Требуется архитектор информационной безопасности в крупную банковскую экосистему.
Задачи
- Изучать архитектуру безопасности компании, понимать ее стратегию и вносить предложения по развитию.
- Проектировать и разрабатывать архитектуру безопасности продуктовой линейки.
- Изучать архитектуру продукта и постоянно поддерживать контекст.
- Заниматься идентификацией, агрегацией и систематизацией актуальных для продукта угроз и слабостей системы.
- Формировать предложения по митигационным мерам и их оценке, предлагать рекомендации по выбору митигационных мер, искать наиболее эффективные контрмеры.
- Искать и определять лучшие практики в отношении продукта, новые виды угроз и способов защиты.
- Создавать стратегию развития продуктов, ориентированную на архитектуру и модели угроз.
- Формировать процессы, технические решения, доработки и разработки в качестве митигаторов рисков, в частности процессы предоставления и управления доступом, недопущения и минимизации уязвимостей.
- Интегрировать стратегии безопасности и надежности продукта с общей стратегией безопасности компании.
- Обосновывать приоритизацию задач безопасности и определять уровни критичности задач.
- Отражать требования compliance на архитектуру и стратегию развития безопасности продукта.
Требования
- Участие в продуктовых командах, понимание принципов их работы: пользовательские сценарии, NPS, охваты, UX, особенно в части предоставления услуг по модели aaS.
- Опыт работы в части проектирования и дизайна high-load-продуктов.
- Знание концепций и паттернов проектирования отказоустойчивых и масштабируемых систем.
- Умение применять современные подходы в аутентификации и авторизации, управлять ролями и доступами.
- Умение разбираться в протоколах аутентификации и решениях по их реализации: Webauthn, OIDC, OAuth, FIDO2, MFA, 3FA, MPA, Ephemeral Accounts, PAM.
- Опыт проведения инфраструктурных или прикладных пентесты, offensive-сертификации — стек offensive security или ec-council.
- Глубокое понимание технологии защиты сети и сетевых стеков: TCP/IP, http, gRPC, mTLS, IPSec, QUICK.
- Знание методологии обеспечения безопасности в разных направлениях: сертификации от ISC2, ISACA, GIAC, EC-Council, CompTIA, ITIL, Comptia Security+.
- Знание и понимание стандартов и методологии управления рисками в ИТ / ИБ: ISO/IEC 27000, ITIL, SABSA, COBIT, NIST и другие.
- Знание и понимание методологии формирования моделей угроз: OCTAVE, PASTA, Trike, STRIDE, VAST и другие.
- Опыт использования современных cloud-инфраструктур и понимание устройства в части безопасности: AWS, GCP, Alibaba, YC.