Мы оценили на себе сложность проверок, которые проходит российское ПО. В этом посте расскажем, как со второй попытки попали в реестр, и что полезного можно вынести из этого опыта.

С момента появления в 2016 году реестр приобрел далеко не лучшую репутацию. Во многом справедливо. Похоже, что поначалу программы для реестра отбирались по чисто формальным критериям. На старте в список российского ПО можно было внести почти что угодно, включая плохо переупакованный open source. Ценность реестра в плане импортозамещения и повышения информационной безопасности госорганов стремилась к нулю.

Через несколько лет в высоких кабинетах, кажется, смекнули, что нечто пошло не так. Провели ревизию и даже исключили из списка несколько программ. Насколько эффективные это меры — вопрос открытый. В комментариях наверняка вспомнят сомнительные продукты, которые все еще находятся в реестре, но сейчас важно отметить тенденцию.

Минцифры усложнило процедуру подачи документов, добавило разделение программных продуктов на категории и ввело особые требования к отдельным их видам. Сейчас ведомство занимается изменением процедур в надежде «исключить риски попадания в реестр иностранного софта».

Все потому, что с 1 января 2021 года программы из реестра не только имеют преимущество при участии в госзакупках, но и получают льготу по НДС. 

Компания-разработчик российского ПО не платит 20% налога с его продаж. Минфин анонсировал эти изменения в осенью 2020 года, и число заявок на включение в реестр сразу сильно возросло.

Отечественные решения успешно конкурируют с зарубежными и без подобных бонусов, за счет качества и технологий, но 20% есть 20%, особенно для молодой компании. Это дополнительные инвестиции в разработку, возможность снизить цены и привлечь больше клиентов.

На внутреннем рынке это значительное преимущество, и мы не могли его проигнорировать. Пришлось разбираться с тем, как зарегистрировать ПО в «Едином реестре российских программ».

Порядок подачи документов и рассмотрения заявки

К счастью, чтобы попасть в реестр не нужно стоять в очередях. Подача документов происходит через личный кабинет на сайте: reestr.digital.gov.ru.

На первом этапе необходимо заполнить заявку, загрузить пакет сопровождающих документов и подписать их ЭЦП организации.

Заявка отправляется на проверку по формальным основаниям. Если необходимые документы на месте, в них нет ошибок, и информация правдива, — заявку регистрируют. Обычно это занимает 10 рабочих дней.

Затем в работу включаются эксперты Минкомсвязи, которые изучают компанию, права на программу и ее дистрибутив.

Эксперты выносят окончательное решение не позднее 65 рабочих дней с даты регистрации заявления. Если оно положительное, на электронную почту падает уведомление, и уже на следующий день программа получает регистрационный номер и оказывается в реестре.

Первая попытка

Прежде всего мы хотели зарегистрировать BSP — Bastion Security Platform. Об этой системе коллеги уже рассказывали на Хабре.

В первый раз подошли к делу спустя рукава. Собрали документы, «какие были», отправили заявку, стали ждать. И получили закономерный отказ с длинным перечнем замечаний от сотрудников Минкомсвязи.

В нашем чек листе было совсем немного зеленых отметок. Его можно скачать и посмотреть.

Однако, в отказе нет ничего страшного. Санкций не предусмотрено, даже госпошлину платить не нужно. Исключение составляют заявители, которые отправляют подложные документы. Для них предусмотрен кулдаун в 12 месяцев.

В принципе можно взять список замечаний, внести исправления на скорую руку и отправлять документы снова и снова… и так до победного конца. Но мы решили, что потеряли достаточно времени, и во второй раз подойдем к задаче с умом. Так что мы выбрали отдельного человека, который погрузился в процесс и следил за обработкой заявки.

Подготовка документов

Успех затеи во многом зависит от заявления и сопутствующей документации. На портале реестра опубликована «Инструкция по подаче заявлений» на 27 страниц, но она написана юристами для юристов и поэтому разобраться в ней непросто.

На самом деле в процессе подготовки заявления нет ничего сложного. Он сводится к списку рекомендаций из 7 пунктов, который опубликован на сайте ЦКИТ.

Это простые и ясные правила, которые разжеваны до мелочей. Пускай они и названы рекомендациями, выполнить их нужно безоговорочно. На то, чтобы подготовить бумаги у нас ушло около недели. 

Чаще всего заявки разворачивают из-за того, что разработчики не могут доказать свои права на программу. Для этого существуют авторские свидетельства, которые выдает Роспатент, но получить такой документ — это отдельный квест.

Куда проще подготовить для Минкомсвязи нечто вроде юридической истории разработки программы — комплект бумаг, которые докажут, что она разрабатывалась в вашей компании. В него входят: приказ на разработку, служебные задания для сотрудников, счета, акт о приемке по результатам разработки и приказ о постановке ПО на баланс организации.

Заодно стоит убедиться в патентной чистоте программы. То есть в том, что ее модули и компоненты используются правомерно. Например, проверить, что вы не нарушаете правил открытых лицензий.

Рассмотрение заявления

После подачи документов можно просто сидеть и ждать ответа, какой бы он ни был, но лучше действовать проактивно. Сотрудники Минкомсвязи не будут исправлять ваши ошибки, это не входит в их обязанности, но они готовы помочь.

Вам никто об этом не расскажет, но через две-три недели после отправки документов можно просто взять и спросить, как продвигается регистрация. И для этого не нужно никаких связей. Достаточно написать на reestr@digital.gov.ru или позвонить по телефону, который указан на портале ЦКИТ, назвать номер заявки и объяснить ситуацию.

Таким образом мы получили контакты эксперта, ответственного за заявку. Он выслал чек-лист, который в первый раз мы получили только вместе с отказом. Эксперт даже подсказал, где именно нашлись несоответствия в документах и какие сведения в них добавить.

Как-то непривычно хвалить государственные сервисы, но в данном случае это было корректное и прозрачное взаимодействие.

Новые ошибки

Во второй раз мы успешно доказали свои права на разработку, но прокололись на мелочах.

Так, Минкомсвязи требует, чтобы у программы была интернет-страница с документацией: инструкциями по установке и эксплуатации, регламентом обслуживания. Достаточно простого лендинга, однако, важно доказать министерству, что сайт принадлежит вашей компании.

Так вышло, что наш домен зарегистрирован на физическое лицо. Чтобы не возиться с перерегистрацией, мы составили договор между владельцем домена и нашим юрлицом, по которому право на использование адреса переходит к компании Бастион на определенный срок. Этого оказалось достаточно.

Кроме того, оказалось, что в документации к программе нужно подробно расписать жизненный цикл продукта. Регулятору важно знать, кто будет задействован в выпуске обновлений, как они будут тестироваться и выпускаться.

Пришлось дополнить регламенты и расписать, что обновления готовятся силами штатных сотрудников, сначала попадают в тестовую среду и уже потом на прод.

Мы отправили обновленные документы эксперту, он прикрепил их к заявке, и процесс пошел дальше.

Тестирование

После проверки документов эксперты берут инструкции по установке и настройке программы, и пробуют развернуть экземпляр продукта, который отправлен вместе с заявкой.

Признаться, мы думали, что этот этап будет чистой формальностью и случайно приложили к заявке запароленный архив. Так вот, когда пришло время, эксперты запросили у нас пароль.

А еще, для доступа к некоторым функциям BSP нужен аккаунт администратора. Чуть позже выяснилось, что в релизной версии разработчики сменили пароль по умолчанию, а в документации остались старые креды. Сотрудники реестра заметили и это.

Похоже, они действительно тестируют программу, поэтому перед отправкой дистрибутива стоит убедиться, что его сможет запустить кто-то кроме разработчиков.

На этом этапе нам бы точно отказали в регистрации, но мы продолжали время от времени пинговать ответственного за заявку, вовремя узнали о проблемах и отправили нужные пароли.

В результате все прошло благополучно. BSP получила регистрационный номер и оказалась в реестре. Чуть позже мы еще раз прошли всю процедуру и с первой попытки внесли в реестр еще одну разработку — частное облачное хранилище.

Выводы

Как видите, процесс не такой уж и сложный. Сотрудники Минкомсвязи не сделают всю работу за вас, но они идут на контакт и дают советы.

Существует много компаний-посредников, которые предлагают помощь с подачей заявлений в реестр, но такими услугами стоит пользоваться, только если внутри компании некому поручить эту задачу. Вы получите те же рекомендации, что и от специалистов Минкомсвязи, только за деньги.

Кроме того, пакет документов, который требует регулятор, — хороший пример профессиональной юридической «упаковки» программного продукта. Он пригодится, даже если вы не собираетесь подавать заявление в реестр.

Документальная история разработки — доказательство прав на программу при разбирательствах в суде. Проверка на патентную чистоту избавляет от множества потенциальных проблем с правообладателями, а инструкции по установке и эксплуатации ПО регулярно просят заказчики.

По-хорошему, подготовку этих документов стоит включить в цикл разработки и обновлять их вместе с каждым релизом. Подача заявки в реестр — хороший повод перепроверить бизнес-процессы связанные с разработкой ПО и выстроить их оптимальным образом.

Рекомендации по подаче документов в реестр Российского ПО

  1. Проверьте дистрибутив на ошибки. Важно, чтобы программа устанавливалась без проблем и работала как часы.

  2. Выделите сотрудника, который будет сопровождать заявку.

  3. Подготовьте пакет документов, следуя рекомендациям ЦКИТ.

  4. Через две-три недели после подачи заявки напишите в реестр и узнайте, как идет рассмотрение.

  5. Оперативно исправьте ошибки в документах, если таковые найдутся.

  6. Не стесняйтесь спрашивать сотрудников реестра о том, как и что правильно делать.

  7. Воспользуйтесь случаем, чтобы выстроить процесс подготовки документов для каждого релиза.

  8. Если не получилось попасть в реестр с первого раза — пробуйте снова, за это никто не накажет.

Upd. Добавили в пост ссылку на лист проверки сведений о ПО.

Комментарии (14)


  1. ifap
    25.01.2022 12:38

    Чтобы не возиться с перерегистрацией, мы составили договор между владельцем домена и нашим юрлицом, по которому право на использование адреса переходит к компании Бастион на определенный срок. Этого оказалось достаточно.

    Что с юридической точки зрения является ничтожной сделкой, но никого, включая Минцифру, не смутило ;) О да, процесс ужесточился...


    1. PO_BSC_BSP Автор
      25.01.2022 18:13

      процесс действительно ужесточился, например сейчас чтобы добавить продукт в категории СЗИ, потребуется лицензия ФСТЭК на разработку СЗИ


      1. ifap
        25.01.2022 18:16

        Это скорее называется забюрократизировался.


        1. uis246
          25.01.2022 23:16

          Подозрительно похоже на огораживание для монополизации


  1. Greenback
    25.01.2022 17:48
    +2

    Не могли бы вы сказать самое главное - сколько конкретно вам стоило денег пройти этот квест? Посчитайте человекочасы ваших "отдельно выделенных сотрудников", их з/п, а также все усилия на подготовку документов, допиливание софта и документации, без которых софт и так вполне работоспособен.

    И только тогда мы, читатели, объективно прикинем, когда отобъются эти 20% НДС.

    А вообще текст порадовал своим позитивом в духе "Мы ожидали что ректальный досмотр - пустая формальность, но были приятно удивлены, когда эксперт нацепил перчатки. Как видите, процесс не такой уж и сложный"


    1. PO_BSC_BSP Автор
      25.01.2022 18:11
      +1

      В деньгах сказать не могу, но временные трудозатраты - порядка 40 часов работы менеджера продукта. Они ушли на сбор и доработку документации и общение с ведомством. Эта документация так и так нужна - инструкции для пользователя и администратора, пояснения, как пользоваться тех поддержкой. Еще пришлось добавить несколько ссылок с документами на лэндинг. Сам продукт не требовал специальной доработки, стек изначально выбрали так, чтобы исключить технологии, которые могут попасть под санкции.


  1. Greenback
    25.01.2022 18:20

    Спасибо за ответ!

    Мне кажется что 40 часов (неделя) это невероятно быстро, хорошо если так.


  1. enabokov
    25.01.2022 21:46
    +3

    Кадр из Бразилии с Его Воробейшеством?


    1. dark_gf
      26.01.2022 09:46
      +1

      Бразилия просто шедевр, кто не смотрел - настоятельно рекомендую.


  1. alexber220
    26.01.2022 11:22
    +1

    Огромное спасибо за статью на актуальную для нас тему. Сходу не нашли "лист проверки сведений о программном обеспечении". Можете поделиться своим заштриховав конфиденциальную информацию?


    1. PO_BSC_BSP Автор
      26.01.2022 20:00

      Пожалуйста, вот ссылка на документ.


  1. VisualBasic
    26.01.2022 14:08
    +1

    Пост - 10/10, но чуток раньше бы его)) Примите мои поздравления)

    Так сказать, разрешите поделится)

    Сколько документов было переписано, да и по несколько раз (РП/РА по большей части)… Плюс, некоторые модули были завязаны на интеграции... В общем, возни было на месяц или полтора где-то (не спеша и не на фал тайм на эту цель). РП, аналитик, devops - они участвовали в написании документаций. Так же разработчики, QA – т.к. хотели, чтобы продукт гладко выбритым был. Заказчики только рады были такому регрессу полному))

    С первого раза всё получилось, коллеги из других продуктов постоянно наводили шуму своими слухами...

    Но для цифровых людей - это такая бюрократия всё же...


  1. W3n8f34
    26.01.2022 14:08

    Ребят вопрос. Переодически приходится регистрироваться вот в таких единых реестрах, в других сферах. В нормальных компаниях кто обычно этим занимается?


  1. sakontwist
    26.01.2022 19:22

    Инструкция по регистрации в реестре отечественного ПО )