Обязанности

• Стратегия и управление:

• Формирование и реализация стратегии внедрения и развития практик безопасной разработки (Secure SDLC) в компании.
• Управление командой экспертов: постановка задач, контроль исполнения, развитие компетенций, мотивация и наставничество.
• Бюджетирование, планирование ресурсов и отчетность о ключевых метриках отдела перед руководством.

• Консалтинг и аудит процессов:

• Проведение аудитов процессов безопасной разработки на соответствие международным (OWASP SAMM, NIST, ISO 27001) и российским (СТО БР ИББС, ГОСТы) стандартам и регуляторным требованиям.
• Консультация команд разработки, архитекторов и продукт-менеджеров по вопросам интеграции безопасности на всех этапах SDLC.
• Разработка и актуализация политик, стандартов и регламентов в области безопасной разработки.

• Внедрение и управление техническими решениями:

• Выбор, внедрение, настройка и поддержка всего стека инструментов для безопасной разработки:
o SAST (Static Application Security Testing) – анализ исходного кода на уязвимости.
o DAST (Dynamic Application Security Testing) – тестирование работающих приложений.
o OSA/SCA (Open Source Analysis / Software Composition Analysis) – анализ зависимостей и лицензий.
o Secrets Management – инструменты для обнаружения и управления секретами в коде.
o ASOC/ASPM (Application Security Orchestration and Correlation / Application Security Posture Management) – оркестрация процессов и коррекция security-данных. o Container Security – сканирование образов контейнеров и их runtime-среды.
• Интеграция инструментов в CI/CD пайплайны для автоматизации проверок.

Требования

• Опыт управления командой (от 3 человек) в сфере кибербезопасности или безопасной разработки не менее 2 лет.
• Глубокое практическое понимание и hands-on опыт работы как минимум с 3-4 из перечисленных технологий: SAST, DAST, SCA, Secrets Detection, ASOC, ASPM.
• Опыт проведения аудитов процессов разработки на соответствие стандартам (OWASP SAMM, ГОСТ 56939, и т.д.).
• Понимание полного жизненного цикла разработки (SDLC) и методологий (Agile, DevOps).
• Знание основных классов уязвимостей (OWASP Top 10, SANS Top 25) и способов их устранения.
• Умение читать и понимать код на одном из языков (Java, C#, Python, Go, JS).
• Навыки составления ТЗ, управления бюджетами и проектами.
• Готовность участвовать в проектах как на управленческом, так и на экспертно-техническом уровне.

Будет преимуществом/мы ожидаем

• Отраслевые сертификации: CISSP, CSSLP, GWEB, OSCP и др.
• Опыт работы разработчиком (DevOps, DevSecOps).
• Опыт построения процессов с "нуля".
• Навыки программирования на скриптовых языках (Python, Bash) для автоматизации.

Ключевые навыки
SAST|DAST|OWASP SAMM|SDLC|ISO 27001|OWASP Top 10|