Аналитик кибербезопасности

Что предстоит делать

Trilogy Federal drives innovative solutions for complex business challenges across financial management, healthcare, and government industries. Our collaborative, client-first service approach, combined with our commitment to the rapid implementation of pragmatic solutions, has earned Trilogy an unparalleled reputation for delivering transformative results. Trilogy Federal ищет специалиста по кибербезопасности (Cyber Security Analyst) для поддержки программы T4NG Consolidated Corporate Support Services (CCSS) для Министерства по делам ветеранов США (Department of Veterans Affairs, VA). Эта должность отвечает за внедрение и поддержание безопасности корпоративных систем и данных VA, обеспечение строгого соответствия федеральным требованиям и требованиям VA в области безопасности, а также поддержку текущей авторизации и управления рисками критически важных платформ VA в составе многопрофильной гибкой технологической команды. Описание должности: Специалист по кибербезопасности отвечает за поддержание безопасности информационных систем и сред VA. Эта роль обеспечивает соблюдение федеральных политик, политик VA и отраслевых стандартов информационной безопасности, проводит непрерывное выявление и устранение уязвимостей, а также участвует во внутренних и внешних оценках безопасности. Должность требует регулярного взаимодействия с техническими и программными заинтересованными сторонами для поддержания и улучшения средств контроля безопасности и документации, повышения эффективности реагирования на инциденты и поддержки текущего разрешения на эксплуатацию (Authorization to Operate, ATO) для поддерживаемых систем и приложений. Специалист работает в гибкой среде, ориентированной на DevSecOps, что требует активного выявления рисков и сотрудничества с межфункциональными командами для обеспечения безопасности и целостности технической экосистемы VA. Основные обязанности: Проведение постоянного сканирования уязвимостей, тестирования на проникновение, анализа кода и устранения уязвимостей в соответствии с NIST SP 800-53 и связанными стандартами. Разработка, документирование, проверка и поддержка артефактов оценки и авторизации (Assessment & Authorization, A&A), включая планы безопасности, оценки рисков и планы действий и контрольные точки (Plan of Action and Milestones, POA&M), для поддержки подачи и продления ATO. Реагирование на события и инциденты безопасности, их анализ и отчетность по ним, включая уведомление заинтересованных сторон в строгие сроки. Устранение уязвимостей безопасности в установленные сроки в зависимости от степени серьезности. Обеспечение соблюдения федеральных директив, директив VA, FISMA, NIST, HIPAA, Закона о конфиденциальности (Privacy Act), а также организационных директив по безопасности и конфиденциальности. Прохождение обязательного и дополнительного ежегодного обучения по вопросам конфиденциальности и безопасности по мере необходимости. Координация работы с техническим персоналом VA, ISSO и командами интеграции для обеспечения надлежащей миграции, развертывания и эксплуатационной поддержки новых или обновленных систем. Оказание поддержки во внедрении средств контроля безопасности для операционных систем, кода приложений, сетевой инфраструктуры и конечных точек. Участие в аудитах и оценках, предоставление доказательств соответствия по запросу. Мониторинг, отслеживание и отчетность по ключевым показателям эффективности (KPI) безопасности, включая сроки устранения уязвимостей, показатели разрешения инцидентов и состояние безопасности системы. Активное применение исправлений ОС и приложений; проверка и отчетность о влиянии сторонних исправлений. Разработка и поддержка надежной эксплуатационной документации и документации по реагированию на инциденты, участие в посмертных разборах (after-action reviews) и внесение вклада в извлеченные уроки для непрерывного улучшения процессов. Минимальные требования: Степень бакалавра в области кибербезопасности, компьютерных наук, информационных технологий или смежной дисциплины; может учитываться эквивалентный практический опыт. Не менее 10 лет прогрессирующего опыта в операционной деятельности по кибербезопасности, оценке рисков, управлении уязвимостями или обеспечении соответствия требованиям информационной безопасности. Продемонстрированные знания и опыт работы с соответствующими федеральными стандартами кибербезопасности. Опыт проведения и составления отчетов по оценке уязвимостей, тестированию на проникновение и тестированию средств контроля безопасности. Знакомство с инструментами безопасности, включая, но не ограничиваясь: инструменты статического тестирования безопасности приложений (SAST) (например, Micro Focus Fortify), наборы для тестирования на проникновение, платформы SIEM/мониторинга. Опыт поддержки процессов ATO и A&A, а также ведения документации по соответствию в регулируемых средах. Понимание практик и принципов DevSecOps; опыт совместной работы с командами разработки, эксплуатации и обеспечения соответствия. Способность управлять несколькими приложениями. Способность получить допуск к работе с информацией, составляющей государственную тайну (Public Trust Clearance). Предпочтительные квалификации: Знакомство с инструментами управления управлением, рисками и соответствием (Governance, Risk and Compliance, GRC) VA и связанными рабочими процессами безопасности. Опыт обеспечения безопасности для облачных платформ, включая соответствие стандартам FedRAMP (AWS, Azure и т.д.). Продемонстрированный опыт в области безопасности приложений, обеспечения качества кода в крупномасштабных и гибких средах, а также в конвейерах непрерывной поставки (continuous delivery). Углубленные знания инструментов безопасности и мониторинга, таких как Jenkins, GitHub, SonarQube, AppDynamics, а также опыт работы с архитектурой безопасности и системами реагирования на инциденты. Льготы (включая, но не ограничиваясь): Медицинские, стоматологические и офтальмологические планы Опциональный FSA Оплачиваемый отпуск по уходу за ребенком Safe Harbor 401(k) с взносами работодателя, 100% вступление в право с первого дня Оплачиваемый отпуск и 11 оплачиваемых праздничных дней Бесплатный групповой полис страхования жизни/от несчастных случаев и болезней (AD&D) и опциональное дополнительное покрытие Страхование домашних животных Ежемесячная стипендия на телефон и интернет Возмещение расходов на обучение и тренинги $103,000 - $118,000 в год. Этот диапазон не является гарантией компенсации или заработной платы, поскольку Trilogy Federal проводит индивидуальную оценку справедливости для каждого кандидата на основе опыта, местоположения, образования, отраслевого опыта и сравнения с внутренними зарплатными диапазонами. В дополнение к заработной плате Trilogy предлагает надежные льготы, включая медицинское/стоматологическое/офтальмологическое страхование, взносы в 401(k), оплачиваемые праздничные дни, оплачиваемый отпуск, возмещение расходов на обучение и очень благоприятный баланс между работой и личной жизнью. Trilogy Federal является работодателем, предоставляющим равные возможности трудоустройства. Мы не дискриминируем по признаку расы, религии, цвета кожи, национального происхождения, пола (включая беременность, роды или связанные с ними медицинские состояния), сексуальной ориентации, гендерной идентичности, гендерного выражения, возраста, статуса защищенного ветерана, статуса лица с ограниченными возможностями или других применимых защищенных законом характеристик. Пожалуйста, укажите слово **AMAZING** и тег RODguMTk4Ljk5LjE0Mw== при подаче заявки, чтобы показать, что вы полностью прочитали описание вакансии (#RODguMTk4Ljk5LjE0Mw==). Это бета-функция для избежания спама от соискателей. Компании могут искать эти слова, чтобы найти соискателей, которые прочитали это объявление и подтверждают, что они люди.