Домен
Безопасность
Профиль навыка
Управление уязвимостями
Scanning, prioritization, SLA, patch management, CVSS, remediation tracking
Безопасность
Реагирование на инциденты
Ролей
6
где встречается этот навык
Грейдов
5
сформированная дорожка роста
Обязательных требований
23
ещё 7 — необязательные
Группа
Реагирование на инциденты
Последнее обновление
17.03.2026
Как использовать
Выберите текущий грейд и сравните ожидания. Карточки ниже покажут, что нужно закрыть для следующего уровня.
Чего ждут на каждом уровне
Таблица показывает, как меняется глубина владения навыком от Junior до Principal.
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Понимает базовые концепции Управление уязвимостями. Следует security guidelines. Распознаёт типовые уязвимости в коде. |
| DevSecOps Engineer | Обязателен | Изучает процесс управления уязвимостями: сканирование, приоритизация, патчинг. Запускает Nessus/OpenVAS для базового сканирования инфраструктуры. Понимает CVSS-скоринг и классификацию уязвимостей. Отслеживает CVE в NVD. Создаёт тикеты на устранение уязвимостей с описанием и remediation. |
| Network Engineer | Знает базовые концепции vulnerability management для network engineer и умеет применять их в типовых задачах. Использует стандартные инструменты и следует установленным практикам команды. Понимает когда и почему применяется данный подход. | |
| Penetration Testing Engineer | Обязателен | Понимает базовые концепции Управление уязвимостями. Следует security guidelines. Распознаёт типовые уязвимости в коде. |
| QA Security Engineer | Работает с vulnerability management: создаёт и трекает vulnerability reports, понимает CVSS scoring, следит за статусом remediation. Использует Jira/DefectDojo. | |
| Security Analyst | Обязателен | Понимает базовые концепции Управление уязвимостями. Следует security guidelines. Распознаёт типовые уязвимости в коде. |
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Управляет жизненным циклом уязвимостей от обнаружения до исправления в окружениях приложений. Проводит security code review для валидации и классификации выявленных уязвимостей. Использует сканеры и инструменты трекинга для ведения точного инвентаря проблем безопасности приложений. |
| DevSecOps Engineer | Обязателен | Внедряет регулярное vulnerability scanning для всей инфраструктуры через Qualys/Rapid7 InsightVM. Настраивает SLA по устранению: Critical 24h, High 7d, Medium 30d. Интегрирует результаты сканирования с Jira для автоматического создания тикетов. Строит дашборды с трендами уязвимостей. |
| Network Engineer | Уверенно применяет vulnerability management для network engineer при решении нестандартных задач. Самостоятельно выбирает оптимальный подход и инструменты. Анализирует trade-offs и предлагает улучшения существующих решений. | |
| Penetration Testing Engineer | Обязателен | Обнаруживает и валидирует уязвимости через penetration testing и эксплуатацию. Оценивает severity уязвимостей с использованием CVSS и анализа реальной эксплуатируемости. Использует платформы vulnerability management для трекинга находок и проверки эффективности исправлений. |
| QA Security Engineer | Управляет vulnerability lifecycle: triage, prioritization (CVSS + context), SLA tracking, verification of fixes. Настраивает DefectDojo/vulnerability tracker. Генерирует reports. | |
| Security Analyst | Обязателен | Триажит и приоритизирует уязвимости на основе скоринга рисков, критичности активов и контекста угроз. Мониторит vulnerability-фиды и коррелирует с экспозицией организации. Использует платформы vulnerability management для отчётов и отслеживания соблюдения SLA по командам. |
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Проектирует security-решения с Управление уязвимостями. Проводит threat modeling. Внедряет security practices в SDLC. Менторит команду. |
| DevSecOps Engineer | Обязателен | Проектирует программу Vulnerability Management с risk-based приоритизацией. Внедряет Threat Intelligence обогащение (EPSS, CISA KEV) для контекстной оценки рисков. Настраивает автоматическую remediation для типовых уязвимостей. Интегрирует VM с CMDB для asset-aware приоритизации. Проводит Red Team assessment. |
| Network Engineer | Экспертно применяет vulnerability management для network engineer для проектирования сложных систем. Оптимизирует существующие решения и предотвращает архитектурные ошибки. Проводит code review и обучает коллег лучшим практикам. | |
| Penetration Testing Engineer | Обязателен | Проектирует методологии оценки уязвимостей, комбинируя автоматическое сканирование с ручной эксплуатацией. Проводит threat modeling для приоритизации поиска уязвимостей в зонах высокого риска. Интегрирует результаты penetration testing в workflow vulnerability management. Менторит команду по техникам валидации. |
| QA Security Engineer | Обязателен | Проектирует vulnerability management program: risk-based prioritization (EPSS, threat intelligence), automated scanning pipeline, metrics (mean time to remediate). Интегрирует с SIEM. |
| Security Analyst | Обязателен | Проектирует комплексные программы vulnerability management с фреймворками приоритизации на основе рисков. Проводит threat modeling для маппинга уязвимостей по активам организации. Интегрирует данные уязвимостей в security operations для проактивного снижения рисков. Менторит аналитиков по триажу и трекингу исправлений. |
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Определяет стратегию vulnerability management для безопасности приложений на уровне организации. Устанавливает политики исправления, SLA и процедуры эскалации для критических уязвимостей. Координирует кросс-командное реагирование и внедрение shift-left практик. Обучает инженерные команды управлению жизненным циклом уязвимостей. |
| DevSecOps Engineer | Обязателен | Определяет стратегию Vulnerability Management для организации. Управляет VM-программой с отчётностью для CISO и совета директоров. Строит метрики зрелости: coverage, SLA compliance, mean time to remediate. Координирует vulnerability disclosure program. Интегрирует VM с GRC-платформой. |
| Network Engineer | Устанавливает стандарты применения vulnerability management для network engineer в команде и принимает архитектурные решения. Определяет технический roadmap с учётом данного навыка. Менторит senior инженеров и влияет на практики смежных команд. | |
| Penetration Testing Engineer | Обязателен | Определяет стратегию обнаружения уязвимостей, интегрируя penetration testing с программами непрерывного сканирования. Устанавливает политики классификации severity и стандарты валидации. Координирует red team оценки, встраивая их в процессы vulnerability management. Обучает pentest-инженеров системному анализу уязвимостей. |
| QA Security Engineer | Обязателен | Определяет vulnerability management стандарты: SLA per severity, triage process, escalation policy. Координирует vulnerability response. Внедряет vulnerability metrics и reporting. |
| Security Analyst | Обязателен | Определяет стратегию программы vulnerability management с метриками на основе рисков и executive-отчётностью. Устанавливает политики триажа, SLA на исправление и процессы управления исключениями. Координирует реагирование на уязвимости в масштабах организации при zero-day. Обучает аналитиков vulnerability intelligence и приоритизации. |
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Определяет архитектуру vulnerability management на уровне предприятия для всех платформ приложений и облачных окружений. Формирует стратегию исправления уязвимостей, согласованную с risk appetite бизнеса и регуляторными требованиями. Координирует vulnerability disclosure с вендорами. Продвигает стандарты vulnerability management. |
| DevSecOps Engineer | Обязателен | Архитектурно проектирует корпоративную программу Vulnerability Management как часть Cyber Risk Management. Определяет стратегию Exposure Management, объединяющую VM, ASM, CSPM. Разрабатывает risk quantification модель для уязвимостей. Влияет на бюджет и инвестиции в безопасность организации. |
| Network Engineer | Формирует стратегию применения vulnerability management для network engineer на уровне организации. Определяет best practices и влияет на выбор технологий за пределами своей команды. Является признанным экспертом в данной области. | |
| Penetration Testing Engineer | Обязателен | Определяет стратегию offensive security на уровне предприятия, питающую vulnerability management по всем системам. Формирует архитектуру оценки уязвимостей, комбинируя внутренний red team и внешнее тестирование. Координирует программы responsible disclosure с вендорами и CERT. Представляет организацию в vulnerability research community. |
| QA Security Engineer | Обязателен | Проектирует organizational vulnerability management: unified vulnerability platform, risk-based prioritization, automated remediation. Определяет vulnerability governance и continuous improvement. |
| Security Analyst | Обязателен | Определяет стратегию управления уязвимостями предприятия с отчётностью для совета директоров и compliance. Формирует архитектуру vulnerability intelligence, интегрируя внутренние и внешние данные об угрозах. Координирует работу с регуляторами и отраслевыми консорциумами по фреймворкам. Повышает устойчивость организации через проактивные программы. |
Загрузка комментариев...
Войти, чтобы присоединиться к обсуждению