О Пассворке
Пассворк — корпоративный менеджер паролей для бизнеса и государственных организаций.
Безопасность — основа нашего продукта и одна из главных причин, почему нам доверяют клиенты. Мы развиваем собственную криптографическую модель с клиентским шифрованием (Zero Knowledge), регулярно проходим внешние аудиты и постоянно совершенствуем процессы информационной безопасности.
В компании уже выстроены процессы безопасной разработки, управления уязвимостями, реагирования на инциденты и система управления информационной безопасностью. Мы движемся по стандарту ISO 27001, используем современные инструменты мониторинга и анализа безопасности.
О роли
Мы ищем директора по информационной безопасности, который возьмёт на себя развитие всей функции ИБ в компании.
Это руководитель-практик, который будет не только формировать требования и политики безопасности, но и добиваться того, чтобы процессы реально работали и приносили результат.
Основной фокус роли — развитие существующей системы информационной безопасности. Не нужно строить ИБ с нуля — основные процессы уже выстроены. Твоя задача — повысить их эффективность и определить дальнейшее развитие функции информационной безопасности.
Мы предлагаем
Комфортные условия работы
- Удалённую работу или офис — ты сам выбираешь удобный формат.
- График с 10:00 до 18:00 по МСК.
- Официальное оформление по ТК РФ.
- Преимущества аккредитованной IT-компании.
- Открытую культуру общения. Общаемся на «ты», без лишней бюрократии. Любому человеку в компании можно написать напрямую.
- Компенсацию обучения и спорта. Частично возмещаем оплату языковых курсов и занятий спортом, полностью компенсируем профессиональное обучение.
Широкие возможности роли
- Влияние на безопасность компании и продукта.
- Будешь участвовать в принятии стратегических решений и определять развитие функции ИБ.
- Возможность развивать существующую систему информационной безопасности, а не строить её с нуля.
- Прямой доступ к руководству компании.
- Разнообразные задачи. От безопасности продукта и инфраструктуры до общения с клиентами, аудиторами и регуляторами.
Обязанности
Стратегия и управление ИБ
- Развивать стратегию информационной безопасности компании, регулярно актуализировать требования.
- Определять направления развития ИБ-функции, формировать метрики безопасности.
- Контролировать выполнение требований безопасности во всех подразделениях.
- Участвовать в решениях, влияющих на безопасность бизнеса и продукта, находить баланс между безопасностью и задачами бизнеса.
Управление процессами безопасности
- Поддерживать и развивать процессы управления рисками, уязвимостями и инцидентами.
- Выявлять области для улучшения или автоматизации, внедрять новые процессы и практики.
- Организовывать регулярный анализ угроз и рисков.
Инфраструктурная безопасность
- Формировать требования безопасности к инфраструктуре, журналированию и мониторингу.
- Ставить задачи администраторам и DevOps-инженерам, контролировать выполнение и эффективность мер защиты.
- Участвовать в выборе средств защиты информации и сервисов безопасности.
Безопасность продукта
- Определять требования безопасности к продукту и процессам разработки, контролировать их выполнение.
- Участвовать в рассмотрении критичных архитектурных решений и анализе критичных уязвимостей и инцидентов.
- Координировать работу специалистов по безопасной разработке.
Аудиты, стандарты и соответствие требованиям
- Поддерживать и развивать систему управления ИБ, обеспечивать соответствие ISO 27001 и другим стандартам.
- Организовывать внутренние и внешние аудиты, сопровождать сертификации и проверки, контролировать выполнение корректирующих мероприятий.
- Поддерживать актуальность внутренних политик, регламентов и процедур.
Взаимодействие с клиентами и внешними организациями
- Вести переговоры по вопросам ИБ с клиентами, взаимодействовать со службами безопасности заказчиков.
- Помогать командам отвечать на вопросы клиентов по архитектуре безопасности, криптографии и безопасной разработке.
- Участвовать в разборах аудитов, проверок и пентестов от клиентов.
- Взаимодействовать с поставщиками, аудиторами, сертифицирующими органами и регуляторами, включая ФСТЭК России.
Управление командой
- Управлять специалистами по информационной безопасности и безопасной разработке: приоритеты, задачи, контроль качества и сроков.
- Участвовать в найме и развитии сотрудников, формировать культуру безопасности в компании.
Soft навыки
- Системное мышление. Умеешь выстраивать процессы, видеть взаимосвязи и развивать систему информационной безопасности, а не только решать отдельные задачи.
- Стратегическое мышление. Принимаешь решения с учётом рисков и бизнес-приоритетов, находишь баланс между требованиями безопасности и задачами компании.
- Лидерство. Умеешь управлять командой, развивать сотрудников и добиваться результата через людей.
- Коммуникация. Умеешь одинаково эффективно общаться с разработчиками, администраторами, руководством, клиентами, аудиторами и регуляторами, объясняя сложные технические вопросы понятным языком.
- Умение убеждать и отстаивать позицию. Аргументированно доносишь требования безопасности, умеешь договариваться с бизнесом и разработкой, но не идёшь на компромиссы там, где они создают неприемлемые риски.
- Эмоциональная зрелость. Спокойно ведёшь сложные переговоры, конструктивно работаешь с конфликтами и сохраняешь взвешенность при инцидентах и в других напряжённых ситуациях.
Hard навыки
- Опыт работы в области информационной безопасности от 5 лет, включая опыт руководства направлением или подразделением ИБ.
- Опыт развития и сопровождения системы информационной безопасности, включая процессы управления рисками, уязвимостями и инцидентами.
- Опыт управления командой специалистов по информационной безопасности и безопасной разработке.
- Понимание процессов безопасной разработки (Secure SDLC).
- Понимание современных подходов к защите веб-приложений, облачной инфраструктуры и корпоративных ИТ-систем.
- Опыт взаимодействия с руководством компании, клиентами и аудиторами по вопросам информационной безопасности.
Будет плюсом
- Опыт работы в продуктовой IT-компании.
- Опыт развития системы управления информационной безопасностью по ISO 27001 или аналогичным стандартам.
- Опыт взаимодействия с ФСТЭК России, ФСБ России и другими регуляторами.
- Опыт сопровождения внешних, сертификационных и клиентских аудитов.
- Опыт участия в пресейлах, технических встречах с заказчиками, клиентских аудитах и подготовке ответов на требования и опросники по информационной безопасности.
- Опыт взаимодействия со службами информационной безопасности крупных заказчиков.
- Понимание криптографии и современных подходов к защите данных.
- Опыт построения процессов мониторинга и реагирования на инциденты информационной безопасности.
- Наличие профильных сертификатов.
- Интервью с HR
- Интервью с CTO
Мы ищем не просто сотрудника, а единомышленника, с которым будем вместе создавать ценный и качественный продукт для наших клиентов. Если чувствуешь, что мы подходим друг другу — ждём тебя на интервью.
Присоединяйся к команде, которая делает лучший продукт в своей сфере!
Контакты для связи
- Мария, HRLead в Пассворке
- Telegram: @MariaErshova_HR
- Алина, HR в Пассворке
- Telegram: @alinaHR_passwork
