах ходьбы от м. Преображенская площадь или м. Электрозаводская);
- рабочее место, оборудованное всем необходимым для эффективной работы;
- мы заботимся о здоровье наших сотрудников - предоставляем расширенное ДМС (со стоматологией и обслуживанием в лучших клиниках города);
- уютную обеденную зону с бесплатными чаем, кофе.
- мобильную связь для сотрудников компании;
- достойный уровень заработной платы, премия по итогам года;
- возможность обучения за счёт Компании;
- дополнительное негосударственное пенсионное страхование.