
Центральный банк Российской Федерации (Банк России)
Начальник Центра компетенции информационной безопасности
- Информационная безопасность
- OWASP
- DevSecOps
- Docker
- Kubernetes
Департамент безопасности Банка России ищет коллегу с высоким уровнем профессионализма и ответственности.
ДББР играет важную роль в защите интересов Банка России, обеспечивая надежные механизмы предотвращения угроз и рисков.
Основными задачами департамента являются: организация и контроль обеспечения комплексной безопасности системы Банка России, включая обеспечение информационной и внутренней безопасности.
Обязанности:
- общее планирование и организация работы подразделения, формирование целей, критериев и сроков выполнения задач, контроль их исполнения;
- участие в разработке технической документации компонента ИТС в части определения необходимости, достаточности и корректности применения мер по защите информации, подготовка предложений по корректировке документации.
- анализ (контроль «чистоты») исходного кода компонента ИТС, заимствованных библиотек с целью выявления уязвимостей и дефектов, проведение оценки степени их критичности, подготовка и согласование с разработчиком компонента ИТС рекомендаций по устранению выявленных недостатков.
- участие в предварительных, приёмочных испытаниях (тестировании) компонента ИТС с целью оценки соответствия готового решения заданным требованиям по информационной безопасности.
- участие в создании, развитии и совершенствовании процессов безопасной разработки программного обеспечения.
- повышение уровня компетенции участников процесса разработки компонента ИТС в сфере информационной безопасности, внедрение и развитие методов безопасной разработки.
- взаимодействие с представителями структурных подразделений по реализации требований информационной безопасности, проведение презентации предлагаемых подходов к реализации.
Требования:
- высшее техническое образование (Специальность или направление подготовки: Информационная безопасность);
- опыт работы в сфере безопасной разработки ПО не менее 5 лет, в т.ч. не менее 2-х лет в руководящей должности.
- умение планировать и организовать работу подразделения, формировать цели, критерии и сроки выполнения задач, контролировать их исполнение;
- понимание DevSecOps методологий и SSDLC;
- опыт разработки security-стратегии и дорожных карт внедрения DevSecOps;
- навыки работы с различными видами информации об ИТ-решении (наборы требований, включая ТЗ, схемы и т.д.);
- понимание угроз ИБ и уязвимостей приложений (OWASP Top 10, CWE Top 25, УБИ ФСТЭК);
- знание стандартов, нормативных и иных документов в области ИБ (152-ФЗ, 187-ФЗ, ГОСТ Р 56939, СТР-К ФСТЭК, NIST и другие);
- опыт проведения анализа безопасности приложения или системы на этапе проектирования (Threat Modeling);
- понимание современных ИТ технологий, архитектуры распределенных систем, микросервисной архитектуры и принципов их защиты;
- знание принципов технологий и средств защиты операционных систем, прикладных систем, СУБД и сетевой инфраструктуры;
- понимание принципов работы сетей, протоколов безопасности и маршрутизации;
- знание принципов работы, функций, методов применения систем мониторинга, систем сбора данных и метрик;
- знание принципов виртуализации, контейнеризации и оркестрации (Docker, Kubernetes).