Risk, Control Analyst

Твоя основна місія:

Забезпечити, щоб усі системи, процеси й активи компанії відповідали внутрішнім політикам, галузевим стандартам (ISO 27001, NIST CSF, КСЗІ тощо) і вимогам законодавства.

У фокусі роботи матимеш:

• розробляти та підтримувати рамку управління кіберризиками (ISO 31000, ISO 27005, NIST SP 800−30);
• проводити регулярні та позапланові оцінки ризиків для систем, проєктів і бізнес-процесів;
• вести та актуалізувати реєстр ризиків, формувати heat-map;
• аналізувати прогалини контролів, готувати плани обробки ризиків і відстежувати виконання;
• корелювати дані з інцидентів та сканувань вразливостей із рейтингами ризиків;
• готувати звіти і надавати рекомендації керівництву;
• підтримувати внутрішні та зовнішні аудити (ISO 27001, SOC 2, PCI DSS) доказами оцінок і контролів;
• менторити колег, проводити воркшопи з CVSS, FAIR та принципів security by design.

Від тебе очікуємо:

• 3+ років досвіду в кібербезпеці або управлінні ризиками, з яких ≥ 1 роки — саме в оцінці та контролі кіберризиків;
• практичні знання ISO 31000/ISO 27005; досвід побудови або підтримки Risk Management Framework;
• вміння застосовувати якісно/кількісні методики для оцінки ймовірності та впливу ризиків;
• досвід ведення Risk Register створення heat-map і дашбордів;
• розуміння та мапування контролів за ISO 27001 Annex A, NIST 800−53; навички аналізу прогалин і формування Risk Treatment Plan;
• участь у внутрішніх/зовнішніх аудитах (ISO 27001, SOC 2, PCI DSS) — підготовка доказів, супроводження аудиторів.

Буде плюсом:

• навички роботи з автоматизованими системами управління ризиками та аналізу даних;
• навички роботи з Jira, Confluence;
• досвід взаємодії з регуляторами;
• досвід проведення внутрішніх тренінгів або публічних виступів із Ризик менеджменту.

Ми пропонуємо:

• роботу з продуктом, яким користується країна та захоплюється світ;
• конкурентну заробітну плату;
• професійний розвиток та навчання;
• зручний офіс у центрі міста;
• бронювання.