Руководитель сектора информационной безопасности

В АО «ВРК‑1» (дочернее общество ОАО «РЖД»), лидере на рынке ремонта грузовых вагонов, открывается новое подразделение по обеспечению информационной безопасности.

Ищем руководителя сектора информационной безопасности, который станет ключевой фигурой в создании и развитии системы защиты информации Компании, включая значимые объекты КИИ, и будет отвечать за соблюдение требований законодательства РФ и регуляторов (ФСТЭК, ФСБ, Роскомнадзор, Минцифра).

Важно: это не «бумажная» позиция и не роль одиночного инженера; нужен практик, который уже выстраивал процессы ИБ в КИИ‑организации и проходил реальные проверки.

Обязанности:

• Организация системы ИБ компании: планирование, координация и контроль мероприятий по защите информации, включая значимые объекты КИИ и ИСПДн.

• Обеспечение соответствия требованиям 187‑ФЗ (КИИ), 152‑ФЗ (ПДн), 149‑ФЗ, 98‑ФЗ (коммерческая тайна), указов Президента (в т.ч. №166, №250), подзаконных актов и приказов ФСТЭК России, ФСБ России, Роскомнадзора, Минцифры.

• Разработка, актуализация и внедрение полного комплекта ЛНА по ИБ: политики, стандарты, регламенты, приказы, планы реагирования, положения о защите КИИ/ПДн, регламенты взаимодействия с регуляторами.

• Построение и ведение проектной и эксплуатационной документации по ИБ: модели угроз и нарушителя, профили защиты, матрицы рисков, матрицы доступов, реестры активов, реестры ИСПДн, реестры объектов и субъектов КИИ.

• Организация и методическое сопровождение работ по категорированию объектов КИИ (в т.ч. транспортного профиля): определение уровня значимости, подготовка актов категорирования, взаимодействие с ФСТЭК/Минцифрой/отраслевыми регуляторами.

• Организация выполнения требований по защите ПДн: определение уровней защищенности, выбор и применение мер по приказам ФСТЭК и ФСБ, сопровождение внедрения СЗИ, подготовка и сопровождение проверок Роскомнадзора и ФСТЭК.

• Участие в проектировании и приемке информационных систем (включая отраслевые АС, АСУ, системы телеметрии и учета): формирование требований по ИБ, участие в разработке архитектурных решений, контроль включения требований ИБ в ТЗ, договоры и акты.

• Организация мониторинга событий ИБ: постановка требований к журналированию, взаимодействие с системами мониторинга (SIEM/ЕСМЗ при наличии), реагирование на инциденты (включая инциденты КИИ и утечки ПДн), расследование и подготовка материалов для руководства и регуляторов.

• Взаимодействие с внешними подрядчиками и провайдерами СЗИ: формирование требований по ИБ, контроль качества работ, экспертиза проектных решений по защите информации, участие в закупках и приемке результатов.

• Обучение и повышение осведомленности сотрудников: проведение инструктажей, целевых обучающих мероприятий и кампаний по ИБ, участие в проверках и учениях (в т.ч. отраслевых учениях по КИИ).

• Ожидается практический опыт оформленного категорирования объектов КИИ с доведением до регуляторов и прохождением контрольных мероприятий.

• Ожидается опыт подготовки Компании к проверкам ФСТЭК/Роскомнадзора и участия в них в роли ответственного от ИБ.

• Высшее профильное образование в области информационной безопасности, ИТ, прикладной математики, кибербезопасности (специалитет/магистратура или сопоставимая подготовка).

• Опыт работы в сфере ИБ не менее 5 лет, из них 3–5 лет на позиции старшего инженера по ИБ, ведущего специалиста или руководителя группы/сектора.

• Обязателен подтвержденный опыт работы с КИИ: участие в категорировании объектов КИИ, подготовке актов категорирования, разработке мер защиты и/или сопровождении значимых объектов КИИ.

• Глубокие знания законодательства и нормативной базы РФ: 187‑ФЗ (КИИ), 152‑ФЗ (ПДн), 149‑ФЗ, 98‑ФЗ, указов Президента №166, №250, профильных приказов ФСТЭК/ФСБ/Роскомнадзора/Минцифры; понимание отраслевых требований транспорта будет преимуществом.

• Практический опыт подготовки ЛНА по ИБ, моделей угроз, матриц рисков, документов по категорированию КИИ, описаний ИСПДн, актов обследования, отчетов по выполнению требований регуляторов.

• Понимание принципов построения комплексной системы защиты информации: организационные и технические меры, криптографическая защита, защита сетевой инфраструктуры и периметра, управление доступом, мониторинг и реагирование на инциденты.

• Навыки управления небольшим коллективом: постановка задач, приоритизация, контроль сроков и качества, развитие сотрудников; опыт взаимодействия с ИТ, службой безопасности, юристами, бизнес‑подразделениями и госорганами.

• Приветствуется:

  • наличие профильных сертификатов (ФСТЭК, ФСБ, СР.ИБ, CISSP, CISM и др.);

  • опыт работы в организациях, относящихся к критической информационной инфраструктуре или транспортной/промышленной отрасли;

  • опыт участия в отраслевых учениях по киберустойчивости и ГО/ЧС.

• Официальное трудоустройство по ТК РФ.

• Полная занятость, график 5/2, работа только в офисе компании (гибрид/удаленка не предусмотрены в связи со спецификой КИИ и производственной инфраструктуры).

• Уровень вознаграждения до 300 000 ₽ на руки в месяц; точный уровень обсуждается по результатам собеседования и зависит от подтвержденного опыта работы с КИИ и регуляторами.

• Возможность напрямую влиять на стратегию развития ИБ и КИИ в Компании, выстраивать процессы с нуля или существенно развивать существующую систему.

• Участие в значимых отраслевых проектах холдинга ОАО «РЖД» в части ИБ, КИИ и цифровой трансформации.

• Корпоративные льготы и социальный пакет в соответствии с принятой в Компании практикой (обсуждаются на собеседовании).