Chief Information Security Officer (CISO)( Bilim Land )

Компания "Bilim Land"

Bilim Group – продуктовая EdTech-компания, которая с 2011 года является ведущим разработчиком цифрового обучающего контента и образовательных платформ в Казахстане.
Наша цель – создание образовательно-развивающей экосистемы для каждого человека, начиная с детского сада до повышения квалификации и получения новых специальностей и навыков.

Мы в поисках Chief Information Security Officer (CISO) - человека который сможет сформировать культуру ИБ: Обеспечить высокий уровень информационной безопасности всех цифровых продуктов компании, включая защиту персональных данных граждан РК, соответствие государственным стандартам и международным требованиям (GDPR, ISO/IEC 27001), и выстраивание зрелой системы управления ИБ как части корпоративной стратегии и в рамках интеграции

Основные зоны ответственности

Стратегия и управление ИБ

• Разработка и внедрение стратегии информационной безопасности компании;

• Формирование и контроль выполнения политики безопасности для всех бизнес-юнитов и продуктовых команд;

• Управление рисками безопасности, разработка и поддержание модели угроз (Threat Model) и матрицы рисков.

• Мониторинг и анализ рисков ИБ, включая угрозы для персональных данных граждан РК, с внедрением мер по их минимизации.

• Разработка политик, процедур и стандартов ИБ, включая инцидент-менеджмент, шифрование данных и контроль доступа.

• Интеграция ИБ в процессы разработки продуктов (DevSecOps), включая оценку уязвимостей и пентестирование.

• Обучение сотрудников компании по вопросам ИБ и повышение осведомленности о рисках.

• Бюджетирование и управление ресурсами отдела ИБ, включая выбор инструментов и технологий

Законодательное соответствие и технический комплаенс

• Обеспечение соответствия всех цифровых продуктов требованиям GDPR, ISO/IEC 27001, а также национальным стандартам РК по защите данных (включая Закон РК "О персональных данных и их защите", Закон "О доступе к информации", Закон "Об информатизации" и др.).

• Проведение DPIA, подготовка к внутренним и внешним аудитам;

• Координация аудитов и сертификаций (внутренних и внешних), подготовка отчетов для руководства и регуляторов.

• Взаимодействие с госорганами: КИБ, ГТС и пр.;

• Участие в тендерах и переговорах с госзаказчиками в части ИБ и комплаенса.

Управление ИБ-инфраструктурой

• Контроль работы SOC, SIEM, WAF, DLP, IAM, DevSecOps и других систем защиты;

• Внедрение процессов secure-by-design в SDLC и CI/CD пайплайны;

• Формирование требований к процессам безопасной разработки и контроль их соблюдения

• Участие в выборе архитектурных решений и политик доступа;

• Интеграция ИБ в цифровые продукты, включая облачные среды (PS, Yandex.Cloud, Aitu.Cloud и пр.) и мобильные приложения.

Руководство командой

• Формирование и развитие отдела информационной безопасности (GRC, DevSecOps, SOC, privacy);

• Постановка целей, контроль KPI, найм, наставничество, развитие команды;

• Взаимодействие с руководителями продуктов, разработки, инфраструктуры, правового отдела.

Образование

• Высшее техническое или математическое образование (предпочтительно в области ИБ, ИТ, телеком, кибербезопасности);

• Дополнительные сертификации: CISSP, CISM, ISO 27001 LA/LI, CEH, OSCP - преимущество.

• Знание нормативной базы: GDPR, ISO/IEC 27001, PCI DSS, а также законодательства РК по защите персональных данных.

Опыт

• 5+ лет в сфере информационной безопасности;

• 2+ года в роли CISO, Head of Security или аналогичной;

• Опыт внедрения ISMS, работы с персональными данными, участие в госпрограммах и B2G проектах;

• Желательно: опыт работы в холдингах, международных или регулируемых организациях (финтех, govtech, edtech).

• Практический опыт обеспечения соответствия международным стандартам (GDPR, ISO 27001) и национальным регуляциям (РК, ЕС).

• Опыт управления инцидентами ИБ, включая кибератаки, утечки данных и восстановление после них.

Навыки

• Уверенное понимание моделей угроз, риск-менеджмента, архитектур защиты;

• Знание и практическое применение требований ЗППД РК, GDPR, ISO/IEC 27001, NIST, SOC2;

• Глубокие знания в области кибербезопасности: угрозы, уязвимости, шифрование, сетевые протоколы, SIEM-системы, firewalls и IDS/IPS.

• Умение строить и внедрять системы управления рисками ИБ (ERM, GRC).

• Навыки стратегического планирования и бюджетирования в ИБ.

• Опыт работы с инструментами: Splunk, Qualys, Nessus, или аналогичными для мониторинга и анализа.

• Знание методологий: NIST, COBIT, ITIL в контексте ИБ.

• Сильные аналитические навыки для оценки рисков и принятия решений в кризисных ситуациях.

• Умение говорить на «бизнес-языке» и объяснять сложные технические риски простым языком для C-level;

• Лидерство, ответственность, стратегическое мышление.

Инструменты и технологии (желательно знать/использовать)

• SIEM (Wazuh, Graylog, Splunk);

• DLP, EDR, WAF, IDS/IPS;

• DevSecOps пайплайны (GitLab CI/CD, SAST/DAST, Snyk, Trivy и пр.);

• Identity Management (Keycloak, Azure AD, AWS IAM);

• Облачные платформы: OpenStack, Yandex.Cloud;

• Jira, Confluence, Miro, Slack, Telegram bots - как часть рабочих процессов.

Что предлагает компания

• Конкурентная заработная плата (обсуждается индивидуально).

• Участие в развитии продуктов, влияющих на миллионы пользователей по всей стране;

• Работа в технологичной команде и с высокими стандартами качества;

• Возможность формировать культуру ИБ и повлиять на зрелость компании;

• Прозрачная и гибкая система мотивации.

• Работа с гибридным форматов: в офисе в Астане (Expo, Мангилик ел 55/13) или Алматы (Нурлы-Тау, Аль-Фараби 17/1)

• График: пн–пт, с 9:00 до 18:00

• Официальный найм с первого дня, испытательный срок — 3 месяца

• Тёплая и поддерживающая команда — ценим уважение, открытость и чувство юмора.

• Прокачка знаний — доступ к курсам Kitap.kz, Bilimland.com, Lerna.kz и другим образовательным платформам.

• Языки — легко: изучай иностранные на Qlang.kz в удобном тебе ритме.

• Уютный офис с зонами отдыха — кофе, чай, Xbox, настольный футбол и пространство для перезагрузки.

• Кафетерий бенефитов — спорт, здоровье, обучение. Ты сам выбираешь, что важно (доступ через полгода).

• Ивенты, квизы, meet-up’ы и Тәтті күн — традиция вкусных угощений и веселых встреч.

• BYOD — если работаешь со своим ноутом, мы это компенсируем.

Открыть контакты работодателя

Зарегистрируйтесь или войдите, чтобы открыть контакты работодателя