Включение промышленной продукции в реестр Минпромторга - важная процедура для российских производителей.
Экспертиза в центре тестирования — центральный и наиболее непредсказуемый этап всей процедуры получения доверенного статуса. Именно здесь принимается техническое решение о том, соответствует ли продукт требованиям постановления № 1937. От качества этого заключения зависит, получит ли правообладатель положительное решение правительственной комиссии или вернётся на доработку с потерей нескольких месяцев и бюджетом на повторную экспертизу. Разработчики, которые понимают, как именно работает центр тестирования, готовятся к нему иначе — и проходят его с первого раза значительно чаще.
Что такое центр тестирования и как он аккредитуется
Центр тестирования — это аккредитованная организация, уполномоченная проводить техническую экспертизу программных продуктов для целей получения доверенного статуса. Аккредитацию центров осуществляет Минцифры России. Перечень действующих аккредитованных центров публикуется на сайте ФГИС «Реестр программного обеспечения».
Разработчик вправе выбрать любой центр из перечня — законодательство не обязывает работать с конкретным центром. На практике выбор имеет значение: центры различаются специализацией, опытом работы с определёнными категориями ПО, загрузкой в периоды пиковых дедлайнов и стоимостью услуг. Центр, специализирующийся на промышленном ПО, может не иметь достаточного опыта с СУБД — и наоборот.
Как выбрать центр тестирования
При выборе центра имеет смысл оценить несколько параметров: наличие опыта экспертизы продуктов вашей категории (серверное, прикладное, промышленное ПО), загрузку на ближайшие месяцы с учётом дедлайнов по вашей категории, стоимость и состав услуг, технические возможности для воспроизведения вашей архитектуры на тестовом стенде. Мы помогаем клиентам с выбором центра и ведём переговоры о сроках начала работ параллельно с подачей заявления в Минцифры — это сокращает разрыв между регистрацией заявления и стартом экспертизы.
Регламентные сроки экспертизы
Постановление № 1937 устанавливает следующие сроки для этапов, связанных с центром тестирования.
Этап Регламентный срок Реальный срок с учётом практики Выбор правообладателем центра тестирования после регистрации заявления 30 рабочих дней 1–4 недели при предварительной договорённости Проведение экспертизы центром тестирования 30 рабочих дней 30–60 рабочих дней с учётом сложности продукта Направление заключения в Минцифры 5 рабочих дней после завершения Обычно соблюдается Рассмотрение правительственной комиссией Не регламентирован жёстко От 2 до 8 недель
Что именно проверяет центр тестирования
Экспертиза в центре тестирования охватывает три основных блока: совместимость с доверенными ОС, информационная безопасность и функциональная корректность. Объём и глубина проверки каждого блока зависят от категории и архитектуры продукта.
🖥️
Блок 1: совместимость с доверенными ОС
Центр разворачивает выбранные правообладателем доверенные ОС и проверяет корректность работы продукта в этой среде. Проверяется установка, запуск, работа всей заявленной функциональности, стабильность, взаимодействие с системными службами. Для web-приложений — работа в среде доверенного браузера на доверенной ОС.
🔐
Блок 2: информационная безопасность
Анализ архитектуры безопасности, проверка на наличие известных уязвимостей в компонентах продукта, поиск недокументированных функций и скрытых каналов передачи данных. Для продуктов с криптографическими функциями — проверка применения российских алгоритмов по ГОСТ.
✅
Блок 3: функциональная корректность
Соответствие фактической функциональности продукта описанию в реестровой записи и документации. Если в реестре указано, что продукт поддерживает определённые протоколы, форматы или режимы работы — каждый из них проверяется на практике.
Пошаговый ход экспертизы
1
Заключение договора с центром тестирования
После регистрации заявления в ФГИС правообладатель выбирает центр тестирования и заключает с ним договор. В договоре фиксируются: состав работ, конкретные доверенные ОС для проверки, сроки проведения экспертизы, стоимость услуг. Именно на этом этапе важно согласовать конфигурацию тестовой среды — чтобы она соответствовала той, в которой вы проводили внутреннее тестирование.
2
Передача дистрибутива и документации
Правообладатель передаёт в центр установочный дистрибутив продукта в той версии, которая заявлена в реестровой записи, полный комплект документации — руководство пользователя, руководство администратора, описание архитектуры безопасности, перечень компонентов и зависимостей. Документация должна быть актуальной и соответствовать передаваемому дистрибутиву.
3
Развёртывание тестовой среды
Центр разворачивает тестовую инфраструктуру: устанавливает выбранные доверенные ОС, при необходимости — смежные системы для проверки интеграций. Для серверного ПО и СУБД — серверная конфигурация, включая кластерные сценарии при необходимости. Для продуктов с агентами — тестовая среда с наблюдаемыми хостами.
4
Установка и первичная проверка
Эксперты устанавливают продукт штатным способом по документации. Нестандартные шаги установки, требующие ручного редактирования конфигурационных файлов или обходных манёвров, уже на этом этапе фиксируются как замечания. Инсталлятор должен работать корректно на доверенных ОС без специальных знаний о Linux-специфике.
5
Функциональное тестирование
Проверяется каждая функция, заявленная в реестровой записи и документации. Эксперты работают по тестовым сценариям, которые охватывают штатное использование продукта. Расхождение между заявленной и фактической функциональностью — основание для замечаний.
6
Проверка информационной безопасности
Анализ компонентного состава на известные уязвимости (CVE-база), проверка сетевой активности продукта, анализ разграничения доступа, проверка механизмов аутентификации, поиск скрытых каналов. Для продуктов с криптографическими функциями — проверка применения ГОСТ-алгоритмов.
7
Оформление заключения
По результатам всех проверок центр оформляет заключение. Положительное заключение направляется в Минцифры в течение 5 рабочих дней. При наличии замечаний — правообладатель получает их перечень, устраняет и инициирует повторную проверку. Каждый цикл повторной проверки — дополнительные расходы и время.
Типичные замечания при экспертизе
По нашей практике сопровождения разработчиков одни и те же категории замечаний встречаются регулярно. Знание этих точек риска позволяет устранить проблемы до экспертизы, а не по её итогам.
Категория замечания Конкретные проявления Как устраняется Несовместимость с доверенными ОС Отдельные функции не работают, некорректное отображение интерфейса, нестабильная работа Доработка кода, замена Windows-специфичных компонентов Уязвимые зависимости Устаревшие библиотеки с известными CVE, компоненты без обновлений безопасности Обновление зависимостей до актуальных версий Несанкционированная сетевая активность Обращения к внешним серверам без явного действия пользователя, телеметрия Отключение или документирование всех внешних соединений Расхождение документации с продуктом Функции, описанные в документации, работают иначе или не работают Обновление документации или доработка соответствующего функционала Проблемы с инсталлятором Установка не завершается штатно на доверенной ОС без ручного вмешательства Адаптация инсталлятора под Linux-среду Отсутствие ГОСТ-криптографии Криптографические функции реализованы только на иностранных алгоритмах Интеграция российских СКЗИ или криптопровайдеров
Как подготовиться к экспертизе, чтобы пройти с первого раза
Разница между компаниями, которые проходят экспертизу с первого раза, и теми, кто получает замечания, — почти всегда в качестве предварительной подготовки. Не в удаче и не в лояльности конкретного центра тестирования.
🔍 Провести внутренний аудит перед подачей
Технический аудит совместимости с доверенными ОС, юридический аудит прав, проверка компонентного стека на уязвимости. Это не дублирование экспертизы центра — это выявление проблем, пока их устранение не стоит дополнительных расходов на повторную проверку.
🖥️ Создать тестовый стенд с доверенными ОС
До подачи заявления развернуть те же доверенные ОС, которые будет использовать центр, и провести полноценное внутреннее тестирование по всей заявленной функциональности. Все выявленные проблемы устранить и задокументировать результаты.
📋 Привести документацию в порядок
Документация должна точно описывать продукт в той версии, которая передаётся на экспертизу. Руководство пользователя, руководство администратора, описание архитектуры безопасности — всё актуальное, без ссылок на устаревшие версии и функции.
🤝 Согласовать программу тестирования с центром
До начала работ согласовать с центром тестирования состав тестовых сценариев, конфигурацию тестовой среды, перечень доверенных ОС. Это исключает ситуацию, когда центр тестирует в конфигурации, отличной от той, в которой проводилось внутреннее тестирование.
Стоимость экспертизы в центре тестирования
Стоимость экспертизы устанавливается центром тестирования самостоятельно — единого тарифа нет. Цена зависит от категории и сложности продукта, объёма функциональности, требующей проверки, числа проверяемых доверенных ОС и конфигурации тестовой среды.
Категория ПО Ориентировочная стоимость экспертизы Офисное ПО от 300 000 до 600 000 ₽ Прикладное ПО, средства мониторинга, связующее ПО от 400 000 до 750 000 ₽ Серверное ПО, СУБД от 500 000 до 900 000 ₽ Средства информационной безопасности от 500 000 до 900 000 ₽ Промышленное ПО, АСУТП, SCADA от 700 000 до 900 000 ₽ Повторная экспертиза после замечаний от 50% до 100% стоимости первичной
Повторная экспертиза после замечаний — это не небольшая доплата, а фактически новый раунд расходов. При этом добавляется 1–2 месяца к общему сроку проекта. Именно поэтому инвестиция в качественную предварительную подготовку окупается при первом же положительном заключении с первого раза.
Вопросы о тестировании доверенного ПО
Может ли разработчик присутствовать при экспертизе в центре тестирования?
Регламент не запрещает коммуникацию между разработчиком и центром тестирования в ходе экспертизы — напротив, оперативные ответы на вопросы экспертов ускоряют процесс. Формат взаимодействия согласовывается с конкретным центром: это может быть переписка, видеозвонки или очные встречи. Физическое присутствие в центре обычно не практикуется, но готовность команды разработки быстро отвечать на технические вопросы — важный фактор для скорости экспертизы.
Если центр нашёл замечания, можно ли исправить их и продолжить экспертизу без нового договора?
Зависит от условий договора с центром и характера замечаний. Небольшие замечания, устранение которых не требует существенного изменения продукта, иногда закрываются в рамках текущего договора. Серьёзные замечания, требующие переработки продукта, обычно предполагают новый раунд экспертизы с дополнительной оплатой. Это один из аргументов в пользу тщательной предварительной подготовки — повторная экспертиза обходится дороже, чем качественный аудит до первой подачи.
Центр тестирования выдал положительное заключение. Когда появится отметка в реестре?
После положительного заключения центр направляет его в Минцифры в течение 5 рабочих дней. Затем материалы рассматриваются правительственной комиссией по цифровому развитию. Срок рассмотрения комиссией не регламентирован жёстко и составляет от двух до восьми недель на практике. После положительного решения комиссии отметка о доверенном статусе появляется в реестровой записи ФГИС.
Нужно ли передавать в центр тестирования исходный код продукта?
Формат передачи материалов согласовывается с центром тестирования. В стандартной практике передаётся установочный дистрибутив, документация и сведения о компонентном составе. Доступ к исходному коду центр может запросить для отдельных аспектов проверки безопасности, но это не является обязательным требованием для всех продуктов. При наличии опасений относительно защиты интеллектуальной собственности этот вопрос стоит прояснить с центром до заключения договора.
Экспертиза с первого раза — достижимая цель при правильной подготовке
95% наших клиентов проходят экспертизу с первого раза. Это не случайность — это результат предварительного аудита, тестирования на стенде с доверенными ОС и профессионально подготовленной документации. Мы сопровождаем весь процесс: от выбора центра тестирования до взаимодействия с экспертами в ходе проверки и получения отметки в реестре.
30 дн. регламентный срок экспертизы в центре от 300 000 ₽ стоимость экспертизы в зависимости от категории 95% наших клиентов проходят экспертизу с первого раза 10 лет работа с реестрами и процедурами Минцифры
Подготовиться к экспертизе и пройти её с первого раза
Расскажите о продукте и его текущем состоянии — проведём аудит готовности к экспертизе, поможем выбрать центр тестирования и сопроводим весь процесс до получения отметки.
Телефон / WhatsApp / Telegram: +7 920-898-17-18
Email: reestrgarant@mail.ru
Первичная консультация бесплатная в рабочее время.
Оригинальная статья
Полная версия статьи на нашем сайте: https://vnesenie-v-reestr.ru/news/kak-prohodit-testirovanie-doverennogo-po-protsedura-proverki-v-tsentre-testirovaniya
Мы занимаемся включением в реестр Минпромторга
📞 Телефон: +7 920-898-17-18
✉️ Email: reestrgarant@mail.ru