Ведущий специалист по аудиту

Команда инфобезопасности ревьюит архитектуру и код, анализирует защищённость релизов, автоматизирует проверки безопасности, плотно взаимодействует с разработчиками, аналитиками и продактами. Ищем технически сильного специалиста, который будет участвовать в аудитах безопасности продуктов VK на уровне архитектуры, разработки и инфраструктуры. По итогам проверок — готовить рекомендации. А ещё — участвовать в развитии и автоматизации методологической базы. Важно глубоко знать подходы к построению контролей ИБ. Задачи Проводить аудиты безопасности продуктов VK по внутреннему фреймворку Разрабатывать практические рекомендации по результатам аудита — в связке с технической командой продукта Развивать системы метрик информационной безопасности: определять показатели, источники данных, автоматизировать их сбор и визуализацию Участвовать в развитии фреймворка оценки безопасности продуктов Предлагать варианты актуализации политик и стандартов безопасности Требования Опыт проведения технически ориентированных аудитов ИБ в продуктовых или технологических компаниях Понимание архитектуры современных веб-приложений, микросервисов, IAM-моделей, CI/CD-процессов, практик DevSecOps Понимание принципов инфраструктурной безопасности, специфики безопасности сред виртуализации и контейнеризации Умение анализировать и систематизировать документацию по контролям ИБ Навыки работы с техническими командами, способность формулировать рекомендации с учётом бизнес-контекста продукта Умение быстро разбираться в новых технологиях, архитектурах и процессах Глубокое знание стандартов и лучших практик ИБ: ISO 27k, PCI DSS, 21-й приказ ФСТЭК, NIST Будет плюсом Базовые знания в области тестирования на проникновение, ручного и автоматизированного анализа защищённости Знание и умение применять подходы к оценке и моделированию угроз — OWASP, STRIDE, PASTA, MITRE ATT&CK Опыт проработки интеграции с источниками данных для сбора метрик безопасности Опыт написания коннекторов или скриптов для передачи данных в аналитические и SGRC-системы Понимание принципов работы SGRC-платформ и участие в их настройке и внедрении Навыки настройки дашбордов, отчётов