Mobile Application Security Еngineer, Wildberries

ЗП: 200 - 450 тыс. рублей net
Уровень: Middle/Senior
Формат: удаленка или гибрид

Мы ищем опытного специалиста, который поможет нам решать сложные и разнообразные задачи: от повышения защищенности отдельных сервисов до развития масштабных процессов, охватывающих сотни продуктовых команд.​​​​​​

Чем предстоит заниматься:

• Инвентаризация мобильных приложений компании
• Анализ безопасности архитектуры и дизайна мобильных приложений
• Систематизация знаний и внедрение новых подходов по безопасной разработке мобильных приложений
• Формирование требований безопасности и контроль их соблюдения
• Тестирование безопасности мобильных приложений
• Консультация продуктовых команд по вопросам безопасности
• Участие в разработке и проведении обучающих мероприятий для продуктовых команд

Для этого нужно

• Понимание принципов построения и работы современных веб-сервисов
• Знание актуальных уязвимостей мобильных приложений, способов их обнаружения и устранения
• Знание стандартов обеспечения безопасности мобильных приложений таких как: MASVS, MSTG
• Опыт внедрения процессов и практик безопасной разработки
• Понимание принципов работы технологий CI/CD
• Опыт работы с Swift/Objective-C/Kotlin

Что мы предлагаем
• Гибкое начало рабочего дня и гибридный формат работы: от офиса в Москве или в Питере до полной удаленки
• Корпоративные скидки у партнеров, внутренние программы по обучению и внешние митапы
• Бесплатное питание в офисах в Москве и Санкт-Петербурге

Контакты: @litvinov_wb

Компания: СберМедИИ (экосистемный интегратор решений для сферы медицины и здравоохранения с использованием технологий Искусственного Интеллекта (ИИ)
https://sbermed.ai/
Вакансия: Руководитель/старший специалист направления кибербезопасности
Формат: full time (по МСК времени), возможен удаленный формат работы
Уровень дохода: до 360.000 гросс

Задачи:
•Внедрение и эксплуатация SIEM, PAM, DLP, DAG/DCAP систем;
•Поддержка и управление Kaspersky EDR, KSMG, MaxPatrol VM;
•Подключение источников событий
•Разработка playbook и их тестирование;
•Мониторинг событий информационной безопасности;
•Выявление признаков инцидентов в событиях информационной безопасности; Реагирование и сопровождение инцидентов информационной безопасности;
•Участие в расследовании инцидентов информационной безопасности;
•Подготовка отчетных материалов.

Пожелания к кандидату:
•Релевантный опыт работы не менее 3-х лет;
•Знание и понимание сетевой модели OSI, стека TCP/IP, сетевых протоколов HTTP/HTTPS, DNS, DHCP, ARP и др.;
•Понимание принципов работы современных веб-приложений;
•Знание современных угроз, уязвимостей, средств их реализации, а также методов их обнаружения и реагирования (например, с использованием Mitre Att&ck);
•Практический опыт выявления и участия в расследовании инцидентов информационной безопасности, разработка рекомендаций по предотвращению подобных инцидентов в будущем;
•Опыт администрирования ОС Windows/Linux и понимание принципов их работы;
•Опыт расследования инцидентов информационной безопасности с использованием IRP/SOAR, SIEM;

Будет преимуществом:
•Знание скриптовых языков программирования;
•Опыт участия в процессах SOC.

Условия:
•Возможность самореализации и расширения своего опыта при работе с интересными задачами и проектами;
•Оформление по ТК РФ;
•Премии по итогам работы;
•Возможность работать удаленно, либо в современном офисе на территории Сколково);
•Льготное ипотечное кредитование;
•ДМС с 1-ого дня оформления;
•Подписка СберПрайм для сотрудников.

Контакты: @maria_recruiter
+79067145153

ВБ все еще ищет стажеров на эту позицию, требования достойные, но тем и интереснее)

Application Security Intern, Wildberries
ЗП: 40 000 - 100 000 рублей net
Уровень: Intern
Формат: удаленка или гибрид


Команды информационной безопасности продолжают разыскивать талантливых и мотивированных начинающих специалистов для нашего третьего набора стажёров!

Если вы студент или выпускник технического ВУЗа и стремитесь к глубокому погружению в практическую сторону защиты приложений, эта стажировка – ваш шанс начать карьеру в одной из ключевых областей кибербезопасности.

Чем предстоит заниматься:
• анализ защищенности мобильных и веб-приложений
• систематизация знаний по безопасной разработке
• взаимодействие с командами для разбора и устранения уязвимостей
• участие в процессе архитектурных и дизайн ревью

Что для этого нужно:
• знание актуальных уязвимостей и способов их устранения (OWASP Top 10, CWE TOP 25)
• умение разбираться в чужом коде
• понимание принципов работы веб-приложений
• опыт автоматизации задач на Python или Go

Будет плюсом:
• опыт участия в CTF соревнованиях
• понимание процессов безопасной разработки
• опыт работы со сканерами безопасности

Мы предлагаем:
• полугодовая оплачиваемая стажировка, которая даст возможность получить ценный опыт и практические навыки в области информационной безопасности
• участие в решении настоящих боевых задач
• опыт работы в команде, состоящей из экспертов, готовых делиться своими знаниями и навыками
• возможность после завершения стажировки присоединиться к нам в качестве полноценного участника команды безопасности
• пятидневная рабочая неделя с возможностью выбрать первоначальную занятость 30 часов, с постепенным увеличением до 40 часов
• оформление по самозанятости

Какие шаги нужно предпринять, чтобы попасть на стажировку:
• заполнить анкету
• успешно выполнить тестовое задание, доказывающее понимание основных принципов безопасности
• пройти интервью с будущими ментором и руководителем и продемонстрировать свои знания и мотивацию

Стажировка в команду Singleton Security

Компания: Singleton Security (singleton-security.ru)
Уровень: Intern
Формат работы: Part-time, удаленно с территории РФ
Контакт: @Ingapx

Кого мы ищем?

- Начинающих или имеющих опыт специалистов по тестированию на проникновение и анализу защищенности веб-приложений!
- Заинтересованных и уже прошедших заметный путь в этой дисциплине, изучающих направление, участвующих в CTF, практикующих новичков.

Отбор будет проходить для двух категорий участников:

- Стажеры
- Мл. Специалисты *

* Если кандидат, может показать достаточно глубокие знания предметной области, продемонстрировать опыт, который позволит ему выполнять рабочие задачи, мы готовы будем предложить ему сразу попасть в команду.

Что ждет стажеров?

- Знакомство с командой Singleton и ее подходами и практиками.
- 1.5 месяца обучения с еженедельными лекциями от участников команды.
- Доступ к рабочим задачам по поиску уязвимостей.
- Работа с наставниками. 
- Минимальная оплата труда 10 000 р. с занятостью 20 часов в неделю.

По окончании 3-х месяцев, основываясь на том, как специалист показал себя в этот период, будет принято решение о приглашении его в команду в качестве мл. специалиста.

Как будет проходить отбор?

🔻Вы регистрируетесь на сайте https://ctf.singleton-security.ru/ (длительность - до 15.11),  решаете предложенные задачи и пишете по ним отчет (шаблон отчета - https://disk.yandex.ru/i/ZZgFVT2j_buekA). 

✔️Техподдержка и вопросы по заданиям - @singleton_ctf_support_bot

🔻 После того, как Вы отправили нам отчет и свое резюме на internship@singleton-security.ru, мы его изучаем и выносим решение по отбору 

🔻 Кандидаты, отправившие самые качественные отчеты и решившие наибольшее число задач, будут приглашены на знакомство и мини-собеседование с тим лидами

🔻 По результатам знакомств будет вынесено итоговое решение по приглашению кандидатов на стажировку


Шаблон отчета по выполненный заданиям - https://disk.yandex.ru/i/ZZgFVT2j_buekA

Отчеты и резюме направляйте на internship@singleton-security.ru

Ссылка на испытания: https://ctf.singleton-security.ru/ (длительность - до 15.11)

Техподдержка и вопросы по заданиям - @singleton_ctf_support_bot

Аудитор защищенности приложений (Application Security), SolidLab (https://solidlab.ru/)
Уровень: Middle/Senior
Формат: удаленно/гибрид/офис
График работы: 5/2, полный рабочий день, гибкое начало дня
SolidLab – команда опытных специалистов, специализирующаяся на тестировании на проникновение, на аудите безопасности приложений, а также предлагающая полный комплекс услуг по аудиту безопасности кода.

Основные задачи:
• Аудит приложений методом белого и черного ящика, в основном: веб и мобильные приложения
• Участие в комплексных тестах на проникновение в части воздействий, направленных на веб-приложения и серверное API мобильных приложений
• Подготовка отчётов по результатам проделанных работ
• Участие в расследовании инцидентов, связанных с атаками на приложения: поиск недостатков, которые могли привести к инциденту, анализ факторов компрометации
• По желанию: участие в исследовательских (R&D) проектах в области безопасности приложений

Что для этого нужно:
• Системные знания современных веб-технологий — серверных и клиентских
• Системные знания в области Application Securitу
• Подтвержденный опыт системного анализа приложений как белым, так и черным ящиком
• Навыки чтения исходного кода на современных фреймворках, умение разбираться в коде на незнакомых языках программирования или фреймворках
• Умение чётко и грамотно формулировать свои мысли в письменном виде
• Навыки работы с мобильными приложениями на рутованных устройствах: установить, отломать pinning, запустить трафик через прокси
• Английский язык – на уровне понимания профессиональной технической литературы
Будет плюсом:
• опыт разработки веб-приложений, знание современных шаблонов проектирования
• знание технологий зоны ответственности DevOps (CI/CD, технологии контейнеризации и оркестрации контейнеров)
• опыт участия в программах поиска уязвимостей (bug bounty), написания эксплойтов, наличие CVE
• опыт участия в CTF, наличие самостоятельных исследований
наличие профильных сертификатов (BSCP, OSWE)

Мы предлагаем:
• Работа в аккредитованной ИТ- компании
• Конкурентный уровень заработной платы и возможность карьерного роста
• По итогам сложных проектов предусмотрены бонусы за обнаружение критичных уязвимостей (в т.ч. 0-day и получение CVE), за выступления на конференциях, по итогам года
• Гибкий рабочий график, возможность работать удаленно
• Возможность прохождения профессиональных сертификаций, тренингов
• Доступ к корпоративным ресурсам для "прокачки" скиллов
• Комфортное офисное пространство и современное рабочее оборудование
• Работа в компании ярких и умных людей
• Развитая система наставничества, в том числе после онбординга
• Атмосфера взаимного уважения, позитивный коллектив, свобода слова
• Демократичные руководители, отсутствие дресс-кода
• Внутренние митапы, неформальные встречи для обмена опытом
• ДМС + система приятных и полезных поощрений
• Корпоративный мерч на ваш выбор
• Активности вне рабочего времени и корпоративные мероприятия
• Комьюнити по интересам

Контакты: https://t.me/margarita_SolidLab

Аналитик SOC
Страховой Дом ВСК

ЗП: 280 000₽ gross
Уровень: Middle/Senior
Формат: гибрид

Чем предстоит заниматься:
• Обнаружение и расследование инцидентов безопасности (сетевые атаки, вирусные атаки, обнаружение утечек информации и тд);
• Координация деятельности подразделений в рамках реагирования на инциденты ИБ;
• Ведение базы зарегистрированных инцидентов безопасности, накопление и повторного использования знаний по обнаружению инцидентов ИБ;
• Разработка новых и модификация существующих корреляционных правил и сигнатур обнаружения атак;
• Взаимодействие с ИТ-подразделениями и сотрудниками внешнего SOC;
• Работа с системами выявления инцидентов ИБ и противодействия утечкам.

Что мы ждем:
• Опыт анализа журналов безопасности различных систем (желателен опыт работы с любым SIEM, IDS);
• Понимание основных способов компрометации инфраструктуры, опыт поиска следов компрометации;
• Опыт написания SQL-запросов и работы с регулярными выражениями;
• Знание ОС Windows, Linux на уровне администратора;
• Английский язык для чтения технической документации.

Мы предлагаем:
• Фиксированный оклад + система премирования, ДМС;
• График работы 5/2 с 9:00 до 18:15 (пятница сокращенный день);
• Гибридный формат работы;
• Высокий уровень ответственности, возможность самостоятельно принимать решения, развиваться, предлагать и внедрять новые подходы;
• Атмосфера, где легко оставаться собой: минимум формализма, открытые коммуникации и отсутствие дресс-кода;
• Возможность посещать профильные конференции по ИБ.

Контакты: @katya_cv

#вакансия

Архитектор SOC / КСОИБ в Солар

https://rt-solar.ru/

Гибридный формат работы (МСК)

Заработная плата: обсуждается по итогу собеседования, 250 000 - 400 000 + квартальные бонусы

Проекты, где наша компания строит onsite и hybrid SOC, модернизирует Комплексные системы обеспечения информационной безопасности.

Архитектор может выступать в 2-х ролях:
• Как ГИП - работа в паре с РП - декомпозиция, разработка частных тех задач, проработка архитектуры, участие в проведении испытаний, контроль задач, поставленных инженерам.
• Как эксперт-исполнитель – эксперт по конкретной технологии/классу решений.

Наши ожидания:

• Опыт в ИБ от пяти лет;
• Опыт проектирования/построения комплексных систем защиты информации, центров мониторинга, SOC, центров ГосСОПКА или опыт оценки рисков и моделирования угроз.
• Знание ключевых стандартов серии ISO/IEC 27k, NIST SP 800, CIS-18 и др., документов MITRE, а также НМД ФСБ России по линии ГосСОПКА;
• Умение работать с MITRE ATT&CK, CAPEC и БДУ ФСТЭК России;
• Знание вариантов организации процессов управления событиями ИБ и инцидентами ИБ;
• Умение определять архитектору комплексных систем защиты информации, разрабатывать структурные схемы и схемы информационных потоков;
• Опыт администрирования или эксплуатации решений класса SIEM, IRP, SOAR, СрЗИ.

Мы предлагаем:

• Оформление в аккредитованную ИТ-компанию;
• Сильная команда экспертов;
• Перспективы для профессионального и карьерного продвижения;
• Корпоративные ивенты, путешествия, спортивные активности онлайн и оффлайн;
• ДМС со стоматологией;
• Доплата больничных и отпусков до 100% от оклада, 10 оплачиваемых day-off;
• Скидки от компаний-партнеров;
• Материальная помощь при важных событиях в жизни.

Контакт для связи: @PhileasFrogg

Аудитор защищенности приложений (Application Security), SolidLab (https://solidlab.ru/)
Уровень: Middle/Senior
Формат: удаленно/гибрид/офис
График работы: 5/2, полный рабочий день, гибкое начало дня
SolidLab – команда опытных специалистов, специализирующаяся на тестировании на проникновение, на аудите безопасности приложений, а также предлагающая полный комплекс услуг по аудиту безопасности кода.

Основные задачи:
• Аудит приложений методом белого и черного ящика, в основном: веб и мобильные приложения
• Участие в комплексных тестах на проникновение в части воздействий, направленных на веб-приложения и серверное API мобильных приложений
• Подготовка отчётов по результатам проделанных работ
• Участие в расследовании инцидентов, связанных с атаками на приложения: поиск недостатков, которые могли привести к инциденту, анализ факторов компрометации
• По желанию: участие в исследовательских (R&D) проектах в области безопасности приложений

Что для этого нужно:
• Системные знания современных веб-технологий — серверных и клиентских
• Системные знания в области Application Securitу
• Подтвержденный опыт системного анализа приложений как белым, так и черным ящиком
• Навыки чтения исходного кода на современных фреймворках, умение разбираться в коде на незнакомых языках программирования или фреймворках
• Умение чётко и грамотно формулировать свои мысли в письменном виде
• Навыки работы с мобильными приложениями на рутованных устройствах: установить, отломать pinning, запустить трафик через прокси
• Английский язык – на уровне понимания профессиональной технической литературы
Будет плюсом:
• опыт разработки веб-приложений, знание современных шаблонов проектирования
• знание технологий зоны ответственности DevOps (CI/CD, технологии контейнеризации и оркестрации контейнеров)
• опыт участия в программах поиска уязвимостей (bug bounty), написания эксплойтов, наличие CVE
• опыт участия в CTF, наличие самостоятельных исследований
наличие профильных сертификатов (BSCP, OSWE)

Мы предлагаем:
• Работа в аккредитованной ИТ- компании
• Конкурентный уровень заработной платы и возможность карьерного роста
• По итогам сложных проектов предусмотрены бонусы за обнаружение критичных уязвимостей (в т.ч. 0-day и получение CVE), за выступления на конференциях, по итогам года
• Гибкий рабочий график, возможность работать удаленно
• Возможность прохождения профессиональных сертификаций, тренингов
• Доступ к корпоративным ресурсам для "прокачки" скиллов
• Комфортное офисное пространство и современное рабочее оборудование
• Работа в компании ярких и умных людей
• Развитая система наставничества, в том числе после онбординга
• Атмосфера взаимного уважения, позитивный коллектив, свобода слова
• Демократичные руководители, отсутствие дресс-кода
• Внутренние митапы, неформальные встречи для обмена опытом
• ДМС + система приятных и полезных поощрений
• Корпоративный мерч на ваш выбор
• Активности вне рабочего времени и корпоративные мероприятия
• Комьюнити по интересам

Контакты: https://t.me/margarita_SolidLab

Сегодня ребята прислали вот такую вакансию.
По задаче — не копал, но на первый взгляд, исходники отвечающие за индексацию запросов должны быть на сервере, а значит получить к ним доступ почти невозможно. Может я конечно заблуждаюсь, но интересная задача. Потому что топ поиска ведет к органическому трафику в тг.
Задача исключительно техническая, то, что касается пользовательского опыта, давно известно.

Senior Reverse Engineer / Data Scientist (Исследование поисковых алгоритмов)
Проектная работа | Удаленный формат | Бюджет ~$20,000
О проекте:
Требуется специалист для исследования алгоритмов поисковой выдачи и механизмов ранжирования в Telegram. Цель - глубокий анализ факторов, влияющих на позиции в поиске, и разработка эффективных стратегий продвижения.
Ключевые задачи:
- Исследование алгоритмов и механизмов работы поиска Telegram
- Анализ факторов, влияющих на ранжирование ботов и каналов
- Изучение механизмов геотаргетинга и их особенностей
- Исследование влияния различных метрик на позиции в поиске
- Выявление неочевидных паттернов и возможностей в алгоритмах
- Разработка методологии тестирования различных гипотез
- Системы отслеживания позиций (уже имеется)

Требования:
- От 3 лет опыта в реверс-инжиниринге или исследовании алгоритмов
- Сильные навыки программирования на Python
- Опыт анализа сетевого трафика и протоколов
- Понимание принципов работы поисковых систем и алгоритмов ранжирования
- Опыт работы с большими наборами данных
- Знание методов сбора и анализа данных
- Навыки исследования API и протоколов

Будет большим плюсом:
- Опыт работы с Telegram API
- Опыт реверс-инжиниринга мобильных приложений
- Понимание механизмов работы рекомендательных систем

Условия:
- Полностью удаленная работа
- Проектная оплата от $20,000
- Гибкий график
- Интересная исследовательская задача
- Минимум бюрократии, максимум автономии

Руководитель стратегических проектов в Солар

https://rt-solar.ru/

Гибридный формат работы (МСК)

Задачи:

• Руководство стратегическими проектами по тематикам КСОИБ и SOC;
• Планирование и реализация работ по проектам;
• Взаимодействие с ЛПР, вендорами, субподрядчиками, внутренними подразделениями;
• Формирование и управление проектными командами;
• Мониторинг и управление расписанием, бюджетом, содержанием и качеством выполнения работ;
• Выявление рисков и выбор стратегий работы с ними;
• Участие в пилотах, определение критериев успешности, формирование совместно с командой требуемых артефактов;
• Управление и контроль над изменениями (CR), обоснование их возникновения, определение владельца изменения;
• Участие в процессах presale и upsale, выявления потребностей Заказчиков в рамках своей зоны взаимодействия;
• Подготовка регулярных статусов реализации проектаов, организация процесса актуальности информации о проекте;

Ожидания:

• Опыт успешного управления интеграционными проектами в сфере ИБ или ИТ от трех лет;
• Опыт работы с крупными Заказчиками (B2B, B2G) не менее трех лет;
• Способность совмещать в себе роль проектного менеджера и эксперта в области ИБ;
• Понимание особенности реализации внешних проектов на стороне Исполнителя, гибкий стиль управления;
• Системное мышление, лидерство, умение выстраивать отношения с различными клиентами;
• Широкий кругозор по решениям информационной безопасности различных классов будет преимуществом;
• Наличие знаний по организации ИТ инфраструктуры, опыт разработки распределённых ИТ систем будет преимуществом;
• Желательно знание нормативных требований и международных стандартов в области защиты информации или готовность их оперативно получить.

Мы предлагаем:

• Оформление в аккредитованную ИТ-компанию;
• Сильная команда экспертов;
• Перспективы для профессионального и карьерного продвижения;
• Корпоративные ивенты, путешествия, спортивные активности онлайн и оффлайн;
• ДМС со стоматологией;
• Доплата больничных и отпусков до 100% от оклада, 10 оплачиваемых day-off на случай форс-мажора;
• Скидки от компаний-партнеров;
• Материальная помощь при важных событиях в жизни.

Контакт для связи: @PhileasFrogg

Крутая возможность для:

•аналитиков SOC L1, чтобы перейти на L2 и L3
•системных администраторов и инженеров сетей
•студентов и выпускников IT/ИБ специальностей, которые хотят начать карьеру в ИБ



⚡️Практический курс по мониторингу и реагированию на инциденты



На курсе вы научитесь:

📎Проводить мониторинг событий ИБ с помощью SIEM
📎Идентифицировать и приоритизировать события и инциденты ИБ
📎Работать с логами разных СЗИ (WAF, AntiDDOS, NGFW, Netflow)
📎Анализировать логи журналов ОС
📎Подбирать меры по реагированию на события ИБ


Для практики каждому студенту даем личный стенд — SOC лабораторию. Это учебная SIEM-система на базе ELK — она максимально приближена к реальным задачам: научитесь выявлять инциденты ИБ


✅Авторы и эксперты курса — практики с опытом 5+ лет в ИБ, действующие ИБ-специалисты и руководители SOC-центров
✅Учим тому, что точно пригодится в работе
✅Комфортная нагрузка без отрыва от работы
✅Вечный доступ в чат с экспертами и коллегами

Старт: 18 января


→Смотри программу и записывайся

Инженер по информационной безопасности (CloudSec), Wildberries

ЗП: до 400 тыс. рублей net.
Уровень: Senior
Формат: удаленка или гибрид

Мы в Wildberries решаем сложные и разнообразные задачи: от повышения защищенности каждого сервиса до развития безопасности в рамках всей нашей инфраструктуры.

Мы в поиске сильных инженеров в команду, обеспечивающую безопасность контейнеризированной и виртуализированной инфраструктуры.

Детальнее о задачах
- Внедрение и развитие механизмов обеспечения информационной безопасности в Kubernetes & Private Cloud
- Разработка и внедрение решения по мониторингу runtime активности в контейнерной инфраструктуре
- Развитие и поддержка существующих решений безопасности Kubernetes
- Развитие решения Admission Controller
- Участие в проектировании архитектуры безопасности IT-инфраструктуры компании с точки зрения облачных технологий
- Проведение аудитов безопасности инфраструктурных сервисов, связанных с K8S и Private Cloud
- Контроль качества устранения уязвимостей Kubernetes и Private Cloud

Что для этого нужно
- Глубокое понимание ОС Linux и механизмов безопасности этой ОС
- Глубокое понимание Kubernetes и его механизмов безопасности
- Опыт работы с инструментами и механизмами безопасности для Kubernetes, такими как security observability, runtime monitoring, admission controller, network policies
- Опыт работы с любым из инструментов управления конфигурациями и развертывания инфраструктуры (Ansible, Terraform)
- Понимание основные паттернов безопасности крупных публичных облаков AWS/GCP
- Опыт автоматизации на Python/Go/Bash

Будет плюсом
- Выступления на крупных конференциях и митапах, например PHDays, OffZone, Standoff и других
- Наличие профильных сертификатов (OSCP, CKA, CKS)
- Участие в CTF и Bug Bounty

Что мы предлагаем
- Полная удаленка или свободное посещение офисов в Москве и Санкт-Петербурге
- Оформление в аккредитованную IT-компанию
- Бесплатное питание при работе из офиса
- Корпоративные скидки у партнеров, внешние программы по обучению и внутренние митапы
- ДМС со стоматологией
- Оплачиваемые Day Off

Контакты: @avdonkina

#вакансия #ciso
Руководитель по информационной безопасности

ООО АПХ ЭКО-культура

https://aph-ecoculture.ru/

Основные задачи:

Разработка стратегий и политик:
• создание и реализация стратегии информационной безопасности;
• разработка и внедрение политик безопасности;
• оценка рисков и определение приоритетов для защиты информации;
• мониторинг и анализ текущих угроз и уязвимостей;
• обучение сотрудников компании основам информационной безопасности и соблюдению установленных политик;
• создание и поддержание документации по процессам и процедурам безопасности.

Обеспечение безопасности продуктов:
• AppSec (безопасность приложений);
• моделирование угроз;
• дизайн и архитектура безопасных решений;
• участие в разработке требований безопасности для новых продуктов и решений;
• оценка безопасности архитектуры и проектных решений;
• внедрение процессов безопасности в жизненный цикл разработки программного обеспечения (SDLC);
• проведение пен-тестов (тестирование на проникновение);
• проведение аудитов безопасности и анализа на соответствие требованиям.
• оценка эффективности мер безопасности.

Тестирование и аудит:
• разработка и реализация плана реагирования на инциденты;
• проведение внутренних и внешних аудитов безопасности;
• анализ результатов тестирования и аудитов, подготовка отчетов и рекомендаций по устранению уязвимостей.


Мы ожидаем от кандидата:
• наличие высшего образования в области информационных технологий или смежных областях;
• опыт работы в сфере IT-безопасности не менее 3-х лет;
• знание современных методов и инструментов обеспечения безопасности;
• опыт работы с AppSec, моделированием угроз и дизайном безопасных решений;
• навыки проведения код-ревью и использования инструментов безопасности;
• опыт в разработке и внедрении политик безопасности;
• знание стандартов и нормативов в области безопасности информации.

Мы предлагаем:
• работу в крупном развивающемся холдинге с государственной поддержкой;
• оформление по ТК РФ;
• график работы: 5/2 с 09.00 до 18.00;
• возможность удаленного или гибридного формата работы;
• индивидуальное предложение по уровню заработной платы, соответствующее Вашему опыту и ожиданиям;
• участие в интересных, амбициозных проектах, которые будут прокачивать Ваши профессиональные компетенции;
• молодой дружный коллектив экспертов, готовых поддержать Ваши инициативы;
• возможности внешнего обучения и развития компетенций (в рамках инициатив компании).

Контакт для связи: https://t.me/Ev_genia_HR

#новости
На этой неделе выкатили несколько громких обновлений.

Санкции за утечку ПД (как я понимаю, это коснется стейкхолдеров компаний, сотрудников, отвечающих за бюджеты в ИБ)

Правила предоставления брони, в случае мобилизации — а это уже касается многих ИТ специалистов, т.к иммунитет может быть потерян, после 21 марта, но ситуация не до конца однозначная, т.к обновленный перечень организаций перечислен в Постановлении Правительства № 766с от 05.06.2024, которое не публиковали в открытом доступе.

#вакансия #Okko #Appsec #middle #senior #remote

Вакансия: Senior Application security engineer/специалист по веб-защищенности
Компания: Okko (okko.tv)
Формат: удалёнка fulltime, гибрид С-Пб, Москва
Оплата: от 300 тыс.р на руки
Требуемый опыт: от 3-х лет

Привет. Я Марина-рекрутер Okko (крупнейший онлайн кинотеатр Okko.ru).
Растём и развиваемся с 2011 года. Ежемесячно нас смотрят миллионы пользователей: на смартфонах, Smart TV и компьютерах. За всем этим стоит работа большой и сильной команды.
Сейчас мы находимся в поисках коллеги, специалиста по веб-защищенности в Отдел кибербезопасности веб-приложений.

✔️Чем предстоит заниматься:
•Участием в построении процесса безопасной разработки ПО (Security SDLC);
•Тестированием безопасности и проверки кода для повышения безопасности программного продукта;
•Консультированием разработчиков и тестировщиков по вопросам безопасности;
•Анализом угроз и участием в аудитах безопасности веб и мобильных приложений;
• Реагированием на инциденты безопасности.

✔️Для нас важно:
• Понимание принципов работы технологий CI/CD, контейнеризации и оркестрации;
• Понимание причин возникновения уязвимостей;
• Опыт поиска и эксплуатации уязвимостей;
• Обладать пониманием стека веб-приложений (backend, frontend);
• Понимание принципов разработки безопасных веб/мобильных и серверных приложений, методов безопасной разработки (SSDLC, SAMM), знание основных видов уязвимостей, атак и техник их проведения, методик тестирования (OWASP, CWE, OSSTMM, MITRE ATT&CK, SQLi, DoS, CSRF, XSS, Code inijection и т.д.);
• Понимание работы веб-протоколов и технологий (HTTP, HTTPS, SOAP, AJAX, JSON, REST), основных веб-уязвимостей (OWASP Top 10);
• Уверенное знание одного из языков программирования: Bash, Python, Go.

✔️Почему с нами классно:
• Удаленка, гибрид;
• ДМС со стоматологией, офисный врач, доплата больничного листа, корпоративные скидки;
• Льготные условия ипотеки в рамках зарплатного проекта;
• Бесплатная подписка на сервисы партнеров;
• Совместные занятия спортом: йога, футбол, волейбол;
• Насыщенная корпоративная жизнь.
☀️🏖🍹

✅Если интересно, пиши. 👉 @mchistyakova Марина

В прошлом месяце в канале был опубликован опрос, задача которого — определить причины выгорания и попытаться предложить решение.
Опрос был составлен и проведен по инициативе @iwillpicknicknamelater, за что ему большое спасибо!

В ходе опроса получилось собрать достаточно большую дату(более 170 респондентов).

Итак, вы, возможно, выгораете, если:
• думаете о работе в нерабочие часы
• не остается времени на жизнь
• продуктивны меньше 8 часов в день
• не нравятся рабочие задачи

Интересно, что большинство респондентов плохо представляют свое будущее, их цели размыты. Нет линейного подхода в достижении успеха.

Но это лишь общие выводы по вашим данным, с более подробными выводами, статистическими данными и т.д можете ознакомиться в презентации, на канале Николая — https://t.me/xyuriti/92

Хочу поделиться своим выводом, как-будто выгорание тесно связано с гео. Если мы посмотрим на США, у них work/life/balance, если посмотреть на Китай, у них 9/9/6(c 9 до 9, 6 раз в неделю). Мы же будто пытаемся играть по правилам американского рынка, но получается что-то посередине.

Для удобства, каждый из вас может сделать свой вывод, для этого прикрепляю данные опроса
https://docs.google.com/spreadsheets/d/1pDrvnZeZnpEVgk8l4oLUQSh2CwhlH_NuA9ofmD5uZu8/edit?usp=sharing

Для меня неожиданно было увидеть такие комментарии:

Чтобы не выгорать, надо держать ритм рабочий, не перегружаться, уметь выходить из потока (оставлять его).
Любую работу можно перенацелить на позитивные смыслы.
Идеальная работа это когда твои смыслы по максимуму совпадают с тем, что предоставил тебе работодатель и что он ожидает от тебя

В целом, там много интересного, и самое главное — анонимного!

Можете делиться своими выводами, либо обдумывать наедине с собой. Мне кажется, получилось отличная работа, я благодарю всех тех, кто принял участие в опросе!

Вакансия: Руководитель отдела информационной безопасности.

Компания: ООО «Цифровой оператор «Сириус».

Местоположение: Федеральная территория Сириус.

Формат: В офисе компании. Полная занятость, полный день.

Оплата: от 200 000 ₽ до вычета налогов.

Обязанности:
– разработка и внедрение регламента работы Центра информационной безопасности, включая определение ключевых ролей и ответственности;
– разработка и актуализация локальных нормативных актов в соответствии с действующим законодательством;
– анализ текущих затрат с целью повышения эффективности и оптимизации расходов;
– контроль технического сопровождения средств защиты информации (AV, SIEM и систем защиты почтового трафика);
– контроль выполнения плановых заданий, договорных обязательств, а также сроков, полноты и качества работ, выполняемых соисполнителями в области, касающейся защиты информации;
– контроль выполнения требований по информационной безопасности в группе компаний;
– организация защиты публичных веб-сайтов и ИТ-ресурсов, а также эксплуатация сервисов Anti-DDoS защиты;
– разработка планов повышения уровня зрелости;
– пилотирование средств защиты информации для принятия решений по их дальнейшему внедрению.

Требования:
– высшее образование в области информационной безопасности или смежных областях;
– глубокие знания законодательства в области защиты персональных данных и методов обеспечения информационной безопасности;
– способность к аналитическому мышлению и навыки управления проектами.

Мы предлагаем:
– официальное трудоустройство по ТК РФ;
– проживание на федеральной территории для иногородних;
– льготы для детей работников в детском саду и Лицее «Сириус»;
– скидки на услуги Университетской медицинской клиники «Сириус»;
– корпоративные спортивные мероприятия;
– программы дополнительного образования;
– концерты для работников и их семей.

Контакты: job@sirius.online, @alina_alenteva