Chuyên viên Cao cấp An ninh Thông tin (40001098)

Mục tiêu

Người đảm nhiệm vị trí: Chịu trách nhiệm xây dựng, quản lý, tham gia phát triển một trong các mảng sau:

a. Mảng Phát triển ANTT : Đánh giá triển khai, phát triển giải pháp ANTT/Thiết kế, kiểm thử ANTT/ Đảm bảo tuân thủ tiêu chuẩn ANTT (của Việt Nam và Quốc tế)
b. Mảng Quản trị ANTT: Thực hiện các hoạt động quản trị về ANTT định danh và truy cập/ANTT mạng/ANTT thiết bị đầu cuối và dữ liệu
c. Mảng Hoạch định ANTT: Thực hiện kiểm soát thực thi theo chính sách, tiêu chuẩn an ninh thông tin cho các ứng dụng, hạ tầng của Techcombank và các đối tác, nhà cung cấp, đảm bảo phù hợp với yêu cầu an ninh thông tin của doanh nghiệp. Thực hiện xây dựng, triển khai các công cụ và kỹ thuật an ninh thông tin cho doanh nghiệp.
d. Mảng Kiểm thử ANTT: Thực hiện các hoạt động tấn công kiểm thử cho hệ thống công nghệ nhằm phát hiện các lỗ hổng/ điểm yếu và cung cấp các giải pháp khắc phục nhanh chóng kịp thời.
e. Mảng Giám sát ANTT: Giám sát phát hiện tất cả các sự kiện/sự cố tấn công một cách nhanh nhất có thể (realtime) dựa trên các sự kiện được tổng hợp từ các hệ thống ANTT cũng như các thành phần công nghệ khác. Tham gia vào quá trình điều tra truy vết và xử lý các sự cố an ninh thông tin.

Trách nhiệm chính (1)

1. Mảng Đảm bảo An ninh thông tin
- Tham gia các dự án, phát triển, triển khai công nghệ để đảm bảo An ninh thông tin cho các hệ thống sẽ được xây dựng, bao gồm các công đoạn: phân tích, xây dựng yêu cầu An ninh thông tin, thiết kế An ninh thông tin, threat modeling, rà soát mã nguồn, kiểm thử và xây dựng các biện pháp kiểm soát đảm bảo An ninh thông tin.
- Nghiên cứu, xây dựng các giải pháp An ninh thông tin cần thiết để ngăn chặn các cuộc tấn công, sự cố An ninh thông tin, đảm bảo an ninh, an toàn cho toàn bộ hệ thống thông tin của doanh nghiệp.
- Phối hợp với bộ phận giám sát An ninh thông tin tham gia xử lý các sự cố An ninh thông tin.
- Thiết lập và giám sát việc thực hiện quy trình, quy định, tiêu chuẩn, hướng dẫn, chính sách An ninh thông tin của TCB theo quy định của chính phủ và các tổ chức quốc tế
- Thực hiện và duy trì tuân thủ các tiêu chuẩn quốc tế PCI-DSS, ISO, SWIFT CSP.
- Thực hiện và duy trì tuân thủ các chính sách của TCB, thông tư, quy định của Ngân hàng Nhà Nước.
- Thường xuyên thực hiện kiểm tra tính tuân thủ, toàn vẹn
của cấu hình chính sách bảo mật trong hệ thống nội bộ TCB phát hiện các hành vi vi phạm hoặc tấn công nội bộ.
- Phối hợp với các đơn vị Đánh giá Tuân thủ, Quán lý rủi ro để đánh giá mức độ tuân thủ của hệ thống công nghệ theo các chính sách, quy định, tiêu chuẩn, quy trình, danh sách kiểm tra.

Trách nhiệm chính (2)

2. Mảng Kiểm thử An ninh thông tin
- Thực hiện chiến lược đảm bảo An ninh thông tin:
+ Tham gia thực hiện chiến lược An ninh thông tin thông qua việc cung cấp các số liệu đầu vào về xu hướng tấn công, các dạng thức khai thác và rủi ro phát sinh trong từng giai đoạn.
+ Tham gia thực hiện kế hoạch triển khai đảm bảo An ninh thông tin hàng năm, đáp ứng nhu cầu kinh doanh và vận hành của doanh nghiệp thông qua việc thực hiện các chương trình kiểm thử An ninh thông tin cho hoạt động công nghệ của doanh nghiệp.
+ Xây dựng phương pháp kiểm tra thâm nhập, kịch bản quét bảo mật thông tin và kiểm tra bảo mật theo tiêu chuẩn quốc tế như OSSTMM, Sans và OWASP.
+ Phát triển các kỹ thuật mới, các kịch bản và chương trình khai thác để tự động kiểm tra thâm nhập
- Thực hiện hoạt động tấn công kiểm thử:
+ Trực tiếp thực hiện rà soát phát hiện các điểm yếu, đánh giá khả năng khai thác điểm yếu và tiến hành kiểm tra thâm nhập / khai thác định kỳ hoặc theo yêu cầu của lãnh đạo Khối cho tất cả các hệ thống / ứng dụng; thử nghiệm thâm nhập cho hệ thống / ứng dụng sau khi phát hiện trực tiếp hoặc bất cứ khi nào trải qua một thay đổi lớn. Các phương pháp kiểm thử phải đảm bảo tính thực tế bao gồm cả kĩ thuật (công nghệ) và phi kĩ thuật (con người, quy trình, tài sản vật lý). Từ đó cung cấp lại cho CISO cũng như các bộ phận An ninh thông tin khác để có các chương trình xử lý các vấn đề của điểm yếu hệ thống có thể bị khai thác được.
+ Thực hiện quét lỗ hổng thường xuyên, kiểm tra bảo mật thông tin để tìm ra lỗ hổng trong hệ thống và cung cấp giải pháp khắc phục / khắc phục; hỗ trợ duy trì tuân thủ các tiêu chuẩn an ninh thế giới như PCI-DSS, ISO27001, SCP (swift).
+ Thực hiện phát triển và quản lý chương trình quản lý lỗ hổng, cơ sở dữ liệu tình báo mối đe dọa. Thu thập, theo dõi các số liệu và phân tích xu hướng về phòng thủ không gian mạng, mối đe dọa, các cuộc tấn công được phát hiện, các lỗ hổng và các biện pháp xử lý/ngăn chặn.
+ Chủ động nghiên cứu / tìm ra lỗ hổng mới, kỹ thuật khai thác và các mối đe dọa trên mạng; xác định xu hướng trong bảo mật mạng liên quan đến chiến thuật, kỹ thuật và quy trình, nhắm mục tiêu để phát triển và triển khai phần mềm độc hại.
+ Trực tiếp tham gia vào kế hoạch thực nghiệm phản ứng với sự cố An ninh thông tin với tư cách là đơn vị tấn công và trong trường hợp sự cố An ninh thông tin thực tế là đội phản ứng. Phối hợp và cung cấp kỹ năng kỹ thuật phòng thủ không gian mạng chuyên gia để giải quyết các sự cố tấn công mạng

Trách nhiệm chính (3)

3. Mảng Quản trị An ninh thông tin
- Xây dựng/điều chỉnh và thực thi MTPQ của các hệ thống.
- Xây dựng các yêu cầu, biện pháp nhằm kiểm soát truy cập và bảo vệ dữ liệu của doanh nghiệp.
- Xây dựng, duy trì, tối ưu chính sách/tập luật/cấu hình An ninh thông tin cho các giải pháp đảm bảo An ninh thông tin như: Các giải pháp An ninh thông tin về quản lý định danh truy cập (PAM, IAM…); Các giải pháp An ninh thông tin về mạng lưới (Firewall, NAC, APT, NetIPS, DDOS…); Các giải pháp An ninh thông tin về thiết bị đầu cuối (AD GPO, HIPS/HFW, Appcontrol, Web/mail filtering, DB security…); Các giải pháp An ninh thông tin về dữ liệu (DLP, FAM…).
- Thẩm định, đánh giá, rà soát:
+ Công tác thực thi phân quyền đảm bảo tuân thủ theo ma trận phân quyền.
+ Công tác cấp phát, thu hồi tài khoản đặc quyền và chứng thư số trên các hệ thống công nghệ.
+ Các yêu cầu ngoại lệ liên quan đến định danh, quyền truy cập trên các hệ thống công nghệ
+ Các yêu cầu thay đổi trên các giải pháp đảm bảo An ninh thông tin.
- Quản trị rủi ro và tuân thủ
+ Nhận biết rủi ro của bộ phận trong quá trình hoạt động, đảm bảo tuân thủ đúng các quy trình, quy định của doanh nghiệp. Phối hợp với các đơn vị liên quan xử lý rủi ro.
+ Thực hiện các hoạt động xử lý rủi ro theo các báo cáo của các bộ phân kiểm toán bên trong/bên ngoài doanh nghiệp.

Chân dung Thành công - Bằng cấp, Kinh nghiệm

Bằng cấp:
- Tốt nghiệp chuyên ngành CNTT, Toán tin hoặc Điện tử viễn thông
- Ngoại ngữ: Tiếng Anh: Cấp độ 1 – TOEIC dưới 550
- Các chứng chỉ về an ninh thông tin như OSCP, chứng chỉ triển khai đánh giá PCI DSS, ISO
- Có các chứng chỉ về bảo mật ISC2 SSCP là một lợi thế
- Có các chứng chỉ của các hãng cung cấp các giải pháp đảm bảo ANTT như Microsoft/Cisco/PaloAlto/Checkpoint/Cyberark/Sailpoint…"
- Có chứng chỉ về an ninh thông tin như - SANS SEC660, SEC760, SANS SEC642, SANS SEC575, OSCE, OSCP
Kinh nghiệm:
- Có kinh nghiệm thực hiện đánh giá kiểm thử ANTT trong các tổ chức tài chính/dịch vụ/ viễn thông từ 5 năm. Kinh nghiêm bao gồm các khía cạnh:
+ Nghiên cứu, thiết kế, triển khai và đánh giá An ninh thông tin cho các hệ thống, ứng dụng
+ Triển khai PCI-DSS, ISO, Swift CSP… Tham gia triển khai xây dựng, kiểm soát tuân thủ tiêu chuẩn ANTT đối với hệ thống CNTT
- Có kinh nghiệm thực hiện đánh giá kiểm thử ANTT trong các tổ chức tài chính/dịch vụ/ viễn thông. Kinh nghiêm bao gồm các khía cạnh:
+ Kinh nghiệm trong hoạt động nghiên cứu lỗ hổng bảo mật, phát triển các kĩ thuật/công cụ tấn công, thực hiện tấn công kiểm thử các hệ thống công nghệ bằng các biện pháp kĩ thuật và phi kĩ thuật)
- Có kinh nghiệm triển khai, quản trị, vận hành chuyên sâu về mặt chính sách, tập luật, cấu hình ANTT tối thiểu một trong các mảng sau tại các tổ chức tài chính/dịch vụ/ viễn thông (5 năm):
- Các giải pháp ANTT về quản lý định danh truy cập (PAM, IAM…);
- Các giải pháp ANTT về mạng lưới (Firewall, NAC, APT, NetIPS, DDOS…);
- Các giải pháp ANTT về thiết bị đầu cuối (AD GPO, HIPS/HFW, Appcontrol, Web/mail filtering, DB security…);
- Các giải pháp ANTT về dữ liệu (DLP, FAM…).
- Kinh nghiệm đánh giá an ninh thông tin theo phương pháp Agile