Твоя основна місія:
Забезпечити, щоб усі системи, процеси й активи компанії відповідали внутрішнім політикам, галузевим стандартам (ISO 27001, NIST CSF, КСЗІ тощо) і вимогам законодавства.
Risk & Control Analyst
У фокусі роботи матимеш:
розробляти та підтримувати рамку управління кіберризиками (ISO 31000, ISO 27005, NIST SP 800-30);
проводити регулярні та позапланові оцінки ризиків для систем, проєктів і бізнес-процесів;
вести та актуалізувати реєстр ризиків, формувати heat-map;
аналізувати прогалини контролів, готувати плани обробки ризиків і відстежувати виконання;
корелювати дані з інцидентів та сканувань вразливостей із рейтингами ризиків;
готувати звіти і надавати рекомендації керівництву;
підтримувати внутрішні та зовнішні аудити (ISO 27001, SOC 2, PCI DSS) доказами оцінок і контролів;
менторити колег, проводити воркшопи з CVSS, FAIR та принципів security by design.
Від тебе очікуємо:
3+ років досвіду в кібербезпеці або управлінні ризиками, з яких ≥ 1 роки — саме в оцінці та контролі кіберризиків;
практичні знання ISO 31000/ISO 27005; досвід побудови або підтримки Risk Management Framework;
вміння застосовувати якісно/кількісні методики для оцінки ймовірності та впливу ризиків;
досвід ведення Risk Register створення heat-map і дашбордів;
розуміння та мапування контролів за ISO 27001 Annex A, NIST 800-53; навички аналізу прогалин і формування Risk Treatment Plan;
участь у внутрішніх/зовнішніх аудитах (ISO 27001, SOC 2, PCI DSS) — підготовка доказів, супроводження аудиторів.
Буде плюсом:
навички роботи з автоматизованими системами управління ризиками та аналізу даних;
навички роботи з Jira, Confluence;
досвід взаємодії з регуляторами;
досвід проведення внутрішніх тренінгів або публічних виступів із Ризик менеджменту.