Как стать автором
Обновить
165.64
Бастион
Проводим пентесты, проектируем защищенные системы

Как попасть в реестр российского ПО, и зачем это нужно

Время на прочтение 6 мин
Количество просмотров 36K

Мы оценили на себе сложность проверок, которые проходит российское ПО. В этом посте расскажем, как со второй попытки попали в реестр, и что полезного можно вынести из этого опыта.

С момента появления в 2016 году реестр приобрел далеко не лучшую репутацию. Во многом справедливо. Похоже, что поначалу программы для реестра отбирались по чисто формальным критериям. На старте в список российского ПО можно было внести почти что угодно, включая плохо переупакованный open source. Ценность реестра в плане импортозамещения и повышения информационной безопасности госорганов стремилась к нулю.

Через несколько лет в высоких кабинетах, кажется, смекнули, что нечто пошло не так. Провели ревизию и даже исключили из списка несколько программ. Насколько эффективные это меры — вопрос открытый. В комментариях наверняка вспомнят сомнительные продукты, которые все еще находятся в реестре, но сейчас важно отметить тенденцию.

Минцифры усложнило процедуру подачи документов, добавило разделение программных продуктов на категории и ввело особые требования к отдельным их видам. Сейчас ведомство занимается изменением процедур в надежде «исключить риски попадания в реестр иностранного софта».

Все потому, что с 1 января 2021 года программы из реестра не только имеют преимущество при участии в госзакупках, но и получают льготу по НДС. 

Компания-разработчик российского ПО не платит 20% налога с его продаж. Минфин анонсировал эти изменения в осенью 2020 года, и число заявок на включение в реестр сразу сильно возросло.

Отечественные решения успешно конкурируют с зарубежными и без подобных бонусов, за счет качества и технологий, но 20% есть 20%, особенно для молодой компании. Это дополнительные инвестиции в разработку, возможность снизить цены и привлечь больше клиентов.

На внутреннем рынке это значительное преимущество, и мы не могли его проигнорировать. Пришлось разбираться с тем, как зарегистрировать ПО в «Едином реестре российских программ».

Порядок подачи документов и рассмотрения заявки

К счастью, чтобы попасть в реестр не нужно стоять в очередях. Подача документов происходит через личный кабинет на сайте: reestr.digital.gov.ru.

На первом этапе необходимо заполнить заявку, загрузить пакет сопровождающих документов и подписать их ЭЦП организации.

Заявка отправляется на проверку по формальным основаниям. Если необходимые документы на месте, в них нет ошибок, и информация правдива, — заявку регистрируют. Обычно это занимает 10 рабочих дней.

Затем в работу включаются эксперты Минцифры, которые изучают компанию, права на программу и ее дистрибутив.

Эксперты выносят окончательное решение не позднее 65 рабочих дней с даты регистрации заявления. Если оно положительное, на электронную почту падает уведомление, и уже на следующий день программа получает регистрационный номер и оказывается в реестре.

Первая попытка

Прежде всего мы хотели зарегистрировать BSP — Bastion Security Platform. Об этой системе коллеги уже рассказывали на Хабре.

В первый раз подошли к делу спустя рукава. Собрали документы, «какие были», отправили заявку, стали ждать. И получили закономерный отказ с длинным перечнем замечаний от сотрудников Минцифры.

В нашем чек листе было совсем немного зеленых отметок. Его можно скачать и посмотреть.

Однако, в отказе нет ничего страшного. Санкций не предусмотрено, даже госпошлину платить не нужно. Исключение составляют заявители, которые отправляют подложные документы. Для них предусмотрен кулдаун в 12 месяцев.

В принципе можно взять список замечаний, внести исправления на скорую руку и отправлять документы снова и снова… и так до победного конца. Но мы решили, что потеряли достаточно времени, и во второй раз подойдем к задаче с умом. Так что мы выбрали отдельного человека, который погрузился в процесс и следил за обработкой заявки.

Подготовка документов

Успех затеи во многом зависит от заявления и сопутствующей документации. На портале реестра опубликована «Инструкция по подаче заявлений» на 27 страниц, но она написана юристами для юристов и поэтому разобраться в ней непросто.

На самом деле в процессе подготовки заявления нет ничего сложного. Он сводится к списку рекомендаций из 7 пунктов, который опубликован на сайте ЦКИТ.

Это простые и ясные правила, которые разжеваны до мелочей. Пускай они и названы рекомендациями, выполнить их нужно безоговорочно. На то, чтобы подготовить бумаги у нас ушло около недели. 

Чаще всего заявки разворачивают из-за того, что разработчики не могут доказать свои права на программу. Для этого существуют авторские свидетельства, которые выдает Роспатент, но получить такой документ — это отдельный квест.

Куда проще подготовить для Минцифры нечто вроде юридической истории разработки программы — комплект бумаг, которые докажут, что она разрабатывалась в вашей компании. В него входят: приказ на разработку, служебные задания для сотрудников, счета, акт о приемке по результатам разработки и приказ о постановке ПО на баланс организации.

Заодно стоит убедиться в патентной чистоте программы. То есть в том, что ее модули и компоненты используются правомерно. Например, проверить, что вы не нарушаете правил открытых лицензий.

Рассмотрение заявления

После подачи документов можно просто сидеть и ждать ответа, какой бы он ни был, но лучше действовать проактивно. Сотрудники Минцифры не будут исправлять ваши ошибки, это не входит в их обязанности, но они готовы помочь.

Вам никто об этом не расскажет, но через две-три недели после отправки документов можно просто взять и спросить, как продвигается регистрация. И для этого не нужно никаких связей. Достаточно написать на reestr@digital.gov.ru или позвонить по телефону, который указан на портале ЦКИТ, назвать номер заявки и объяснить ситуацию.

Таким образом мы получили контакты эксперта, ответственного за заявку. Он выслал чек-лист, который в первый раз мы получили только вместе с отказом. Эксперт даже подсказал, где именно нашлись несоответствия в документах и какие сведения в них добавить.

Как-то непривычно хвалить государственные сервисы, но в данном случае это было корректное и прозрачное взаимодействие.

Новые ошибки

Во второй раз мы успешно доказали свои права на разработку, но прокололись на мелочах.

Так, Минцифры требует, чтобы у программы была интернет-страница с документацией: инструкциями по установке и эксплуатации, регламентом обслуживания. Достаточно простого лендинга, однако, важно доказать министерству, что сайт принадлежит вашей компании.

Так вышло, что наш домен зарегистрирован на физическое лицо. Чтобы не возиться с перерегистрацией, мы составили договор между владельцем домена и нашим юрлицом, по которому право на использование адреса переходит к компании Бастион на определенный срок. Этого оказалось достаточно.

Кроме того, оказалось, что в документации к программе нужно подробно расписать жизненный цикл продукта. Регулятору важно знать, кто будет задействован в выпуске обновлений, как они будут тестироваться и выпускаться.

Пришлось дополнить регламенты и расписать, что обновления готовятся силами штатных сотрудников, сначала попадают в тестовую среду и уже потом на прод.

Мы отправили обновленные документы эксперту, он прикрепил их к заявке, и процесс пошел дальше.

Тестирование

После проверки документов эксперты берут инструкции по установке и настройке программы, и пробуют развернуть экземпляр продукта, который отправлен вместе с заявкой.

Признаться, мы думали, что этот этап будет чистой формальностью и случайно приложили к заявке запароленный архив. Так вот, когда пришло время, эксперты запросили у нас пароль.

А еще, для доступа к некоторым функциям BSP нужен аккаунт администратора. Чуть позже выяснилось, что в релизной версии разработчики сменили пароль по умолчанию, а в документации остались старые креды. Сотрудники реестра заметили и это.

Похоже, они действительно тестируют программу, поэтому перед отправкой дистрибутива стоит убедиться, что его сможет запустить кто-то кроме разработчиков.

На этом этапе нам бы точно отказали в регистрации, но мы продолжали время от времени пинговать ответственного за заявку, вовремя узнали о проблемах и отправили нужные пароли.

В результате все прошло благополучно. BSP получила регистрационный номер и оказалась в реестре. Чуть позже мы еще раз прошли всю процедуру и с первой попытки внесли в реестр еще одну разработку — частное облачное хранилище.

Выводы

Как видите, процесс не такой уж и сложный. Сотрудники Минцифры не сделают всю работу за вас, но они идут на контакт и дают советы.

Существует много компаний-посредников, которые предлагают помощь с подачей заявлений в реестр, но такими услугами стоит пользоваться, только если внутри компании некому поручить эту задачу. Вы получите те же рекомендации, что и от специалистов Минцифры, только за деньги.

Кроме того, пакет документов, который требует регулятор, — хороший пример профессиональной юридической «упаковки» программного продукта. Он пригодится, даже если вы не собираетесь подавать заявление в реестр.

Документальная история разработки — доказательство прав на программу при разбирательствах в суде. Проверка на патентную чистоту избавляет от множества потенциальных проблем с правообладателями, а инструкции по установке и эксплуатации ПО регулярно просят заказчики.

По-хорошему, подготовку этих документов стоит включить в цикл разработки и обновлять их вместе с каждым релизом. Подача заявки в реестр — хороший повод перепроверить бизнес-процессы связанные с разработкой ПО и выстроить их оптимальным образом.

Рекомендации по подаче документов в реестр Российского ПО

  1. Проверьте дистрибутив на ошибки. Важно, чтобы программа устанавливалась без проблем и работала как часы.

  2. Выделите сотрудника, который будет сопровождать заявку.

  3. Подготовьте пакет документов, следуя рекомендациям ЦКИТ.

  4. Через две-три недели после подачи заявки напишите в реестр и узнайте, как идет рассмотрение.

  5. Оперативно исправьте ошибки в документах, если таковые найдутся.

  6. Не стесняйтесь спрашивать сотрудников реестра о том, как и что правильно делать.

  7. Воспользуйтесь случаем, чтобы выстроить процесс подготовки документов для каждого релиза.

  8. Если не получилось попасть в реестр с первого раза — пробуйте снова, за это никто не накажет.

Upd. Добавили в пост ссылку на лист проверки сведений о ПО.

Теги:
Хабы:
+34
Комментарии 19
Комментарии Комментарии 19

Публикации

Информация

Сайт
bastion-tech.ru
Дата регистрации
Дата основания
2014
Численность
101–200 человек
Местоположение
Россия
Представитель
Игорь Santry