Специалист по информационной безопасности

Чем предстоит заниматься:

• Проводить проверки приложений и сервисов на наличие уязвимостей (SAST, SCA, DAST, обнаружение секретов, фаззинг), готовить POC‑эксплуатации и понятные отчёты для команд;
• Проводить триаж уязвимостей: оценка риска и влияния, приоритизация, постановка задач на исправление, контроль сроков и качества устранения уязвимостей;
• Участвовать в проектировании: проводить моделирование угроз (например, STRIDE), ревью архитектуры по безопасности и дизайн‑решений, формулировать требования к аутентификации, авторизации, шифрованию и журналированию;
• Развивать SSDLC и DevSecOps: определять и внедрять контроли по безопасности на этапах требований, дизайна, разработки, тестирования и эксплуатации, настраивать гейты безопасности в GitLab CI/CD;
• Сопровождать и развивать AppSec‑инструменты: интеграция сканеров в конвейер разработки, настройка политик, исключений и отчётности, участие в выборе и пилотах новых решений;
• Участвовать в аудитах безопасности сервисов и разборах инцидентов: анализ причин, выработка устойчивых мер, предотвращающих повторное возникновение уязвимостей целого класса;
• Консультировать команды разработки и архитекторов по вопросам безопасной разработки, разбору и устранению уязвимостей, шаблонам безопасного кодирования;
• Исследовать новые векторы атак и тренды в AppSec, предлагать улучшения процессов и инструментов.
• Анализ выявленных случаев мошенничества по картам/счетам клиентов с целью определения места/принципа компрометации электронного средства платежа клиента и минимизации дальнейших возможных рисков.
• Разработка, тестирование и внедрение новых антифрод-правил, повышение методик выявления операций по переводу денежных средств, имеющих признаки осуществляемых без согласия клиента.
• Подготовка отчетности и анализ эффективности антифрод-системы (метрики FPR, TPR)

Что мы ожидаем от кандидата:

• Высшее техническое образование (желательно профильное ИБ или практический опыт в разработке/безопасности приложений);
• Опыт работы в роли инженера по безопасности приложений от 3 лет, участие в реальных проектах по защите веб‑ или API‑сервисов в продакшене;
• Практический опыт внедрения и эксплуатации инструментов:SAST, SCA, DAST, фаззинг, поиск секретов. Интеграция этих инструментов в CI/CD (желательно GitLab CI/CD);
• Опыт работы с Docker, Kubernetes, GitLab (или аналогичными системами контроля версий и CI/CD);
• Умение проводить ревью кода с фокусом на безопасность, давать разработчикам понятные и практичные рекомендации;
• Глубокое понимание причин возникновения и способов эксплуатации уязвимостей из OWASP Top 10 и OWASP API Security, а также практического устранения этих проблем;
• Навыки общения: умение объяснить сложные технические риски понятным языком, договариваться о приоритетах, конструктивно отстаивать позицию безопасности.
• Опыт создания и настройки правил систем фрод-мониторинга;
• знание нормативных документов Банка России по информационной безопасности и регламентов международных платёжных систем в части организации безопасности платёжных операций (152-ФЗ, 161-ФЗ, ГОСТ 57580.1, 384-П, 382-П и др.);
• Понимание принципов работы платежных систем (Visa, Mastercard, МИР), ACH, быстрых платежей (СБП);
• Знание законодательства и требований ЦБ РФ по защите от операций без согласия клиента. Способность находить закономерности в больших объемах данных, формулировать и проверять гипотез;
• Умение выявлять аномалии и определять мошеннические схемы (паттерны) Способность заметить подозрительное поведение в потоке транзакций. Умение аргументированно объяснить подозрительность операции и взаимодействовать с юридическим или продуктовым отделами.

Будет плюсом:

• Опыт работы в fintech, payments, banking, crypto или смежных сферах;
• Понимание процессов исполнения транзакций, взаимодействия банков;
• Знание и понимание правил проведения карточных транзакций VISA и Mastercard, выявление нарушений этих правил;
• Опыт участия в построении или развитии практик безопасного кодирования SDLC / AppSec / DevSecOps в компании (описание процессов, политик, стандартов безопасное кодирование, матриц угроз);
• Опыт проведения моделирования угроз с командами разработки, ревью архитектур, работы с высоконагруженными и распределёнными системами;
• Опыт взаимодействия с аудитами, заказчиками и регуляторами, подготовки доказательной базы по соответствию требованиям (ГОСТ Р 56939‑2024, ГОСТ Р 57580, OWASP SAMM, PCI SSF, ISO/IEC, NIST SSDF);
• Опыт работы в роли тимлида или технического лидера в области ИБ или разработки;
• Наличие профессиональных сертификаций (например, CSSLP, GWAPT, OSWE/OSCP, eWPT, eWPTX и др.);
• Английский язык от B1–B2 (работа с документацией и перепиской).