Risk-Control Analyst

Твоя основна місія:

Забезпечити, щоб усі системи, процеси й активи компанії відповідали внутрішнім політикам, галузевим стандартам (ISO 27001, NIST CSF, КСЗІ тощо) і вимогам законодавства.

У фокусі роботи матимеш:

- розробляти та підтримувати рамку управління кіберризиками (ISO 31000, ISO 27005, NIST SP 800-30);

- проводити регулярні та позапланові оцінки ризиків для систем, проєктів і бізнес-процесів;

- вести та актуалізувати реєстр ризиків, формувати heat-map;

- аналізувати прогалини контролів, готувати плани обробки ризиків і відстежувати виконання;

- корелювати дані з інцидентів та сканувань вразливостей із рейтингами ризиків;

- готувати звіти і надавати рекомендації керівництву;

- підтримувати внутрішні та зовнішні аудити (ISO 27001, SOC 2, PCI DSS) доказами оцінок і контролів;

- менторити колег, проводити воркшопи з CVSS, FAIR та принципів security by design.

Від тебе очікуємо:

- 3+ років досвіду в кібербезпеці або управлінні ризиками, з яких ≥ 1 роки — саме в оцінці та контролі кіберризиків;

- практичні знання ISO 31000/ISO 27005; досвід побудови або підтримки Risk Management Framework;

- вміння застосовувати якісно/кількісні методики для оцінки ймовірності та впливу ризиків;

- досвід ведення Risk Register створення heat-map і дашбордів;

- розуміння та мапування контролів за ISO 27001 Annex A, NIST 800-53; навички аналізу прогалин і формування Risk Treatment Plan;

- участь у внутрішніх/зовнішніх аудитах (ISO 27001, SOC 2, PCI DSS) — підготовка доказів, супроводження аудиторів.

Буде плюсом:

- навички роботи з автоматизованими системами управління ризиками та аналізу даних;

- навички роботи з Jira, Confluence;

- досвід взаємодії з регуляторами;

- досвід проведення внутрішніх тренінгів або публічних виступів із Ризик менеджменту.

Ми пропонуємо:

- роботу з продуктом, яким користується країна та захоплюється світ;

- конкурентну заробітну плату;

- професійний розвиток та навчання;

- зручний офіс у центрі міста;

- бронювання.