Senior Information Security Analyst

EVO — українська продуктова IT-компанія.

Місія EVO - створювати можливості для розвитку підприємництва. Ми робимо маркетплейси для онлайн-шопінгу і замовлення послуг: Prom.ua, Deal.by, Satu.kz, Bigl.ua, IZI.ua, Kabanchik.ua, Shafa.ua, Crafta.ua. Створили сервіс цифрових рішень для бізнесу "Вчасно", інтернет-майданчики для проведення державних та комерційних торгів і аукціонів - Zakupki.Prom.ua і Аукціоні.Prom. Розвиваємо онлайн-сервіс покупки турів - Rozetka Travel, а також Фінтех та логістику.

Наша вакансія відкрита в команду інформаційної безпеки (є лід команди і ще один аналітик).

Нова вакансія відкрита для задач двох наших проектів: Вчасно та Фінтех.

"Вчасно" - це група сервісів, які допомагають організувати внутрішній і зовнішній електронний документообіг, онлайн-обмін комерційними повідомленнями в ритейлі, створювати електронні товарно-транспортні накладні, видавати та зберігати електронні чеки.

Фінтех - величезний екосистемний продукт, який включає свою платіжку, кредитування та особистий гаманець (це найближчі плани, далі - більше). Він створювався як простий та зручний інструмент оплати для наших і партнерських проектів (Rozetka.com.ua, Prom.ua, Bigl.ua, IZI.ua, Shafa.ua, Crafta.ua, Kabanchik.ua та інших).

 Наш кандидат/кандидатка:

• з досвідом роботи в сфері інформаційних технологій (ІТ) або інформаційної безпеки (ІБ);

• зі знанням основ управління ризиками та принципів роботи системи внутрішнього контролю;

• зі знанням ключових технологічних ризиків та областей контролю, включаючи управління інцидентами ІБ, управління програмними змінами, управління вразливостями програмного забезпечення, управління доступом до систем;

• з відмінними комунікативними навичками;

• зі знанням українського законодавства і нормативних актів в сфері ІБ та захисту персональних даних, а також розумінням ключових положень релевантних міжнародних стандартів і передових практик, наприклад, PCI DSS, ISO27001, COBIT, GDPR;

• зі знанням підходів до забезпечення безпеки веб-додатків і способів тестування безпеки, наприклад, спираючись на OWASP TOP 10.

 Як окремий плюс, важливо мати щось з цього досвіду або знань:

• досвід аудиту інфраструктурних платформ у великих та складних корпоративних середовищах, в т.ч. операційних систем, баз даних, мережевих пристроїв і віртуальних обчислювальних середовищ;

• досвід проведення оцінки ризиків та побудови моделі загроз для систем або додатків;

• наявність технічних знань в областях: безпека систем управління базами даних (PostgreSQL), безпека операційних систем (Windows, Linux), безпека контейнерних середовищ та віртуалізації (Kubernetes);

• досвід тестування безпеки веб-додатків (пошук вразливостей, проведення тестів на проникнення, аналіз вихідного коду).

Наявність професійних сертифікатів також буде перевагою, але не вирішальним: CISA, CISM, CISSP, CREST, ECSA, ECIH, CEH, GCIH, OSCP, OSCE або ін.

Завдання для даної ролі в компанії:

Координація команд проектів Вчасно і Фінтех з питань ІБ, а саме:

• проведення періодичної оцінки ризиків ІБ;

• моніторинг подій ІБ і аналіз інцидентів;

• моніторинг відповідності вимогам ІБ шляхом перевірки налаштувань безпеки інформаційних систем і аналізу прав доступу;

• супровід аудитів по PCI DSS (для Фінтех проекту);

• участь у процедурі розробки програмних продуктів з боку команди ІБ;

• участь в проектах впровадження рішень для ІБ;

• участь у проведенні навчання працівників, відповідальних за ІБ.