Специалисты по кибербезопасности направили в Минцифры предложения по доработке реестров отечественного программного обеспечения. Рабочая группа, включающая ИБ-компании и Центр развития индустрии кибербезопасности "Кибердом", предлагает внедрить обязательную или добровольную проверку решений на уязвимости и ввести маркировку безопасного ПО, аналогично действующему эксперименту с ИИ-софтом, пишет "Ъ".
Новые реестры Минцифры: барьер для ИБ-продуктов?
Минцифры осенью 2025 года представило пакет актов о создании двух новых перечней: для частных корпоративных разработок и доверенного ПО. Чтобы войти в последний, необходимо подтвердить:
- совместимость хотя бы одной версии с российским процессором;
- наличие техподдержки;
- систему учёта и устранения ошибок и уязвимостей в течение 30 дней.
Однако в письме рабочей группы указано: эти требования могут стать "заградительным барьером" для ведущих отечественных продуктов в сфере информационной безопасности.
Проблема совместимости
Авторы обращения поясняют: требование совместимости с отечественными микропроцессорами нереализуемо для большинства ИБ-решений из-за отсутствия доступа к соответствующему оборудованию для тестирования.
Источник "Коммерсанта" в сфере кибербезопасности отметил, что 90% решений на рынке не могут обеспечить такую совместимость - российские процессоры не дают нужной производительности. Это ставит под угрозу попадание ключевых ИБ-продуктов в реестр "доверенного ПО".
Предложение: маркировка защищённости
Рабочая группа предлагает:
- проводить публичные программы поиска уязвимостей (в зависимости от типа реестра - по обязательной или добровольной модели);
- вводить специальную маркировку в реестре для софта, прошедшего проверку.
Такой подход уже используется в эксперименте по маркировке ПО с искусственным интеллектом.
Позиция Минцифры
В министерстве сообщили, что получили предложения и учли ряд инициатив:
- скорректированы сроки поддержки отечественных микропроцессоров;
- в реестр доверенного ПО будут включаться решения, подтвердившие соответствие дополнительным требованиям.
При этом проверка по этим критериям - добровольная: её отсутствие не приведёт к исключению из реестра.
"Отрасль озабочена тем, что доля успешных атак на российские компании через уязвимости в ПО составляет около 30% от общего числа киберинцидентов", - сказала заместитель генерального директора "Кибердома" Александра Шадюк.
Руководитель GR-проектов ГК "Солар" Андрей Медунов отмечает: текущие критерии не предусматривают практическое тестирование решений. Независимый эксперт Дмитрий Кирюхин добавил: при переходе с зарубежного ПО на отечественное или при самостоятельной разработке компании не всегда учитывают уровень безопасности.
"Внутренних команд тестирования безопасности зачастую нет, а при внесении в реестр никакие исследования сторонними лабораториями не проводятся", - подчеркнул он.
Источник: