Требования к ПО в реестре российских программ ужесточат?
Новые обязательные требования для ПО в реестре Минцифры
Опубликован проект, предполагающий изменение ключевых Постановлений 1236 и 325 по включению в реестр российского программного обеспечения. Новые обязательные условия, дополнительные требования, изменения в содержании реестровых записей, ежегодный отчет правообладателей и правила аттестации отраслевых центров — всё это мы разберем в данной статье. Проект Постановления находится на стадии публичного обсуждения, так что еще может изменяться в деталях.
1. Обязательные требования, сроки перехода
2. Дополнительные требования
3. Изменения в реестровой записи и актуализация сведений
4. Правила аттестации отраслевых центров
5. Выводы и вопросы
1. Обязательные требования, сроки перехода
а) Требования к госкомпаниям, другими организациям с участием государства более 50% и аффилированными с ними лицам
Чтобы указанные выше организации могли зарегистрировать программу в реестре Минцифры:
ПО не должно иметь аналогов в реестре в классе по утвержденному классификатору;
ПО должно приносить доход от реализации прав;
за прошедший год доля от дохода сторонним организациям (не аффилированным) составляет более 70%.
Сроки введения: с 1 июня 2025 года.
б) Требование совместимости с ОС соответствующим дополнительным требованиям
Про суть дополнительных требований для реестра российского программного обеспечения напишем ниже, пока же разберемся с «совместимостью».
«совместимость программного обеспечения» — возможность выполнения программным обеспечением своих функций под управлением операционной системы общего назначения при совместном использовании такого программного обеспечения с техническими средствами без нарушения их корректного функционирования.
Цитата из нового проекта
Получается, что данное требование не касается ПО, работающего под управлением мобильных, сетевых, реального времени и других специализированных операционных систем. Подпадает же софт для серверов, АРМ и рабочих станций.
Теперь к самим требованиям:
совместимость программы с 2 ОС общего назначения (в реестре + выполнены доп требования);
совместимость с 1 ОС, если ПО предполагается использовать строго в составе ПАК, который тоже в реестре. Но чтобы включить ПАК, сначала надо включить ПО в составе комплекса в реестр, поэтому на это дается 6 месяцев, после регистрации программы. Если не включить ПАК за это время, ПО вылетит.
Данное требование предполагается вводить поэтапно для разных групп классов ПО:
с 1 июня 25 года для офисного ПО и средств виртуализации;
с 1 января 26 — СУБД и СХД, средств анализа данных, обеспечения ИБ, обеспечения облачных и распределенных вычислений, контейнеризации, разработки и анализа данных, программ обслуживания, систем управления и мониторинга, программ обслуживания, серверного, связующего и лингвистического ПО;
с 1 июня 26 года — прикладного в том числе отраслевого ПО и средств обработки, визуализации массивов данных;
с с 1 января 27 года — средства управления процессами организации и промышленного софта.
А как будет проверяться ПО, уже зарегистрированное в реестре? Проект предписывает Минцифры в течении полугода после публикации изменений разработать план проверки ПО в реестре. Удачи им в этом, учитывая, что в перечне содержится более 22 тысяч записей.
2. Дополнительные требования
Помимо обязательных требований к ПО, невыполнение которых не позволит попасть в реестр Минцифры, вводятся дополнительные. В СМИ утверждают, что их выполнение позволит получить преимущества на государственных и муниципальных торгах, хотя в проекте об этом не сказано.
Проверку дополнительных условий реестра российских программ будут проводить сторонние организации по договору с правообладателем. Видимо, платно.
Требования для включения в реестр российского ПО разделены на общие (для всех программ) и частные для конкретного класса программы. Как именно подтвердить выполнение того или иного условия пока непонятно. После подтверждения соответствия и получения некого документа от аккредитованной организации, правообладатель подает заявление через сайт реестра, чтобы внести данную информацию в реестровую запись ПО.
Общие требования к ПО такие:
Совместимость с центральным процессором из реестра Минпромторга, с 28 года — с 2 ЦП. Скорее всего, для этого пункта прикладным программам будет достаточно показать совместимость с ОС общего назначения, которые удовлетворили дополнительным требованиям. Непонятно, что с ПО на других типах ОС и работающих на устройствах, у которых отсутствует центральный процессор (нет сокета на плате).
При обновлении не должны использоваться иностранные технические и программные средства, обновление ПО только с разрешения пользователя (можно прописать в условиях пользовательского соглашения).
Для SaaS-решений с доступом только через браузер требуется совместимость с реестровым браузером с отметкой выполнения доп. требований.
Open source компоненты должны использоваться с соблюдением условий их лицензий.
Разработка и модификация ПО на основе Open source должна подтверждаться записями журнала системы контроля версий (Git).
Техническая поддержка на всей территории России, контакты и другая информация об этом должна быть на сайте компании правообладателя.
На сайте должна публиковаться информация об обновлениях ПО и документация о публичных API (при наличии).
Комплект программной и другой документации необходимой для эксплуатации, средства разработки и созданные с их помощью программы не должны иметь ограничений на использование на всей территории РФ.
Сервис учета ошибок (bug tracking system).
База для подготовки пользователей к настройке и эксплуатации программы.
Отсутствие неустраненных уязвимостей в ПО после их публикации в банке угроз ФСТЭК.
Также опишем требования к ОС общего назначения:
многозадачность и поддержка нескольких пользователей с изолированным окружением;
варианты установки и обновления с локального диска, сетевого ресурса или из подключенного репозитория, находящегося на территории РФ;
поддержка централизованной установки и обновления компонентов и прикладного ПО с использованием встроенных решений;
наличие у правообладателя в России собственного репозитория или серверов для обновления компонентов и прикладного ПО;
графический интерфейс пользователя (только для рабочих станций);
минимум 1 вариант исполнения ОС правообладателя с действующим сертификатом ФСТЭК;
встроенная поддержка действующих сертификатов безопасности ИС национального удостоверяющего центра;
правообладатель должен поддерживать актуальность перечня модулей и компонентов, входящих в состав экземпляра операционной системы, в том числе состав и описание объекта оценки для операционной системы, имеющей действующий сертификат ФСТЭК;
исходные тексты ОС, база для разработки и сборочной среды полнофункционального экземпляра в изолированном окружении;
компоненты экземпляра операционной системы (за исключением драйверов периферийных устройств и программ из реестров Минцифры, предоставляемых их разработчиками в виде исполняемого кода) должны быть скомпилированы из исходных текстов правообладателем в контролируемой им сборочной среде в изолированном окружении;
предоставляемые в составе экземпляра ОС файлы или модули должны быть подписаны усиленной электронной подписью или позволяют загружать или исполнять сторонние подписанные усиленной электронной подписью исполняемые файлы или модули, такие файлы и модули должны быть подписаны усиленной электронной подписью правообладателя.
3. Изменения в реестровой записи и актуализация сведений
Правообладатели ПО ежегодно до 1 июня обязаны обновлять информацию, подав заявление через сайт реестра. А именно:
Описание функциональных характеристик, руководство по эксплуатации и инструкцию по установке ПО. Эта информация теперь будет доступна и в карточке программы в реестре.
Информацию о стоимости ПО или порядке ее определения. Также теперь в реестре.
% выплат иностранным лицам от доходов за реализацию прав от ПО за прошедший год по лицензионным и иным договорам.
Общая сумма поступлений от реализации прав на ПО. Данная информация останется непубличной.
Помимо добавления в карточку программы программной документации и информации о цене, также добавится еще 2 новых пункта:
информация о совместимости программы с ОС, про что писали выше;
информация о соответствии самого ПО дополнительным требованиям.
4. Правила аттестации отраслевых центров
И последнее, что описывает новый законопроект — это регламент аттестации отраслевых центров, которые подтверждают, что программа и ее правообладатель выполняют дополнительные требования.
Требования к претендентам такие:
Быть в реестре ИТ-компаний согласно Постановлению 1729.
В структуре организации должно быть хотя бы 1 из следующих подразделений:
испытательный центр, аккредитованный по федеральному закону 184; инжиниринговый центр, соответствующий ГОСТ Р 57306–2016; испытательный полигон по цифровому моделированию и виртуальным испытаниям, на котором возможна подготовка и и использование виртуальных испытательных стендов.
Оборудование и ПО испытательных стендов отвечает рекомендациям Минцифры.
Не менее 10 работников с высшим ИТ-образованием в коллективе.
Организация работает в ИТ более 3 лет.
Более 10 млн. чистых активов согласно бухгалтерской отчетности.
Договор страхования от убытков, причиненных недостоверными или необъективными результатами при проверке ПО из реестра Минцифры на сумму не менее 10 млн.
5. Выводы и вопросы
Если данный проект будет принят, то это значительно усложняет попадание в реестр некоторым правообладателям, особенно с мажоритарным госучастием. При этом, пока есть ряд неясных моментов и еще даже неразработанных механизмов. При таком раскладе регистрация ПО в реестре до введения данных изменений в силу выглядит еще более привлекательно. Так как механизм проверки текущих записей и их огромное количество предполагает долгий переходный период.
Проект оставляет за собой и ряд вопросов. Например, обязательность совместимости с ОС не общего назначения, нужна ли совместимость с российской ИМС (интегральная микросхема) для ПО работающих на устройствах без центрального процессора и другие.
Если остались вопросы, пишите их в комментариях или обратитесь к нам через телеграм.
