Интегрикс
Специалист по информационной безопасности / эксперт по требованиям ФСТЭК и безопасной разработке ПО
У нас ценят доверие, взаимовыручку и вовлечённость. Мы любим работать и отдыхать вместе: от ежедневного спорта в офисе до поездок на Байкал, в Карелию и даже в Майрхофен. В «Интегрикс» вы найдёте не только работу, но и команду единомышленников.
Мы ищем специалиста по информационной безопасности, который хорошо ориентируется в требованиях ФСТЭК России к защите информации в государственных информационных системах и понимает, как эти требования применять на практике при разработке, внедрении и сопровождении программного обеспечения для государственных заказчиков.
Основной фокус роли — помощь в приведении процессов разработки и поддержки ПО в соответствие с требованиями информационной безопасности, включая:
Приказ ФСТЭК России от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений»;
ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»;
Иные применимые нормативные и методические документы ФСТЭК России в области защиты информации и безопасной разработки ПО.
Специалисту предстоит:
Проанализировать текущие процессы разработки, внедрения и сопровождения программного обеспечения;
Определить, какие требования ФСТЭК и ГОСТ Р 56939-2024 применимы к нашим продуктам, проектам и внутренним процессам;
Подготовить рекомендации по приведению процессов разработки и поддержки ПО в соответствие с требованиями информационной безопасности;
Разработать комплект внутренних документов, регламентов, инструкций и чек-листов по ИБ;
Описать процесс безопасной разработки ПО: от анализа требований и проектирования до разработки, тестирования, релиза, эксплуатации и сопровождения;
Подготовить требования к безопасному проектированию, безопасному программированию, тестированию, сборке, поставке и развертыванию ПО;
Описать порядок выявления, учета, анализа и устранения уязвимостей в программном обеспечении;
Подготовить требования к использованию сторонних компонентов, библиотек и open-source-зависимостей;
Описать порядок проведения проверок безопасности ПО, включая SAST, DAST, SCA, анализ зависимостей, контроль секретов и иные применимые практики;
Сформировать требования к журналированию, мониторингу, резервному копированию, управлению доступом и реагированию на инциденты;
Участвовать в обсуждении требований ИБ с заказчиками, подрядчиками, разработчиками, аналитиками, тестировщиками, DevOps-инженерами и специалистами сопровождения;
Помогать готовить ответы на вопросы государственных заказчиков по части соответствия требованиям ФСТЭК и безопасной разработки ПО;
Давать практические рекомендации по внедрению требований ИБ без избыточной бюрократизации рабочих процессов.
Ожидаемый результат работы:
По итогам работы должен быть сформирован практический комплект документов и рекомендаций, который можно использовать при разработке, внедрении и сопровождении программных решений для государственных организаций.
Возможный состав документов:
Политика информационной безопасности;
Регламент безопасной разработки программного обеспечения;
Регламент управления изменениями;
Регламент управления доступом;
Регламент управления уязвимостями;
Регламент реагирования на инциденты ИБ;
Регламент анализа защищенности ПО;
Порядок проведения SAST/DAST/SCA-проверок;
Порядок работы с результатами проверок безопасности;
Требования к безопасному проектированию ПО;
Требования к безопасному программированию;
Требования к безопасной сборке, поставке и развертыванию ПО;
Требования к контролю сторонних библиотек и open-source-компонентов;
Порядок устранения выявленных уязвимостей и дефектов безопасности;
Требования к журналированию и мониторингу событий безопасности;
Требования к резервному копированию и восстановлению;
Требования к работе с тестовыми, промышленными и демонстрационными средами;
Чек-листы безопасной разработки для аналитиков, разработчиков, тестировщиков, DevOps-инженеров и специалистов сопровождения;
Чек-лист соответствия процессов разработки требованиям ГОСТ Р 56939-2024;
Рекомендации по организации DevSecOps-практик;
Шаблоны документов для проектов, связанных с ГИС и информационными системами государственных организаций.
Нам важно, чтобы кандидат:
Имел практический опыт в информационной безопасности;
Понимал специфику государственных информационных систем;
Был знаком с приказами и методическими документами ФСТЭК России;
Знал требования Приказа ФСТЭК России от 11.04.2025 № 117;
Знал ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»;
Понимал, как требования ИБ применяются на практике при разработке и сопровождении ПО;
Мог сопоставить текущие процессы разработки компании с требованиями ФСТЭК и ГОСТ Р 56939-2024;
Умел переводить нормативные требования в понятные регламенты, чек-листы и рабочие процедуры;
Мог самостоятельно разрабатывать документы по ИБ;
Понимал жизненный цикл разработки ПО: анализ, проектирование, разработка, тестирование, сборка, релиз, эксплуатация и сопровождение;
Понимал основные классы уязвимостей ПО и подходы к их выявлению;
Имел представление о secure SDLC и DevSecOps;
Понимал назначение SAST, DAST, SCA, анализа зависимостей, контроля секретов и иных инструментов проверки безопасности ПО;
Умел писать структурированные, юридически и технически корректные документы;
мог взаимодействовать как с техническими специалистами, так и с управленческой командой;
Мог объяснять требования информационной безопасности понятным языком для проектных команд.
Плюсом будет опыт:
Участия в проектах по созданию, модернизации или сопровождению ГИС;
Подготовки систем к аттестации по требованиям безопасности информации;
Разработки моделей угроз и требований к защите информации;
Взаимодействия с государственными заказчиками;
Внедрения процессов безопасной разработки ПО;
Подготовки организации или проекта к оценке соответствия требованиям ГОСТ Р 56939;
Разработки внутренних стандартов безопасного программирования;
Внедрения SAST/DAST/SCA-инструментов;
Настройки процесса управления уязвимостями;
Участия в проектах, где требования ФСТЭК сочетались с требованиями к безопасной разработке ПО;
Подготовки доказательной базы выполнения требований ИБ для заказчиков, аудиторов или аттестационных мероприятий;
Подготовки документации для тендеров, контрактов или приемки работ по государственным проектам.
Возможны разные форматы сотрудничества:
Проектная работа;
Частичная занятость;
Консультационное сопровождение;
Постоянная работа в команде.
Формат и объем участия обсуждаются индивидуально в зависимости от опыта кандидата и готовности взять на себя разработку полного комплекта документов и рекомендаций.
Что мы предлагаем:
Работу с реальными проектами для государственных организаций;
Задачи на стыке информационной безопасности, нормативного соответствия, разработки ПО и управления проектами;
Возможность повлиять на процессы разработки и сопровождения программных продуктов;
Участие в формировании внутренней системы требований к безопасной разработке;
гибкий формат взаимодействия;
Оплату по договоренности, в зависимости от квалификации, формата сотрудничества и объема задач.
Кого мы хотим видеть:
Нам нужен не формальный «аудитор по чек-листу», а практичный специалист, который понимает требования ФСТЭК и ГОСТ Р 56939-2024 и может помочь встроить их в реальные процессы разработки и поддержки программных продуктов.
Важно, чтобы результатом работы были не только документы «для папки», но и понятные правила, которыми смогут пользоваться аналитики, разработчики, тестировщики, DevOps-инженеры, проектные менеджеры и специалисты сопровождения.