Мы строим IT-функцию, которая обслуживает сеть ресторанов с целью выйти на 1000 точек по миру к 2031 году. Объём систем растет быстро: собственные мобильные и веб-приложения для гостей и сотрудников, бэкенды, десятки интеграций с платёжными провайдерами, ресторанными POS-платформами, системами фискализации и государственными сервисами, облачная инфраструктура и CDN, корпоративные системы аутентификации и управления доступом.

Эта роль — про то, чтобы выстроить ИБ с нуля как направление: процессы, политики, инструменты, реакция на инциденты и движение к сертификации ISO 27001. Не теоретик — практик, который сам разбирается в коде, инфраструктуре и облаке, и при этом умеет писать политики, которые люди читают и выполняют.

Подчинение CIO напрямую. На старте — индивидуальный контрибьютор с правом эскалации к CEO по инцидентам. По мере роста — формирование небольшой команды (специалист по безопасности приложений первым).

Что предстоит делать

Защита того, что мы уже построили

  • Аудит текущего состояния безопасности по всему IT-ландшафту: бэкенды, мобильные приложения, инфраструктура, интеграции с ERO и платёжными системами.
  • Закрытие критичных пробелов в первые 90 дней — реалистичный план, а не «всё и сразу».
  • Управление уязвимостями: процесс, инструменты, SLA по устранению.

Безопасность разработки (AppSec)
  • Внедрение security-практик в жизненный цикл разработки: SAST, DAST, SCA, secret scanning в CI/CD на Azure DevOps.
  • Threat modeling для новых сервисов на этапе проектирования.
  • Работа с командами разработки не как контролёр, а как партнёр, который помогает писать безопасный код.
  • Стандарты безопасной разработки в нашей вики, понятные разработчикам.

Реагирование на инциденты и SOC
  • Построение процесса incident response с нуля: классификация, runbook, эскалация, post-mortem.
  • Определение, что мониторим, какие алерты критичны, кто на них реагирует ночью.
  • Решение по SOC: строим внутри, отдаём на MSSP, или гибрид — обоснованный выбор под наш масштаб и бюджет.

Безопасность ресторанов и платежей
  • Безопасность POS-окружения и интеграций с ERP на стороне ресторанов.
  • Контроль платежных интеграций - мы не храним карточные данные напрямую (редирект на провайдеров), но это не повод расслабляться.

Compliance и ISO 27001
  • Дорожная карта на 18–24 месяца до сертификации ISO 27001.
  • Gap-анализ, risk register, statement of applicability, политики, процедуры.
  • Подготовка к внутренним и внешним аудитам.
  • Понимание требований узбекского законодательства по защите персональных данных и локализации.

Поставщики и франчайзи
  • Оценка безопасности подрядчиков и SaaS-сервисов, которые мы используем.
  • Требования по ИБ для франчайзи: что они обязаны делать с точки зрения безопасности, как мы это проверяем.
  • Контрактные оговорки по ИБ в соглашениях.

Кого мы ищем

Обязательно
  • 5+ лет в информационной безопасности, из них минимум 2 года на ведущих или руководящих позициях.
  • Опыт построения AppSec-практик в командах разработки.
  • Опыт с ISO 27001 — либо вели проект сертификации, либо были ключевым участником. Понимание логики стандарта, а не только знание глав.
  • Управление инцидентами — расследовали реальные инциденты, не только в учебниках.
  • Технический бэкграунд: умеете читать код (любой современный язык), понимаете, как работает HTTPS, OAuth, JWT, OWASP Top 10.
  • Русский — свободно. Узбекский — плюс. Английский — рабочий, для документации и общения с вендорами.

Будет преимуществом
  • Опыт в ритейле, e-commerce, food delivery или банковской сфере.
  • Опыт работы с Cloudflare на уровне настройки правил, а не только включения.
  • Опыт с Auth0 или другими IAM-платформами уровня enterprise.
  • Опыт публичных выступлений в комьюнити или авторства материалов по ИБ.

Какой вы человек
  • Объясняете сложные вещи простым языком. Если разработчик после разговора с вами понял, что ему делать — вы справились.
  • Не путаете безопасность с «всё запретить». Ищете баланс между риском и скоростью бизнеса.
  • Умеете говорить «нет», но всегда предлагаете рабочую альтернативу.
  • Спокойно работаете с неопределенностью. У нас многое строится с нуля — готовых ответов часто нет.
  • Документируете то, что делаете. Знание в голове одного человека — это риск.

Что мы предлагаем
  • Прямое подчинение CIO, право эскалации к CEO по критическим вопросам.
  • Свобода построить функцию ИБ так, как считаете правильным — без legacy-процессов, которые надо ломать.
  • Бюджет на инструменты, обучение и сертификации — обсуждается на старте.
  • Видимость на уровне совета директоров: безопасность входит в ежемесячный IT-отчёт для CEO и борда.
  • План найма: AppSec-инженер в течение первого года, дальше команда растёт под задачи.