CISO
Web3 Tech. · зарплата не указана · Москва · Telegram · опубликовано 2 июня 2026 г.
Описание вакансии
Опыт: более 6 лет.
Обязанности:
Стратегия и архитектура безопасности: разработать и внедрить комплексную систему защиты продукта, выбирая стек и методологии.
Пентесты и анализ защищённости: планировать и проводить внутренние пентесты инфраструктуры, приложений и API, координировать внешние аудиты, инициировать Red Teaming.
Application Security (AppSec): внедрить безопасный SDLC, проводить security review кода, SAST/DAST, threat modeling, обучение разработчиков.
DevSecOps: интегрировать контроль безопасности в CI/CD-пайплайны (Gitlab CI), управлять hardening конвейеров и контейнеров.
Защита инфраструктуры: аудит и hardening Linux, Kubernetes, сетей, баз данных (PostgreSQL), балансировщиков (Nginx/ingress-nginx).
Криптографическая безопасность: анализ угроз, проектирование защиты криптографических ключей и кастодиальной инфраструктуры (HSM, TEE, key management).
Мониторинг и реагирование: построить SIEM, SOAR, систему мониторинга инцидентов и алертинга, разработать playbooks.
Управление доступом и секретами: внедрить политики доступов, работу с Vault, интеграцию с IAM.
Лидерство: сформировать (при необходимости) и руководить небольшой командой security-инженеров, взаимодействовать с разработкой, DevOps, IT и топ-менеджментом, определять OKR по безопасности.
Требования:
Опыт работы в роли Lead Security Engineer от 5+ лет, из них минимум 2 года на позиции с лидерскими функциями.
Глубокие знания во всех перечисленных областях:
Практика пентеста и анализа защищённости (ручные и автоматизированные методы).
AppSec: код-ревью, SAST/DAST, моделирование угроз (STRIDE, OWASP).
DevSecOps: интеграция безопасности в пайплайны, кибербезопасность контейнеров (Docker, Kubernetes).
Построение защищённой облачной инфраструктуры (Yandex Cloud, AWS, Azure).
Инструменты: Kubernetes, Terraform/Ansible, Gitlab CI, PostgreSQL, Nginx, SIEM (любой), Vault.
Криптографическая экспертиза: понимание работы с ключами, сертификатами, HSM, протоколами (TLS, MPC, threshold signatures) — приветствуется.
Понимание современных атак на веб/API, kubernetes, цепочку поставок, умение строить защиту по модели нулевого доверия.
Знание/готовность быстро изучить 757-П (ИБ), положения 779-П (ОН), ГОСТ Р 57580.1-2017
Soft skills: лидерство, системное мышление, навыки документации, умение донести риски до руководства.
Откликнуться.