Senior Security Engineer / DevSecOps, Юникорн ЗП: 150 000 - 250 000 руб на руки (обсуждаемо) Локация: Пермь Формат работы: на месте работодателя или гибрид Зоны ответственности: Управление безопасностью и рисками: 1. Формирование и поддержка модели угроз (продукт, инфраструктура, интеграции, поставщики). 2. Управление ИБ-рисками: выявление, приоритизация, контроль mitigations. 3. Участие в принятии архитектурных решений с точки зрения безопасности. 4. Ведение и развитие Secure SDLC (S-SDLC). DevSecOps и автоматизация: 1. Встраивание проверок безопасности в CI/CD (quality gates, security checks). 2. Автоматизация рутинных ИБ-процессов (скрипты, пайплайны, политики). 3. Контроль безопасности секретов, доступов, артефактов. 4. Взаимодействие с DevOps и разработкой как партнёр, а не контролёр. Compliance и регуляторика: 1. Владение требованиями и практическая реализация: ФЗ-152, ФЗ-187, ПДн, КИИ, ГИС, при необходимости — ISO/IEC 27001, GDPR. 2. Подготовка и сопровождение аудитов, проверок, опросников заказчиков. 3. Формирование разумных и реализуемых требований, а не формального «бумажного» compliance. Инциденты и взаимодействие: 1. Участие в разборе инцидентов ИБ, анализ корневых причин, улучшение процессов. 2. Коммуникация с заказчиками и партнёрами по вопросам ИБ. 3. Обучение команд базовым принципам безопасной разработки и эксплуатации. Документация: 1. Модели угроз, регламенты, политики, архитектурные и эксплуатационные документы. 2. Поддержка документации в актуальном («живом») состоянии. Ожидаемый опыт и компетенции: Обязательное: - Опыт в ИБ 6+ лет, в том числе: DevSecOps / Security Engineer / AppSec — от 2 лет. - Уверенное понимание: безопасности приложений и инфраструктуры; сетевых взаимодействий; аутентификации, авторизации, IAM. - Практический опыт: threat modeling; анализа и триажа уязвимостей; внедрения ИБ-контролей в CI/CD. - Умение автоматизировать (Bash / Python / пайплайны). - Способность вести диалог с заказчиком и защищать техническую позицию компании. Технологически (без фанатизма): Опыт работы хотя бы с частью стека: - Linux, SQL (на уровне эксплуатации и анализа). - CI/CD: GitLab CI, Jenkins или аналоги. - SAST / DAST / SCA, secret scanning. - IAM / SSO (OAuth 2.0, OIDC, SAML). - Secrets Management (Vault или аналоги). Важно: мы не ищем человека, который знает всё, мы ищем того, кто понимает зачем и как это применять. Будет плюсом: - DevOps-инструменты: Ansible, Terraform. - Docker, Kubernetes (на уровне эксплуатации и рисков). - Опыт работы с Zero Trust-подходами. - Опыт прохождения внешних аудитов и крупных заказчиков. - Профильные сертификаты (CISSP, CISM, OSCP и др.). Контакты: @HR_UJIN https://perm.hh.ru/vacancy/130049109?hhtmFrom=employer_vacancies