● Разработка требований по информационной безопасности для введенных в промышленную эксплуатацию и создаваемых информационных систем в соответствии с требованиями российского законодательства. ● Разработка проектной и рабочей документации. ● Формирование предложений по дальнейшему развитию системы защиты информации и процесса DevSecOps. ● Контроль установки последних обновлений безопасности ПО. ● Проведение анализа защищенности внешних web приложений компании (личный кабинет, сайт), внутренних сетей, внешнего периметра. ● Консультации работников Общества по вопросам ИБ. ● Анализ рынка и выбор технических решений для выполнения задач обеспечения ИБ. ● Работа с инструментами AppSec (SAST, DAST, RASP, SCA) и их внедрение в процесс SDLC. ● Развитие жизненного цикла безопасной разработки (SSDLC). ● Внедрение QualityGate в процесс SDLC для автоматизации проверки приложений на уязвимости. ● Внедрение Best practices для обеспечения безопасности контейнеров Docker. ● Создание процесса поиска ПдН в тестовых и dev контурах с нуля. Данный процесс показывал администраторам баз данных где обезличивание данных не произошло, либо завершилось с ошибкой. Внедренный мной процесс покрыл 90% всех не обезличенных баз данных в тестовых и dev контурах. ● Руководство командой из 2 человек уровня junior, обучение их до уровня middle в области разработки pipeline(ов) и поддержки конвеера DevOps в Jenkins. ● Разработка pipeline(ов) для SDLC конвеера Jenkins. Масштабирование его на все команды на уровнял DEV, TEST, UAT, PROD.

● Анализ защищенности элементов IT-инфраструктуры. ● Проведение тестов на проникновение. ● Проведение анализа защищенности беспроводных сетей компании. ● Проведение расширенной оценки безопасности веб-приложений. ● Участие в построении процессов DevSecOps. ● Управление процессом устранения уязвимостей. ● Использование сканеров (Nessus, nuclei, testssl). ● Проведение анализов SAST. ● Использование gitlab (pipeline). ● Работа в платформах по контролю уязвимостей (Hive, ApiAry, DefectDojo). ● Знание методик тестирования OWASP, CWE, MITRE ATT&CK. ● Выполнение обязательств согласно установленному SLA.

● Работа в ОС Linux. ● Работа по SSH. ● Знание C/C++. ● Знание Python. ● Поиск и устранение server-side уязвимостей. ● Поиск и устранение clint-side уязвимостей. ● Реверс инжиниринг. ● Анализ PE файлов. ● Поиск бинарных уязвимостей. ● Использование сканеров (OpenVas). ● Настройка роутеров, настройка сетей. ● Анализ трафика (Wireshark, airo-dump). ● Поиск уязвимостей в проводных и беспроводных сетях. ● Настройка и использование антивирусов. ● Настройка межсетевых экранов. ● Владение криптографическими алгоритмами. ● Знания стандартов в области ИБ. ● Знания требований регуляторов. ● Знание технических мер защиты информации. ● Знание основных угроз и уязвимостей. ● Знание видов пентестинга и основных векторов его применения. ● Знание основных инструментов для пентестинг. ● Знание законодательства в области ИБ при РФ. ● Знание международных стандартов ISO. ● Знание британских стандартов BSI. ● Знание NIST, ISACA, OWASP, CIS. ● Знание Best practice к обеспечению защищенности чувствительных данных.