Включение промышленной продукции в реестр Минпромторга - важная процедура для российских производителей.
Вопрос об обязательности тестирования в центре задают по разным причинам. Одни разработчики хотят понять, нельзя ли сократить расходы, исключив эту статью бюджета. Другие — уточнить, применяются ли исключения к их конкретной ситуации. Третьи — разобраться в логике процедуры в целом. Прямой ответ: экспертиза в аккредитованном центре тестирования является обязательным элементом процедуры получения доверенного статуса по постановлению № 1937. Без положительного заключения центра тестирования правительственная комиссия не может принять решение о присвоении статуса. Исключений из этого требования регламент не предусматривает. Но содержание, объём и стоимость экспертизы — вопросы, которые стоит разобрать подробно.
Почему тестирование обязательно: логика требования
Доверенный статус отличается от реестрового именно наличием технической экспертизы. Включение в реестр российского ПО — преимущественно документальная процедура: проверяется принадлежность прав и российское происхождение. Доверенный статус добавляет к этому реальную техническую проверку: продукт действительно работает на доверенных операционных системах, действительно не содержит известных уязвимостей, действительно функционирует в соответствии с заявленной документацией.
Именно эта техническая проверка и составляет смысл слова «доверенный». Если бы статус присваивался только на основании документов — без реального испытания продукта — он не давал бы государственным заказчикам никакой дополнительной уверенности по сравнению с обычным реестровым ПО. Требование об экспертизе в аккредитованном центре — это не бюрократическая надстройка, а содержательный элемент процедуры.
Ответ на главный вопрос
Получить доверенный статус без прохождения экспертизы в аккредитованном центре тестирования невозможно. Постановление № 1937 прямо устанавливает экспертизу как обязательный этап. Центр тестирования направляет своё заключение в Минцифры, и только на его основании правительственная комиссия рассматривает заявление. Без заключения — нет рассмотрения комиссией, нет присвоения статуса.
Что именно проверяет центр тестирования
Понимание содержания экспертизы помогает правильно подготовиться и не тратить ресурсы на подготовку к тому, что центр не проверяет. Экспертиза охватывает три блока — и только их.
🖥️
Блок 1: совместимость с доверенными ОС
Центр разворачивает продукт на двух выбранных доверенных ОС и проверяет: корректность установки штатным способом по документации, работоспособность всей заявленной функциональности, стабильность работы, корректность отображения интерфейса. Нативная работа без слоёв эмуляции — обязательное условие.
🔐
Блок 2: информационная безопасность
Центр проверяет: отсутствие известных уязвимостей в компонентах по CVE-базе, отсутствие недокументированных функций и скрытых каналов передачи данных, корректность механизмов аутентификации и разграничения доступа, применение российской криптографии при наличии криптофункций.
✅
Блок 3: функциональная корректность
Центр проверяет соответствие реального поведения продукта его документации и реестровой записи. Если в реестровой записи заявлена функция — она должна работать именно так, как описано. Расхождение между заявленным и фактическим — замечание.
Что центр тестирования НЕ проверяет
Столь же важно понимать границы экспертизы — что находится за её пределами и проверяется другими участниками процедуры.
Что не входит в экспертизу центра Кто это проверяет На каком этапе Принадлежность исключительных прав российскому лицу Минцифры При регистрации заявления Соответствие корпоративной структуры требованию российского контроля Минцифры и правительственная комиссия При регистрации заявления и рассмотрении комиссией Соответствие правила 30% для государственных компаний Минцифры и правительственная комиссия При рассмотрении комиссией Актуальность и полнота реестровой записи Минцифры При регистрации заявления Коммерческая ценность и рыночная востребованность продукта Никем — не является критерием —
Есть ли исключения из требования об экспертизе
Регламент постановления № 1937 не предусматривает исключений из требования об экспертизе в центре тестирования. Не существует категорий продуктов, правообладателей или ситуаций, при которых статус присваивается без прохождения этого этапа. Ни репутация компании, ни наличие сертификатов ФСТЭК, ни многолетнее присутствие в реестре — ничто из этого не заменяет технической экспертизы.
Наличие у продукта сертификата ФСТЭК на соответствие требованиям безопасности нередко воспринимается разработчиками как основание для упрощения или пропуска блока ИБ при экспертизе. Это заблуждение. Сертификат ФСТЭК и экспертиза в центре тестирования — разные процедуры с разными требованиями. Они частично пересекаются по тематике, но не заменяют друг друга.
Сертификат ФСТЭК ≠ замена экспертизы
Сертификат ФСТЭК подтверждает соответствие продукта конкретным профилям защиты или требованиям доверия. Экспертиза для доверенного статуса проверяет совместимость с конкретными доверенными ОС, отсутствие CVE в актуальном компонентном стеке и функциональную корректность по реестровой записи. Области пересекаются, но не совпадают. Наличие сертификата ФСТЭК облегчает прохождение блока ИБ при экспертизе, но не отменяет её.
Как снизить стоимость и сложность экспертизы
Если вопрос «обязательно ли тестирование» задаётся из-за желания сократить бюджет — правильный ответ не «избежать экспертизы», а «пройти её максимально эффективно». Стоимость экспертизы фиксирована центром, но полные расходы на этот этап определяются числом циклов проверки.
💰 Устранить проблемы до экспертизы — не во время
Каждый цикл повторной экспертизы после замечаний стоит 50–100% первичной. Предварительный технический аудит и внутреннее тестирование на стенде с доверенными ОС обходятся значительно дешевле. Компании, проводящие качественную подготовку, проходят экспертизу с первого раза и платят за неё один раз.
🎯 Выбрать центр со специализацией в вашей категории
Центр с опытом в вашей категории ПО выдаёт меньше нерелевантных замечаний и лучше понимает специфику продукта. Минимальная разница в стоимости экспертизы между центрами — не повод выбирать центр без нужной специализации, если это увеличивает риск замечаний.
📋 Согласовать программу тестирования до начала
Предварительное согласование тестовых сценариев и конфигурации среды исключает расхождение между тем, как тестировал разработчик внутри, и тем, как тестирует центр. Это организационная мера с реальным влиянием на вероятность прохождения с первого раза.
⚡ Назначить ответственного за коммуникацию с центром
Эксперты центра задают уточняющие вопросы в ходе работы. Задержки с ответами останавливают экспертизу на период ожидания. Один ответственный человек с обязательством отвечать за один рабочий день — простая мера, прямо влияющая на срок экспертизы.
Внутреннее тестирование как подготовка к официальному
Внутреннее тестирование на стенде с доверенными ОС не заменяет официальную экспертизу в центре и не учитывается при оценке заявления. Но оно является наиболее эффективным способом подготовки к экспертизе — выявить и устранить проблемы в рабочем режиме, пока это не стоит дополнительных циклов проверки.
1
Развернуть стенд с теми же ОС, что будут использованы при экспертизе
Уточнить у выбранного центра тестирования, какие конкретные версии доверенных ОС развёрнуты на их стенде. Развернуть аналогичную конфигурацию внутри. Тестирование на «похожей» ОС или на более старой версии — нерелевантно: результаты будут отличаться от официальной экспертизы.
2
Провести тестирование по тем же сценариям, что будет использовать центр
По возможности согласовать с центром программу тестирования до начала официальной экспертизы. Провести внутреннее тестирование по тем же сценариям. Расхождение между внутренними результатами и результатами центра при одинаковых сценариях — редкость.
3
Устранить все выявленные проблемы и повторить прогон
Каждый цикл устранения завершается повторным прогоном всех сценариев — не только тех, где была проблема. Исправление одного дефекта иногда проявляет другой. Цикл продолжается до полного прохождения всех сценариев без замечаний.
Вопросы об обязательности тестирования
У нас есть сертификат ФСТЭК на наш продукт. Освобождает ли он нас от какой-либо части экспертизы?
Сертификат ФСТЭК не освобождает от экспертизы и не заменяет ни одного из трёх её блоков. Но наличие сертификата — весомый аргумент при подготовке к блоку ИБ: продукт уже прошёл формальную оценку безопасности, документация по безопасности существует, процессы безопасной разработки выстроены. На практике это снижает риск замечаний по блоку ИБ, хотя и не исключает их полностью — например, если CVE в зависимостях появились уже после сертификации. Сертификат и экспертиза для доверенного статуса решают разные задачи и дополняют друг друга.
Можно ли провести экспертизу самостоятельно — без аккредитованного центра?
Нет. Постановление № 1937 требует заключения именно аккредитованного центра тестирования — организации, получившей аккредитацию Минцифры. Самостоятельное тестирование правообладателем, тестирование неаккредитованной организацией или заключение консультанта без аккредитации не принимаются. Правительственная комиссия рассматривает заявление только при наличии заключения аккредитованного центра. Актуальный список аккредитованных центров публикуется в ФГИС Минцифры.
Мы уже проходили экспертизу при получении реестрового статуса — нужно ли снова?
При включении в реестр российского ПО техническая экспертиза на совместимость с доверенными ОС и проверка ИБ не проводятся — это документальная процедура. Для доверенного статуса техническая экспертиза является новым, самостоятельным элементом. Экспертизы не дублируются: реестровая процедура и процедура получения доверенного статуса — разные процедуры с разным содержанием проверки.
Тестирование обязательно — но его можно пройти с первого раза
Реестр Гарант обеспечивает прохождение экспертизы в центре тестирования с первого раза в 95% проектов. Это достигается не удачей, а системной подготовкой: предварительным аудитом, внутренним тестированием на стенде с доверенными ОС, правильным выбором центра и согласованием программы тестирования. Стоимость одной экспертизы — существенно меньше стоимости двух.
3 блока проверки: совместимость ОС, ИБ, функциональность 30 р.д. регламентный срок экспертизы в центре тестирования 95% наших клиентов проходят экспертизу с первого раза от 300 000 ₽ стоимость экспертизы в зависимости от категории ПО
Подготовиться к экспертизе и пройти её с первого раза
Расскажите о продукте — поможем подготовиться к экспертизе так, чтобы пройти её без замечаний и дополнительных циклов проверки.
Телефон / WhatsApp / Telegram: +7 920-898-17-18
Email: reestrgarant@mail.ru
Первичная консультация бесплатная в рабочее время.
Оригинальная статья
Полная версия статьи на нашем сайте: https://vnesenie-v-reestr.ru/news/obyazatel-no-li-testirovanie-v-tsentre-dlya-doverennogo-statusa-po-mozhno-li-bez-ekspertizy
Мы занимаемся включением в реестр Минпромторга
📞 Телефон: +7 920-898-17-18
✉️ Email: reestrgarant@mail.ru