Всё о получении статуса доверенного ПО: этапы, требования, сроки и наши услуги.
Короткий ответ: ежегодного подтверждения доверенного статуса не существует. Постановление № 1937 устанавливает срок действия статуса три года — после чего правообладатель обязан пройти процедуру переподтверждения. Никаких ежегодных проверок, плановых визитов инспекторов или обязательных отчётов по расписанию регламент не предусматривает. Однако это не означает, что три года можно полностью забыть о статусе. В течение всего срока правообладатель обязан сохранять соответствие требованиям и уведомлять Минцифры о существенных изменениях. Разберём, что это означает на практике и как выстроить работу так, чтобы переподтверждение через три года прошло без лишних затрат.
Срок действия и структура жизненного цикла статуса
Доверенный статус — не бессрочный. Это трёхлетний документ, требующий обновления. Понимание полного жизненного цикла позволяет планировать ресурсы и избегать неожиданных разрывов в статусе.
| Период | Что происходит | Что требуется от правообладателя |
|---|---|---|
| Месяц 0: получение статуса | Отметка появляется в ФГИС, начинается отсчёт трёх лет | Проверить корректность отметки, поставить напоминание о переподтверждении |
| Месяцы 1–30: активный период | Статус действует, продукт участвует в закупках с первым приоритетом | Поддерживать соответствие требованиям, уведомлять о существенных изменениях |
| Месяц 28–30: старт подготовки к переподтверждению | Подготовительный период до истечения статуса | Начать аудит, техническую подготовку, подготовку документов |
| Месяц 30–36: процедура переподтверждения | Повторная экспертиза и решение правкомиссии | Подача заявления, экспертиза в центре тестирования, правкомиссия |
| Месяц 36: истечение текущего статуса | Отметка утрачивает силу, если переподтверждение не завершено | Переподтверждение должно быть завершено до этой даты |
Что нужно поддерживать в течение трёх лет
Отсутствие плановых проверок не означает отсутствия обязательств. Правообладатель принимает на себя ответственность за сохранение соответствия требованиям в течение всего срока действия статуса. Практически это означает несколько регулярных задач.
Мониторинг уязвимостей в компонентах
Регулярная проверка компонентного стека на появление новых CVE — ежеквартально как минимум. Критические уязвимости требуют устранения в течение нескольких недель. Это одновременно и обязательство по поддержанию статуса, и элементарная практика безопасной разработки. Накопленный список неустранённых CVE к моменту переподтверждения — лишняя работа и лишние расходы.
Актуальность документации
Документация — руководство пользователя, руководство администратора, документация по безопасности — должна отражать текущее состояние продукта. При каждом значимом обновлении документация обновляется одновременно с кодом. К моменту переподтверждения актуальная документация — это несколько дней работы, а не несколько недель.
Совместимость с доверенными ОС при обновлениях продукта
Каждое значимое обновление продукта проверяется на стенде с доверенными ОС. Несовместимость, появившаяся в версии 3.5, — это проблема, которую нужно устранить в версии 3.5, а не обнаружить при переподтверждении через два года в версии 5.0.
Мониторинг корпоративной структуры
Перед любым корпоративным изменением — привлечение нового инвестора, реструктуризация, слияние — анализ влияния на соответствие требованию российского контроля. Изменение структуры без такого анализа может незаметно создать несоответствие, которое выявится только при переподтверждении.
Об уведомлениях Минцифры при изменениях
Правообладатель обязан уведомлять Минцифры о существенных изменениях, влияющих на соответствие требованиям. Это активная обязанность, не ожидание проверки. Разница принципиальная: добровольное уведомление о проблеме — это добросовестность. Сокрытие изменения, которое создаёт несоответствие, — это риск досрочного прекращения статуса при обнаружении.
| Изменение | Требует ли уведомления? | Порядок действий |
|---|---|---|
| Смена состава участников компании | Да — если влияет на российский контроль | Уведомить Минцифры, предоставить актуальные документы о структуре |
| Существенное изменение функциональности продукта | Да — актуализация реестровой записи | Подать заявку на актуализацию записи в ФГИС через экспертный совет |
| Передача прав на продукт другой организации | Да — правообладатель в реестре должен совпадать с фактическим | Обновить реестровую запись, уведомить Минцифры |
| Обнаружение критической уязвимости | Рекомендуется — с планом устранения | Устранить в разумный срок, задокументировать |
| Незначительные обновления без изменения функциональности | Нет | Документировать внутренне для переподтверждения |
| Выход доверенной ОС из перечня Минцифры | Требует проработки | Уточнить у Минцифры порядок действий, добавить новую ОС при необходимости |
Как работает переподтверждение через три года
Переподтверждение — это повторная процедура получения статуса. По структуре она идентична первичной: подача заявления, выбор центра тестирования, экспертиза, правительственная комиссия, отметка в ФГИС. Регламентные сроки — те же самые.
Отличие от первичной процедуры — в содержании подготовки. Продукт уже прошёл экспертизу три года назад. Если за это время правообладатель поддерживал соответствие требованиям в текущем режиме, объём подготовительных работ значительно меньше. Если накапливал технический и юридический долг — разбирать его придётся за счёт дополнительного времени и бюджета.
Переподтверждение: «ухоженный» vs «запущенный» продукт
Продукт с текущим обслуживанием
- Документация актуальна — 0 недель на её подготовку
- CVE закрываются по мере появления — минимальная работа перед экспертизой
- Совместимость с ОС проверялась при каждом обновлении
- Корпоративная структура прозрачна и задокументирована
- Срок подготовки к переподтверждению: 2–3 недели
- Полный срок переподтверждения: 3–4 месяца
Продукт с накопленным долгом
- Документация устарела — 3–5 недель на актуализацию
- Десятки открытых CVE — 2–4 недели на обновление зависимостей
- Новые версии продукта не тестировались на доверенных ОС
- Корпоративные изменения не задокументированы должным образом
- Срок подготовки к переподтверждению: 2–4 месяца
- Полный срок переподтверждения: 5–7 месяцев
Когда начинать подготовку к переподтверждению
Переподтверждение занимает столько же времени, что и первичное получение: 4–6 месяцев при готовом продукте. Если продукт с накопленным долгом — больше. Это означает, что начинать подготовку нужно за 6–8 месяцев до даты истечения текущего статуса.
Практический совет: в день получения доверенного статуса поставьте напоминание на дату «28 месяцев с сегодняшнего дня». Это даст 8-месячный буфер — достаточный для любого сценария подготовки, включая устранение накопленных проблем и прохождение полной официальной процедуры.
Разрыв в статусе — реальный коммерческий риск
Если переподтверждение не завершено к моменту истечения текущего статуса — отметка в ФГИС утрачивает силу. В этот период продукт участвует в тендерах как обычное реестровое ПО без доверенного статуса. Каждый тендер с конкурентом, сохранившим статус, — потери. Правильное планирование полностью исключает этот сценарий.
Стоимость переподтверждения
По основным статьям расходов переподтверждение сопоставимо с первичным получением. Исключение — стоимость технической подготовки, которая при текущем обслуживании продукта значительно меньше.
| Статья расходов | При первичном получении | При переподтверждении (текущее обслуживание) | При переподтверждении (накопленный долг) |
|---|---|---|---|
| Экспертиза в центре тестирования | 300 000 — 900 000 ₽ | 300 000 — 900 000 ₽ | 300 000 — 900 000 ₽ |
| Консалтинговое сопровождение | от 190 000 ₽ | от 120 000 ₽ | от 190 000 ₽ |
| Техническая подготовка | Варьируется | Минимальная | Значительная |
| Юридическая подготовка | Варьируется | Минимальная при отсутствии изменений | Зависит от накопленных изменений |
Вопросы о подтверждении доверенного статуса
Если подать заявление на переподтверждение заранее — до истечения текущего статуса, — засчитывается ли оставшееся время?
Этот вопрос требует уточнения у Минцифры применительно к конкретной ситуации — регламент постановления № 1937 не содержит детальных норм о том, с какого момента отсчитывается новый трёхлетний срок при своевременном переподтверждении. На практике рекомендуется завершить процедуру переподтверждения незадолго до истечения текущего срока — так, чтобы между истечением старого и присвоением нового статуса не было разрыва.
Продукт существенно изменился за три года. Это усложняет переподтверждение?
Зависит от характера изменений. Если функциональность расширилась, но реестровая запись обновлялась по мере изменений и совместимость с доверенными ОС проверялась при каждом обновлении — переподтверждение проходит стандартно. Если за три года продукт кардинально изменился, реестровая запись не обновлялась и новые компоненты не тестировались — по сути это экспертиза нового продукта с объёмом работ, соответствующим первичному получению статуса.
Что происходит, если пропустить срок переподтверждения?
По истечении трёхлетнего срока отметка о доверенном статусе в ФГИС утрачивает силу. Продукт переходит в категорию обычного реестрового ПО. Для возврата доверенного статуса необходимо пройти полную процедуру заново — с подачи заявления, экспертизы в центре тестирования и рассмотрения правительственной комиссией. Сокращённой процедуры для восстановления утраченного статуса не предусмотрено.
Три года — управляемый период при правильном подходе
Реестр Гарант сопровождает клиентов не только при первичном получении статуса, но и в течение всего трёхлетнего периода: напоминаем об изменениях в нормативной базе, консультируем при корпоративных изменениях, помогаем своевременно начать подготовку к переподтверждению. Клиенты, с которыми мы работаем на постоянной основе, приходят к переподтверждению с минимальным накопленным долгом — и проходят его быстрее и дешевле.
Выстроить систему поддержания статуса на весь трёхлетний период
Расскажите о текущей ситуации — поможем выстроить процессы поддержания соответствия требованиям и заблаговременно подготовиться к переподтверждению.
Телефон / WhatsApp / Telegram: +7 920-898-17-18
Email: reestrgarant@mail.ru
Первичная консультация бесплатная в рабочее время.
