Как получить лицензии ФСТЭК России и не получить травму: опыт Angie Software

Всем привет! В сентябре 2025 года мы в Angie Software получили долгожданные лицензии ФСТЭК, которые позволят нам заняться сертификацией продуктов. К этой точке в пространстве и времени мы шли почти год, хотя изначально казалось, что сама по себе процедура представляет довольно простой алгоритм. И не должна отнимать столько времени. В этом тексте мы попробуем рассказать нормальным русским языком - что такое лицензии ФСТЭК, зачем они вам нужны, как все это связано с сертификацией продуктов, чем это, в теории, будет вам полезно. И укажем, какие ошибки мы допустили по дороге. Возможно, вам это сэкономит кучу времени и спасет тонны нервных клеток. Нам бы такой текст точно пригодился. Но мы его в свое время не нашли...

https://habr.com/ru/articles/974566/

#лицензирование #фстэк_россии #сертификация #информационная_безопасность #техническая_защита_информации

От идеи до сертификации: как мы делали устройство, которое должно спасать людей при ДТП

Меня зовут Владимир Радченко, я инженер-программист в компании Taiga IoT. В 2022 году мне довелось принять участие в проекте, который оказался значительно сложнее, чем можно было представить по описанию стандарта: разработке Устройства Вызова Экстренных Оперативных Служб (УВЭОС) в формате дополнительного оборудования для системы ЭРА-ГЛОНАСС. В обиходе это устройство называют «SOS-кнопкой», «тревожной кнопкой» или «кнопкой спасения». На момент начала проекта в России не существовало ни одного УВЭОС в такой конфигурации, которое прошло бы полный цикл — от разработки до сертификации. Поэтому нам пришлось буквально прокладывать путь: разбираться с нюансами ГОСТов, собирать прототипы, ездить на испытания и устранять проблемы, которые всплывали в самых неожиданных местах. Эта статья — о том, как выглядел этот путь изнутри: от схемотехнических решений до функциональных, акустических и ЭМС-испытаний, без которых устройство не может попасть на рынок.

https://habr.com/ru/articles/968926/

#эраглонасс #УВЭОС #разработка_электроники #производство_электроники_в_россии #производство_электроники #сертификация #автомобильная_электроника

Конформанс-тестирование: как мы сертифицировали базовую станцию YADRO

Привет, Хабр! Меня зовут Анна Курина, я старший инженер по тестированию в отделе бокс-тестирования базовой станции LTE в YADRO. Сегодня я расскажу, как мы проходили сертификацию базовой станции: проверяли соответствие российскому законодательству и спецификациям 3GPP. А еще мы разберемся с малознакомым для широкой аудитории QA-инженеров видом тестирования: тестированием на соответствие (conformance testing). Оно позволяет тестировщику окунуться в реальную эксплуатацию оборудования, а не просто провести тесты и забыть о «железе».

https://habr.com/ru/companies/yadro/articles/964172/?utm_source=habrahabr&utm_medium=rss&utm_campaign=964172

#базовая_станция #BBU #телеком #конформанстестирование #qa #сертификация #RU #радиомодуль

ФСТЭК России в облаках: как жить по стандартам в программно-определяемом ЦОД

Сегодня российский рынок ИТ-инфраструктуры находится на стыке двух мощных трендов: мы наблюдаем все более широкое внедрение облачных и программно-определяемых решений, вместе с тем видим усиливающееся нормативное регулирование со стороны государства. Компании, которые планируют или уже эксплуатируют программно-определяемые центры обработки данных, неизбежно сталкиваются с вопросом аттестации таких решений. С одной стороны, программные ЦОДы значительно ускоряют бизнес-процессы и упрощают управление инфраструктурой. С другой стороны, российские регуляторы (ФСТЭК России, ФСБ и Росстандарт) предъявляют жесткие требования к обеспечению безопасности, надежности и соответствия национальным стандартам, особенно в сферах, затрагивающих критическую информационную инфраструктуру и обработку персональных данных. В этой статье я детально рассмотрю, как именно государство видит программно-определяемый ЦОД с точки зрения нормативных требований и сертификации. Вы узнаете, какие компании и в каких случаях обязаны получать сертификат соответствия, а кто может спокойно обойтись без него, а также получите обзор нормативных актов и стандартов, регулирующих эту сферу. Меня зовут Дмитрий Гоголев, я — директор по развитию облачной платформы Cloudlink в Orion soft, и моя цель — помочь читателям разобраться, как грамотно и без лишних затрат обеспечить соответствие российскому законодательству, не жертвуя при этом преимуществами современных технологий.

https://habr.com/ru/companies/orion_soft/articles/965688/

#облако #облачные_сервисы #фстэк_россии #сертификация #cloudlink #cmp

Конформанс-тестирование: как мы сертифицировали базовую станцию YADRO

Привет, Хабр! Меня зовут Анна Курина, я старший инженер по тестированию в отделе бокс-тестирования базовой станции LTE в YADRO. Сегодня я расскажу, как мы проходили сертификацию базовой станции: проверяли соответствие российскому законодательству и спецификациям 3GPP. А еще мы разберемся с малознакомым для широкой аудитории QA-инженеров видом тестирования: тестированием на соответствие (conformance testing). Оно позволяет тестировщику окунуться в реальную эксплуатацию оборудования, а не просто провести тесты и забыть о «железе».

https://habr.com/ru/companies/yadro/articles/964172/

#базовая_станция #BBU #телеком #конформанстестирование #qa #сертификация #RU #радиомодуль

Рассказ о том как я на сертификат хакера сдавал. Путь к OSCP

Что это такое Для тех кто не знает - OSCP - это самая первая и известная прикладная сертификация по пентесту от создателей Kali Linux . Представляет из себя 24-часовой экзамен, в котором даётся VPN-подключение к тестовой лаборатории и хосты для взлома. Да-да, надо именно получить удалённый доступ через какую-то уязвимость и повысить привилегии до админа или рута, чтобы получить заветный скрытый файл. За каждый такой файл начисляются балы для успешной сдачи. То есть, это своего рода CTF, но с более реальным целями. Здесь я хочу рассказать не только что это за зверь и с чем его едят, но и как к нему подготовиться. Подготовка Вообще, если пентестер сдал OSCP, то его спокойно можно считать хорошим мидлом. Поэтому какие-то базовые понятия хакинга в начале обучения необходимы. Сей путь я начал с нуля ещё в 2020 году. Купил тогда пак на 90 дней лабы и на экзамен. За эти деньги даётся ещё 500 страничная электронная книга в помощь падаванам. Скачал заветный openvpn конфиг и сразу ринулся в бой. На начальном этапе сразу определилась моя основная проблема - отсутствие чёткой методики действий. Да, у меня уже был годовой опыт джуна за плечами и я даже находил пару критических уязвимостей до этого. Но то было скорее результатом рандомных действий, так называемого “творческого подхода”: погуглил там, подёргал сям и что-то вышло. Тут я наткнулся на канал IppSec на Youtube.

https://habr.com/ru/companies/technokratos/articles/964256/

#OSCP #сертификация #хакерство #саморазвитие

Как мы повышали доверие к YandexGPT, или Сертификация по ISO 42001

Сервисы с ИИ развиваются стремительно — сегодня почти каждый продукт старается встроить в себя хотя бы один нейросетевой‑модуль. Иногда достаточно одной фразы «Мы используем искусственный интеллект», чтобы привлечь внимание аудитории и повысить интерес к продукту. Однако чем глубже ИИ встраивается в реальные бизнес‑процессы, тем выше становится запрос на его ответственное использование и управление им. Возникает очевидный вопрос: как убедиться, что такие системы этичны, устойчивы и безопасны? Для крупных разработчиков LLM доверие стало одной из ключевых целей. Чтобы его добиться, компании стремятся продемонстрировать прозрачность работы моделей, объясняют их решения, применяют механизмы обеспечения справедливости и недискриминации, а также используют стратегию управления рисками. Меня зовут Анна Зинчук, я руководитель службы комплаенса и обучения информационной безопасности. В статье я расскажу, как измерить доверие к ИИ и закрепить его.

https://habr.com/ru/companies/yandex/articles/935076/

#YandexGPT #42001 #доверенный_ИИ #aims #иб #сертификация

Как сдать на РМР в 2025 году, если ты из России

Привет, Хабр! Я Катя Павлова, работаю в «Петрович-Тех». Последние 8 лет я пытаюсь управлять проектами, а 30 апреля 2025 года получила сертификат РМР. В этой статье поделюсь опытом, как можно сдать на РМР в 2025 году, не продавая душу дьяволу. Ну, почти.

https://habr.com/ru/companies/petrovich-tech/articles/933108/

#pmp #pmi #управление_проектами #сертификация #экзамен #проектный_менеджмент #повышение_квалификации

Как устроены цифровые сертификаты

Цифровой сертификат является неотъемлемой частью систем информационной безопасности, при этом зачастую вскользь упоминаясь как сопутствующий элемент более крупных технологий и протоколов. Рассмотрим сертификаты как независимые единицы: их структуру, области применения и жизненный цикл.

https://habr.com/ru/articles/930972/

#сертификаты #электронные_сертификаты #сертификация #сертификаты_x509 #sslсертификаты #tls #подпись_кода #безопасность_вебприложений #информационная_безопасность

Обзор на Certified Red Team Professional (CRTP) от Altered Security

После успешной сдачи OSCP и OSCP+ я решил изучить поближе пентест Active Directory с точки зрения red teaming. Я выбрал курс Certified Red Team Professional (CRTP) от Altered Security, потому что он подходит для новичков и плюс можно протестировать среду с включенными системами защиты на всех машинах, включая Microsoft Defender, что на мой взгляд более близко к реальным условиям. В пентест сертификациях PNPT и OSCP на всех машинах выключен AV по умолчанию. Кроме того, я хотел не просто научиться новым техникам, но и понять образ мышления настоящих атакующих, уделяя внимание операционной безопасности (OpSec). О курсе Курс CRTP состоит из видеолекций и презентаций. Я выбрал для себя смешанный подход: смотрел видео, параллельно изучал слайды и сразу же применял полученные знания в лабораторной среде. Материал изложен ясно и структурированно. Если какая-то тема требовала более глубокого погружения, я обращался к ChatGPT/Gemini для дополнительной информации. В процессе обучения у меня не возникло серьёзных трудностей. Пару раз команды из слайдов не срабатывали, но в решениях лабораторных работ, предоставляемые как часть курса CRTP, находились актуальные и работающие альтернативы. Я не буду перечислять все темы курса — с ними можно ознакомиться на сайте Altered Security. Вместо этого выделю несколько техник, которые стали для меня новыми, поскольку их не было в учебных материалах OSCP или PNPT:

https://habr.com/ru/articles/928858/

#хакинг #сертификация #обучение #red_team #кибербезопасность #информационная_безопасность #пентест #offensive_security