Опубликован проект, предполагающий изменение ключевых Постановлений 1236 и 325 по включению в реестр российского программного обеспечения. Новые обязательные условия, дополнительные требования, изменения в содержании реестровых записей, ежегодный отчет правообладателей и правила аттестации отраслевых центров - всё это мы разберем в данной статье. Проект Постановления находится на стадии публичного обсуждения, так что еще может изменяться в деталях.

1. Обязательные требования, сроки перехода

2. Дополнительные требования

3. Изменения в реестровой записи и актуализация сведений

4. Правила аттестации отраслевых центров

5. Выводы и вопросы

1. Обязательные требования, сроки перехода

а) Требования к госкомпаниям, другими организациям с участием государства более 50% и аффилированными с ними лицам

Чтобы указанные выше организации могли зарегистрировать программу в реестре Минцифры:

• ПО не должно иметь аналогов в реестре в классе по утвержденному классификатору;

• ПО должно приносить доход от реализации прав;

• за прошедший год доля доходов от реализации прав на ПО, полученная от сторонних организаций (не аффилированных), составляет более 70%.

Сроки введения: с 1 июня 2025 года.

б) Требование совместимости с ОС соответствующим дополнительным требованиям

Про суть дополнительных требований для реестра российского программного обеспечения напишем ниже, пока же разберемся с “совместимостью”.

«совместимость программного обеспечения» – возможность выполнения программным обеспечением своих функций под управлением операционной системы общего назначения при совместном использовании такого программного обеспечения с техническими средствами без нарушения их корректного функционирования.

Цитата из нового проекта

Получается, что данное требование не касается ПО, работающего под управлением мобильных, сетевых, реального времени и других специализированных операционных систем. Подпадает же софт для серверов, АРМ и рабочих станций.

Теперь к самим требованиям:

• совместимость программы с 2 ОС общего назначения (в реестре + выполнены доп требования);

• совместимость с 1 ОС, если ПО предполагается использовать строго в составе ПАК, который тоже в реестре. Но чтобы включить ПАК, сначала надо включить ПО в составе комплекса в реестр, поэтому на это дается 6 месяцев, после регистрации программы. Если не включить ПАК за это время, ПО вылетит.

Данное требование предполагается вводить поэтапно для разных групп классов ПО:

• с 1 июня 25 года для офисного ПО и средств виртуализации;

• с 1 января 26 - СУБД и СХД, средств анализа данных, обеспечения ИБ, обеспечения облачных и распределенных вычислений, контейнеризации, разработки и анализа данных, программ обслуживания, систем управления и мониторинга, программ обслуживания, серверного, связующего и лингвистического ПО;

• с 1 июня 26 года - прикладного в том числе отраслевого ПО и средств обработки, визуализации массивов данных;

• с с 1 января 27 года - средства управления процессами организации и промышленного софта.

А как будет проверяться ПО, уже зарегистрированное в реестре? Проект предписывает Минцифры в течении полугода после публикации изменений разработать план проверки ПО в реестре. Удачи им в этом, учитывая, что в перечне содержится более 22 тысяч записей.

2. Дополнительные требования

Помимо обязательных требований к ПО, невыполнение которых не позволит попасть в реестр Минцифры, вводятся дополнительные. В СМИ утверждают, что их выполнение позволит получить преимущества на государственных и муниципальных торгах, хотя в проекте об этом не сказано.

Проверку дополнительных условий реестра российских программ будут проводить сторонние организации по договору с правообладателем. Видимо, платно.

Требования для включения в реестр российского ПО разделены на общие (для всех программ) и частные для конкретного класса программы. Как именно подтвердить выполнение того или иного условия пока непонятно. После подтверждения соответствия и получения некого документа от аккредитованной организации, правообладатель подает заявление через сайт реестра, чтобы внести данную информацию в реестровую запись ПО.

Общие требования к ПО такие:

• Совместимость с центральным процессором из реестра Минпромторга, с 28 года - с 2 ЦП. Скорее всего, для этого пункта прикладным программам будет достаточно показать совместимость с ОС общего назначения, которые удовлетворили дополнительным требованиям. Непонятно, что с ПО на других типах ОС и работающих на устройствах, у которых отсутствует центральный процессор (нет сокета на плате).

• При обновлении не должны использоваться иностранные технические и программные средства, обновление ПО только с разрешения пользователя (можно прописать в условиях пользовательского соглашения).

• Для SaaS-решений с доступом только через браузер требуется совместимость с реестровым браузером с отметкой выполнения доп. требований.

• Open source компоненты должны использоваться с соблюдением условий их лицензий.

• Разработка и модификация ПО на основе Open source должна подтверждаться записями журнала системы контроля версий (Git).

• Техническая поддержка на всей территории России, контакты и другая информация об этом должна быть на сайте компании правообладателя.

• На сайте должна публиковаться информация об обновлениях ПО и документация о публичных API (при наличии).

• Комплект программной и другой документации необходимой для эксплуатации, средства разработки и созданные с их помощью программы не должны иметь ограничений на использование на всей территории РФ.

• Сервис учета ошибок (bug tracking system).

• База для подготовки пользователей к настройке и эксплуатации программы.

• Отсутствие неустраненных уязвимостей в ПО после их публикации в банке угроз ФСТЭК.

Также опишем требования к ОС общего назначения:

• многозадачность и поддержка нескольких пользователей с изолированным окружением;

• варианты установки и обновления с локального диска, сетевого ресурса или из подключенного репозитория, находящегося на территории РФ;

• поддержка централизованной установки и обновления компонентов и прикладного ПО с использованием встроенных решений;

• наличие у правообладателя в России собственного репозитория или серверов для обновления компонентов и прикладного ПО;

• графический интерфейс пользователя (только для рабочих станций);

• минимум 1 вариант исполнения ОС правообладателя с действующим сертификатом ФСТЭК;

• встроенная поддержка действующих сертификатов безопасности ИС национального удостоверяющего центра;

• правообладатель должен поддерживать актуальность перечня модулей и компонентов, входящих в состав экземпляра операционной системы, в том числе состав и описание объекта оценки для операционной системы, имеющей действующий сертификат ФСТЭК;

• исходные тексты ОС, база для разработки и сборочной среды полнофункционального экземпляра в изолированном окружении;

• компоненты экземпляра операционной системы (за исключением драйверов периферийных устройств и программ из реестров Минцифры, предоставляемых их разработчиками в виде исполняемого кода) должны быть скомпилированы из исходных текстов правообладателем в контролируемой им сборочной среде в изолированном окружении;

• предоставляемые в составе экземпляра ОС файлы или модули должны быть подписаны усиленной электронной подписью или позволяют загружать или исполнять сторонние подписанные усиленной электронной подписью исполняемые файлы или модули, такие файлы и модули должны быть подписаны усиленной электронной подписью правообладателя.

3. Изменения в реестровой записи и актуализация сведений

Правообладатели ПО ежегодно до 1 июня обязаны обновлять информацию, подав заявление через сайт реестра. А именно:

• Описание функциональных характеристик, руководство по эксплуатации и инструкцию по установке ПО. Эта информация теперь будет доступна и в карточке программы в реестре.

• Информацию о стоимости ПО или порядке ее определения. Также теперь в реестре.

• % выплат иностранным лицам от доходов за реализацию прав от ПО за прошедший год по лицензионным и иным договорам.

• Общая сумма поступлений от реализации прав на ПО. Данная информация останется непубличной.

Помимо добавления в карточку программы программной документации и информации о цене, также добавится еще 2 новых пункта:

• информация о совместимости программы с ОС, про что писали выше;

• информация о соответствии самого ПО дополнительным требованиям.

4. Правила аттестации отраслевых центров

И последнее, что описывает новый законопроект - это регламент аттестации отраслевых центров, которые подтверждают, что программа и ее правообладатель выполняют дополнительные требования.

Требования к претендентам такие:

• Быть в реестре ИТ-компаний согласно Постановлению 1729.

• В структуре организации должно быть хотя бы 1 из следующих подразделений:

• испытательный центр, аккредитованный по федеральному закону 184;инжиниринговый центр, соответствующий ГОСТ Р 57306-2016;испытательный полигон по цифровому моделированию и виртуальным испытаниям, на котором возможна подготовка и и использование виртуальных испытательных стендов.

• Оборудование и ПО испытательных стендов отвечает рекомендациям Минцифры.

• Не менее 10 работников с высшим ИТ-образованием в коллективе.

• Организация работает в ИТ более 3 лет.

• Более 10 млн. чистых активов согласно бухгалтерской отчетности.

• Договор страхования от убытков, причиненных недостоверными или необъективными результатами при проверке ПО из реестра Минцифры на сумму не менее 10 млн.

5. Выводы и вопросы

Если данный проект будет принят, то это значительно усложняет попадание в реестр некоторым правообладателям, особенно с мажоритарным госучастием. При этом, пока есть ряд неясных моментов и еще даже неразработанных механизмов. При таком раскладе регистрация ПО в реестре до введения данных изменений в силу выглядит еще более привлекательно. Так как механизм проверки текущих записей и их огромное количество предполагает долгий переходный период.

Проект оставляет за собой и ряд вопросов. Например, обязательность совместимости с ОС не общего назначения, нужна ли совместимость с российской ИМС (интегральная микросхема) для ПО работающих на устройствах без центрального процессора и другие.

Если остались вопросы,  пишите их в комментариях или обратитесь к нам через телеграм.