Новые обязательные требования для ПО в реестре МинцифрыОпубликован проект, предполагающий изменение ключевых Постановлений 1236 и 325 по включению в реестр российского программного обеспечения. Новые обязательные условия, дополнительные требования, изменения в содержании реестровых записей, ежегодный отчет правообладателей и правила аттестации отраслевых центров - всё это мы разберем в данной статье. Проект Постановления находится на стадии публичного обсуждения, так что еще может изменяться в деталях.1. Обязательные требования, сроки перехода2. Дополнительные требования3. Изменения в реестровой записи и актуализация сведений4. Правила аттестации отраслевых центров5. Выводы и вопросы1. Обязательные требования, сроки переходаа) Требования к госкомпаниям, другими организациям с участием государства более 50% и аффилированными с ними лицамЧтобы указанные выше организации могли зарегистрировать программу в реестре Минцифры:ПО не должно иметь аналогов в реестре в классе по утвержденному классификатору;ПО должно приносить доход от реализации прав;за прошедший год доля от дохода сторонним организациям (не аффилированным) составляет более 70%.Сроки введения: с 1 июня 2025 года.б) Требование совместимости с ОС соответствующим дополнительным требованиямПро суть дополнительных требований для реестра российского программного обеспечения напишем ниже, пока же разберемся с “совместимостью”. «совместимость программного обеспечения» – возможность выполнения программным обеспечением своих функций под управлением операционной системы общего назначения при совместном использовании такого программного обеспечения с техническими средствами без нарушения их корректного функционирования.Цитата из нового проектаПолучается, что данное требование не касается ПО, работающего под управлением мобильных, сетевых, реального времени и других специализированных операционных систем. Подпадает же софт для серверов, АРМ и рабочих станций.Теперь к самим требованиям:совместимость программы с 2 ОС общего назначения (в реестре + выполнены доп требования);совместимость с 1 ОС, если ПО предполагается использовать строго в составе ПАК, который тоже в реестре. Но чтобы включить ПАК, сначала надо включить ПО в составе комплекса в реестр, поэтому на это дается 6 месяцев, после регистрации программы. Если не включить ПАК за это время, ПО вылетит.Данное требование предполагается вводить поэтапно для разных групп классов ПО:с 1 июня 25 года для офисного ПО и средств виртуализации;с 1 января 26 - СУБД и СХД, средств анализа данных, обеспечения ИБ, обеспечения облачных и распределенных вычислений, контейнеризации, разработки и анализа данных, программ обслуживания, систем управления и мониторинга, программ обслуживания, серверного, связующего и лингвистического ПО;с 1 июня 26 года - прикладного в том числе отраслевого ПО и средств обработки, визуализации массивов данных;с с 1 января 27 года - средства управления процессами организации и промышленного софта.А как будет проверяться ПО, уже зарегистрированное в реестре? Проект предписывает Минцифры в течении полугода после публикации изменений разработать план проверки ПО в реестре. Удачи им в этом, учитывая, что в перечне содержится более 22 тысяч записей.2. Дополнительные требованияПомимо обязательных требований к ПО, невыполнение которых не позволит попасть в реестр Минцифры, вводятся дополнительные. В СМИ утверждают, что их выполнение позволит получить преимущества на государственных и муниципальных торгах, хотя в проекте об этом не сказано.Проверку дополнительных условий реестра российских программ будут проводить сторонние организации по договору с правообладателем. Видимо, платно.Требования для включения в реестр российского ПО разделены на общие (для всех программ) и частные для конкретного класса программы. Как именно подтвердить выполнение того или иного условия пока непонятно. После подтверждения соответствия и получения некого документа от аккредитованной организации, правообладатель подает заявление через сайт реестра, чтобы внести данную информацию в реестровую запись ПО.Общие требования к ПО такие:Совместимость с центральным процессором из реестра Минпромторга, с 28 года - с 2 ЦП. Скорее всего, для этого пункта прикладным программам будет достаточно показать совместимость с ОС общего назначения, которые удовлетворили дополнительным требованиям. Непонятно, что с ПО на других типах ОС и работающих на устройствах, у которых отсутствует центральный процессор (нет сокета на плате).При обновлении не должны использоваться иностранные технические и программные средства, обновление ПО только с разрешения пользователя (можно прописать в условиях пользовательского соглашения).Для SaaS-решений с доступом только через браузер требуется совместимость с реестровым браузером с отметкой выполнения доп. требований.Open source компоненты должны использоваться с соблюдением условий их лицензий.Разработка и модификация ПО на основе Open source должна подтверждаться записями журнала системы контроля версий (Git).Техническая поддержка на всей территории России, контакты и другая информация об этом должна быть на сайте компании правообладателя.На сайте должна публиковаться информация об обновлениях ПО и документация о публичных API (при наличии).Комплект программной и другой документации необходимой для эксплуатации, средства разработки и созданные с их помощью программы не должны иметь ограничений на использование на всей территории РФ.Сервис учета ошибок (bug tracking system).База для подготовки пользователей к настройке и эксплуатации программы.Отсутствие неустраненных уязвимостей в ПО после их публикации в банке угроз ФСТЭК. Также опишем требования к ОС общего назначения:многозадачность и поддержка нескольких пользователей с изолированным окружением;варианты установки и обновления с локального диска, сетевого ресурса или из подключенного репозитория, находящегося на территории РФ;поддержка централизованной установки и обновления компонентов и прикладного ПО с использованием встроенных решений;наличие у правообладателя в России собственного репозитория или серверов для обновления компонентов и прикладного ПО;графический интерфейс пользователя (только для рабочих станций);минимум 1 вариант исполнения ОС правообладателя с действующим сертификатом ФСТЭК;встроенная поддержка действующих сертификатов безопасности ИС национального удостоверяющего центра;правообладатель должен поддерживать актуальность перечня модулей и компонентов, входящих в состав экземпляра операционной системы, в том числе состав и описание объекта оценки для операционной системы, имеющей действующий сертификат ФСТЭК;исходные тексты ОС, база для разработки и сборочной среды полнофункционального экземпляра в изолированном окружении;компоненты экземпляра операционной системы (за исключением драйверов периферийных устройств и программ из реестров Минцифры, предоставляемых их разработчиками в виде исполняемого кода) должны быть скомпилированы из исходных текстов правообладателем в контролируемой им сборочной среде в изолированном окружении;предоставляемые в составе экземпляра ОС файлы или модули должны быть подписаны усиленной электронной подписью или позволяют загружать или исполнять сторонние подписанные усиленной электронной подписью исполняемые файлы или модули, такие файлы и модули должны быть подписаны усиленной электронной подписью правообладателя.3. Изменения в реестровой записи и актуализация сведенийПравообладатели ПО ежегодно до 1 июня обязаны обновлять информацию, подав заявление через сайт реестра. А именно:Описание функциональных характеристик, руководство по эксплуатации и инструкцию по установке ПО. Эта информация теперь будет доступна и в карточке программы в реестре.Информацию о стоимости ПО или порядке ее определения. Также теперь в реестре.% выплат иностранным лицам от доходов за реализацию прав от ПО за прошедший год по лицензионным и иным договорам.Общая сумма поступлений от реализации прав на ПО. Данная информация останется непубличной.Помимо добавления в карточку программы программной документации и информации о цене, также добавится еще 2 новых пункта:информация о совместимости программы с ОС, про что писали выше;информация о соответствии самого ПО дополнительным требованиям.4. Правила аттестации отраслевых центровИ последнее, что описывает новый законопроект - это регламент аттестации отраслевых центров, которые подтверждают, что программа и ее правообладатель выполняют дополнительные требования.Требования к претендентам такие:Быть в реестре ИТ-компаний согласно Постановлению 1729.В структуре организации должно быть хотя бы 1 из следующих подразделений:испытательный центр, аккредитованный по федеральному закону 184;инжиниринговый центр, соответствующий ГОСТ Р 57306-2016;испытательный полигон по цифровому моделированию и виртуальным испытаниям, на котором возможна подготовка и и использование виртуальных испытательных стендов.Оборудование и ПО испытательных стендов отвечает рекомендациям Минцифры.Не менее 10 работников с высшим ИТ-образованием в коллективе.Организация работает в ИТ более 3 лет.Более 10 млн. чистых активов согласно бухгалтерской отчетности.Договор страхования от убытков, причиненных недостоверными или необъективными результатами при проверке ПО из реестра Минцифры на сумму не менее 10 млн.5. Выводы и вопросыЕсли данный проект будет принят, то это значительно усложняет попадание в реестр некоторым правообладателям, особенно с мажоритарным госучастием. При этом, пока есть ряд неясных моментов и еще даже неразработанных механизмов. При таком раскладе регистрация ПО в реестре до введения данных изменений в силу выглядит еще более привлекательно. Так как механизм проверки текущих записей и их огромное количество предполагает долгий переходный период.Проект оставляет за собой и ряд вопросов. Например, обязательность совместимости с ОС не общего назначения, нужна ли совместимость с российской ИМС (интегральная микросхема) для ПО работающих на устройствах без центрального процессора и другие.Если Вы хотите зарегистрировать ПО или ПАК в реестре Минцифры, обращайтесь к нам за помощью.Подписывайтесь на наш телеграм, чтобы быть в курсе последних изменений по внесению в реестры и получать оперативные ответы экспертов.
Главное чтобы нормально ПО работало