Начальник Центра компетенции информационной безопасности

Департамент безопасности Банка России ищет коллегу с высоким уровнем профессионализма и ответственности.

ДББР играет важную роль в защите интересов Банка России, обеспечивая надежные механизмы предотвращения угроз и рисков.

Основными задачами департамента являются: организация и контроль обеспечения комплексной безопасности системы Банка России, включая обеспечение информационной и внутренней безопасности.

Обязанности:

​​​​​​​- общее планирование и организация работы подразделения, формирование целей, критериев и сроков выполнения задач, контроль их исполнения;

- участие в разработке технической документации компонента ИТС в части определения необходимости, достаточности и корректности применения мер по защите информации, подготовка предложений по корректировке документации.

- анализ (контроль «чистоты») исходного кода компонента ИТС, заимствованных библиотек с целью выявления уязвимостей и дефектов, проведение оценки степени их критичности, подготовка и согласование с разработчиком компонента ИТС рекомендаций по устранению выявленных недостатков.

- участие в предварительных, приёмочных испытаниях (тестировании) компонента ИТС с целью оценки соответствия готового решения заданным требованиям по информационной безопасности.

- участие в создании, развитии и совершенствовании процессов безопасной разработки программного обеспечения.

- повышение уровня компетенции участников процесса разработки компонента ИТС в сфере информационной безопасности, внедрение и развитие методов безопасной разработки.

- взаимодействие с представителями структурных подразделений по реализации требований информационной безопасности, проведение презентации предлагаемых подходов к реализации.

Требования:

- высшее техническое образование (Специальность или направление подготовки: Информационная безопасность);

- опыт работы в сфере безопасной разработки ПО не менее 5 лет, в т.ч. не менее 2-х лет в руководящей должности.

- умение планировать и организовать работу подразделения, формировать цели, критерии и сроки выполнения задач, контролировать их исполнение;

- понимание DevSecOps методологий и SSDLC;

- опыт разработки security-стратегии и дорожных карт внедрения DevSecOps;

- навыки работы с различными видами информации об ИТ-решении (наборы требований, включая ТЗ, схемы и т.д.);

- понимание угроз ИБ и уязвимостей приложений (OWASP Top 10, CWE Top 25, УБИ ФСТЭК);

- знание стандартов, нормативных и иных документов в области ИБ (152-ФЗ, 187-ФЗ, ГОСТ Р 56939, СТР-К ФСТЭК, NIST и другие);

- опыт проведения анализа безопасности приложения или системы на этапе проектирования (Threat Modeling);

- понимание современных ИТ технологий, архитектуры распределенных систем, микросервисной архитектуры и принципов их защиты;

- знание принципов технологий и средств защиты операционных систем, прикладных систем, СУБД и сетевой инфраструктуры;

- понимание принципов работы сетей, протоколов безопасности и маршрутизации;

- знание принципов работы, функций, методов применения систем мониторинга, систем сбора данных и метрик;

- знание принципов виртуализации, контейнеризации и оркестрации (Docker, Kubernetes).​​​​​​​