Гайд: включение программно-аппаратных комплексов (ПАК) в реестр российского ПО Минцифры
Рассказываем о 1236 Постановлении Правительства и других документах, регулирующих процедуру. Подробно описываем как включить ПАК в реестр отечественного программного обеспечения Минцифры. Отдельно разбираем процедуру включения программной части ПАК и все способы удовлетворить требования к аппаратной части. Указываем на ключевые моменты в подготовке и ссылки на все документы для самостоятельного изучения темы.
1. Что такое Программно-аппаратный комплекс (ПАК)? Описание реестров, встречающихся в статье.
2. Какие преимущества дает регистрация ПАК в реестр Минцифры по ПП 1236?
3. Какие требования к программному обеспечению при регистрации ПАК в реестр?
4. Какие требования к аппаратной части при регистрации ПАК в реестр?
5. Какую документацию подготовить для регистрации ПАК в реестр?
6. Как проходит процедура проверки ПАК? Кто проверяет и в какие сроки?
1. Что такое Программно-аппаратный комплекс (ПАК) ? Описание реестров, встречающихся в статье.
Программно-аппаратный комплекс — комплекс технических и программных средств (программного обеспечения), работающих совместно для выполнения одной или нескольких специальных задач, являющийся электронной вычислительной машиной или специализированным электронным устройством (устройствами), функционально-технические характеристики которого (которых) определяются исключительно совокупностью программного обеспечения и технических средств и не могут быть реализованы при их разделении. Программно-аппаратный комплекс является самостоятельно используемым, законченным техническим изделием, имеющим серийный номер.
2. Какие преимущества дает регистрация ПАК в реестр Минцифры по ПП 1236?
При попадании в реестр Минкомвязи с ПАК:
Если получить IT-аккредитацию, то появятся еще два преимущества:
3. Какие требования к программному обеспечению при регистрации ПАК в реестр?
Софт входящий в Ваш ПАК должен находиться в реестре российского ПО Минцифры. Если это так, то можете переходить к следующему разделу. Написали отдельный Гайд по включению ПО в реестр Минцифры, с большим количеством практических деталей.
Иначе перечень документов, которыми следует руководствоваться для включения софта в реестр ПО:
Перечислим ключевые моменты, на которые следует обратить внимание.
В постановлении № 1236 перечислен ряд требований к ПО, например:
Дополнительные требования к ПО содержатся в 325 ПП:
А также требования к сопровождению ПО:
Если Вы решили включить свой софт в реестр самостоятельно, обязательно откройте методические рекомендации АНО “ЦКИТ” и проверьте соответствие каждому разделу инструкции.
Расскажем о всех 7 вкладках методических рекомендаций коротко:
1. Проверка технологического стека
Убедитесь, что все компоненты и системы программного обеспечения не имеют ограничений на распространение и использование на территории Российской Федерации.
Вам откажут, если предоставленная на проверку копия или экземпляр ПО работает на операционной системе, включенной в список запрещенных (в настоящее время в этом списке находятся CentOS, Fedora, openSUSE, Red Hat Enterprise Linux и SUSE Linux Enterprise) .
Также запрещено использование при установке и работе вашего ПО:
СУБД (EnterpriseDB, IBM DB2, InterSystems Caché, Microsoft Access, Microsoft SQL Server, СУБД от Oracle, SAP, Redis Enterprise, Splunk) ;
Серверы приложений (Adobe ColdFusion, IBM WebSphere Application Server, Oracle Weblogic Application Server, RedHat JBoss Enterprise Application Platform, RogueWave Zend Server, SAP NetWeaver Application Server) ;
Платформы от Amazon, IBM, Microsoft, SAP;
Библиотеки, фреймворки, «движки», SDK и пр. (DevExpress, Unity, Unreal, любое ПО, имеющее ограничения на распространение или использование на всей территории РФ).
2. Проверка “юридической чистоты”
Если правообладателем разработки является российская коммерческая организация, и в цепочке владения присутствуют иностранные лица, требуется раскрыть всю эту цепочку в форме таблицы и предоставить отсканированные выписки из реестров соответствующих государств. Доля иностранных компаний должна быть менее 50 процентов.
Потребуется подтверждение, что доля иностранной выручки от программного обеспечения составляет менее 30% за календарный год.
Необходимо подготовить документы, подтверждающие исключительное право на заявляемое ПО на территории всего мира:
Проверьте что сторонние компоненты:
3. Подготовка проверочного экземпляра
Необходимо предоставить экземпляр программного обеспечения, который эксперт сможет развернуть в своей тестовой среде. Это правило также распространяется на SaaS-решения. Если на анализ будет предоставлена только ссылка на интерфейс веб-сайта ПО, экспертный совет откажет включению в единый реестр.
Подготовьте пошаговую инструкцию по развертыванию экземпляра вашего ПО или удалённому доступу к инфраструктуре с развернутым экземпляром ПО. Укажите в ней контакты технических специалистов, которые могут проконсультировать по процессу развертывания и настройки экземпляра ПО и его функционирования.
Подготовьте документацию, содержащую описание функциональных характеристик заявляемого ПО.
4. Определение классов
ПО должно быть классифицировано согласно двум классификаторам: классу программного обеспечения и баз данных для ЭВМ и общероссийскому классификатору продукции по видам экономической деятельности(ОКПД 2).
Иногда программное обеспечение не может быть однозначно классифицировано, в таком случае оно может быть отнесено к нескольким классам. Указывается один из них в качестве основного!
5. Наличие необходимых лицензий
Если программное обеспечение относится к категории «Средства обеспечения информационной безопасности» и его главной задачей является защита конфиденциальной информации (пункт 03.11 по классификатору ПО), Вы должны обладать лицензией на осуществление деятельности по разработке и производству средств защиты конфиденциальной информации. Ее получение регламентируется Постановлением Правительства № 171 от 3 марта 2012 года и выдается ФСБ/ФСТЭК (Федеральная служба по техническому и экспортному контролю) .
6. Информация о процессах разработки и поддержки
Проверяющим необходимо иметь возможность оценить способность вашей компании независимо обеспечивать поддержку, устранять ошибки и совершенствовать продукт с использованием собственной инфраструктуры и персонала.
К вашей заявке также требуется приложить документацию, в которой описаны процессы, обеспечивающие поддержание жизненного цикла программного обеспечения. В качестве основы для определения полного списка процессов жизненного цикла ПО можно использовать стандарт ГОСТ Р ИСО/МЭК 12207–2010 «Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств».
Минимально необходимо описать следующие процессы:
Проверьте, что все технические средства хранения исходного текста и объектного кода программного обеспечения, компиляции исходного текста в объектный код программного обеспечения, необходимые для активации, выпуска, распространения, управления лицензионными ключами программного обеспечения находятся на территории Российской Федерации.
Если используете облачные сервисы, уточните, где именно находятся их серверы. Например, популярный сервис GitHub НЕ удовлетворяет этому условию, а GitFlic удовлетворяет!
7. Актуализация информации на официальном сайте
На официальном сайте ПО или у его разработчика должна быть представлена полная информация о программе, включая техническую документацию и инструкции. Эта информация должна быть доступна даже неавторизованным пользователям.
Если какая-либо необходимая информация или страницы становятся недоступными, это может привести к исключению информации о вашем программном обеспечении из общего реестра.
При этом сайт компании должен быть русскоязычным в ru-сегменте интернета, на который нужно предоставить справку о регистрации доменного имени на компанию, а также документ, на основании которого компания использует данное доменное имя, если она не является его правообладателем!
Этапы проверки и подготовки ПО, сайта и документов завершен. Осталось зайти в ФГИС Реестры ПО и подать заявление о включении. Пошаговая инструкция есть в методической рекомендации к реестру ПО. Там же есть чек лист документов и материалов для подачи заявления о включении сведений о ПО:
Если Вы собрали все документы по чек-листу и подали заявление, тезисно расскажем об основных деталях процедуры проверки:
4. Какие требования к аппаратной части при регистрации ПАК в реестр?
ПАКи из раздела обеспечения информационной безопасности (ИБ)
В этом случае аппаратная часть и её производитель должны соответствовать следующим требованиям:
В зависимости от используемых в ПАКе средств шифровальных/криптографических и/или защиты конфиденциальной информации, производитель аппаратной части должен иметь лицензию:
Таким образом, данный способ удовлетворения требований к аппаратной части подходит для узкого сегмента разработчиков специализированных систем, устройств и ПО в сфере информационной безопасности. Получение лицензий на деятельность от ФСБ/ФСТЭК может занять год и более. Альтернативой может быть сотрудничество с организациями уже имеющими лицензии. Посмотреть их можно в реестрах ФСТЭК по ссылке.
И последнее, помимо описанных выше документов, при регистрации ПАКа требуется дополнительный перечень документов (разбирается в следующей 5 части) . Вместо этого можно включить аппаратную часть в реестр Минпромторга. Вот пример ПАКа с таким набором документов.
ПАКи остальных разделов, кроме ИБ
В таком случае аппаратная часть и её производитель должны соответствовать следующим требованиям:
Упомянутое ПП 1135 используется импортерами для ввоза продукции с обнулением НДС. За прошлый 2022 год было выдано 130 заключений на 50 заявителей. Информации о том, в каких случаях оправдано использование данного постановления для аппаратной части ПАКов мы не нашли и раньше с ним не сталкивались. Если Вы работали с 1135 ПП при регистрации ПАКа, расскажите в комментариях.
Можем сделать 2 предположения о ситуациях, когда данный способ может быть оправдан:
Подробнее расскажем про 1135 ПП. Оценка отсутствия аналогов продукции, происходит по параметрам, касающимся функционального назначения, выполняемым функциям, области применения, качественным характеристикам. Сравнение происходит, с продукцией находящейся в реестре Минпромторга, по коду ТН ВЭД. Подать заявление, для получения заключения надо в одну из включенных в перечень экспертных организаций. На сентябрь 2023 года входят:
- ФГУП «НАМИ»;
- ФГБУ «вниимс»;
- ФГБУ «ВНИИР»;
- ФБУ «Нижегородский ЦСМ;
- ГНЦ ФГУП «ЦНИИчермет им. И. П.Бардина;
- ФГБУ «внииофи»;
- ФБУ «ГИЛС и НП»;
- ФГБУ «Институт стандартизации»;
- ФГУП «вниифтри».
У каждой организации своя область экспертизы согласно кодам ТН ВЭД, найти подходящую для вашей продукции придется вручную. К заявлению прилагаются:
Документы проверяют в течение 8 дней. Далее просят либо недостающие документы, либо высылают договор. Экспертиза проходит в течении 40 дней и заканчивается выдачей акта экспертизы.
Затем подается заявление в Минпромторг. К нему прилагаются:
Минпромторг в течение 30 рабочих дней с учетом результатов экспертизы принимает решение о выдаче заключения об отнесении продукции к промышленной продукции, не имеющей произведенных в Российской Федерации аналогов.
Процедуру придётся повторить в срок не позднее 2 лет с момента выдачи заключения, а далее ежегодно (смотрите пункт 52 Постановления Правительства N 1236)! Иначе ПАК вылетит из реестра.
5. Какую документацию подготовить для регистрации ПАК в реестр?
Перечень документов, которыми следует руководствоваться для включения ПАКа в реестр ПО:
В предыдущих пунктах 3 и 4 мы описали включение программной части в реестр ПО, включение аппаратной части в реестр Минпромторга/РЭП, получение заключения Минпромторга по 1135 ПП на неё, либо сертификации производителя и продукции согласно 608, 313, 171 Постановлениям Правительства.
Для включения ПАКа в реестр, осталось подготовить/разработать:
Для аппаратной части включенной в реестр Минпромторга (и РЭП) также понадобится номер реестровой записи продукции.
Для аппаратной части с заключением Минпрома по 1135 ПП, кроме самого заключения, понадобится дополнительный набор документов (смотри ниже) .
Для ПАКов с классификацией информационной безопасности понадобятся реквизиты лицензии производителя аппаратной части согласно 313 и/или 171 ПП РФ, сертификата продукции по 608 ПП РФ и дополнительный набор документов (можно включится в реестр Минпромторга в качестве альтернативы) .
Дополнительный набор документов:
Далее можно регистрироваться в реестре и заполнять заявление на включение ПАКа, руководствуясь методическими рекомендациями по работе с ФГИС Реестры ПО.
6. Как проходит процедура проверки ПАК? Кто проверяет и в какие сроки?
Тезисно расскажем об основных деталях процедуры проверки: