Керівник відділу інформаційної безпеки

Агенція оборонних закупівель DOT — державне підприємство, що займається закупівлею техніки, боєприпасів, БПЛА, харчування, одягу, паливо-мастильних матеріалів для ЗСУ та Сил Оборони.

Наша місія: забезпечуємо Сили Оборони та розвиваємо національний ВПК задля стійкості та обороноздатності України.

Наша візія: драйвер розвитку системи забезпечення Сил оборони України за стандартами НАТО.

Зараз ми в пошуку Керівника відділу інформаційної безпеки, який/яка відповідатиме за системний розвиток і підсилення функції інформаційної безпеки (governance, engineering, operations), поєднуючи менеджерське лідерство з практичною технічною залученістю: забезпечення підтримки, супроводу та вдосконалення існуючих процесів і контролів відповідно до стандартів NIST, управління системою інформаційної безпеки (СУІБ) і командою кібербезпеки, а також підвищення рівня готовності організації до кібератак та інцидентів.

Ключові результати на 6−12 місяців:

1. NIST-first: підтримано відповідність NIST для DOT Chain; узгоджено план подальших розширень (напр., Azure AI Foundry).
2. IT Enterprise: авторизовано з безпеки ІКС/впроваджено контрольні заходи безпеки передбачені вимогами NIST; впроваджено регулярний цикл перегляду ризиків, винятків і планів усунення вразливостей.
3. Команди: встановлено OKR/KPI для підрозділу; налагоджено постановку задач, пріоритезацію, огляди виконання й планування ресурсів, визначено вимірювальні стратегічні цілі.
4. SecOps (Azure): впорядковано моніторинг/реагування (Sentinel/Defender), керування вразливостями та ідентичностями; визначено RBAC з ІТ/розробкою.
5. Red/Purple teaming: проведено щонайменше 1−2 вправи (ransomware readiness, компрометація ідентичностей); результати інтегровані у беклоґ інженерних змін і навчання.
6. Постачальники/партнери: діє процес оцінювання й контролю вимог безпеки (NDA/SLA/DPA, аудит третіх сторін).

Зона відповідальності:

1. Лідерство, менеджмент і взаємодія

• Операційне і стратегічне керівництво двома потоками: СУІБ/NIST (управління/ризик-менеджмент) і кібербезпека (SecOps/інженерія).
• Постановка задач, розподіл обов’язків, контроль виконання, щотижневі оцінювання, OKR/KPI і персональні плани розвитку.
• Взаємодія з ІТ, розробкою та бізнес-підрозділами: планування релізів і безпекових змін, пріоритезація ризиків, захист критичних сервісів.

2. Governance, Risk & Compliance

• Підтримка/вдосконалення політик, стандартів і процедур; ведення реєстру ризиків і планів обробки; регулярні огляди й звітування.
• Планування та підготовка до проведення внутрішніх і сертифікаційних аудитів СУІБ; координація дій з коригування.
• Плавний перехід від КСЗІ до практик/контролів NIST; крос-мапінг (за потреби) до ISO 27001 для сумісності з вимогами.
• Плани реагування на інциденти (IRP), засвоєні уроки.
• Врахування вимог законодавства (захист персональних даних, інші нормативні вимоги) у політиках і договорах.

3. Security Engineering & Operations

• Узгодження та розвиток технічних контролів: EDR/XDR, SIEM, DLP, PAM, IAM/Entra ID, MDM, захищеність серверів/робочих станцій/мережі/хмар.
• Моніторинг інцидентів і реагування, керування вразливостями (end‑to‑end від виявлення до усунення, з пріоритетами за бізнес-критичністю).
• Посилення захисту облікових записів (MFA, PIM, least privilege, JML), захист ключів/секретів, журналювання.
• Узгодження процесів SOC, runbooks, SLO/SLA на реагування.

4. Продуктова та прикладна безпека (AppSec, Secure SDLC)

• Покращення безпеки в життєвому циклі продуктів і систем: моделювання загроз, ревізія архітектури безпеки, автоматизація процесу сканування коду під час розробки, SBOM, DevSecOps у CI/CD.
• Інтеграція результатів red/purple‑team вправ у беклоґ інженерних змін і навчання команд.

5. Постачальники

• Оцінювання та аудит постачальників інтегрованих з DOT Chain, що обробляють дані чи мають доступ; вимоги NDA/SLA/DPA; контроль виконання.

6. Звітність, метрики, бюджет

• Регулярна звітність керівництву: ризик‑профіль, статус KPI/OKR, прогрес усунення вразливостей, готовність до інцидентів.
• Бюджет ІБ, роадмап 12−18 місяців, пріоритезація ініціатив і економічна доцільність контролів.

Вимоги до кандидатів:

1. Досвід і трек-рекорд

• 5+ років у кібер/ІБ, з них 3+ роки у керівній ролі з менеджментом команди та програм безпеки.
• Доказовий досвід практичної кібербезпеки (вправи red/purple team, моделювання атак на критичні сервіси; готовність до ransomware/compromised identity сценаріїв) — не обов’язково як повноцінний red teamer, але з глибоким розумінням технік і протидії.
• Досвід підтримки/вдосконалення за NIST/ISO 27001: політики/процедури, аудити, ризик‑менеджмент, IRP.
• Побудова/супровід SecOps/SOC процесів: моніторинг інцидентів, реагування, керування вразливостями, інтеграції з ІТ/розробкою.
• Релевантний досвід у Azure: Defender for Cloud/Endpoint/Identity/Office, Sentinel, Entra ID (MFA, PIM), Key Vault, логування/телеметрія.
• Розуміння Secure SDLC / AppSec для стека .NET та PHP; досвід з SAST/DAST, керування секретами, CI/CD, IaC — як плюс.

2. Фреймворки та нормативні вимоги

• NIST (CSF 2.0 / 800‑серія) — глибоке розуміння й практична застосовність;
• ISO 27001 — як референс/крос‑мапінг.
• Знання вимог українського законодавства в частині захисту інформації і персональних даних .

3. Навички

• Сильні менеджерські компетенції (постановка задач, пріоритезація, OKR/KPI, performance‑менеджмент, комунікація зі стейкхолдерами).
• Системне мислення та здатність поєднувати governance і hands‑on інженерію.
• Впевнена комунікація технічних ризиків мовою бізнесу; кризис‑комунікації.

4. Сертифікації (бажані)

• CISSP, CISM, ISO 27001 Lead Auditor/Implementer; Microsoft: SC‑100/200/300/400, AZ‑500 — як перевага.

Ми пропонуємо:

• Команду, де кожен важливий: ми команда однодумців, де панує взаємоповага та підтримка.
• Прозорість та системність: чіткі цілі, зрозумілі внутрішні комунікації та системний підхід.

• Професійне зростання та навчання: ми сприяємо постійному розвитку наших працівників.

• Комфортний старт: на вас чекає структурований процес адаптації та підтримка ментора, який допоможе швидко увійти в курс справ.

• Конкурентні умови: офіційне працевлаштування, соціальні гарантії, конкурентна заробітна плата та можливість працювати над наймасштабнішими проєктами країни.

• Комфорт та умови роботи: сучасний затишний офіс у доступності до метро, обладнаний укриттям та безперебійним інтернетом.

Дізнайтесь більше про нашу діяльність та корпоративну культуру:

• Сайт

• Instagram

• Linkedin

• Facebook

Долучившись до нашої команди, ви отримаєте шанс власноруч творити фундаментальну реформу забезпечення Сил Оборони України і зробити свій внесок для перемоги України.

Готові перетворити свою експертизу на реальний внесок в перемогу? Надсилайте резюме вже зараз!

• Звертаємо увагу: надіславши своє резюме, ви надаєте автоматичну згоду на обробку ваших персональних даних згідно закону.
• Оскільки ми отримуємо велику кількість відгуків, зворотний зв’язок буде надано лише тим кандидатам, чий досвід та кваліфікація найбільше відповідають вимогам вакансії.