Job VC
Керівник відділу інформаційної безпеки
Technologies
Description
Агенція оборонних закупівель DOT
— державне підприємство, що займається закупівлею техніки, боєприпасів, БПЛА, харчування, одягу, паливо-мастильних матеріалів для ЗСУ та Сил Оборони.
Наша місія:
забезпечуємо Сили Оборони та розвиваємо національний ВПК задля стійкості та обороноздатності України.
Наша візія:
драйвер розвитку системи забезпечення Сил оборони України за стандартами НАТО.
Зараз ми в пошуку
Керівника відділу інформаційної безпеки
, який/яка відповідатиме за системний розвиток і підсилення функції інформаційної безпеки (governance, engineering, operations), поєднуючи менеджерське лідерство з практичною технічною залученістю: забезпечення підтримки, супроводу та вдосконалення існуючих процесів і контролів відповідно до стандартів NIST, управління системою інформаційної безпеки (СУІБ) і командою кібербезпеки, а також підвищення рівня готовності організації до кібератак та інцидентів.
Ключові результати на 6–12 місяців:
NIST-first:
підтримано відповідність NIST для DOT Chain; узгоджено план подальших розширень (напр., Azure AI Foundry).
IT Enterprise:
авторизовано з безпеки ІКС/впроваджено контрольні заходи безпеки передбачені вимогами NIST; впроваджено регулярний цикл перегляду ризиків, винятків і планів усунення вразливостей.
Команди:
встановлено OKR/KPI для підрозділу; налагоджено постановку задач, пріоритезацію, огляди виконання й планування ресурсів, визначено вимірювальні стратегічні цілі.
SecOps (Azure):
впорядковано моніторинг/реагування (Sentinel/Defender), керування вразливостями та ідентичностями; визначено RBAC з ІТ/розробкою.
Red/Purple teaming:
проведено щонайменше 1–2 вправи (ransomware readiness, компрометація ідентичностей); результати інтегровані у беклоґ інженерних змін і навчання.
Постачальники/партнери:
діє процес оцінювання й контролю вимог безпеки (NDA/SLA/DPA, аудит третіх сторін).
Зона відповідальності:
1. Лідерство, менеджмент і взаємодія
Операційне і стратегічне керівництво двома потоками: СУІБ/NIST (управління/ризик-менеджмент) і кібербезпека (SecOps/інженерія).
Постановка задач, розподіл обов’язків, контроль виконання, щотижневі оцінювання, OKR/KPI і персональні плани розвитку.
Взаємодія з ІТ, розробкою та бізнес-підрозділами: планування релізів і безпекових змін, пріоритезація ризиків, захист критичних сервісів.
2. Governance, Risk & Compliance
Підтримка/вдосконалення політик, стандартів і процедур; ведення реєстру ризиків і планів обробки; регулярні огляди й звітування.
Планування та підготовка до проведення внутрішніх і сертифікаційних аудитів СУІБ; координація дій з коригування.
Плавний перехід від КСЗІ до практик/контролів NIST; крос-мапінг (за потреби) до ISO 27001 для сумісності з вимогами.
Плани реагування на інциденти (IRP), засвоєні уроки.
Врахування вимог законодавства (захист персональних даних, інші нормативні вимоги) у політиках і договорах.
3. Security Engineering & Operations
Узгодження та розвиток технічних контролів: EDR/XDR, SIEM, DLP, PAM, IAM/Entra ID, MDM, захищеність серверів/робочих станцій/мережі/хмар.
Моніторинг інцидентів і реагування, керування вразливостями (end‑to‑end від виявлення до усунення, з пріоритетами за бізнес-критичністю).
Посилення захисту облікових записів (MFA, PIM, least privilege, JML), захист ключів/секретів, журналювання.
Узгодження процесів SOC , runbooks, SLO/SLA на реагування.
4. Продуктова та прикладна безпека (AppSec, Secure SDLC)
Покращення безпеки в життєвому циклі продуктів і систем: моделювання загроз, ревізія архітектури безпеки, автоматизація процесу сканування коду під час розробки, SBOM, DevSecOps у CI/CD.
Інтеграція результатів red/purple‑team вправ у беклоґ інженерних змін і навчання команд.
5. Постачальники
Оцінювання та аудит постачальників інтегрованих з DOT Chain , що обробляють дані чи мають доступ; вимоги NDA/SLA/DPA; контроль виконання.
6. Звітність, метрики, бюджет
Регулярна звітність керівництву: ризик‑профіль, статус KPI/OKR, прогрес усунення вразливостей, готовність до інцидентів.
Бюджет ІБ, роадмап 12–18 місяців, пріоритезація ініціатив і економічна доцільність контролів.
Вимоги до кандидатів:
1. Досвід і трек-рекорд
5+ років у кібер/ІБ, з них 3+ роки у керівній ролі з менеджментом команди та програм безпеки.
Доказовий досвід практичної кібербезпеки (вправи red/purple team, моделювання атак на критичні сервіси; готовність до ransomware/compromised identity сценаріїв) — не обов’язково як повноцінний red teamer, але з глибоким розумінням технік і протидії.
Досвід підтримки/вдосконалення за NIST/ISO 27001: політики/процедури, аудити, ризик‑менеджмент, IRP.
Побудова/супровід SecOps/SOC процесів: моніторинг інцидентів, реагування, керування вразливостями, інтеграції з ІТ/розробкою.
Релевантний досвід у Azure: Defender for Cloud/Endpoint/Identity/Office, Sentinel, Entra ID (MFA, PIM), Key Vault, логування/телеметрія.
Розуміння Secure SDLC / AppSec для стека .NET та PHP; досвід з SAST/DAST, керування секретами, CI/CD, IaC — як плюс.
2. Фреймворки та нормативні вимоги
NIST (CSF 2.0 / 800‑серія) — глибоке розуміння й практична застосовність;
ISO 27001 — як референс/крос‑мапінг.
Знання вимог українського законодавства в частині захисту інформації і персональних даних .
3. Навички
Сильні менеджерські компетенції (постановка задач, пріоритезація, OKR/KPI, performance‑менеджмент, комунікація зі стейкхолдерами).
Системне мислення та здатність поєднувати governance і hands‑on інженерію.
Впевнена комунікація технічних ризиків мовою бізнесу; кризис‑комунікації.
4. Сертифікації (бажані)
CISSP, CISM, ISO 27001 Lead Auditor/Implementer; Microsoft: SC‑100/200/300/400, AZ‑500 — як перевага.
Ми пропонуємо:
Команду, де кожен важливий: ми команда однодумців, де панує взаємоповага та підтримка.
Прозорість та системність: чіткі цілі, зрозумілі внутрішні комунікації та системний підхід.
Професійне зростання та навчання: ми сприяємо постійному розвитку наших працівників.
Комфортний старт: на вас чекає структурований процес адаптації та підтримка ментора, який допоможе швидко увійти в курс справ.
Конкурентні умови: офіційне працевлаштування, соціальні гарантії, конкурентна заробітна плата та можливість працювати над наймасштабнішими проєктами країни.
Комфорт та умови роботи: сучасний затишний офіс у доступності до метро, обладнаний укриттям та безперебійним інтернетом.
Дізнайтесь більше про нашу діяльність та корпоративну культуру:
Сайт
Instagram
Linkedin
Facebook
Долучившись до нашої команди, ви отримаєте шанс власноруч творити фундаментальну реформу забезпечення Сил Оборони України і зробити свій внесок для перемоги України.
Готові перетворити свою експертизу на реальний внесок в перемогу? Надсилайте резюме вже зараз!
*Звертаємо увагу: надіславши своє резюме, ви надаєте автоматичну згоду на обробку ваших персональних даних згідно закону.
**Оскільки ми отримуємо велику кількість відгуків, зворотний зв’язок буде надано лише тим кандидатам, чий досвід та кваліфікація найбільше відповідають вимогам вакансії.
— державне підприємство, що займається закупівлею техніки, боєприпасів, БПЛА, харчування, одягу, паливо-мастильних матеріалів для ЗСУ та Сил Оборони.
Наша місія:
забезпечуємо Сили Оборони та розвиваємо національний ВПК задля стійкості та обороноздатності України.
Наша візія:
драйвер розвитку системи забезпечення Сил оборони України за стандартами НАТО.
Зараз ми в пошуку
Керівника відділу інформаційної безпеки
, який/яка відповідатиме за системний розвиток і підсилення функції інформаційної безпеки (governance, engineering, operations), поєднуючи менеджерське лідерство з практичною технічною залученістю: забезпечення підтримки, супроводу та вдосконалення існуючих процесів і контролів відповідно до стандартів NIST, управління системою інформаційної безпеки (СУІБ) і командою кібербезпеки, а також підвищення рівня готовності організації до кібератак та інцидентів.
Ключові результати на 6–12 місяців:
NIST-first:
підтримано відповідність NIST для DOT Chain; узгоджено план подальших розширень (напр., Azure AI Foundry).
IT Enterprise:
авторизовано з безпеки ІКС/впроваджено контрольні заходи безпеки передбачені вимогами NIST; впроваджено регулярний цикл перегляду ризиків, винятків і планів усунення вразливостей.
Команди:
встановлено OKR/KPI для підрозділу; налагоджено постановку задач, пріоритезацію, огляди виконання й планування ресурсів, визначено вимірювальні стратегічні цілі.
SecOps (Azure):
впорядковано моніторинг/реагування (Sentinel/Defender), керування вразливостями та ідентичностями; визначено RBAC з ІТ/розробкою.
Red/Purple teaming:
проведено щонайменше 1–2 вправи (ransomware readiness, компрометація ідентичностей); результати інтегровані у беклоґ інженерних змін і навчання.
Постачальники/партнери:
діє процес оцінювання й контролю вимог безпеки (NDA/SLA/DPA, аудит третіх сторін).
Зона відповідальності:
1. Лідерство, менеджмент і взаємодія
Операційне і стратегічне керівництво двома потоками: СУІБ/NIST (управління/ризик-менеджмент) і кібербезпека (SecOps/інженерія).
Постановка задач, розподіл обов’язків, контроль виконання, щотижневі оцінювання, OKR/KPI і персональні плани розвитку.
Взаємодія з ІТ, розробкою та бізнес-підрозділами: планування релізів і безпекових змін, пріоритезація ризиків, захист критичних сервісів.
2. Governance, Risk & Compliance
Підтримка/вдосконалення політик, стандартів і процедур; ведення реєстру ризиків і планів обробки; регулярні огляди й звітування.
Планування та підготовка до проведення внутрішніх і сертифікаційних аудитів СУІБ; координація дій з коригування.
Плавний перехід від КСЗІ до практик/контролів NIST; крос-мапінг (за потреби) до ISO 27001 для сумісності з вимогами.
Плани реагування на інциденти (IRP), засвоєні уроки.
Врахування вимог законодавства (захист персональних даних, інші нормативні вимоги) у політиках і договорах.
3. Security Engineering & Operations
Узгодження та розвиток технічних контролів: EDR/XDR, SIEM, DLP, PAM, IAM/Entra ID, MDM, захищеність серверів/робочих станцій/мережі/хмар.
Моніторинг інцидентів і реагування, керування вразливостями (end‑to‑end від виявлення до усунення, з пріоритетами за бізнес-критичністю).
Посилення захисту облікових записів (MFA, PIM, least privilege, JML), захист ключів/секретів, журналювання.
Узгодження процесів SOC , runbooks, SLO/SLA на реагування.
4. Продуктова та прикладна безпека (AppSec, Secure SDLC)
Покращення безпеки в життєвому циклі продуктів і систем: моделювання загроз, ревізія архітектури безпеки, автоматизація процесу сканування коду під час розробки, SBOM, DevSecOps у CI/CD.
Інтеграція результатів red/purple‑team вправ у беклоґ інженерних змін і навчання команд.
5. Постачальники
Оцінювання та аудит постачальників інтегрованих з DOT Chain , що обробляють дані чи мають доступ; вимоги NDA/SLA/DPA; контроль виконання.
6. Звітність, метрики, бюджет
Регулярна звітність керівництву: ризик‑профіль, статус KPI/OKR, прогрес усунення вразливостей, готовність до інцидентів.
Бюджет ІБ, роадмап 12–18 місяців, пріоритезація ініціатив і економічна доцільність контролів.
Вимоги до кандидатів:
1. Досвід і трек-рекорд
5+ років у кібер/ІБ, з них 3+ роки у керівній ролі з менеджментом команди та програм безпеки.
Доказовий досвід практичної кібербезпеки (вправи red/purple team, моделювання атак на критичні сервіси; готовність до ransomware/compromised identity сценаріїв) — не обов’язково як повноцінний red teamer, але з глибоким розумінням технік і протидії.
Досвід підтримки/вдосконалення за NIST/ISO 27001: політики/процедури, аудити, ризик‑менеджмент, IRP.
Побудова/супровід SecOps/SOC процесів: моніторинг інцидентів, реагування, керування вразливостями, інтеграції з ІТ/розробкою.
Релевантний досвід у Azure: Defender for Cloud/Endpoint/Identity/Office, Sentinel, Entra ID (MFA, PIM), Key Vault, логування/телеметрія.
Розуміння Secure SDLC / AppSec для стека .NET та PHP; досвід з SAST/DAST, керування секретами, CI/CD, IaC — як плюс.
2. Фреймворки та нормативні вимоги
NIST (CSF 2.0 / 800‑серія) — глибоке розуміння й практична застосовність;
ISO 27001 — як референс/крос‑мапінг.
Знання вимог українського законодавства в частині захисту інформації і персональних даних .
3. Навички
Сильні менеджерські компетенції (постановка задач, пріоритезація, OKR/KPI, performance‑менеджмент, комунікація зі стейкхолдерами).
Системне мислення та здатність поєднувати governance і hands‑on інженерію.
Впевнена комунікація технічних ризиків мовою бізнесу; кризис‑комунікації.
4. Сертифікації (бажані)
CISSP, CISM, ISO 27001 Lead Auditor/Implementer; Microsoft: SC‑100/200/300/400, AZ‑500 — як перевага.
Ми пропонуємо:
Команду, де кожен важливий: ми команда однодумців, де панує взаємоповага та підтримка.
Прозорість та системність: чіткі цілі, зрозумілі внутрішні комунікації та системний підхід.
Професійне зростання та навчання: ми сприяємо постійному розвитку наших працівників.
Комфортний старт: на вас чекає структурований процес адаптації та підтримка ментора, який допоможе швидко увійти в курс справ.
Конкурентні умови: офіційне працевлаштування, соціальні гарантії, конкурентна заробітна плата та можливість працювати над наймасштабнішими проєктами країни.
Комфорт та умови роботи: сучасний затишний офіс у доступності до метро, обладнаний укриттям та безперебійним інтернетом.
Дізнайтесь більше про нашу діяльність та корпоративну культуру:
Сайт
Долучившись до нашої команди, ви отримаєте шанс власноруч творити фундаментальну реформу забезпечення Сил Оборони України і зробити свій внесок для перемоги України.
Готові перетворити свою експертизу на реальний внесок в перемогу? Надсилайте резюме вже зараз!
*Звертаємо увагу: надіславши своє резюме, ви надаєте автоматичну згоду на обробку ваших персональних даних згідно закону.
**Оскільки ми отримуємо велику кількість відгуків, зворотний зв’язок буде надано лише тим кандидатам, чий досвід та кваліфікація найбільше відповідають вимогам вакансії.