Мужчина
Проживает: Москва
Гражданство: Россия
Опыт работы (3 года 7 месяцев):
Ведущий аналитик рисков информационной безопасности
Розничная торговая компания
– Разработка внутренних нормативных документов (политик, регламентов и стандартов и др) по управлению рисками информационной безопасности;
– Проведение оценки рисков информационной безопасности;
– Разработка сценариев атак на информационные системы и выявление угроз ИБ;
– Разработка КИР и развитие системы метрик (ключевых индикаторов риска) по рискам информационной безопасности;
– Взаимодействие с подразделениями, консультирование по вопросам рисков информационной безопасности;
– Разработка экспертных заключений, рекомендаций и аналитических отчетов по рискам информационной безопасности;
– Автоматизация процесса управления рисками информационной безопасности;
– Подготовка отчетности по рискам информационной безопасности;
– Подготовка аналитических, и справочных материалов, презентаций.
Срез по техническим скилам на момент формирования резюме:
– Docker (+ угрозы при описании dockerfile)
– k8s
– owasp top 10 (в том числе угрозы API)
– понимание состава и принципов работы компонентов веб-предложений(включая принципы рендеринга csr, ssr), состав компонентов, механизмов взаимодействия сервисов на основе брокеров сообщений, gRPC, Rest API)
– понимаете JS, Python (базовое)
– понимание принципов работы Linux-подобных ОС (capabilities, права доступа) в том числе способы поднятия привилегий
– понимание процесса билда приложения и описания используемых зависимостей (maven/gradle)
– верхнеуровневое понимание принципов атак на AD (pass-the-hash/ticket, over-pass-the-hash, golden ticket, silver ticket, dcsync)
– аутентификация oauth2/oidc
– TLS, mTLS (а также принцип работы сертификатов)
– понимание других аспектов ИБ (РК, сетевая безопасность и тд)
Эксперт
Банк
– Участвовал в проектах с ИТ-составляющей в качестве эксперта по информационной безопасности
– Курировал проекты по внедрению систем информационной безопасности (отслеживал качество реализации, соблюдение сроков проекта, корректировал ТЗ и другую документацию по направлению ИБ)
– Анализировал архитектурные схемы различных ИТ-систем и подсистем, выявлял возможные риски информационной безопасности, формулировать оптимальные требования по их закрытию и минимизации
– Разбирался в логике работы рассматриваемых архитектурных решений, контролировал информационные потоки, находил и формулировал оптимальные способы защиты
– Контролировал соблюдение требований информационной безопасности на этапах проектирования информационных систем (в том числе и использованием инструментов burp suite, owasp zap)
– Организовывал контроль выполнения требований ИБ в ИТ ландшафте
Главный специалист по информационной безопасности
Нефтяная компания
Подготовлено более ▲40 технических заданий и технических проектов по части ИБ
Более ▲10 приложений допущены к продуктивному использованию (участие в проекте от идеи до выхода первого релиза)
В рамках проектов консультировал архитектурный блок в части требований ИБ к разрабатываемому приложению.
Участие в проектах в качестве Agile ИБ специалиста.
● Имею техническое понимание проектирования приложения, механизмы интеграции (rest/soap/брокер сообщений), методы аутентификации, хранения секретов и др. (все реализовалось на практике)
● формирование матрицы прав доступа (RBAC)
● Имею понимание принципов и опыт разработки приложения на платформе контейнеризации(в том числе на конвеере devsecops)
● Не люблю шаблонное мышление – в каждом случае стараюсь исходить из реальной необходимости в различных мерах защиты, учитывая корпоративные требования.
● Опыт работы в Jira/Confluence lol
Менеджер по информационной безопасности
ИТ-аутсорсинг
Написаны свыше ▲10 политик в рамках построения СУИБ по ISO 27xxxx
С нуля описаны 2 процесса (vulnerability management и it-changes risk management)
Управлял процессом реагирования на киберугрозы
Участвовал в построение SOC и усиление IT безопасности
Менеджер рисков IT changes
Менеджер проблем ИБ
Менеджер рисков ИБ
Расследование инцидентов ИБ
Технические проверки (аудит) ИБ
Согласование доступов в инфраструктуру
Управлял процессом vulnerability management (внутренний процесс)
Внутренний аудит (выдача доступов, проверки чистого стола и другие)
Образование
Военно-воздушная академия им. Н.Е Жуковского и Ю.А. Гагарина, Москва РЭБ (и ИБ), Комплексная защита объектов информатизации
Высшее
Обо мне
1. Первое место работы научило быть стрессоустойчивым.
2. Второе место работы научило грамотно общаться с коллегами, заказчиками и конечно грамотному планированию.
3. На текущем месте работы получил набор технических знаний и опыт работы в проектах.
4. Имею опыт программирования на Python и bash, понимаю SQL-запросы, поверхностное администрирование Linux, понимаю REST/SOAP, также разбираюсь в механизмах аутентификации и авторизации.
5. Ищу работу в удаленном формате, возможна работа в офисе в Воронеже
6. Помимо работы постоянно расширяю экспертные навыки по профилю деятельности (обучающие курсы, ctf).
7. Понимаю принципы применения уязвимостей OWASP 10
Если о себе, то как и все люди – люблю играть в теннис, гулять и другие земные развлечения «в меру».