Мужчина
Проживает: Москва
Гражданство: Россия
Опыт работы (3 года 7 месяцев):
Ведущий аналитик рисков информационной безопасности
Розничная торговая компания
— Разработка внутренних нормативных документов (политик, регламентов и стандартов и др) по управлению рисками информационной безопасности;
— Проведение оценки рисков информационной безопасности;
— Разработка сценариев атак на информационные системы и выявление угроз ИБ;
— Разработка КИР и развитие системы метрик (ключевых индикаторов риска) по рискам информационной безопасности;
— Взаимодействие с подразделениями, консультирование по вопросам рисков информационной безопасности;
— Разработка экспертных заключений, рекомендаций и аналитических отчетов по рискам информационной безопасности;
— Автоматизация процесса управления рисками информационной безопасности;
— Подготовка отчетности по рискам информационной безопасности;
— Подготовка аналитических, и справочных материалов, презентаций.
Срез по техническим скилам на момент формирования резюме:
— Docker (+ угрозы при описании dockerfile)
— k8s
— owasp top 10 (в том числе угрозы API)
— понимание состава и принципов работы компонентов веб-предложений(включая принципы рендеринга csr, ssr), состав компонентов, механизмов взаимодействия сервисов на основе брокеров сообщений, gRPC, Rest API)
— понимаете JS, Python (базовое)
— понимание принципов работы Linux-подобных ОС (capabilities, права доступа) в том числе способы поднятия привилегий
— понимание процесса билда приложения и описания используемых зависимостей (maven/gradle)
— верхнеуровневое понимание принципов атак на AD (pass-the-hash/ticket, over-pass-the-hash, golden ticket, silver ticket, dcsync)
— аутентификация oauth2/oidc
— TLS, mTLS (а также принцип работы сертификатов)
— понимание других аспектов ИБ (РК, сетевая безопасность и тд)
Эксперт
Банк
— Участвовал в проектах с ИТ-составляющей в качестве эксперта по информационной безопасности
— Курировал проекты по внедрению систем информационной безопасности (отслеживал качество реализации, соблюдение сроков проекта, корректировал ТЗ и другую документацию по направлению ИБ)
— Анализировал архитектурные схемы различных ИТ-систем и подсистем, выявлял возможные риски информационной безопасности, формулировать оптимальные требования по их закрытию и минимизации
— Разбирался в логике работы рассматриваемых архитектурных решений, контролировал информационные потоки, находил и формулировал оптимальные способы защиты
— Контролировал соблюдение требований информационной безопасности на этапах проектирования информационных систем (в том числе и использованием инструментов burp suite, owasp zap)
— Организовывал контроль выполнения требований ИБ в ИТ ландшафте
Главный специалист по информационной безопасности
Нефтяная компания
Подготовлено более ▲40 технических заданий и технических проектов по части ИБ
Более ▲10 приложений допущены к продуктивному использованию (участие в проекте от идеи до выхода первого релиза)
В рамках проектов консультировал архитектурный блок в части требований ИБ к разрабатываемому приложению.
Участие в проектах в качестве Agile ИБ специалиста.
● Имею техническое понимание проектирования приложения, механизмы интеграции (rest/soap/брокер сообщений), методы аутентификации, хранения секретов и др. (все реализовалось на практике)
● формирование матрицы прав доступа (RBAC)
● Имею понимание принципов и опыт разработки приложения на платформе контейнеризации(в том числе на конвеере devsecops)
● Не люблю шаблонное мышление — в каждом случае стараюсь исходить из реальной необходимости в различных мерах защиты, учитывая корпоративные требования.
● Опыт работы в Jira/Confluence lol
Менеджер по информационной безопасности
ИТ-аутсорсинг
Написаны свыше ▲10 политик в рамках построения СУИБ по ISO 27xxxx
С нуля описаны 2 процесса (vulnerability management и it-changes risk management)
Управлял процессом реагирования на киберугрозы
Участвовал в построение SOC и усиление IT безопасности
Менеджер рисков IT changes
Менеджер проблем ИБ
Менеджер рисков ИБ
Расследование инцидентов ИБ
Технические проверки (аудит) ИБ
Согласование доступов в инфраструктуру
Управлял процессом vulnerability management (внутренний процесс)
Внутренний аудит (выдача доступов, проверки чистого стола и другие)
Образование
Военно-воздушная академия им. Н.Е Жуковского и Ю.А. Гагарина, Москва РЭБ (и ИБ), Комплексная защита объектов информатизации
Высшее
Обо мне
1. Первое место работы научило быть стрессоустойчивым.
2. Второе место работы научило грамотно общаться с коллегами, заказчиками и конечно грамотному планированию.
3. На текущем месте работы получил набор технических знаний и опыт работы в проектах.
4. Имею опыт программирования на Python и bash, понимаю SQL-запросы, поверхностное администрирование Linux, понимаю REST/SOAP, также разбираюсь в механизмах аутентификации и авторизации.
5. Ищу работу в удаленном формате, возможна работа в офисе в Воронеже
6. Помимо работы постоянно расширяю экспертные навыки по профилю деятельности (обучающие курсы, ctf).
7. Понимаю принципы применения уязвимостей OWASP 10
Если о себе, то как и все люди — люблю играть в теннис, гулять и другие земные развлечения «в меру».