Эксперт центра сертификации (выявление уязвимостей)

Мы - аккредитованная, активно развивающаяся российская IТ-компания АО «НПО «Эшелон», специализирующаяся на комплексном обеспечении информационной безопасности и производстве сертифицированных средств защиты информации.
Мы приглашает в команду испытательной лаборатории АО «НПО «Эшелон» коллег-единомышленников, готовых участвовать в интересных проектах, решать интересные задачи, общаться с профессионалами своего дела, постоянно развивать свои профессиональные знания и навыки.

Какие задачи предстоит решать:

- проведение сертификационных испытаний в части анализа защищённости средств защиты информации, в соответствии с требованиями ФСТЭК России;
- исследование документации и иных исходных данных на изделие для определения модулей, что могут быть подвержены атакам или являются критически важными для безопасности системы;
- подготовка к тестированию программных и технических средств защиты информации в части анализа их работы и наличия программных закладок;
- тестирование на проникновение (Пентест) изделия, а также поиск уязвимостей из открытых источников (БДУ ФСТЭК, CVE и т.д.);
- проведение модульного (unit-тecтoв) и регрессивного тестирования изделия;
- фаззинг-тестирование;
- разработка модели угроз для изделия;
- оформление отчетов по результатам сертификационных испытаний в части анализа защищённости изделий.

Мы ожидаем, что у вас есть:

- высшее техническое образование (желательно по направлению «Информационная безопасность»;

- опыт работы в области практического анализа защищенности и тестирования на проникновение;
- знание методик анализа защищенности (MITRE АТТ&СК);
- навык владения основными инструментами тестирования на проникновение (Burp Suite, Metasploit и т.д.);
- опыт работы со сканерами уязвимостей (Nmap, Acunetix, OpenVAS и т.д.);
- наличие знаний в области архитектуры и принципов функционирования операционных систем (Windows, Linux), общесистемного и прикладного программного обеспечения;
- опыт работы с различными средами виртуализации (VMware, VirtualBox, и т.д.);
- понимание требований и порядка сертификации средств защиты информации в соответствии с приказами ФСТЭК России № 55, № 76;
- понимание принципов модульного, регрессивного или фаззинг-тестирования;
- навык формирования отчётов о выполненной работе.

Будет преимуществом:

- хорошее понимание угроз из OWASP Тор 10;
- знание нормативно-правовых и методических документов ФСТЭК России в части анализа уязвимостей;
- опыт разработки модели угроз в соответствии с методическим документ «Методика оценки угроз безопасности информации» (ФСТЭК России, 2021);
- аналитические навыки в части исследования документации и кода программного обеспечения.

Мы предлагаем:

- уникальную возможность работать в одной из крупнейших аккредитованных IT Компаний с
возможностью карьерного и функционального роста;
- мы заинтересованы в развитии пришедших к нам специалистов - наша команда профессионалов готова делиться своим опытом;
- стабильный и прозрачный доход;
- строгое соблюдение гарантии установленных Трудовым законодательством РФ;
- комфортные условия для работы наших сотрудников (офис в 10 минутах ходьбы от м. Преображенская площадь или м. Электрозаводская);
- рабочее место, оборудованное всем необходимым для эффективной работы;
- мы заботимся о здоровье наших сотрудников - предоставляем расширенное ДМС (со стоматологией и обслуживанием в лучших клиниках города);
- уютную обеденную зону с бесплатными чаем, кофе.
- мобильную связь для сотрудников компании;
- достойный уровень заработной платы, премия по итогам года;
- возможность обучения за счёт Компании;
- дополнительное негосударственное пенсионное страхование.

Ключевые навыки:

Информационная безопасность, Пентест, Pentest, CVE, MITRE ATT&CK, Сертификация ФСТЭК, Тестирование на проникновение, Fuzzing, Динамический анализ