Мы оценили на себе сложность проверок, которые проходит российское ПО. В этом посте расскажем, как со второй попытки попали в реестр, и что полезного можно вынести из этого опыта.
С момента появления в 2016 году реестр приобрел далеко не лучшую репутацию. Во многом справедливо. Похоже, что поначалу программы для реестра отбирались по чисто формальным критериям. На старте в список российского ПО можно было внести почти что угодно, включая плохо переупакованный open source. Ценность реестра в плане импортозамещения и повышения информационной безопасности госорганов стремилась к нулю.
Через несколько лет в высоких кабинетах, кажется, смекнули, что нечто пошло не так. Провели ревизию и даже исключили из списка несколько программ. Насколько эффективные это меры — вопрос открытый. В комментариях наверняка вспомнят сомнительные продукты, которые все еще находятся в реестре, но сейчас важно отметить тенденцию.
Минцифры усложнило процедуру подачи документов, добавило разделение программных продуктов на категории и ввело особые требования к отдельным их видам. Сейчас ведомство занимается изменением процедур в надежде «исключить риски попадания в реестр иностранного софта».
Все потому, что с 1 января 2021 года программы из реестра не только имеют преимущество при участии в госзакупках, но и получают льготу по НДС.
Компания-разработчик российского ПО не платит 20% налога с его продаж. Минфин анонсировал эти изменения в осенью 2020 года, и число заявок на включение в реестр сразу сильно возросло.
Отечественные решения успешно конкурируют с зарубежными и без подобных бонусов, за счет качества и технологий, но 20% есть 20%, особенно для молодой компании. Это дополнительные инвестиции в разработку, возможность снизить цены и привлечь больше клиентов.
На внутреннем рынке это значительное преимущество, и мы не могли его проигнорировать. Пришлось разбираться с тем, как зарегистрировать ПО в «Едином реестре российских программ».
Порядок подачи документов и рассмотрения заявки
К счастью, чтобы попасть в реестр не нужно стоять в очередях. Подача документов происходит через личный кабинет на сайте: reestr.digital.gov.ru.
На первом этапе необходимо заполнить заявку, загрузить пакет сопровождающих документов и подписать их ЭЦП организации.
Заявка отправляется на проверку по формальным основаниям. Если необходимые документы на месте, в них нет ошибок, и информация правдива, — заявку регистрируют. Обычно это занимает 10 рабочих дней.
Затем в работу включаются эксперты Минкомсвязи, которые изучают компанию, права на программу и ее дистрибутив.
Эксперты выносят окончательное решение не позднее 65 рабочих дней с даты регистрации заявления. Если оно положительное, на электронную почту падает уведомление, и уже на следующий день программа получает регистрационный номер и оказывается в реестре.
Первая попытка
Прежде всего мы хотели зарегистрировать BSP — Bastion Security Platform. Об этой системе коллеги уже рассказывали на Хабре.
В первый раз подошли к делу спустя рукава. Собрали документы, «какие были», отправили заявку, стали ждать. И получили закономерный отказ с длинным перечнем замечаний от сотрудников Минкомсвязи.
В нашем чек листе было совсем немного зеленых отметок. Его можно скачать и посмотреть.
Однако, в отказе нет ничего страшного. Санкций не предусмотрено, даже госпошлину платить не нужно. Исключение составляют заявители, которые отправляют подложные документы. Для них предусмотрен кулдаун в 12 месяцев.
В принципе можно взять список замечаний, внести исправления на скорую руку и отправлять документы снова и снова… и так до победного конца. Но мы решили, что потеряли достаточно времени, и во второй раз подойдем к задаче с умом. Так что мы выбрали отдельного человека, который погрузился в процесс и следил за обработкой заявки.
Подготовка документов
Успех затеи во многом зависит от заявления и сопутствующей документации. На портале реестра опубликована «Инструкция по подаче заявлений» на 27 страниц, но она написана юристами для юристов и поэтому разобраться в ней непросто.
На самом деле в процессе подготовки заявления нет ничего сложного. Он сводится к списку рекомендаций из 7 пунктов, который опубликован на сайте ЦКИТ.
Это простые и ясные правила, которые разжеваны до мелочей. Пускай они и названы рекомендациями, выполнить их нужно безоговорочно. На то, чтобы подготовить бумаги у нас ушло около недели.
Чаще всего заявки разворачивают из-за того, что разработчики не могут доказать свои права на программу. Для этого существуют авторские свидетельства, которые выдает Роспатент, но получить такой документ — это отдельный квест.
Куда проще подготовить для Минкомсвязи нечто вроде юридической истории разработки программы — комплект бумаг, которые докажут, что она разрабатывалась в вашей компании. В него входят: приказ на разработку, служебные задания для сотрудников, счета, акт о приемке по результатам разработки и приказ о постановке ПО на баланс организации.
Заодно стоит убедиться в патентной чистоте программы. То есть в том, что ее модули и компоненты используются правомерно. Например, проверить, что вы не нарушаете правил открытых лицензий.
Рассмотрение заявления
После подачи документов можно просто сидеть и ждать ответа, какой бы он ни был, но лучше действовать проактивно. Сотрудники Минкомсвязи не будут исправлять ваши ошибки, это не входит в их обязанности, но они готовы помочь.
Вам никто об этом не расскажет, но через две-три недели после отправки документов можно просто взять и спросить, как продвигается регистрация. И для этого не нужно никаких связей. Достаточно написать на reestr@digital.gov.ru или позвонить по телефону, который указан на портале ЦКИТ, назвать номер заявки и объяснить ситуацию.
Таким образом мы получили контакты эксперта, ответственного за заявку. Он выслал чек-лист, который в первый раз мы получили только вместе с отказом. Эксперт даже подсказал, где именно нашлись несоответствия в документах и какие сведения в них добавить.
Как-то непривычно хвалить государственные сервисы, но в данном случае это было корректное и прозрачное взаимодействие.
Новые ошибки
Во второй раз мы успешно доказали свои права на разработку, но прокололись на мелочах.
Так, Минкомсвязи требует, чтобы у программы была интернет-страница с документацией: инструкциями по установке и эксплуатации, регламентом обслуживания. Достаточно простого лендинга, однако, важно доказать министерству, что сайт принадлежит вашей компании.
Так вышло, что наш домен зарегистрирован на физическое лицо. Чтобы не возиться с перерегистрацией, мы составили договор между владельцем домена и нашим юрлицом, по которому право на использование адреса переходит к компании Бастион на определенный срок. Этого оказалось достаточно.
Кроме того, оказалось, что в документации к программе нужно подробно расписать жизненный цикл продукта. Регулятору важно знать, кто будет задействован в выпуске обновлений, как они будут тестироваться и выпускаться.
Пришлось дополнить регламенты и расписать, что обновления готовятся силами штатных сотрудников, сначала попадают в тестовую среду и уже потом на прод.
Мы отправили обновленные документы эксперту, он прикрепил их к заявке, и процесс пошел дальше.
Тестирование
После проверки документов эксперты берут инструкции по установке и настройке программы, и пробуют развернуть экземпляр продукта, который отправлен вместе с заявкой.
Признаться, мы думали, что этот этап будет чистой формальностью и случайно приложили к заявке запароленный архив. Так вот, когда пришло время, эксперты запросили у нас пароль.
А еще, для доступа к некоторым функциям BSP нужен аккаунт администратора. Чуть позже выяснилось, что в релизной версии разработчики сменили пароль по умолчанию, а в документации остались старые креды. Сотрудники реестра заметили и это.
Похоже, они действительно тестируют программу, поэтому перед отправкой дистрибутива стоит убедиться, что его сможет запустить кто-то кроме разработчиков.
На этом этапе нам бы точно отказали в регистрации, но мы продолжали время от времени пинговать ответственного за заявку, вовремя узнали о проблемах и отправили нужные пароли.
В результате все прошло благополучно. BSP получила регистрационный номер и оказалась в реестре. Чуть позже мы еще раз прошли всю процедуру и с первой попытки внесли в реестр еще одну разработку — частное облачное хранилище.
Выводы
Как видите, процесс не такой уж и сложный. Сотрудники Минкомсвязи не сделают всю работу за вас, но они идут на контакт и дают советы.
Существует много компаний-посредников, которые предлагают помощь с подачей заявлений в реестр, но такими услугами стоит пользоваться, только если внутри компании некому поручить эту задачу. Вы получите те же рекомендации, что и от специалистов Минкомсвязи, только за деньги.
Кроме того, пакет документов, который требует регулятор, — хороший пример профессиональной юридической «упаковки» программного продукта. Он пригодится, даже если вы не собираетесь подавать заявление в реестр.
Документальная история разработки — доказательство прав на программу при разбирательствах в суде. Проверка на патентную чистоту избавляет от множества потенциальных проблем с правообладателями, а инструкции по установке и эксплуатации ПО регулярно просят заказчики.
По-хорошему, подготовку этих документов стоит включить в цикл разработки и обновлять их вместе с каждым релизом. Подача заявки в реестр — хороший повод перепроверить бизнес-процессы связанные с разработкой ПО и выстроить их оптимальным образом.
Рекомендации по подаче документов в реестр Российского ПО
Проверьте дистрибутив на ошибки. Важно, чтобы программа устанавливалась без проблем и работала как часы.
Выделите сотрудника, который будет сопровождать заявку.
Подготовьте пакет документов, следуя рекомендациям ЦКИТ.
Через две-три недели после подачи заявки напишите в реестр и узнайте, как идет рассмотрение.
Оперативно исправьте ошибки в документах, если таковые найдутся.
Не стесняйтесь спрашивать сотрудников реестра о том, как и что правильно делать.
Воспользуйтесь случаем, чтобы выстроить процесс подготовки документов для каждого релиза.
Если не получилось попасть в реестр с первого раза — пробуйте снова, за это никто не накажет.
Upd. Добавили в пост ссылку на лист проверки сведений о ПО.
Комментарии (14)
Greenback
25.01.2022 17:48+2Не могли бы вы сказать самое главное - сколько конкретно вам стоило денег пройти этот квест? Посчитайте человекочасы ваших "отдельно выделенных сотрудников", их з/п, а также все усилия на подготовку документов, допиливание софта и документации, без которых софт и так вполне работоспособен.
И только тогда мы, читатели, объективно прикинем, когда отобъются эти 20% НДС.
А вообще текст порадовал своим позитивом в духе "Мы ожидали что ректальный досмотр - пустая формальность, но были приятно удивлены, когда эксперт нацепил перчатки. Как видите, процесс не такой уж и сложный"
PO_BSC_BSP Автор
25.01.2022 18:11+1В деньгах сказать не могу, но временные трудозатраты - порядка 40 часов работы менеджера продукта. Они ушли на сбор и доработку документации и общение с ведомством. Эта документация так и так нужна - инструкции для пользователя и администратора, пояснения, как пользоваться тех поддержкой. Еще пришлось добавить несколько ссылок с документами на лэндинг. Сам продукт не требовал специальной доработки, стек изначально выбрали так, чтобы исключить технологии, которые могут попасть под санкции.
Greenback
25.01.2022 18:20Спасибо за ответ!
Мне кажется что 40 часов (неделя) это невероятно быстро, хорошо если так.
alexber220
26.01.2022 11:22+1Огромное спасибо за статью на актуальную для нас тему. Сходу не нашли "лист проверки сведений о программном обеспечении". Можете поделиться своим заштриховав конфиденциальную информацию?
VisualBasic
26.01.2022 14:08+1Пост - 10/10, но чуток раньше бы его)) Примите мои поздравления)
Так сказать, разрешите поделится)
Сколько документов было переписано, да и по несколько раз (РП/РА по большей части)… Плюс, некоторые модули были завязаны на интеграции... В общем, возни было на месяц или полтора где-то (не спеша и не на фал тайм на эту цель). РП, аналитик, devops - они участвовали в написании документаций. Так же разработчики, QA – т.к. хотели, чтобы продукт гладко выбритым был. Заказчики только рады были такому регрессу полному))
С первого раза всё получилось, коллеги из других продуктов постоянно наводили шуму своими слухами...
Но для цифровых людей - это такая бюрократия всё же...
W3n8f34
26.01.2022 14:08Ребят вопрос. Переодически приходится регистрироваться вот в таких единых реестрах, в других сферах. В нормальных компаниях кто обычно этим занимается?
ifap
Что с юридической точки зрения является ничтожной сделкой, но никого, включая Минцифру, не смутило ;) О да, процесс ужесточился...
PO_BSC_BSP Автор
процесс действительно ужесточился, например сейчас чтобы добавить продукт в категории СЗИ, потребуется лицензия ФСТЭК на разработку СЗИ
ifap
Это скорее называется забюрократизировался.
uis246
Подозрительно похоже на огораживание для монополизации