Старший менеджер по информационной безопасности

Mycar Group входит в группу компаний Astana Group (Astana Motors, Mega Center, Mycar):

В офлайне — автоцентры Mycar по Казахстану, микрокредитная организация "Mycar Finance". В онлайне — ИТ продукты "Mycar.kz", "Mycar PRO", "MyCredit".

В обязанности входит:

• Разработка и внедрение Secure SDLC в масштабах всей Компании;
• Разработка и поддержка процессов и инструментов AppSec (SAST,SCA,DAST,CNAPP и др);
• Автоматизация проверок безопасности и мониторинга в конвейерах CI/CD;
• Проведение непрерывной оценки безопасности и мониторинга приложений и инфраструктуры;
• Разработка и поддержка инструментов и технологий безопасности для поддержки практик DevSecOps, интеграция в конвейеры CI/CD;
• Конфигурирование WAF, защита API;
• Проектирование и внедрение безопасной инфраструктуры с использованием технологии «инфраструктура как код» (IaC);
• Оценка и внедрение продуктов и технологий безопасности, в том числе поддерживающих непрерывную интеграцию и непрерывную доставку;
• Участие в мероприятиях по реагированию на инциденты безопасности и анализе инцидентов;
• Разработка ВНД и требований по информационной безопасности, в том числе безопасной разработки приложений, защите API;
• Проведение аудита информационной безопасности, проведение детальной оценки защищенности, том числе тестов на проникновение, и выработка рекомендаций;
• Управление рисками информационной безопасности;
• Управление уязвимостями и обновлениями;
• Подготовка к испытаниям на соответствие требованиям ИБ;
• Продвижение культуры осведомленности о безопасности в командах;
• Предоставление технических рекомендаций, обучения и наставничества по передовым методам AppSec, DevSecOps коллегам;
• Сотрудничество с командами разработки, эксплуатации и безопасности для интеграции безопасности в жизненный цикл разработки и эксплуатации.

Ключевые требования:

• Степень бакалавра или магистра в области информационной безопасности, компьютерных наук или смежных областях;
• Опыт работы в DevSecOps, DevOps, AppSec или смежной области с акцентом на безопасность;
• Глубокие знания в области конвейеров CI/CD, автоматизации и инструментов инфраструктуры как кода (IaC), таких как Terraform или Ansible. Знания языков программирования и скриптов (Python, Bash) для автоматизации задач и внедрения безопасности в CI/CD;
• Хорошее понимание безопасности в жизненном цикле разработки программного обеспечения (Secure SDLC);
• Опыт работы с инструментами тестирования безопасности (SAST, DAST, SCA,CNAPP, таких как SonarQube, Fortify, Solar appScreener, DerScanner, Snyk, Trivy, semgrep итд), управления секретами (HashiCorp Vault, AWS Secrets Manager), инструментами мониторинга (в том числе SIEM, системами ведения журналов и оповещения), инструментами управления уязвимостями, инструментами облачной безопасности;
• Знания казахстанских и международных стандартов информационной безопасности (в т.ч. OWASP, PCIDSS), законодательства РК и нормативно-правовых актов в области ИБ;
• Глубокие знания в области безопасности приложений, облачной безопасности, безопасности контейнеров и архитектуры микросервисов, управления доступом, сетевой безопасности, WAF, технологий шифрования;
• Знания контейнерных технологий (Docker) и платформ оркестрации (Kubernetes), а также внедрения безопасности в таких средах;
• Глубокие знания, опыт администрирования, тонкой настройки и устранения проблем Linux, TCPIP, BGP;
• Знания технологических стеков: Gitlab-ci, Nexus IQ server, Nexus, FortiGate, FortiWAF, Trivy, SemGrep, dependency scan (SARIF), iac scan (checkov), secret scan, defect dojo, TumarDB, HSM, python, nginx, PostgreSQL, Keycloack, grafana, prometheus, Qualys;
• Сильные аналитические навыки и навыки решения проблем;
• Сильные лидерские качества, навыки сотрудничества и планирования.

Условия работы:

График 10:00 до 19:00 либо с 9:00 до 18:00 (на ваш выбор)
Комфортный офис в ТРЦ Мега на Розыбакиева, по всем IT стандартам
Большой соц.пакет и льготы помимо оклада:

• Годовое обслуживание в мед. центрах Алматы для Вас и 2 Ваших близких людей, в год дается 400 000 тенге, пакет «Всё включено» (+аптека, стоматолог);
• 50% скидки во все фитнес-центры города, компания оплачивает Вам половину;
• Бесплатная парковка в ТРЦ Mega, можно парковаться в любое время.
• Материальная помощь при разных жизненных ситуациях;
• Скидки на услуги в официальных дилерских центрах (15% на запчасти, 30% на услуги);
• Предоставляем новейшее техническое оборудование (iMac, Macbook, HP, Dell);
• 1 Day Off в честь дня рождения;
• Прямой доступ к руководству, открытость коммуникативных процессов;
• Молодой коллектив;
• Мы вкладываемся в развитие сотрудников, покупаем участие в конференциях и курсы;
• Ежемесячные Sprint review с акционерами и IT-специалистами, с вкусной едой и разными напитками;
• Яркая корп. культра: 10+ клубов по интересам, Mycar Talk, Open Talk with CEO/HR, Корп. библиотека.