О Пассворке
Пассворк — корпоративный менеджер паролей для бизнеса и государственных организаций.
Безопасность — основа нашего продукта и одна из главных причин, почему нам доверяют клиенты. Мы развиваем собственную криптографическую модель с клиентским шифрованием (Zero Knowledge), регулярно проходим внешние аудиты и постоянно совершенствуем процессы информационной безопасности.
В компании уже выстроены процессы безопасной разработки, управления уязвимостями, реагирования на инциденты и система управления информационной безопасностью. Мы движемся по стандарту ISO 27001, используем современные инструменты мониторинга и анализа безопасности.
О роли
Мы ищем директора по информационной безопасности, который возьмёт на себя развитие всей функции ИБ в компании.
Это руководитель-практик, который будет не только формировать требования и политики безопасности, но и добиваться того, чтобы процессы реально работали и приносили результат.
Основной фокус роли — развитие существующей системы информационной безопасности. Не нужно строить ИБ с нуля — основные процессы уже выстроены. Твоя задача — повысить их эффективность и определить дальнейшее развитие функции информационной безопасности.
Мы предлагаем
Комфортные условия работы
•Удалённую работу или офис — ты сам выбираешь удобный формат.
•График с 10:00 до 18:00 по МСК.
•Официальное оформление по ТК РФ.
•Преимущества аккредитованной IT-компании.
•Открытую культуру общения. Общаемся на «ты», без лишней бюрократии. Любому человеку в компании можно написать напрямую.
•Компенсацию обучения и спорта. Частично возмещаем оплату языковых курсов и занятий спортом, полностью компенсируем профессиональное обучение.
Широкие возможности роли
•Влияние на безопасность компании и продукта.
•Будешь участвовать в принятии стратегических решений и определять развитие функции ИБ.
•Возможность развивать существующую систему информационной безопасности, а не строить её с нуля.
•Прямой доступ к руководству компании.
•Разнообразные задачи. От безопасности продукта и инфраструктуры до общения с клиентами, аудиторами и регуляторами.
Обязанности
Стратегия и управление ИБ
•Развивать стратегию информационной безопасности компании, регулярно актуализировать требования.
•Определять направления развития ИБ-функции, формировать метрики безопасности.
•Контролировать выполнение требований безопасности во всех подразделениях.
•Участвовать в решениях, влияющих на безопасность бизнеса и продукта, находить баланс между безопасностью и задачами бизнеса.
Управление процессами безопасности
•Поддерживать и развивать процессы управления рисками, уязвимостями и инцидентами.
•Выявлять области для улучшения или автоматизации, внедрять новые процессы и практики.
•Организовывать регулярный анализ угроз и рисков.
Инфраструктурная безопасность
•Формировать требования безопасности к инфраструктуре, журналированию и мониторингу.
•Ставить задачи администраторам и DevOps-инженерам, контролировать выполнение и эффективность мер защиты.
•Участвовать в выборе средств защиты информации и сервисов безопасности.
Безопасность продукта
•Определять требования безопасности к продукту и процессам разработки, контролировать их выполнение.
•Участвовать в рассмотрении критичных архитектурных решений и анализе критичных уязвимостей и инцидентов.
•Координировать работу специалистов по безопасной разработке.
Аудиты, стандарты и соответствие требованиям
•Поддерживать и развивать систему управления ИБ, обеспечивать соответствие ISO 27001 и другим стандартам.
•Организовывать внутренние и внешние аудиты, сопровождать сертификации и проверки, контролировать выполнение корректирующих мероприятий.
•Поддерживать актуальность внутренних политик, регламентов и процедур.
Взаимодействие с клиентами и внешними организациями
•Вести переговоры по вопросам ИБ с клиентами, взаимодействовать со службами безопасности заказчиков.
•Помогать командам отвечать на вопросы клиентов по архитектуре безопасности, криптографии и безопасной разработке.
•Участвовать в разборах аудитов, проверок и пентестов от клиентов.
•Взаимодействовать с поставщиками, аудиторами, сертифицирующими органами и регуляторами, включая ФСТЭК России.
Управление командой
•Управлять специалистами по информационной безопасности и безопасной разработке: приоритеты, задачи, контроль качества и сроков.
•Участвовать в найме и развитии сотрудников, формировать культуру безопасности в компании.
Soft навыки
•Системное мышление. Умеешь выстраивать процессы, видеть взаимосвязи и развивать систему информационной безопасности, а не только решать отдельные задачи.
•Стратегическое мышление. Принимаешь решения с учётом рисков и бизнес-приоритетов, находишь баланс между требованиями безопасности и задачами компании.
•Лидерство. Умеешь управлять командой, развивать сотрудников и добиваться результата через людей.
•Коммуникация. Умеешь одинаково эффективно общаться с разработчиками, администраторами, руководством, клиентами, аудиторами и регуляторами, объясняя сложные технические вопросы понятным языком.
•Умение убеждать и отстаивать позицию. Аргументированно доносишь требования безопасности, умеешь договариваться с бизнесом и разработкой, но не идёшь на компромиссы там, где они создают неприемлемые риски.
•Эмоциональная зрелость. Спокойно ведёшь сложные переговоры, конструктивно работаешь с конфликтами и сохраняешь взвешенность при инцидентах и в других напряжённых ситуациях.
Hard навыки
•Опыт работы в области информационной безопасности от 5 лет, включая опыт руководства направлением или подразделением ИБ.
•Опыт развития и сопровождения системы информационной безопасности, включая процессы управления рисками, уязвимостями и инцидентами.
•Опыт управления командой специалистов по информационной безопасности и безопасной разработке.
•Понимание процессов безопасной разработки (Secure SDLC).
•Понимание современных подходов к защите веб-приложений, облачной инфраструктуры и корпоративных ИТ-систем.
•Опыт взаимодействия с руководством компании, клиентами и аудиторами по вопросам информационной безопасности.
Будет плюсом
•Опыт работы в продуктовой IT-компании.
•Опыт развития системы управления информационной безопасностью по ISO 27001 или аналогичным стандартам.
•Опыт взаимодействия с ФСТЭК России, ФСБ России и другими регуляторами.
•Опыт сопровождения внешних, сертификационных и клиентских аудитов.
•Опыт участия в пресейлах, технических встречах с заказчиками, клиентских аудитах и подготовке ответов на требования и опросники по информационной безопасности.
•Опыт взаимодействия со службами информационной безопасности крупных заказчиков.
•Понимание криптографии и современных подходов к защите данных.
•Опыт построения процессов мониторинга и реагирования на инциденты информационной безопасности.
•Наличие профильных сертификатов.
Этапы отбора
•Интервью с HR
•Интервью с CTO
Мы ищем не просто сотрудника, а единомышленника, с которым будем вместе создавать ценный и качественный продукт для наших клиентов. Если чувствуешь, что мы подходим друг другу — ждём тебя на интервью.
Присоединяйся к команде, которая делает лучший продукт в своей сфере!
Контакты для связи
•Мария, HRLead в Пассворке
•Алина, HR в Пассворке