SavePearlHarbor

Требования к ПО в реестре российских программ ужесточат?

от автора

admin
Новые обязательные требования для ПО в реестре Минцифры

Новые обязательные требования для ПО в реестре Минцифры

Опубликован проект, предполагающий изменение ключевых Постановлений 1236 и 325 по включению в реестр российского программного обеспечения. Новые обязательные условия, дополнительные требования, изменения в содержании реестровых записей, ежегодный отчет правообладателей и правила аттестации отраслевых центров — всё это мы разберем в данной статье. Проект Постановления находится на стадии публичного обсуждения, так что еще может изменяться в деталях.

1. Обязательные требования, сроки перехода

2. Дополнительные требования

3. Изменения в реестровой записи и актуализация сведений

4. Правила аттестации отраслевых центров

5. Выводы и вопросы

1. Обязательные требования, сроки перехода

а) Требования к госкомпаниям, другими организациям с участием государства более 50% и аффилированными с ними лицам

Чтобы указанные выше организации могли зарегистрировать программу в реестре Минцифры:

  • ПО не должно иметь аналогов в реестре в классе по утвержденному классификатору;

  • ПО должно приносить доход от реализации прав;

  • за прошедший год доля доходов от реализации прав на ПО, полученная от сторонних организаций (не аффилированных), составляет более 70%.

Сроки введения: с 1 июня 2025 года.

б) Требование совместимости с ОС соответствующим дополнительным требованиям

Про суть дополнительных требований для реестра российского программного обеспечения напишем ниже, пока же разберемся с “совместимостью”.

«совместимость программного обеспечения» – возможность выполнения программным обеспечением своих функций под управлением операционной системы общего назначения при совместном использовании такого программного обеспечения с техническими средствами без нарушения их корректного функционирования.

Цитата из нового проекта

Получается, что данное требование не касается ПО, работающего под управлением мобильных, сетевых, реального времени и других специализированных операционных систем. Подпадает же софт для серверов, АРМ и рабочих станций.

Теперь к самим требованиям:

  • совместимость программы с 2 ОС общего назначения (в реестре + выполнены доп требования);

  • совместимость с 1 ОС, если ПО предполагается использовать строго в составе ПАК, который тоже в реестре. Но чтобы включить ПАК, сначала надо включить ПО в составе комплекса в реестр, поэтому на это дается 6 месяцев, после регистрации программы. Если не включить ПАК за это время, ПО вылетит.

Данное требование предполагается вводить поэтапно для разных групп классов ПО:

  • с 1 июня 25 года для офисного ПО и средств виртуализации;

  • с 1 января 26 — СУБД и СХД, средств анализа данных, обеспечения ИБ, обеспечения облачных и распределенных вычислений, контейнеризации, разработки и анализа данных, программ обслуживания, систем управления и мониторинга, программ обслуживания, серверного, связующего и лингвистического ПО;

  • с 1 июня 26 года — прикладного в том числе отраслевого ПО и средств обработки, визуализации массивов данных;

  • с с 1 января 27 года — средства управления процессами организации и промышленного софта.

А как будет проверяться ПО, уже зарегистрированное в реестре? Проект предписывает Минцифры в течении полугода после публикации изменений разработать план проверки ПО в реестре. Удачи им в этом, учитывая, что в перечне содержится более 22 тысяч записей.

2. Дополнительные требования

Помимо обязательных требований к ПО, невыполнение которых не позволит попасть в реестр Минцифры, вводятся дополнительные. В СМИ утверждают, что их выполнение позволит получить преимущества на государственных и муниципальных торгах, хотя в проекте об этом не сказано.

Проверку дополнительных условий реестра российских программ будут проводить сторонние организации по договору с правообладателем. Видимо, платно.

Требования для включения в реестр российского ПО разделены на общие (для всех программ) и частные для конкретного класса программы. Как именно подтвердить выполнение того или иного условия пока непонятно. После подтверждения соответствия и получения некого документа от аккредитованной организации, правообладатель подает заявление через сайт реестра, чтобы внести данную информацию в реестровую запись ПО.

Общие требования к ПО такие:

  • Совместимость с центральным процессором из реестра Минпромторга, с 28 года — с 2 ЦП. Скорее всего, для этого пункта прикладным программам будет достаточно показать совместимость с ОС общего назначения, которые удовлетворили дополнительным требованиям. Непонятно, что с ПО на других типах ОС и работающих на устройствах, у которых отсутствует центральный процессор (нет сокета на плате).

  • При обновлении не должны использоваться иностранные технические и программные средства, обновление ПО только с разрешения пользователя (можно прописать в условиях пользовательского соглашения).

  • Для SaaS-решений с доступом только через браузер требуется совместимость с реестровым браузером с отметкой выполнения доп. требований.

  • Open source компоненты должны использоваться с соблюдением условий их лицензий.

  • Разработка и модификация ПО на основе Open source должна подтверждаться записями журнала системы контроля версий (Git).

  • Техническая поддержка на всей территории России, контакты и другая информация об этом должна быть на сайте компании правообладателя.

  • На сайте должна публиковаться информация об обновлениях ПО и документация о публичных API (при наличии).

  • Комплект программной и другой документации необходимой для эксплуатации, средства разработки и созданные с их помощью программы не должны иметь ограничений на использование на всей территории РФ.

  • Сервис учета ошибок (bug tracking system).

  • База для подготовки пользователей к настройке и эксплуатации программы.

  • Отсутствие неустраненных уязвимостей в ПО после их публикации в банке угроз ФСТЭК.

Также опишем требования к ОС общего назначения:

  • многозадачность и поддержка нескольких пользователей с изолированным окружением;

  • варианты установки и обновления с локального диска, сетевого ресурса или из подключенного репозитория, находящегося на территории РФ;

  • поддержка централизованной установки и обновления компонентов и прикладного ПО с использованием встроенных решений;

  • наличие у правообладателя в России собственного репозитория или серверов для обновления компонентов и прикладного ПО;

  • графический интерфейс пользователя (только для рабочих станций);

  • минимум 1 вариант исполнения ОС правообладателя с действующим сертификатом ФСТЭК;

  • встроенная поддержка действующих сертификатов безопасности ИС национального удостоверяющего центра;

  • правообладатель должен поддерживать актуальность перечня модулей и компонентов, входящих в состав экземпляра операционной системы, в том числе состав и описание объекта оценки для операционной системы, имеющей действующий сертификат ФСТЭК;

  • исходные тексты ОС, база для разработки и сборочной среды полнофункционального экземпляра в изолированном окружении;

  • компоненты экземпляра операционной системы (за исключением драйверов периферийных устройств и программ из реестров Минцифры, предоставляемых их разработчиками в виде исполняемого кода) должны быть скомпилированы из исходных текстов правообладателем в контролируемой им сборочной среде в изолированном окружении;

  • предоставляемые в составе экземпляра ОС файлы или модули должны быть подписаны усиленной электронной подписью или позволяют загружать или исполнять сторонние подписанные усиленной электронной подписью исполняемые файлы или модули, такие файлы и модули должны быть подписаны усиленной электронной подписью правообладателя.

3. Изменения в реестровой записи и актуализация сведений

Правообладатели ПО ежегодно до 1 июня обязаны обновлять информацию, подав заявление через сайт реестра. А именно:

  • Описание функциональных характеристик, руководство по эксплуатации и инструкцию по установке ПО. Эта информация теперь будет доступна и в карточке программы в реестре.

  • Информацию о стоимости ПО или порядке ее определения. Также теперь в реестре.

  • % выплат иностранным лицам от доходов за реализацию прав от ПО за прошедший год по лицензионным и иным договорам.

  • Общая сумма поступлений от реализации прав на ПО. Данная информация останется непубличной.

Помимо добавления в карточку программы программной документации и информации о цене, также добавится еще 2 новых пункта:

  • информация о совместимости программы с ОС, про что писали выше;

  • информация о соответствии самого ПО дополнительным требованиям.

4. Правила аттестации отраслевых центров

И последнее, что описывает новый законопроект — это регламент аттестации отраслевых центров, которые подтверждают, что программа и ее правообладатель выполняют дополнительные требования.

Требования к претендентам такие:

  • Быть в реестре ИТ-компаний согласно Постановлению 1729.

  • В структуре организации должно быть хотя бы 1 из следующих подразделений:

  • испытательный центр, аккредитованный по федеральному закону 184;инжиниринговый центр, соответствующий ГОСТ Р 57306-2016;испытательный полигон по цифровому моделированию и виртуальным испытаниям, на котором возможна подготовка и и использование виртуальных испытательных стендов.

  • Оборудование и ПО испытательных стендов отвечает рекомендациям Минцифры.

  • Не менее 10 работников с высшим ИТ-образованием в коллективе.

  • Организация работает в ИТ более 3 лет.

  • Более 10 млн. чистых активов согласно бухгалтерской отчетности.

  • Договор страхования от убытков, причиненных недостоверными или необъективными результатами при проверке ПО из реестра Минцифры на сумму не менее 10 млн.

5. Выводы и вопросы

Если данный проект будет принят, то это значительно усложняет попадание в реестр некоторым правообладателям, особенно с мажоритарным госучастием. При этом, пока есть ряд неясных моментов и еще даже неразработанных механизмов. При таком раскладе регистрация ПО в реестре до введения данных изменений в силу выглядит еще более привлекательно. Так как механизм проверки текущих записей и их огромное количество предполагает долгий переходный период.

Проект оставляет за собой и ряд вопросов. Например, обязательность совместимости с ОС не общего назначения, нужна ли совместимость с российской ИМС (интегральная микросхема) для ПО работающих на устройствах без центрального процессора и другие.

Если остались вопросы,  пишите их в комментариях или обратитесь к нам через телеграм.


ссылка на оригинал статьи https://habr.com/ru/articles/868912/

Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *