Система сертификации отечественного программного обеспечения в России изначально задумывалась как инструмент обеспечения качества и кибербезопасности. Однако сегодня она всё чаще работает не как защита, а как барьер на входе в ключевые сегменты рынка — особенно для малого и среднего бизнеса.
🔹 Кто контролирует?
Основные регуляторы — ФСТЭК, ФСБ и Минобороны. У каждого — свои критерии, процедуры и зоны ответственности. Но всех объединяет одно: жёсткие требования к компании, а не только к продукту.
Нужны:
- сертифицированные помещения,
- штат с подтверждённой квалификацией,
лицензии,
- соответствие ГОСТ и принципам РБПО (разработки безопасного ПО).
🔹 Для чего нужен сертификат?
Формально — для работы в сфере КИИ и госзакупок. Фактически — он стал обязательным условием участия в тендерах даже там, где это не прописано в законе.
«Сертификация — это уже не опция, а фильтр на входе», — отмечают разработчики из «РДТех» и «АйТи Бастион».
🔹 Сколько это стоит — и по времени?
Процесс может включать до шести этапов: от подготовки исходного кода до многомесячных испытаний в лабораториях.
По оценкам экспертов, это:
Долго — от 6 до 12 месяцев,
Дорого — сотни тысяч, а иногда и миллионы рублей,
Сложно — требует перестройки всей разработки под РБПО.
🔹 Кто проигрывает?
Крупные вендоры с ресурсами адаптируются. А МСП — вытесняются из госсектора и рынка импортозамещения, даже имея технологически зрелые решения. Как говорит гендиректор «Некстби»:
«Основная масса бюджетов сейчас — в госзаказе. А туда без сертификата не попасть».
🔹 Есть ли выход?
Эксперты предлагают:
- Модульную сертификацию — поэтапное соответствие, а не «всё или ничего»,
- Адаптацию требований под МСП,
- Диалог с регуляторами и опору на научные центры (например, ИСП РАН).
Сегодня сертификат — это не просто подтверждение безопасности. Это ключ к закрытой части ИТ-рынка. И если система не станет гибче, она рискует превратиться из инструмента защиты в механизм монополизации.