Проведение тестирования безопасности программного обеспечения;
Поиск уязвимостей в открытых источниках;
Проверка безопасности архитектуры;
Статический анализ;
Фаззинг-тестирование;
Динамический анализ;
Формирование отчётов по результатам тестирования, рекомендаций по устранению уязвимостей;
Обследование и аудит процессов разработки программного обеспечения в различных организациях;
Оценка соответствия СМИБ, СМК, РБПО требованиям законодательства, отечественных и международных стандартов по информационной безопасности;
Подбор и реализация мер безопасной разработки в процессы разработки, конвейеры непрерывной интеграции и доставки программного обеспечения (CI/CD hardening);
Участие в разработке документации по требованиям 76 приказа ФСТЭК, ГОСТ Р 56939-2016;
Разработка и внедрение стратегии безопасности приложений (AppSec) в рамках производственного подразделения компании;
Проведение анализа угроз (threat modeling) на этапе проектирования архитектуры;
Выявление, анализ и приоритизация уязвимостей в ПО;
Проведение ручного и автоматизированного тестирования на проникновение (penetration testing), включая SAST, DAST, SCA и IAST;
Интеграция инструментов безопасности в CI/CD-пайплайны (GitLab CI, Jenkins);
Обучение и консультирование команд разработчиков по вопросам безопасного кодирования;
Разработка и поддержка security guidelines, secure coding standards и security checklists;
Участие в расследовании инцидентов информационной безопасности, связанных с приложениями;
Взаимодействие с группой сертификации по подготовке необходимой документации для получения сертификатов на ПО;
Мониторинг и реагирование на уязвимости в сторонних компонентах и зависимостях (SBOM, управление уязвимостями);
Точка контакта с регуляторами по вопросам практической безопасности;
Синхронизация требования ФСТЭК и лаборатории с реальными Dev-процессами;
Знания и навыки
Знание языков программирования (.Net, JS, Python, PHP, 1C, ansible) и понимание принципов разработки ПО, умение читать код;
Знание основных подходов и практик безопасной разработки DevSecOps;
Знание нормативно-правовой базы в области ИБ РФ;
Знание основных угроз веб и мобильных приложений (OWASP TOP 10, CWE Top 25), методов защиты от них;
Понимание принципов работы операционных систем, компьютерных сетей, баз данных, механизмов аутентификации и авторизации, механизмов взаимодействия различных ИТ-компонент, микросервисных и облачных решений, механизмов контейнеризации и виртуализации;
Понимание принципов работы СЗИ, таких как NGFW, SIEM, AV, WAF, PAM, DLP, DCAP, EDR, Secret Management;
Опыт развертывания и поддержки инструментов анализа кода (SAST, DAST, OSA/SCA), включая интеграцию с CI/CDL/CDP инструментами и настройки quality gates;
Опыт интерпретации результатов сканирования кода, определения применимости найденных уязвимостей;
Глубокое понимание OWASP Top 10, CWE/SANS Top 25, NIST SP 800-53 и других стандартов безопасности;
Опыт работы с лабораториями сертификации и ФСТЭК;
Опыт настройки и эксплуатации инструментов:
SAST: SonarQube и др;
DAST: OWASP ZAP, Acunetix;
SCA: Snyk, Dependency-Check;
IaC Security: Terrascan.
Умение читать и анализировать код на языках: Java, Python, JavaScript/TypeScript, Scala (минимум 2 из перечисленных);
Опыт внедрения безопасного SDLC и DevSecOps практик;
Знание протоколов аутентификации и авторизации (OAuth2, OpenID Connect, SAML);
Понимание принципов криптографии и её применения в приложениях;
Умение выявлять архитектурные ошибки и уязвимости в бизнес-логике;