Цель роли
Построение и развитие функции информационной безопасности компании, включая
создание процессов, команды и успешное прохождение сертификации SOC 2.
Зоны ответственности
Стратегия и управление
● формирование стратегии информационной безопасности
● разработка целевой модели ИБ (процессы, роли, инструменты)
● управление функцией ИБ и развитие команды
Комплаенс и сертификация
● подготовка компании к прохождению SOC 2 (Type I / Type II)
● внедрение и контроль выполнения требований
● взаимодействие с аудиторами
Процессы и контроль
● внедрение процессов управления доступами, инцидентами, изменениями
● управление рисками ИБ
● разработка политик и стандартов безопасности
Интеграция в бизнес и IT
● встраивание ИБ в процессы разработки (SDLC, DevSecOps)
● взаимодействие с IT, продуктом и инфраструктурой
● контроль соответствия архитектурных решений требованиям безопасности
Ожидаемый результат
● создана функция ИБ с прозрачными процессами
● компания готова и проходит аудит SOC 2
● ИБ встроена в продуктовую и инженерную деятельность
● снижены операционные и репутационные риски
Требования
Базовые
● опыт построения функции ИБ или участия в трансформации
● опыт прохождения SOC 2 / ISO 27001 / аналогичных стандартов
● понимание архитектуры IT-систем и процессов разработки
● опыт управления командой
Образование
● высшее образование в области информационной безопасности, ИТ или смежных
технических направлений
● наличие профильных сертификатов будет преимуществом (CISSP, CISM, ISO
27001 Lead Implementer и др.)
Технологии и инструменты (на уровне понимания и управления)
● IAM / Access Management (Okta, Azure AD, Keycloak и др.)
● SIEM / логирование (Splunk, ELK, Datadog)
● DLP системы
● инструменты анализа кода и безопасности (например, SonarQube, SAST/DAST)
● облачные платформы (AWS / GCP / Azure)
● observability (метрики, логи, алерты)
● базовое понимание DevSecOps практик