В компанию-разработчик медицинских решений Sber Med AI требуется Директор департамента информационной безопасности для дальнейшего развития зрелой, системной функции информационной безопасности в компании.
Компания разрабатывает цифровые инструменты, которые упрощают работу врачей, помогая принимать более точные и быстрые решения. В компании убеждены, что технологии должны приносить пользу и служить инструментом для улучшения жизни. Каждый проект здесь - это шанс повлиять на чье-то здоровье и будущее.
Чем предстоит заниматься:
Построение и развитие системы управления ИБ (ISMS):
- Формирование и развитие ISMS по принципам ISO 27001
- Разработка политик, стандартов и регламентов
- Внедрение системы метрик, отчетности и continuous improvement
Обеспечение соответствия требованиям законодательства и регуляторов:
- 152-ФЗ, 187-ФЗ, 323-ФЗ
- Требования ФСТЭК, ФСБ, Роскомнадзора
- Сопровождение аттестаций, категорирования, аудитов
- Работа с заказчиками госсектора
Управление рисками ИБ:
- Формирование и ведение реестра рисков
- Определение risk appetite
- Управление residual risk и процессом принятия рисков
Архитектура безопасности и сопровождение ИТ-проектов:
- Формирование security-архитектуры для SaaS и on-prem решений
- Security Design Review и threat modeling
- Контроль безопасности облачной инфраструктуры
Безопасная разработка (SSDLC / DevSecOps):
- Интеграция AppSec в SDLC
- Внедрение инструментов SAST / DAST / SCA / SBOM
- Контроль безопасности CI/CD и AI/ML-пайплайнов
Защита данных и инфраструктуры:
- Защита персональных данных, включая спецкатегории
- Управление СЗИ (SIEM, EDR, DLP, WAF и др.)
- Контроль Zero Trust, сегментации и patch management
Управление инцидентами и командой:
- Организация IR-процессов и контроль SOC
- Проведение расследований и post-mortem
- Руководство командой ИБ (6–10 человек), управление бюджетом
- Формирование стратегии ИБ и взаимодействие с бизнесом
Для компании важно в этой роли:
- Высшее техническое образование (желательно ИБ)
- Опыт работы CISO / руководителем ИБ от 5 лет
- Глубокое знание законодательства РФ (152-ФЗ, 187-ФЗ, 323-ФЗ)
- Знание стандартов ISO 2700x, NIST, CIS и best practice ИБ
- Понимание MITRE ATT&CK, OWASP Top-10 (включая LLM)
- Знание архитектуры приложений, сетей, ОС (Windows/*nix), БД, контейнеризации
- Опыт внедрения и эксплуатации СЗИ
- Опыт построения процессов: управление рисками, управление инцидентами, управление уязвимостями, контроль доступа
- Опыт внедрения SSDLC
- Понимание микросервисной архитектуры
- Практический опыт защиты ГИС, КИИ, ИСПДн
Будет преимуществом:
- Опыт работы с медицинскими данными
- Опыт взаимодействия с Минздравом и профильными регуляторами
- Понимание требований к медицинским ИТ-продуктам
- Опыт защиты AI-решений и ML-инфраструктуры
Почему вам точно понравится в компании:
- Вы будете работать над социально значимыми проектами, которые реально помогают людям.
- Станете частью команды, создающей инновационные AI-продукты для медицины.
- Получите возможности профессионального роста и влияния на стратегию компании.
- Работаете в современном пространстве в Сколково — среди идей, технологий и вдохновляющих людей.
- Пользуетесь поддержкой и стабильностью крупнейшей компании страны.