Минкомсвязь разработала методику и порядок подтверждения соответствия ПО из реестра дополнительным требованиям

150

Минкомсвязь разместила на портале для общественных обсуждений проект приказа «Об утверждении порядка и методики подтверждения соответствия программ для электронных вычислительных машин и баз данных, сведения о которых включены в реестр российского программного обеспечения, дополнительным требованиям, установленным к программам для электронных вычислительных машин и базам данных, сведения о которых включены в реестр российского программного обеспечения».

Напомним, дополнительные требования, разработанные Минкомсвязью, утверждены постановлением правительства от 23.03.2017 №325.

Требования определяют состав, архитектуру, функции ПО, необходимого для замены импортных аналогов.

В частности, интерфейс ПО должен быть реализован на русском языке. ПО не должно требовать установки иного ПО (дополнительных программных модулей, шрифтов), имеющего любые ограничения на его свободное распространение на территории России, за исключением операционных систем. Обновления ПО должны выполняться только после подтверждения со стороны пользователя или уполномоченных сотрудников. При этом для каждого вида ПО предусмотрены специальные требования.

В реестр отечественного ПО, в соответствии с постановлением, вносятся сведения о соответствии или несоответствии ПО дополнительным требованиям. (Норма вступит в силу по истечении шести месяцев со дня официального опубликования постановления.)

Согласно разработанным Минкомсвязью порядку и методике, правообладатель подает в министерство заявку на подтверждение соответствия программного обеспечения дополнительным требованиям.

После подтверждения соответствия или несоответствия программного обеспечения дополнительным требованиям в реестр российского программного обеспечения вносятся соответствующие сведения о соответствии или несоответствии программного обеспечения дополнительным требованиям.

Вместе с тем, проектом приказа предусмотрено, что в случае подтверждения несоответствия программного обеспечения дополнительным требованиям, правообладатель после получения уведомления о несоответствии программного обеспечения дополнительным требованиям вправе отозвать заявку, при этом сведения о несоответствии программного обеспечения дополнительным требованиям в реестр не вносятся.

В документе определяются необходимые данные, которые должны быть указаны в заявке, сроки рассмотрения заявок и изменения данных о соответствии/несоответствии доптребованиям в реестре, порядок проведения экспертизы ПО и т.д.

Общественное обсуждение документа продлится до 22 июня.

Выдержки из методики

Проверки, согласно приложению к методике, делятся на визуальную, фактическую и документальную.

Вот пример документальной проверки. Пункт 5 дополнительных требований устанавливает, что «в случае наличия в офисном программном обеспечении функции идентификации и аутентификации пользователей должна обеспечиваться возможность идентификации и аутентификации пользователей с использованием в том числе» ЕСИА. Чтобы выяснить, так ли это, проверяется наличие в ПО возможности использования протокола OAuth 2.0. для взаимодействия с внешними системами.

Также нуждается лишь в документальной проверке наличие сертификатов соответствия ФСТЭК и ФСБ на шифровальные технологии; наличие задокументированного API для возможности передачи текстовых сообщений и электронных документов в федеральные информационные системы; наличие у почтовой программы протоколов SMTP, POP3 и т.п.

Фактическая проверка требуется, например, для проверки возможности отключения пользователем функции по доставке уведомлений о полученных им электронных сообщениях; возможности поиска сообщений электронной почты в электронном почтовом ящике пользователя с использованием в том числе различных критериев поиска сообщений электронной почты и т.п.

Фактическая проверка требований к средствам антивирусной защиты, к примеру, состоит в проверке «наличия мониторинга в режиме реального времени, анализа журналов и событий и возможность управления с единой консоли оператора».

Визуальная проверка проводится для всех классов ПО и состоит в проверке наличия контактной информации правообладателя программного обеспечения, включающей номер телефона, электронную почту и режим работы, для связи на русском языке для сопровождения пользователей на официальном сайте производителя.

Фактическая проверка работы техподдержки осуществляется контрольным сообщением или звонком в службу поддержки пользователей не реже одного раза в квартал. Если более двух раз подряд проверка даёт отрицательный результат, программный продукт исключают из реестра.