Привет! Мы Юникорн – российская продуктовая IT-компания, лидер рынка «Умное здание». Мы разрабатываем облачную платформу и оборудование для цифровизации зданий и городской инфраструктуры. Продукт живёт в реальной эксплуатации, у крупных заказчиков, с повышенными требованиями к безопасности, надёжности и соответствию регуляторике.
Что ты получаешь, работая у нас:
•
Оформление в штат с первого дня и конкурентная зарплата;
•
Классный офис в Технопарке Morion Digital с развитой инфраструктурой (бесплатная парковка, кафе, спортзал, шиномонтаж, химчистка и др.)
•
Востребованный инновационный продукт и интересные задачи;
•
Поддержка сотрудников со стороны руководителей, наставник – на период адаптации;
•
Возможность обучаться и постоянно развивать свои навыки;
•
Программа лояльности (скидки на обучение, спорт, кафе, корпоративный мерч и многое другое);
• Насыщенная корпоративная жизнь: сплавы, тренинги и лучшие корпоративы
Цель роли
Это не исполнительская позиция и не SOC-аналитик. Мы ищем специалиста уровня Senior / Lead, который:
•
владеет процессом информационной безопасности end-to-end;
•
способен самостоятельно строить и поддерживать модель угроз продукта и инфраструктуры;
•
умеет расставлять приоритеты и балансировать риск, бизнес и регуляторные требования;
•
автоматизирует ИБ-контроли и встраивает безопасность в разработку, а не тормозит её;
•
может аргументированно отстаивать позицию компании перед заказчиком и аудиторами.
Зоны ответственности
Управление безопасностью и рисками
•
Формирование и поддержка модели угроз (продукт, инфраструктура, интеграции, поставщики).
•
Управление ИБ-рисками: выявление, приоритизация, контроль mitigations.
•
Участие в принятии архитектурных решений с точки зрения безопасности.
•
Ведение и развитие Secure SDLC (S-SDLC).
DevSecOps и автоматизация
•
Встраивание проверок безопасности в CI/CD (quality gates, security checks).
•
Автоматизация рутинных ИБ-процессов (скрипты, пайплайны, политики).
•
Контроль безопасности секретов, доступов, артефактов.
•
Взаимодействие с DevOps и разработкой как партнёр, а не контролёр.
Compliance и регуляторика
•
Владение требованиями и практическая реализация: ФЗ-152, ФЗ-187, ПДн, КИИ, ГИС, при необходимости — ISO/IEC 27001, GDPR.
•
Подготовка и сопровождение аудитов, проверок, опросников заказчиков.
•
Формирование разумных и реализуемых требований, а не формального «бумажного» compliance.
Инциденты и взаимодействие
•
Участие в разборе инцидентов ИБ, анализ корневых причин, улучшение процессов.
•
Коммуникация с заказчиками и партнёрами по вопросам ИБ.
•
Обучение команд базовым принципам безопасной разработки и эксплуатации.
Документация
•
Модели угроз, регламенты, политики, архитектурные и эксплуатационные документы.
•
Поддержка документации в актуальном («живом») состоянии.
Ожидаемый опыт и компетенции
Обязательное
•
Опыт в ИБ 6+ лет, в том числе:
•
DevSecOps / Security Engineer / AppSec — от 2 лет.
•
•
безопасности приложений и инфраструктуры;
•
сетевых взаимодействий;
•
аутентификации, авторизации, IAM.
•
•
threat modeling;
•
анализа и триажа уязвимостей;
•
внедрения ИБ-контролей в CI/CD.
•
Умение автоматизировать (Bash / Python / пайплайны).
•
Способность вести диалог с заказчиком и защищать техническую позицию компании.
Технологически (без фанатизма)
Опыт работы хотя бы с частью стека:
•
Linux, SQL (на уровне эксплуатации и анализа).
•
CI/CD: GitLab CI, Jenkins или аналоги.
•
SAST / DAST / SCA, secret scanning.
•
IAM / SSO (OAuth 2.0, OIDC, SAML).
•
Secrets Management (Vault или аналоги).
Важно: мы не ищем человека, который знает всё, мы ищем того, кто понимает зачем и как это применять.
Будет плюсом •
DevOps-инструменты: Ansible, Terraform.
•
Docker, Kubernetes (на уровне эксплуатации и рисков).
•
Опыт работы с Zero Trust-подходами.
•
Опыт прохождения внешних аудитов и крупных заказчиков.
•
Профильные сертификаты (CISSP, CISM, OSCP и др.).
+7 919 450 0506
Зеленина Анастасия