Специалист службы информационной безопасности

Что предстоит делать

SY Investment Company ищет Специалиста службы информационной безопасности для развития системы информационной безопасности компании, подготовки к лицензированию и обеспечения соответствия требованиям регуляторов финансового рынка. О позиции Специалист службы информационной безопасности отвечает за сопровождение и развитие процессов ИБ в компании, поддержание соответствия требованиям регуляторов, участие в подготовке к лицензированию и обеспечение защиты информационных активов, систем и сервисов компании.

• Сопровождение и развитие процессов информационной безопасности в компании
• Поддержание соответствия требованиям АРРФР, Национального Банка РК и внутренним нормативным документам компании
• Участие в подготовке компании к получению финансовой лицензии
• Подготовка, актуализация и сопровождение внутренней документации по информационной безопасности
• Разработка и сопровождение политик, регламентов, инструкций, актов и отчетности по ИБ
• Ведение и актуализация реестра информационных активов, информационных систем и критичных сервисов
• Ведение матрицы доступов, контроль выдачи, изменения и отзыва прав доступа
• Контроль соблюдения принципа минимальных привилегий
• Контроль процессов резервного копирования и восстановления информационных систем
• Участие в организации и документировании тестирования планов обеспечения непрерывности бизнеса (BCP) и аварийного восстановления (DRP)
• Подготовка отчетов по результатам тестирования BCP/DR
• Участие в проведении внутренних проверок и аудитов информационной безопасности
• Контроль устранения замечаний по результатам аудитов, проверок и сканирований
• Участие в управлении инцидентами информационной безопасности
• Анализ событий информационной безопасности, журналов Windows/Linux, Active Directory, VPN, средств защиты информации и сетевого оборудования
• Работа со средствами защиты информации: SIEM, EDR/EPP, NGFW, WAF, VPN и антивирусными решениями
• Контроль базовой защищенности серверов, рабочих станций, сетевого оборудования и прикладных систем
• Контроль выполнения требований по защите публичных веб-ресурсов и внутренних информационных систем
• Участие в анализе уязвимостей и контроле их устранения
• Подготовка отчетности для руководства, аудиторов и регуляторных органов
• Взаимодействие с ИТ-подразделением, комплаенсом, юридическим департаментом, внешними аудиторами и подрядчиками
• Проведение инструктажей и базового обучения сотрудников по вопросам информационной безопасности
• Что мы ожидаем от кандидата:
• Высшее образование в области информационной безопасности, информационных технологий, компьютерных наук или смежных дисциплин
• Опыт работы в сфере информационной безопасности от 3 лет
• Понимание требований АРРФР и Национального Банка РК к финансовым организациям
• Понимание принципов построения системы управления информационной безопасностью
• Знание стандартов ISO/IEC 27001 и лучших практик информационной безопасности
• Опыт подготовки и сопровождения документации по информационной безопасности
• Понимание процессов управления доступом, инцидентами, уязвимостями, изменениями и резервным копированием
• Знание основ сетевой безопасности: TCP/IP, VLAN, VPN, Firewall, NAT, ACL, DMZ
• Понимание принципов защиты Windows Server, Linux, Active Directory, GPO, DNS, файловых ресурсов и учетных записей
• Навыки анализа журналов событий Windows, Linux, Active Directory, VPN и средств защиты информации
• Опыт работы или понимание принципов эксплуатации SIEM, EDR/EPP, NGFW, WAF и VPN-решений
• Понимание базовых принципов безопасности веб-приложений и основных рисков OWASP Top 10
• Умение формировать отчеты, акты, служебные записки и рекомендации в официально-деловом стиле
• Навыки взаимодействия с аудиторами, подрядчиками и внутренними подразделениями компании
• Будет преимуществом:
• Опыт работы в финансовых организациях, брокерских компаниях, банках или финтех-компаниях
• Участие в проектах по лицензированию и подготовке к регуляторным проверкам
• Наличие профессиональных сертификатов в области информационной безопасности
• Опыт внедрения или сопровождения процессов ISO/IEC 27001
• Знание требований AFSA и иных регуляторов финансового рынка

Что предлагаем