Керівник відділу інформаційної безпеки Offline
Агенція оборонних закупівель DOT — державне підприємство, що займається закупівлею техніки, боєприпасів, БПЛА, харчування, одягу, паливо-мастильних матеріалів для ЗСУ та Сил Оборони.
Наша місія: забезпечуємо Сили Оборони та розвиваємо національний ВПК задля стійкості та обороноздатності України.
Наша візія: драйвер розвитку системи забезпечення Сил оборони України за стандартами НАТО.
Зараз ми в пошуку Керівника відділу інформаційної безпеки, який/яка відповідатиме за системний розвиток і підсилення функції інформаційної безпеки (governance, engineering, operations), поєднуючи менеджерське лідерство з практичною технічною залученістю: забезпечення підтримки, супроводу та вдосконалення існуючих процесів і контролів відповідно до стандартів NIST, управління системою інформаційної безпеки (СУІБ) і командою кібербезпеки, а також підвищення рівня готовності організації до кібератак та інцидентів.
Ключові результати на 6–12 місяців:
- NIST-first: підтримано відповідність NIST для DOT Chain; узгоджено план подальших розширень (напр., Azure AI Foundry).
- IT Enterprise: авторизовано з безпеки ІКС/впроваджено контрольні заходи безпеки передбачені вимогами NIST; впроваджено регулярний цикл перегляду ризиків, винятків і планів усунення вразливостей.
- Команди: встановлено OKR/KPI для підрозділу; налагоджено постановку задач, пріоритезацію, огляди виконання й планування ресурсів, визначено вимірювальні стратегічні цілі.
- SecOps (Azure): впорядковано моніторинг/реагування (Sentinel/Defender), керування вразливостями та ідентичностями; визначено RBAC з ІТ/розробкою.
- Red/Purple teaming: проведено щонайменше 1–2 вправи (ransomware readiness, компрометація ідентичностей); результати інтегровані у беклоґ інженерних змін і навчання.
- Постачальники/партнери: діє процес оцінювання й контролю вимог безпеки (NDA/SLA/DPA, аудит третіх сторін).
Зона відповідальності:
1. Лідерство, менеджмент і взаємодія
- Операційне і стратегічне керівництво двома потоками: СУІБ/NIST (управління/ризик-менеджмент) і кібербезпека (SecOps/інженерія).
- Постановка задач, розподіл обов’язків, контроль виконання, щотижневі оцінювання, OKR/KPI і персональні плани розвитку.
Взаємодія з ІТ, розробкою та бізнес-підрозділами: планування релізів і безпекових змін, пріоритезація ризиків, захист критичних сервісів.
2. Governance, Risk & Compliance
- Підтримка/вдосконалення політик, стандартів і процедур; ведення реєстру ризиків і планів обробки; регулярні огляди й звітування.
- Планування та підготовка до проведення внутрішніх і сертифікаційних аудитів СУІБ; координація дій з коригування.
- Плавний перехід від КСЗІ до практик/контролів NIST; крос-мапінг (за потреби) до ISO 27001 для сумісності з вимогами.
- Плани реагування на інциденти (IRP), засвоєні уроки.
Врахування вимог законодавства (захист персональних даних, інші нормативні вимоги) у політиках і договорах.
3. Security Engineering & Operations
- Узгодження та розвиток технічних контролів: EDR/XDR, SIEM, DLP, PAM, IAM/Entra ID, MDM, захищеність серверів/робочих станцій/мережі/хмар.
- Моніторинг інцидентів і реагування, керування вразливостями (end‑to‑end від виявлення до усунення, з пріоритетами за бізнес-критичністю).
- Посилення захисту облікових записів (MFA, PIM, least privilege, JML), захист ключів/секретів, журналювання.
Узгодження процесів SOC , runbooks, SLO/SLA на реагування.
4. Продуктова та прикладна безпека (AppSec, Secure SDLC)
- Покращення безпеки в життєвому циклі продуктів і систем: моделювання загроз, ревізія архітектури безпеки, автоматизація процесу сканування коду під час розробки, SBOM, DevSecOps у CI/CD.
Інтеграція результатів red/purple‑team вправ у беклоґ інженерних змін і навчання команд.
5. Постачальники
Оцінювання та аудит постачальників інтегрованих з DOT Chain , що обробляють дані чи мають доступ; вимоги NDA/SLA/DPA; контроль виконання.
6. Звітність, метрики, бюджет
- Регулярна звітність керівництву: ризик‑профіль, статус KPI/OKR, прогрес усунення вразливостей, готовність до інцидентів.
- Бюджет ІБ, роадмап 12–18 місяців, пріоритезація ініціатив і економічна доцільність контролів.
Вимоги до кандидатів:
1. Досвід і трек-рекорд
- 5+ років у кібер/ІБ, з них 3+ роки у керівній ролі з менеджментом команди та програм безпеки.
- Доказовий досвід практичної кібербезпеки (вправи red/purple team, моделювання атак на критичні сервіси; готовність до ransomware/compromised identity сценаріїв) — не обов’язково як повноцінний red teamer, але з глибоким розумінням технік і протидії.
- Досвід підтримки/вдосконалення за NIST/ISO 27001: політики/процедури, аудити, ризик‑менеджмент, IRP.
- Побудова/супровід SecOps/SOC процесів: моніторинг інцидентів, реагування, керування вразливостями, інтеграції з ІТ/розробкою.
- Релевантний досвід у Azure: Defender for Cloud/Endpoint/Identity/Office, Sentinel, Entra ID (MFA, PIM), Key Vault, логування/телеметрія.
Розуміння Secure SDLC / AppSec для стека .NET та PHP; досвід з SAST/DAST, керування секретами, CI/CD, IaC — як плюс.
2. Фреймворки та нормативні вимоги
- NIST (CSF 2.0 / 800‑серія) — глибоке розуміння й практична застосовність;
- ISO 27001 — як референс/крос‑мапінг.
Знання вимог українського законодавства в частині захисту інформації і персональних даних .
3. Навички
- Сильні менеджерські компетенції (постановка задач, пріоритезація, OKR/KPI, performance‑менеджмент, комунікація зі стейкхолдерами).
- Системне мислення та здатність поєднувати governance і hands‑on інженерію.
Впевнена комунікація технічних ризиків мовою бізнесу; кризис‑комунікації.
4. Сертифікації (бажані)
CISSP, CISM, ISO 27001 Lead Auditor/Implementer; Microsoft: SC‑100/200/300/400, AZ‑500 — як перевага.
Ми пропонуємо:
- Команду, де кожен важливий: ми команда однодумців, де панує взаємоповага та підтримка.
- Прозорість та системність: чіткі цілі, зрозумілі внутрішні комунікації та системний підхід.
- Професійне зростання та навчання: ми сприяємо постійному розвитку наших працівників.
- Комфортний старт: на вас чекає структурований процес адаптації та підтримка ментора, який допоможе швидко увійти в курс справ.
- Конкурентні умови: офіційне працевлаштування, соціальні гарантії, конкурентна заробітна плата та можливість працювати над наймасштабнішими проєктами країни.
Комфорт та умови роботи: сучасний затишний офіс у доступності до метро, обладнаний укриттям та безперебійним інтернетом.
Дізнайтесь більше про нашу діяльність та корпоративну культуру:
- Сайт
Facebook
Долучившись до нашої команди, ви отримаєте шанс власноруч творити фундаментальну реформу забезпечення Сил Оборони України і зробити свій внесок для перемоги України.
Готові перетворити свою експертизу на реальний внесок в перемогу? Надсилайте резюме вже зараз!
*Звертаємо увагу: надіславши своє резюме, ви надаєте автоматичну згоду на обробку ваших персональних даних згідно закону.
**Оскільки ми отримуємо велику кількість відгуків, зворотний зв’язок буде надано лише тим кандидатам, чий досвід та кваліфікація найбільше відповідають вимогам вакансії.
Required languages
The job ad is no longer active
Look at the current jobs Security Kyiv→