Bilim Group – продуктовая EdTech-компания, которая с 2011 года является ведущим разработчиком цифрового обучающего контента и образовательных платформ в Казахстане.
Наша цель – создание образовательно-развивающей экосистемы для каждого человека, начиная с детского сада до повышения квалификации и получения новых специальностей и навыков.

Мы в поисках Chief Information Security Officer (CISO) - человека который сможет сформировать культуру ИБ: Обеспечить высокий уровень информационной безопасности всех цифровых продуктов компании, включая защиту персональных данных граждан РК, соответствие государственным стандартам и международным требованиям (GDPR, ISO/IEC 27001), и выстраивание зрелой системы управления ИБ как части корпоративной стратегии и в рамках интеграции.

Основные зоны ответственности
Стратегия и управление ИБ

• Разработка и внедрение стратегии информационной безопасности компании;
• Формирование и контроль выполнения политики безопасности для всех бизнес-юнитов и продуктовых команд;
• Управление рисками безопасности, разработка и поддержание модели угроз (Threat Model) и матрицы рисков.
• Мониторинг и анализ рисков ИБ, включая угрозы для персональных данных граждан РК, с внедрением мер по их минимизации.
• Разработка политик, процедур и стандартов ИБ, включая инцидент-менеджмент, шифрование данных и контроль доступа.
• Интеграция ИБ в процессы разработки продуктов (DevSecOps), включая оценку уязвимостей и пентестирование.
• Обучение сотрудников компании по вопросам ИБ и повышение осведомленности о рисках.
• Бюджетирование и управление ресурсами отдела ИБ, включая выбор инструментов и технологий

Законодательное соответствие и технический комплаенс

• Обеспечение соответствия всех цифровых продуктов требованиям GDPR, ISO/IEC 27001, а также национальным стандартам РК по защите данных (включая Закон РК "О персональных данных и их защите", Закон "О доступе к информации", Закон "Об информатизации" и др.).
• Проведение DPIA, подготовка к внутренним и внешним аудитам;
• Координация аудитов и сертификаций (внутренних и внешних), подготовка отчетов для руководства и регуляторов.
• Взаимодействие с госорганами: КИБ, ГТС и пр.;
• Участие в тендерах и переговорах с госзаказчиками в части ИБ и комплаенса.

Управление ИБ-инфраструктурой

• Контроль работы SOC, SIEM, WAF, DLP, IAM, DevSecOps и других систем защиты;
• Внедрение процессов secure-by-design в SDLC и CI/CD пайплайны;
• Формирование требований к процессам безопасной разработки и контроль их соблюдения
• Участие в выборе архитектурных решений и политик доступа;
• Интеграция ИБ в цифровые продукты, включая облачные среды (PS, Yandex.Cloud, Aitu.Cloud и пр.) и мобильные приложения.

Руководство командой

• Формирование и развитие отдела информационной безопасности (GRC, DevSecOps, SOC, privacy);
• Постановка целей, контроль KPI, найм, наставничество, развитие команды;
• Взаимодействие с руководителями продуктов, разработки, инфраструктуры, правового отдела.

Образование

• Высшее техническое или математическое образование (предпочтительно в области ИБ, ИТ, телеком, кибербезопасности);
• Дополнительные сертификации: CISSP, CISM, ISO 27001 LA/LI, CEH, OSCP - преимущество.
• Знание нормативной базы: GDPR, ISO/IEC 27001, PCI DSS, а также законодательства РК по защите персональных данных.

Опыт

• 5+ лет в сфере информационной безопасности;
• 2+ года в роли CISO, Head of Security или аналогичной;
• Опыт внедрения ISMS, работы с персональными данными, участие в госпрограммах и B2G проектах;
• Желательно: опыт работы в холдингах, международных или регулируемых организациях (финтех, govtech, edtech).
• Практический опыт обеспечения соответствия международным стандартам (GDPR, ISO 27001) и национальным регуляциям (РК, ЕС).
• Опыт управления инцидентами ИБ, включая кибератаки, утечки данных и восстановление после них.

Навыки

• Уверенное понимание моделей угроз, риск-менеджмента, архитектур защиты;
• Знание и практическое применение требований ЗППД РК, GDPR, ISO/IEC 27001, NIST, SOC2;
• Глубокие знания в области кибербезопасности: угрозы, уязвимости, шифрование, сетевые протоколы, SIEM-системы, firewalls и IDS/IPS.
• Умение строить и внедрять системы управления рисками ИБ (ERM, GRC).
• Навыки стратегического планирования и бюджетирования в ИБ.
• Опыт работы с инструментами: Splunk, Qualys, Nessus, или аналогичными для мониторинга и анализа.
• Знание методологий: NIST, COBIT, ITIL в контексте ИБ.
• Сильные аналитические навыки для оценки рисков и принятия решений в кризисных ситуациях.
• Умение говорить на «бизнес-языке» и объяснять сложные технические риски простым языком для C-level;
• Лидерство, ответственность, стратегическое мышление.

Инструменты и технологии (желательно знать/использовать)

• SIEM (Wazuh, Graylog, Splunk);
• DLP, EDR, WAF, IDS/IPS;
• DevSecOps пайплайны (GitLab CI/CD, SAST/DAST, Snyk, Trivy и пр.);
• Identity Management (Keycloak, Azure AD, AWS IAM);
• Облачные платформы: OpenStack, Yandex.Cloud;
• Jira, Confluence, Miro, Slack, Telegram bots - как часть рабочих процессов.

Что предлагает компания

• Конкурентная заработная плата (обсуждается индивидуально).
• Участие в развитии продуктов, влияющих на миллионы пользователей по всей стране;
• Работа в технологичной команде и с высокими стандартами качества;
• Возможность формировать культуру ИБ и повлиять на зрелость компании;
• Прозрачная и гибкая система мотивации.
• Работа с гибридным форматов: в офисе в Астане (Expo, Мангилик ел 55/13) или Алматы (Нурлы-Тау, Аль-Фараби 17/1)
• График: пн–пт, с 9:00 до 18:00
• Официальный найм с первого дня, испытательный срок — 3 месяца
• Тёплая и поддерживающая команда — ценим уважение, открытость и чувство юмора.
• Прокачка знаний — доступ к курсам Kitap.kz, Bilimland.com, Lerna.kz и другим образовательным платформам.
• Языки — легко: изучай иностранные на Qlang.kz в удобном тебе ритме.
• Уютный офис с зонами отдыха — кофе, чай, Xbox, настольный футбол и пространство для перезагрузки.
• Кафетерий бенефитов — спорт, здоровье, обучение. Ты сам выбираешь, что важно (доступ через полгода).
• Ивенты, квизы, meet-up’ы и Тәтті күн — традиция вкусных угощений и веселых встреч.
• BYOD — если работаешь со своим ноутом, мы это компенсируем.