Руководитель информационной безопасности (CISO)

Что предстоит делать

Цель роли Построение и развитие функции информационной безопасности компании, включая создание процессов, команды и успешное прохождение сертификации SOC 2. Зоны ответственности Стратегия и управление ● формирование стратегии информационной безопасности ● разработка целевой модели ИБ (процессы, роли, инструменты) ● управление функцией ИБ и развитие команды Комплаенс и сертификация ● подготовка компании к прохождению SOC 2 (Type I / Type II) ● внедрение и контроль выполнения требований ● взаимодействие с аудиторами Процессы и контроль ● внедрение процессов управления доступами, инцидентами, изменениями ● управление рисками ИБ ● разработка политик и стандартов безопасности Интеграция в бизнес и IT ● встраивание ИБ в процессы разработки (SDLC, DevSecOps) ● взаимодействие с IT, продуктом и инфраструктурой ● контроль соответствия архитектурных решений требованиям безопасности Ожидаемый результат ● создана функция ИБ с прозрачными процессами ● компания готова и проходит аудит SOC 2 ● ИБ встроена в продуктовую и инженерную деятельность ● снижены операционные и репутационные риски

Что ждём от вас

• Базовые
• опыт построения функции ИБ или участия в трансформации
• опыт прохождения SOC 2 / ISO 27001 / аналогичных стандартов
• понимание архитектуры IT-систем и процессов разработки
• опыт управления командой
• Образование
• высшее образование в области информационной безопасности, ИТ или смежных
• технических направлений
• наличие профильных сертификатов будет преимуществом (CISSP, CISM, ISO
• 27001 Lead Implementer и др.)
• Технологии и инструменты (на уровне понимания и управления)
• IAM / Access Management (Okta, Azure AD, Keycloak и др.)
• SIEM / логирование (Splunk, ELK, Datadog)
• DLP системы
• инструменты анализа кода и безопасности (например, SonarQube, SAST/DAST)
• облачные платформы (AWS / GCP / Azure)
• observability (метрики, логи, алерты)
• базовое понимание DevSecOps практик