Архитектор информационной безопасности приложений

Обязанности

• Проектирование и перепроектирование безопасных архитектур информационных систем в доменах ГИС и беспилотных систем с учётом требований некорректируемости (обеспечение целостности и защиты от несанкционированных изменений) на современной архитектуре (микросервисы, контейнеризация, облачные технологии). Взаимодействие с регуляторами (ФСТЭК России, ФСБ России, Минцифры) по вопросам согласования архитектурных решений, подходов к реализации систем, подготовка обоснований, моделей угроз, технических заданий и иной документации, необходимой для получения разрешений и аттестации. Выстраивание единого окна ИБ для команд разработки продуктов в доменах ГИС и беспилотных систем: консультирование, согласование архитектурных решений и требований безопасности. Участие в разработке и согласовании документов для аттестации систем, включая частные технические задания, паспорта защиты, планы мероприятий. Проведение моделирования угроз и анализ рисков для новых и модифицируемых систем, выработка мер по их нейтрализации. Определение интерфейсов, составляющих поверхность атаки, и проведение их анализа с точки зрения безопасности. Контроль соответствия проектных решений требованиям законодательства РФ (включая 187-ФЗ, 152-ФЗ, приказы ФСТЭК/ФСБ, требования Минцифры, распоряжение 91-Р). Участие в приёмочных испытаниях, проверка технической и рабочей документации. Выполнение роли эксперта и наставника для команд разработки, повышение их компетенций в области безопасного проектирования.

Требования

• Опыт взаимодействия с регуляторами (ФСТЭК, ФСБ, Минцифры) по вопросам согласования проектных решений, аттестации, выполнения требований законодательства. Опыт разработки проектной, рабочей и эксплуатационной документации в соответствии с требованиями ГОСТ серий 34 и 19 (ЕСКД). Опыт проектирования архитектуры защищенных систем, включая опыт работы с требованиями некорректируемости (целостность, защита от модификаций). Опыт взаимодействия с командами разработки, сопровождения проектов на разных стадиях (от проектирования до эксплуатации). Опыт проведения моделирования угроз (например, STRIDE) и анализа рисков. Понимание актуальных угроз в современных ИТ-инфраструктурах, знание векторов атак, тактик, техник и процедур (TTP), включая MITRE ATT CK. Знание сетевых технологий, операционных систем (Windows, Linux), популярных СУБД, веб-технологий и современных сервисных решений (Redis, Kafka, Hadoop). Понимание принципов атак через уязвимости OWASP TOP 10, Mobile TOP 10, CWE TOP 25. Понимание принципов работы микросервисной архитектуры и подходов к обеспечению безопасности микросервисов. Знание технологий контейнеризации и оркестрации (Docker, Kubernetes) на уровне понимания архитектуры. Глубокое знание требований законодательства РФ и нормативных актов Минцифры в области защиты информации, включая: 187-ФЗ (безопасность критической информационной инфраструктуры); 152-ФЗ (персональные данные); требования к государственным информационным системам (ГИС); иные нормативные акты ФОИВ, включая требования, касающиеся предприятий из списка 91-Р; приказы ФСТЭК России (№ 17, 21, 31, 239 и др.) и ФСБ России. Понимание требований международных стандартов (PCI DSS, ISO 27001) и отечественных ГОСТ по направлению ИБ (включая требования к документированию для информационных систем и ПО). Навыки написания скриптов на одном из языков программирования: Python, Go, Ruby, Bash для автоматизации анализа или подготовки данных. Аналитический склад ума, способность выявлять риски и предлагать меры по их снижению. Коммуникабельность, умение выстраивать диалог с разработчиками и регуляторами, находить компромиссы между безопасностью и функциональностью. Обучаемость, интерес к новым технологиям и методам атак. Ответственность, ориентация на результат. Навыки наставничества (опыт обучения коллег или команды).