Появляется добровольная категория — «доверенное ПО». Статус доверенного ПО получается в два этапа: (1) доказать соответствие требованиям закона и пройти экспертизу, (2) провести процедуру включения в перечень по ПП № 1931.

1. Зачем вообще получать статус доверенного ПО

·       В госзакупках заявки с доверенным ПО получают абсолютный приоритет: если в закупке есть хотя бы один участник с доверенным ПО, остальные заявки с обычным российским ПО приравниваются к заявкам с иностранным ПО.

·       Статус нужен для систем КИИ, силового и чувствительного госсектора — без него доступ к ряду проектов будет закрыт или сильно осложнён.

·       Запись действует 3 года, потом статус можно продлевать.

2. Базовые требования к кандидату

До подачи заявления ПО должно соответствовать закону и общим реестровым требованиям:

1.     ПО уже включено:

o   в реестр российского ПО, или

o   в перечень ПО для собственных нужд (для собственных КИИ‑решений).

2.     Исключительные права – только у российских лиц:

o   правообладатель – РФ / субъект РФ / муниципалитет, или

o   российская организация под контролем РФ/граждан РФ без второго гражданства (>50% голосующих акций/долей), или

o   гражданин РФ без второго гражданства.

3.     Отсутствие иностранного контроля и критичных обременений по правам (залог, лицензия, опцион и т.п., дающие иностранцам фактический контроль).

4.     Соответствие требованиям к доверенному ПО по безопасности КИИ (ч. 3.7 ст. 2 закона о КИИ, уточнённая через ФЗ № 58 и 325): повышенная защищённость, контролируемые обновления, отсутствие НДВ, управляемость на всём жизненном цикле.

5.     В ПО и документации нет сведений, составляющих гостайну.

3. Какие документы и артефакты нужно подготовить

3.1. Правовой пакет

·       Учредительные документы и выписки (ЕГРЮЛ/ЕГРИП) правообладателя.

·       Структура владения (организационная и бенефициарная цепочка) с указанием процентов участия и гражданства конечных бенефициаров.

·       Документы, подтверждающие исключительные права: договоры отчуждения, акты приёма‑передачи НМА, приказы, учет НМА на балансе.consulting.

·       Документы о включении ПО в реестр/перечень для собственных нужд: номер записи, дата.

3.2. Технический пакет по ИБ

Тут цель — показать, что ПО соответствует требованиям к доверенному ПО:

·       Описание архитектуры и компонентов (модули, интерфейсы, протоколы).

·       Модель угроз и нарушителя, перечень реализованных механизмов защиты.

·       Описание механизмов:

o   аутентификации и авторизации;

o   разграничения прав доступа;

o   журналирования и аудита;

o   контроля целостности;

o   криптографических средств (если применяются).

·       Регламенты:

o   управления обновлениями, патчами и уязвимостями;

o   резервного копирования и восстановления;

o   управления конфигурациями.

·       Акт/результаты внутренних тестов на отсутствие НДВ (скрытых функций, закладок).

3.3. Пакет для экспертизы

·       Экземпляр ПО (или доступ к нему) для испытаний в центре тестирования.

·       Инструкция по развертыванию и эксплуатации на типовых стендах (часто — в т.ч. на российских ОС).

·       Сценарии испытаний, которые подтверждают заявленные свойства доверенного ПО.

4. Порядок получения статуса: пошаговая инструкция

Шаг 1. Проверить «готовность» продукта

До подачи заявления имеет смысл сделать внутренний аудит:

·       соответствует ли структура прав требованиям ч. 3.7 ст. 2 (нет иностранного контроля, нет второго гражданства у ключевых бенефициаров);

·       нет ли зависимостей от несертифицированных иностранных сервисов, которые делают архитектуру уязвимой;

·       есть ли документация, подтверждающая безопасность и управляемость жизненного цикла.

Шаг 2. Подать заявление в Минцифры

·       Заявление подаётся через ГИС «Реестры программ…» / официальный сайт Минцифры, тем же кабинетом, что и для обычного реестра.

·       Подать может правообладатель или лицо, уполномоченное всеми правообладателями.

В заявлении указываются:

·       сведения о ПО:

o   название, версия, класс;

o   номер записи в реестре или перечне ПО для собственных нужд;

·       сведения о правообладателе (ИНН, ОГРН, адрес и т.п.);

·       ссылка на применимые требования к доверенному ПО (набор требований, по которым будет идти экспертиза);

·       согласие на проведение экспертизы.

Заявление подписывается УКЭП.

Шаг 3. Заключить договор с центром тестирования (ЦТ)

·       В течение 30 рабочих дней с момента регистрации заявления заявитель обязан:

o   выбрать центр тестирования из перечня, утверждённого Минцифры;

o   заключить с ним договор на экспертизу;

o   направить в Минцифры копию договора.

Если не уложиться в 30 дней — рассмотрение заявления прекращается.

ЦТ должен соответствовать требованиям (аккредитованная ИТ‑организация, испытательная лаборатория, ≥10 специалистов, страхование ответственности и т.п.).

Шаг 4. Пройти экспертизу

Центр тестирования в течение 30 рабочих дней проводит экспертизу ПО и формирует:

·       экспертное заключение – соответствует / не соответствует требованиям к доверенному ПО;

·       протокол экспертизы, где обязательно указываются:

o   сведения о ПО и правообладателе;

o   перечень требований к доверенному ПО, по которым проводилась проверка;

o   результаты и обоснование по каждому требованию (особенно при «не соответствует»).

На этом шаге активно используются все подготовленные технические документы (архитектура, модель угроз, регламенты, результаты внутренних тестов).

Шаг 5. Рассмотрение Минцифры и Комиссией

Если заключение «соответствует», Минцифры в течение 15 рабочих дней:

·       формирует предложение о включении ПО в перечень доверенного ПО;

·       направляет его в Правительственную комиссию по цифровому развитию.

Комиссия принимает окончательное решение.

Шаг 6. Внесение в перечень и отражение статуса

При положительном решении Комиссии:

·       Минцифры на следующий рабочий день включает сведения о ПО в перечень доверенного ПО;

·       в записи в обычном реестре российского ПО появляется признак «доверенное ПО» (это и есть фактический маркер статуса).

Срок действия записи: 3 года.

Не позднее чем за 3 месяца до истечения срока нужно подать новое заявление и пройти повторную экспертизу (по упрощённой схеме, но формально – снова полный цикл).

5. Что придётся делать дальше (поддержание статуса)

После включения:

·       Поддерживать актуальность сведений о правообладателях, версиях и др. (аналогично обычному реестру).

·       Следить, чтобы изменения в продукте не ломали требования к доверенному ПО (ИБ, отсутствие НДВ, управляемость обновлений).

·       Сдавать ежегодную отчётность по реестру (выплаты иностранцам, выручка, стоимость), если ПО ещё и в обычном реестре.·

         За 3 месяца до окончания 3‑летнего срока — готовить новый цикл экспертизы и заявление.

6. Краткий чек‑лист 

1.     ПО уже в реестре / перечне для собственных нужд?

2.     Права и собственники чистые: только российские лица, нет иностранного контроля, нет второго гражданства у ключевых бенефициаров.

3.     Документация по ИБ готова: архитектура, модель угроз, регламенты, механизмы защиты, отсутствие НДВ.

4.     Подано заявление в Минцифры (через ГИС, с УКЭП).

5.     Заключён договор с центром тестирования в течение 30 рабочих дней.

6.     Экспертиза пройдена, получено заключение «соответствует».

7.     Минцифры + Правительственная комиссия приняли положительное решение.

8.     В реестре появилась отметка «доверенное ПО» — статус действует 3 года.