Керівник відділу інформаційної безпеки
Шукаємо керівника відділу інформаційної безпеки для державного підприємства, яке забезпечує Сили Оборони України. Потрібно розвивати систему безпеки за стандартами NIST, керувати командою кібербезпеки та впроваджувати технічні контролі в Azure. Пропонуємо офіційне працевлаштування, конкурентну зарплату та можливість зробити внесок у перемогу.
Зарплата не указана — оценили по рынку
На основе 5 похожих вакансий за 90 дней.
Что предстоит делать
<p><strong>Агенция оборонных закупок DOT</strong> — государственное предприятие, занимающееся закупкой техники, боеприпасов, БПЛА, питания, одежды, горюче-смазочных материалов для ВСУ и Сил Обороны.</p><p><b>Наша миссия:</b> обеспечиваем Силы Обороны и развиваем национальный ВПК ради устойчивости и обороноспособности Украины.</p><p><b>Наша визия: </b>драйвер развития системы обеспечения Сил обороны Украины по стандартам НАТО.</p><p>Сейчас мы в поиске <strong>Руководителя отдела информационной безопасности</strong>, который/которая будет отвечать за системное развитие и усиление функции информационной безопасности (governance, engineering, operations), сочетая менеджерское лидерство с практической технической вовлеченностью: обеспечение поддержки, сопровождения и совершенствования существующих процессов и контролей в соответствии со стандартами NIST, управление системой информационной безопасности (СУИБ) и командой кибербезопасности, а также повышение уровня готовности организации к кибератакам и инцидентам.</p><p><strong>Ключевые результаты на <nobr>6–12 месяцев:</nobr></strong></p><ol><li><strong>NIST-first:</strong> поддержано соответствие NIST для DOT Chain; согласован план дальнейших расширений (напр., Azure AI Foundry).</li><li><strong>IT Enterprise:</strong> авторизовано по безопасности ИКС/внедрены контрольные меры безопасности, предусмотренные требованиями NIST; внедрен регулярный цикл пересмотра рисков, исключений и планов устранения уязвимостей.</li><li><strong>Команды:</strong> установлены OKR/KPI для подразделения; налажена постановка задач, приоритизация, обзоры выполнения и планирование ресурсов, определены измеримые стратегические цели.</li><li><strong>SecOps (Azure):</strong> упорядочены мониторинг/реагирование (Sentinel/Defender), управление уязвимостями и идентичностями; определен RBAC с IT/разработкой.</li><li><strong>Red/Purple teaming:</strong> проведено как минимум <nobr>1–2</nobr> упражнения (ransomware readiness, компрометация идентичностей); результаты интегрированы в бэклог инженерных изменений и обучение.</li><li><strong>Поставщики/партнеры:</strong> действует процесс оценки и контроля требований безопасности (NDA/SLA/DPA, аудит третьих сторон).</li></ol><p><strong>Зона ответственности:</strong></p><p><em>1. Лидерство, менеджмент и взаимодействие</em></p><ul><li>Операционное и стратегическое руководство двумя потоками: СУИБ/NIST (управление/риск-менеджмент) и кибербезопасность (SecOps/инженерия).</li><li>Постановка задач, распределение обязанностей, контроль выполнения, еженедельные оценки, OKR/KPI и персональные планы развития.</li><li>Взаимодействие с IT, разработкой и бизнес-подразделениями: планирование релизов и безопасностных изменений, приоритизация рисков, защита критических сервисов.</li></ul><p><em>2. Governance, Risk & Compliance</em></p><ul><li>Поддержка/совершенствование политик, стандартов и процедур; ведение реестра рисков и планов обработки; регулярные обзоры и отчетность.</li><li>Планирование и подготовка к проведению внутренних и сертификационных аудитов СУИБ; координация действий по корректировке.</li><li>Плавный переход от КСЗИ к практикам/контролям NIST; кросс-маппинг (при необходимости) к ISO 27001 для совместимости с требованиями.</li><li>Планы реагирования на инциденты (IRP), извлеченные уроки.</li><li>Учет требований законодательства (защита персональных данных, другие нормативные требования) в политиках и договорах.</li></ul><p><em>3. Security Engineering & Operations</em></p><ul><li>Согласование и развитие технических контролей: EDR/XDR, SIEM, DLP, PAM, IAM/Entra ID, MDM, защищенность серверов/рабочих станций/сети/облаков.</li><li>Мониторинг инцидентов и реагирование, управление уязвимостями (end‑to‑end от обнаружения до устранения, с приоритетами по бизнес-критичности).</li><li>Усиление защиты учетных записей (MFA, PIM, least privilege, JML), защита ключей/секретов, журналирование.</li><li>Согласование процессов SOC, runbooks, SLO/SLA на реагирование.</li></ul><p><em>4. Продуктовая и прикладная безопасность (AppSec, Secure SDLC)</em></p><ul><li>Улучшение безопасности в жизненном цикле продуктов и систем: моделирование угроз, ревизия архитектуры безопасности, автоматизация процесса сканирования кода во время разработки, SBOM, DevSecOps в CI/CD.</li><li>Интеграция результатов red/purple‑team упражнений в бэклог инженерных изменений и обучение команд.</li></ul><p><em>5. Поставщики</em></p><ul><li>Оценка и аудит поставщиков, интегрированных с DOT Chain, которые обрабатывают данные или имеют доступ; требования NDA/SLA/DPA; контроль выполнения.</li></ul><p><em>6. Отчетность, метрики, бюджет</em></p><ul><li>Регулярная отчетность руководству: риск‑профиль, статус KPI/OKR, прогресс устранения уязвимостей, готовность к инцидентам.</li><li>Бюджет ИБ, роадмап на <nobr>12–18 месяцев,</nobr> приоритизация инициатив и экономическая целесообразность контролей.</li></ul><p><b>Требования к кандидатам:</b></p><p><em>1. Опыт и трек-рекорд</em></p><ul><li>5+ лет в кибер/ИБ, из них 3+ года на руководящей роли с менеджментом команды и программ безопасности.</li><li>Доказательный опыт практической кибербезопасности (упражнения red/purple team, моделирование атак на критические сервисы; готовность к ransomware/compromised identity сценариям) — не обязательно как полноценный red teamer, но с глубоким пониманием техник и противодействия.</li><li>Опыт поддержки/совершенствования по NIST/ISO 27001: политики/процедуры, аудиты, риск‑менеджмент, IRP.</li><li>Построение/сопровождение SecOps/SOC процессов: мониторинг инцидентов, реагирование, управление уязвимостями, интеграции с IT/разработкой.</li><li>Релевантный опыт в Azure: Defender for Cloud/Endpoint/Identity/Office, Sentinel, Entra ID (MFA, PIM), Key Vault, логирование/телеметрия.</li><li>Понимание Secure SDLC / AppSec для стека .NET и PHP; опыт с SAST/DAST, управление секретами, CI/CD, IaC — как плюс.</li></ul><p><em>2. Фреймворки и нормативные требования</em></p><ul><li>NIST (CSF 2.0 / 800‑серия) — глубокое понимание и практическая применимость;</li><li>ISO 27001 — как референс/кросс‑маппинг.</li><li>Знание требований украинского законодательства в части защиты информации и персональных данных.</li></ul><p><em>3. Навыки</em></p><ul><li>Сильные менеджерские компетенции (постановка задач, приоритизация, OKR/KPI, performance‑менеджмент, коммуникация со стейкхолдерами).</li><li>Системное мышление и способность сочетать governance и hands‑on инженерию.</li><li>Уверенная коммуникация технических рисков языком бизнеса; кризис‑коммуникации.</li></ul><p><em>4. Сертификации (желательные)</em></p><ul><li>CISSP, CISM, ISO 27001 Lead Auditor/Implementer; Microsoft: SC‑100/200/300/400, AZ‑500 — как преимущество.</li></ul><p><b>Мы предлагаем:</b></p><ul><li>Команду, где каждый важен: мы команда единомышленников, где царит взаимоуважение и поддержка.</li><li>Прозрачность и системность: четкие цели, понятные внутренние коммуникации и системный подход.</li></ul><ul><li>Профессиональный рост и обучение: мы способствуем постоянному развитию наших сотрудников.</li></ul><ul><li>Комфортный старт: вас ждет структурированный процесс адаптации и поддержка ментора, который поможет быстро войти в курс дел.</li></ul><ul><li>Конкурентные условия: официальное трудоустройство, социальные гарантии, конкурентная заработная плата и возможность работать над самыми масштабными проектами страны.</li></ul><ul><li>Комфорт и условия работы: современный уютный офис в доступности от метро, оборудованный укрытием и бесперебойным интернетом.</li></ul><p><b>Узнайте больше о нашей деятельности и корпоративной культуре:</b></p><ul><li><a href="https://dpa.mod.gov.ua/" target="_blank">Сайт</a></li></ul><ul><li><a href="https://www.instagram.com/dpa_dot?igsh=YnowMnN6dnMyenB2" target="_blank"></a><a href="https://www.instagram.com/dot.gov.ua/" target="_blank">Instagram</a><a href="https://www.instagram.com/dpa_dot?igsh=YnowMnN6dnMyenB2" target="_blank"></a></li></ul><ul><li><a href="https://www.linkedin.com/company/dpa-dot/posts/?feedView=all" target="_blank">Linkedin</a></li></ul><ul><li><a href="https://www.facebook.com/p/%D0%90%D0%B3%D0%B5%D0%BD%D1%86%D1%96%D1%8F-%D0%BE%D0%B1%D0%BE%D1%80%D0%BE%D0%BD%D0%BD%D0%B8%D1%85-%D0%B7%D0%B0%D0%BA%D1%83%D0%BF%D1%96%D0%B2%D0%B5%D0%BB%D1%8C-61559798071828/" target="_blank">Facebook</a></li></ul><p>Присоединившись к нашей команде, вы получите шанс собственноручно творить фундаментальную реформу обеспечения Сил Обороны Украины и внести свой вклад в победу Украины.</p><p>Готовы превратить свою экспертизу в реальный вклад в победу? Отправляйте резюме прямо сейчас!</p><p>*Обращаем внимание: отправив свое резюме, вы даете автоматическое согласие на обработку ваших персональных данных согласно закону.</p><p>**Поскольку мы получаем большое количество откликов, обратная связь будет предоставлена только тем кандидатам, чей опыт и квалификация наиболее соответствуют требованиям вакансии.</p> <div> <a href="https://jobs.dou.ua/companies/agentsiya-oboronnih-zakupivel/vacancies/313859/#reply-btn-id">Откликнуться на вакансию</a> </div>
Стек и инструменты
Подходит ли вам эта вакансия?
Зарегистрируйтесь и загрузите резюме — посчитаем % совпадения с этой вакансией, подсветим сильные стороны и что стоит подтянуть
Ещё в Агенція оборонних закупівель DOT
2 активные вакансии в компании
Frontend Developer (Vue / Nuxt)
Державна агенція оборонних закупівель DOT шукає Frontend-розробника з досвідом Vue 3 та Nuxt для створення високонавантажених систем для потреб ЗСУ. Потрібен досвід від 2 років, знання TypeScript, SCSS та REST API. Пропонують офіційне працевлаштування, конкурентну зарплату та роботу в сучасному офісі з укриттям.
Похожие вакансии
6 вакансийDevSecOps Engineer
~1 186 175 – 1 897 880 ₸ оценка
Роль DevSecOps Engineer у компанії, що розробляє продукти для оборони України. Ви будете відповідати за безпеку продукту: перевіряти рішення, впроваджувати безпечні підходи в розробці, працювати з AI-системами та compliance. Потрібен досвід з OWASP, SAST/DAST, ISO 27001 та високий рівень самостійності. Пропонують офіційне працевлаштування, медстрахування та бронювання.
Security Engineer / Pentester
~1 186 175 – 1 897 880 ₸ оценка
Компанія шукає досвідченого Security Engineer / Pentester для забезпечення безпеки продукту. Потрібно проводити пентести, аудит за OWASP, автоматизувати сканування та аналізувати бізнес-логіку. Пропонують офіційне працевлаштування та роботу над масштабними ІТ-проєктами.
Инженер по кибербезопасности
~1 186 175 – 1 897 880 ₸ оценка
Ищем опытного инженера по кибербезопасности для работы над защитой инфраструктуры автономных дронов. Вы будете настраивать и поддерживать безопасность серверов, сетей и облачных систем, а также реагировать на инциденты. Требуется 5+ лет опыта и знание английского. Предлагают удаленную работу, конкурентоспособную зарплату и работу над передовыми технологиями.
DevSecOps / Application Security Engineer
~500 000 ₸ оценка
Ищем опытного специалиста по безопасности приложений для развития DevSecOps-процессов в крупном банке Казахстана. Вы будете интегрировать инструменты безопасности в CI/CD, проводить анализ кода и веб-приложений, управлять уязвимостями и консультировать разработчиков. Предлагаем официальное оформление, ДМС, стабильную зарплату и офис в центре Алматы.
Руководитель функции антифрод (телеком)
~3 899 889 – 3 899 889 ₸ оценка
Руководитель антифрод-функции в телеком-операторе (MVNO) при Альфа-Банке. Нужно выявлять и предотвращать мошенничество, разрабатывать требования к системам мониторинга, анализировать трафик. Требуется опыт в кибербезопасности и фрод-мониторинге, знание SQL приветствуется. Предлагают ДМС, карьерный рост, корпоративные льготы.
Information Security Lead
~3 899 889 – 3 899 889 ₸ оценка
Ищем Information Security Lead для финтех-проекта в Латинской Америке. Нужно развивать кибербезопасность, внедрять стандарты (PCI DSS, ISO 27001), управлять инцидентами и интегрировать безопасность в процессы разработки. Требуется опыт от 3 лет в ИБ, знание английского Upper-Intermediate, удалённая работа и официальное оформление.