Агенція оборонних закупівель DOT — державне підприємство, що займається закупівлею техніки, боєприпасів, БПЛА, харчування, одягу, паливо-мастильних матеріалів для ЗСУ та Сил Оборони.
Наша місія: забезпечуємо Сили Оборони та розвиваємо національний ВПК задля стійкості та обороноздатності України.
Наша візія: драйвер розвитку системи забезпечення Сил оборони України за стандартами НАТО.
Зараз ми в пошуку Керівника відділу інформаційної безпеки, який/яка відповідатиме за системний розвиток і підсилення функції інформаційної безпеки (governance, engineering, operations), поєднуючи менеджерське лідерство з практичною технічною залученістю: забезпечення підтримки, супроводу та вдосконалення існуючих процесів і контролів відповідно до стандартів NIST, управління системою інформаційної безпеки (СУІБ) і командою кібербезпеки, а також підвищення рівня готовності організації до кібератак та інцидентів.
Ключові результати на 6–12 місяців:
NIST-first: підтримано відповідність NIST для DOT Chain; узгоджено план подальших розширень (напр., Azure AI Foundry).
IT Enterprise: авторизовано з безпеки ІКС/впроваджено контрольні заходи безпеки передбачені вимогами NIST; впроваджено регулярний цикл перегляду ризиків, винятків і планів усунення вразливостей.
Команди: встановлено OKR/KPI для підрозділу; налагоджено постановку задач, пріоритезацію, огляди виконання й планування ресурсів, визначено вимірювальні стратегічні цілі.
SecOps (Azure): впорядковано моніторинг/реагування (Sentinel/Defender), керування вразливостями та ідентичностями; визначено RBAC з ІТ/розробкою.
Red/Purple teaming: проведено щонайменше 1–2 вправи (ransomware readiness, компрометація ідентичностей); результати інтегровані у беклоґ інженерних змін і навчання.
Постачальники/партнери: діє процес оцінювання й контролю вимог безпеки (NDA/SLA/DPA, аудит третіх сторін).
Зона відповідальності:
1. Лідерство, менеджмент і взаємодія
Операційне і стратегічне керівництво двома потоками: СУІБ/NIST (управління/ризик-менеджмент) і кібербезпека (SecOps/інженерія).
Постановка задач, розподіл обов’язків, контроль виконання, щотижневі оцінювання, OKR/KPI і персональні плани розвитку.
Взаємодія з ІТ, розробкою та бізнес-підрозділами: планування релізів і безпекових змін, пріоритезація ризиків, захист критичних сервісів.
2. Governance, Risk & Compliance
Підтримка/вдосконалення політик, стандартів і процедур; ведення реєстру ризиків і планів обробки; регулярні огляди й звітування.
Планування та підготовка до проведення внутрішніх і сертифікаційних аудитів СУІБ; координація дій з коригування.
Плавний перехід від КСЗІ до практик/контролів NIST; крос-мапінг (за потреби) до ISO 27001 для сумісності з вимогами.
Плани реагування на інциденти (IRP), засвоєні уроки.
Врахування вимог законодавства (захист персональних даних, інші нормативні вимоги) у політиках і договорах.
3. Security Engineering & Operations
Узгодження та розвиток технічних контролів: EDR/XDR, SIEM, DLP, PAM, IAM/Entra ID, MDM, захищеність серверів/робочих станцій/мережі/хмар.
Моніторинг інцидентів і реагування, керування вразливостями (end‑to‑end від виявлення до усунення, з пріоритетами за бізнес-критичністю).
Посилення захисту облікових записів (MFA, PIM, least privilege, JML), захист ключів/секретів, журналювання.
Узгодження процесів SOC , runbooks, SLO/SLA на реагування.
4. Продуктова та прикладна безпека (AppSec, Secure SDLC)
Покращення безпеки в життєвому циклі продуктів і систем: моделювання загроз, ревізія архітектури безпеки, автоматизація процесу сканування коду під час розробки, SBOM, DevSecOps у CI/CD.
Інтеграція результатів red/purple‑team вправ у беклоґ інженерних змін і навчання команд.
5. Постачальники
Оцінювання та аудит постачальників інтегрованих з DOT Chain , що обробляють дані чи мають доступ; вимоги NDA/SLA/DPA; контроль виконання.
6. Звітність, метрики, бюджет
Регулярна звітність керівництву: ризик‑профіль, статус KPI/OKR, прогрес усуненн


