Эксперт Служба внутреннего информационного контроля
ТОО "Самрук-Казына Контракт" г.АстанаФункциональные обязанности:
- Техническое и программно-аппаратное обеспечение:
Разработка требований (технической спецификации) к материальной базе ИБ компании в соответствии с масштабом деятельности компании и потребностями бизнеса в соответствии с требованиями верхнеуровневых документов
2.Правила и регламенты
Разработка нормативной базы ИБ на основе корпоративных стандартов, политик, концепций безопасности и контроля, требований законодательства РК с целью организационного и методологического регулирования режима информационной безопасности
3.Консультации и обучение
Проведение разъяснительной работы, консультирование и обучение работников, проверка знаний путем оповещений, предоставления заключений, тестирования в целях профилактики нарушений режима ИБ и повышения грамотности работников в части ИБ на основе общепринятых методик и международных стандартов.
4.ИТ-инфраструктура компании
Экспертиза и мониторинг информационных систем товарищества на предмет соблюдения требований ИБ. Контроль технических подразделений и бизнес-владельцев информационных систем на предмет внесения изменений в части функционала и безопасности в продуктивную среду ИС. Управление правами доступа, учет и контроль. Согласование бизнес-владельцам выдачи и модификации прав доступа.
5.Контроль и мониторинг
Проведение учений, имитаций кибер-атак, провокаций и актов применения приемов социальной инженерии. Эксплуатация специализированных информационных систем ИБ, таких как DLP, PAM, SIEM SOC. Эксплуатация специализированных инженерно-технических комплексов обеспечения физической защиты, таких как СКУД, СВН и т.д. Разработка, внедрение и мониторинг соблюдения процедур внутреннего контроля.
Требования:
- высшее образование в области информационных технологий, принципов общепризнанных библиотек, стандартов, сборников, рекомендаций и методологий управления информационной безопасностью и IT-инфраструктурой, таких как:
- ITIL
- ITSM
- TOGAF
- ISO-27001
- в сфере управления рисками информационной безопасности и информационных технологий;
- принципов построения сетей, архитектуры баз данных, технологий разработки и программирования, технологических процессов;
- требования режима секретности, сохранности служебной и коммерческой тайны, неразглашения сведений конфиденциального характера;
- методик конкурентной разведки и противодействия промышленному шпионажу, принципов проведения технических экспертиз, аудитов и формирования заключений, правила по охране труда, производственной санитарии и пожарной безопасности;
- наличие сертификатов подтверждающих прохождение курсов, повышения квалификаций, сдачи экзаменов, подтверждающих уровень соответствия и тд. в областях:
- сетевого администрирования (предпочтительно Cisco)
- администрирования операционных систем (Windows, *nix)
- языков программирования и управления базами данных (Oracle, SQL, Delphi)
- информационной безопасности, аудитов и стандартов ISO-27001
- менеджмента безопасности и руководства подразделениями;
- знания языка программирования Java, PHP, JS; знания объектно ориентированное программирование и шаблонов проектирования; знания алгоритмов и структур данных; знания базы данных PostgreSQL; знания JDBC (платформенно независимый промышленный стандарт взаимодействия Java-приложений с различными СУБД); знание веб-сервисов таких как XML и JSON; опыт работы с проектами на языках программирования java, php, js
Навыки:
- создания полного древа нормативных документов, регулирующих режим ИБ и регламентирующих процедур IT;
- менеджмента и управления IT инфраструктурой и персоналом его обслуживающим
- администрирования и эксплуатации информационных систем и комплексов защиты информации и технических средств обеспечения безопасности;
- навыки осуществления аудитов, технических экспертиз, служебных проверок и расследований;
- разработки, ведения и оценки крупных IT проектов, управления проектными группам
- управления подразделениями IT и IT безопасности штатной численностью более 20 единиц;
- проектирования и архитектуры различных систем и методик безопасности;
- организации виртуального и физического периметра безопасности;
- в сфере письменной и устной коммуникаций на русском и казахском языках.
Опыт:
- управления\ведения\сопровождения IT проектов;
- опыт реализации масштабных трансформаций и реорганизаций бизнес-процессов IT
- планирования и организации комплексной защиты информации и периметра IT инфраструктуры Компании;
- опыт работы не менее 10 лет в сфере обеспечения информационной безопасности или аудита и контроля информационных систем.