Детали вакансии

Зарплата: не указана
Образование: Не указано
Тип занятости: Полная занятость
График работы: Полный рабочий день
Опыт работы: 0
Компания: Детский мир
Адрес: г Москва
Контактное лицо: Александра
Телефон: +7(495) 725 63 57
Должностные обязанности

Информационная безопасность — это всё, что касается безопасности наших пользователей, продуктов и серверов. А также это непрерывное взаимодействие с командами, которые разрабатывают и поддерживают наши проекты.
У нас работает самая крупная среди российских компаний Bug Bounty программа. Помимо этого, мы проводим security-митапы и поддерживаем высокий уровень специалистов в команде информационной безопасности. Задачи:

  • проводить архитектурное ревью и формировать требования безопасности веб-приложений;
  • определять и управлять рисками ИБ направления аутентификации и авторизации;
  • консультировать продуктовые команды по вопросам ИБ на всех этапах жизненного цикла продукта;
  • консультировать команды разработки и контролировать устранение выявленных уязвимостей;
  • проводить анализ защищённости веб- и мобильных приложений;
  • участвовать в анализе инцидентов ИБ и формировать список мер по итогам анализа.

Требования:

  • опыт формирования моделей угроз, формулировки векторов атаки и оценки рисков;
  • опыт экспертизы бизнес-инициатив по выявлению рисков ИБ;
  • опыт анализа защищённости веб-приложений;
  • понимание техник эксплуатации уязвимостей и методов защиты приложений;
  • понимание архитектур современных веб-приложений;
  • знание лучших практик в разработке безопасных веб-приложений;
  • умение читать код и выявлять ошибки.

Будет плюсом:

  • опыт работы в роли архитектора ИБ;
  • опыт ревью проектной/технической документации;
  • наличие репортов о найденных уязвимостях в программах Bug Bounty или зарегистрированных CVE;
  • наличие профильных сертификатов (OSCP, OSWE);
  • опыт участия в соревнованиях по информационной безопасности (CTF);
  • наличие активного профиля на обучающих площадках по информационной безопасности (e.g. HackTheBox);
  • понимание циклов SSDLC, DevSecOps;
  • опыт выступления на профильных конференциях и написания профильных статей.