У меня вопрос, является ли обязательной сертификация, лицензирование, регистрация и т.д. иностранного софта в России?
Есть 2 иностранных разработчика, которые заинтересованы в выходе на российский рынок. Первый предлагает облачные решения по прослеживаемости и маркировке ЛС. Второй разработчик предлагает аналог LIMS для микробиологических лабораторий, но с функционалом, заточенным только под нужды мкб лаборатории и дешевле (облако).
Встал вопрос, с чего вообще начинать продвижение? Понятно, что надо перевести и локализовать софт. А что делать дальше?
Буду благодарна за любые подсказки
Я непосредственно с этим не связан, но, насколько знаю, в связи с импортозамещением существует госреестр программого обеспечения. Не знаю можно ли в обход него продавать, но программы значащиеся в госреестре имеет более высокий приоритет в закупке, чем все остальные.
Локализация само собой.
Если в лабе уже есть ЛИМС/ЛИС, то там уже скорее всего есть модуль для микробов, если есть этот отдел.
Lidia Lianiuka Lenivko Автор темы 23.04.2019 22:13 Я сейчас начала изучать вопрос и нашла, что в госреестр для госзакупок включается только ПО российского происхождения или не имеющее аналогов в России. Насколько я понимаю, иностранный софт даже не может участвовать в госзакупках при условии наличия аналогичного софта российских разработчиков.
У разработчика упор на те мкб лаборатории, которые не могут себе позволить стоимость ЛИМС, а работают на бумаге и в экселе.
Сергей Герасимчук 24.04.2019 01:11 Ну да, такие есть лаборатории. Но те, что я знаю - это госконторы и они со слабой платежеспособностью. Вам скорее стоит для начала прощупать рынок, перед тем как вообще начинать возиться со всеми этими регистрациями. Может рынка сбыта или спроса не быть - вот ведь в чем вопрос.
Для начала они должны перенести облако в РФ и скорее всего некая регистрация понадобится, так как облачное ПО подразумевает некую криптозащиту. В РБ этим занимается ОАЦ, в РФ какой-то подобный орган, он и сможет дать вам подробнейшую информацию по сертификации и регистрации.
Lidia Lianiuka Lenivko Автор темы 23.04.2019 22:15 Ого, про перенос облака в РФ я даже не подозревала.
Да, я ищу именно информацию, что является обязательным для регистрации ПО и насколько реально это выполнить собственными силами компании-разработчика, или же лучше обратиться за помощью к специалистам
Anton Mymrikov 23.04.2019 22:22 Да, Олег прав. Вы, возможно, слышали истории с Гуглом и Линкедин. Последний как раз из-за этого и заблокировали. Персональные данные пользователей из РФ должны храниться на территории РФ.
Lidia Lianiuka Lenivko Автор темы 23.04.2019 23:00 Спасибо за информацию, теперь буду знать )). Про Линкедин я, конечно, слышала, но особо не вдавалась в подробности. Теперь понятна причина.
Anton Mymrikov 23.04.2019 23:15 Лидия, если вы контактируете с разработчиками, то возможно стоит рассмотреть вариант, чтобы персональные данные хранились в отдельном облаке, которое при необходимости можно вынести на любую локацию, а сама система может размещаться где угодно.
Lidia Lianiuka Lenivko Автор темы 23.04.2019 23:20 Антон, спасибо за предложенный вариант, это может быть хороший вариант в данном случае. Я отправила разработчикам эту информацию.
Anton Mymrikov 06.05.2019 12:41 Олег (@oleg_aleshkovich), а как с этим дела в РБ? Тоже надо регистрировать, сертифицировать?
Олег 06.05.2019 14:07 Антон, в РБ с хранением личных данных таже история. Из опыта общения с государственным регулятором в лице ОАЦ процедура сертификации стоит не одну тысячу долларов и срок не один месяц, я бы сказал что этот срок стартует минимум от 6 месяцев. Причем в дальнейшем компания производитель может столкнуться с проблемой регулярного обновления ядра системы (как это сейчас происходит с антивирусными продуктами на рынке РБ). Но хотел бы сказать что наша компания сейчас ищет облачный lims и мы готовы пройти с производителем все круги этого ада не только в РБ но и в РФ.
Lidia Lianiuka Lenivko Автор темы 06.05.2019 17:23 Олег (@oleg_aleshkovich), я могу вам дать контактные данные, если вы хотите поообщаться с компанией напрямую и договориться о показе возможностей системы. Это облачный Лимс для мкб лаборатории. Один из разработчиков, которого я лично знаю, более 10 лет руководил мкб лабораторией на фармпредприятии, выпускающем стерильные формы, поэтому постарался учесть всё, с чем сталкивался лично в работе.
Разработчики сказали, что в Европе ПО не зарегистрировано как медизделие, а как ПО для лаборатории. При использовании локального сервера для хранения личных данных, по словам разработчика, возможно удорожание системы и небольшая задержка в обновлении.
Александр, отличный развернутый ответ по поводу регистрации ПО. Я полностью согласен с вами в части выбора ПО и его регистрации. Скорее всего регистрация понадобится только для гос. компаний. Для частных компаний вопрос регистрации может всплыть в момент когда для доступа к ПО и подписанию неких внутренних документов пользователь захочет использовать ЭЦП - это же обеспечение целостности и подлинности данных. Хотя конечно сертификация ПО это вещь очень относительная и очень размытая в формулировках, особенно на пост советском пространстве.
И еще, Александр:
Иначе давайте систему учета движения сырья, материалов и готовой продукции, выполненную, скажем, на базе 1С тоже будем сертифицировать
Насколько я понимаю (имел опыт продаж криптографического и антивирусного оборудования в стародавние времена, поэтому и точка зрения из того же периода общения с ОАЦ) сертификации подлежит не готовая конфигурация, а ядро системы. 1С в таком случае не самый лучший пример, давайте рассуждать логически 1С работает напрямую с платежными базами банков, следовательно скорее всего там все уже сертифицировано. Углубляясь в понятия сертификации не стоит углубляться в модули и их конфиги, но это лично мое мнение и мое представление реальности. Тоже самое я бы хотел сказать про ЭЦП и криптографию, если ОАЦ скажет надо, то никто не будет сертифицировать именно ЛИМС или СЭД в случае если они одно целое, сертификацию будет проходить некое ядро системы отвечающее за криптографию например.
Теперь давайте проанализируем причинно-следственную связь. В Руководстве ГИЛС и НП от 02.2019 нет даже полунамёка на то, что данные должны быть локализованы в РФ. Это не гостайна, не госучреждение - это вообще частный выбор частной компании, пусть и фармацевтической в данном случае. В разрез какому прямому требованию действующего законодательства он идёт?
Что касается хранения данных в стране пребывания.
Для РФ все более менее понятно. В законе о персональных данных написано:
«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»
То есть персональные данные это данные физического лица: фио, номер телефона, дата рождения, паспортные данные и иные данные которые могут быть точно соотнесены с конкретным лицом. Полного и "стопроцентного" запрета на передачу данных нету, если данные передаются в страну участницу Конвенции Совета Европы о защите физ. лиц и автоматизированной обработке персональных данных 1981 года то и спрашивать не нужно, если страна не входит в список участниц конвенции то нужно спрашивать, но и это не большая проблема. Но нужно и учесть что данные хранимые в другой стране подчиняются законам этой страны.
Ну а теперь о главном:
Оператор «обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».
Комментарий экспертов:
Для соблюдения закона важно, чтобы на территории России оставалась основная, наиболее полная и актуальная база персональных данных. На прочих серверах можно размещать ее копии или части. Причем в таких дочерних базах персональные данные можно не только хранить, но и обрабатывать, но при условии, что данные будут использоваться в тех же целях, что и в основной базе данных.
А теперь о родине моей, Беларусь IT страна, поэтому...
Информация по защите персональных данных у нас отражена в следующих законах и гос. документах:
Закон о регистре населения №418-3, закон об электронном документе и ЭЦП №113-3, указ Президента о некоторых вопросах развития информационного общества №515. Общего понятия "Персональные данные" нет вообще. Но, есть проект закона о защите персональных данных.
Вкратце из него:
«Хорошая новость: операторам не надо регистрироваться ни в каких реестрах, — отмечает эксперт. — Очень хорошая новость: требования локализации данных, то есть хранения данных белорусских пользователей в национальном сегменте, тоже нет. Публикация политики приватности станет обязательной для всех операторов. И вот еще: каждая организация должна будет назначить DPO (сотрудника или отдел по защите персональных данных)».
Читать полностью: https://42.tut.by/599571
Ну вот в общем-то как-то так. Но это все мое видение ситуации.
Спасибо за все ответы. Разработчик написал, что уже ищет сервер в РФ для хранения персональных данных и хочет найти специалиста/компанию, которые занимаются регистрацией ПО.
Если кто-нибудь сможет выполнить все действия, необходимые для регистрации (сертификации или т.п.) иностранного ПО в России, напишите мне на lidial2007(собака)gmail.com или через фейсбук.
Заранее спасибо за ответы.
Коллеги, хотел бы развить для начала столь лихо стартовавшую белорусскую ветку (хотя безусловно интересна конкретика и других стран). Конкретно по затронутому ОАЦ - в отношении сертификации вовсе не факт, что придётся что-либо сертифицировать - вот условия на сертификации на сайте ОАЦ. Конечно, формулировки весьма расплывчаты:
Тем не менее, пару акцентов. Во-первых, ОАЦ ведет речь исключительно о средствах защиты информации. В фармацевтической промышленности ни ЛИМС, ни СЭД не позиционируется именно как средства защиты информации, а лишь включают в себя элементы защиты данных согласно своих отраслевых требований - Приложение 11 GMP п. 12 (пока не приплетаем многочисленные документы по целостности данных в фарма - они вне целевого поля рассмотрения ОАЦ и могут пересекаться ситуативно и спорадически). По формулировкам, приведенным выше. Второй пункт сильно смущает, потому что ограниченный доступ - это априори любой продукт, где реализованы учетные записи. Таким образом можно сертифицировать ПО групповой упаковки, если там есть ограниченный доступ для оператора, техника и супервайзера 🙂 Но в таком случае попахивает банальной стимуляцией спроса. Впрочем, почти как и с аккредитацией испытательной деятельности - где в большинстве случаев она не является обязательным требованием.
По Техническому регламенту, на который ссылается ОАЦ - вот определение средства защиты информации:
Выводим нашу систему из-под определения средства защиты информации и нет проблем. Опять же, отталкиваемся от определения компьютеризированная система согласно GMP. Я не сталкивался ни с замечаниями Центра экспертиз, ни с замечаниями Минздрава по этому поводу. Иначе давайте систему учета движения сырья, материалов и готовой продукции, выполненную, скажем, на базе 1С тоже будем сертифицировать - причем понятное дело, сертифицировать-то нужно сконфигурированный продукт (т.е. единичное изделие в терминах Регламента и прилагаемых к нему схем сертификации) - именно в нём нарезаются пресловутые учетки, формируются склады, прописывается трассировка движения ТМЦ и т.п.
Но при этом соглашусь и разделю мнение, что можно как декларировать соответствие регламенту, так и проходить указанную сертификацию в добровольном порядке.
Буду признателен коллегам, кто разовьет данную тематику.
И немного вдогонку, уже держа в фокусе новейшее Руководство ГИЛС и НП по Целостности данных и валидации компьютеризированных систем - там есть п. 9.9.2 "Валидация облачных систем" - наконец-то появились даже "целевые аббревиатуры" в фарма SaaS, IaaS, PaaS. На самом деле (я так понимаю, в основном благодаря содействию компании PQE) в Руководстве изложены вполне логичные подходы - и оценка поставщика, и тот факт, что конечная ответственность в любом случае лежит на регулируемой компании (т.е. в нашем случае на конечном пользователе облачного сервиса), вот только немного "уронили" изложение последним абзацем, как по мне:
Если мы используем PaaS или IaaS,то нас оправляют сделать квалификацию их ИТ-инфраструктуры. Кто ж вас к инфраструктуре Google, Dropbox или Яндекс пустит-то:) Тем самым они просто аннулируют свою сертификацию по ISO27k - а подтверждающие документы они вполне способны предоставить - тот же коллега Алексей Попов (@fosgen_13) очень своевременно по сервисам Google тему поднял.
Теперь давайте проанализируем причинно-следственную связь. В Руководстве ГИЛС и НП от 02.2019 нет даже полунамёка на то, что данные должны быть локализованы в РФ. Это не гостайна, не госучреждение - это вообще частный выбор частной компании, пусть и фармацевтической в данном случае. В разрез какому прямому требованию действующего законодательства он идёт? Да, есть риск, если облако "чужое", то в какой-то момент у вас может возникнуть трабл с целостностью, доступностью и конфиденциальностью данных (правда это будет выстрел в ногу глобального облачного сервиса, но исключать такой вариант не будем). Тогда в результате анализа рисков можно логично прийти к тому, что хорошо бы данные хранить на своём локальном сервере в своей ЛВС - это, как правило, заметно удорожит стоимость развертывания и сопровождения вашей ИТ-инфраструктуры со всеми вытекающими.
* * *
Почему я решил эту относительно свежую тему актуализировать? Чтобы не вышло как в параллельных темах в части средств измерений в плане определения причастности к сфере законодательной метрологии (РБ)/сфере государственного регулирования (РФ) и сопряжённой с ними чехарде в части поверок/калибровок. Глубоко изучив эту тему, уверяю вас, в большинстве случаев и в РБ, и в РФ абсолютно спокойно снимается вопрос без излишней стимуляции спроса. А в Украине он вообще снят, поскольку вы спокойно можете создать собственную метрологическую группу, закупить поверяемые (в УкрМетрТестСтандарте или региональных ЦСМС) эталоны и калибровать для собственных нужд датчики температуры в автоклавах хоть через день с выдачей внутреннего протокола калибровки. Исключения есть, но их немного, например, средства измерения, критические для безопасности, в частности, манометры сосудов, работающих под давлением и т.п. Датчики температуры и влажности на кондиционерах калибруйте сами для своих нужд в полный рост и не колхозно (как часто случается, выдирая «с мясом» конечный датчик-преобразователь и измеряя его аналоговый сигнал, который сам по себе ещё ничего вам не гарантирует), а весь измерительный канал, включающий в себя поправки после АЦП.
Похожая штука – аккредитация испытательных лабораторий согласно (IEC/ISO 17025). В межударной нормативке ультимативного требования, как правило, не существует в этом отношении. Аккредитация может быть добровольной (хотя есть забавные формулировки по квалификации весов и рН-метров от EDQM – но это частные ситуации). А вот у нас «любят выломать руки», защищая несуществующие рынки и на самом деле удорожая стоимость услуг или блокируя их вовсе. ? Потому что любые процедуры, которые длятся «от полугода» и стоят «не одну тысячу долларов», во-первых, сами по себе ничего вам не гарантируют (хотя, соглашусь, что увеличивают вероятность того, что продукт или услуга «не колхозные»), во-вторых, доступность продукта или услуги не увеличат.
Решил возобновить давнюю тему, в связи с очевидным курсом на "закукливание/китаезацию" импортозамещение в рамках ЕЭАС.
Если я правильно понимаю ситуацию, то на данный момент Приказ Минкомсвязи: https://digital.gov.ru/ru/documents/6458/ распространяется только на госсектор, либо компании (юрилица), где долевое участие государства свыше 50 %. Верно? Судя по обзорным материалам и комментариям к нему - да.
В целом Минкомсвязи "молодцы" - выпилили SAP, MS Access (вот только пока с MS Windwos не разобрались). Впрочем, госконторы - полбеды. Для частников есть ли подобные запреты/ограничения, кроме разного рода преференциальных надбавок в тендерах и т.п.? Ну кроме закона о персональных данных.
Понятно, что у импортозамещения можно найти плюсы (да и аспекты безопасности для ряда учреждений, наверное, в целом оправданы), но есть и минусы которые заключаются не только в части усечённого выбора (граничащего с разорением или как минимум бОльшими издержками не только в части стоимости перехода на альтернативы из реестра) но и падением общей эффективности в реализации прежних бизнес-процессов. Хотя именно в части бизнес-процессов не всё так печально - решения от той же ELMA вполне себе конкурентоспособны, даже без "костылей" в виде включения в реестр. СтОящий продукт, на мой взгляд, не нуждается в защите. Доставляют просто попытки влезть в реестр откровенно читерскими способами, когда просто берётся opensource-продукт и орформляется ему "ЕАЭС-прописка" - совершенно лишняя надстройка и очередной "выстрел в колено бизнесу".
Интересен опыт коллег.
P.S.: примечателен пример VEEAM, основанный россиянами, но штаб-квартира у компании в Швейцарии 🙂 В реестре Минкомсвязи их нет. ИТ-специалисты могут прикинуть стоимость импортозамещения на аналогичный по зрелости и возможностям продукт 🙂 Из личного опыта - попробуйте "импортозаместить" Ellab, MadgeTech или Ebro. Но госкомпании, я так понимаю, вынуждены будут валидировать автоклавы отечественными системами. Хотя, например, те же Ellab, MadgeTech и Ebro внесены в реестр СИ РФ (но не внесены в реестр СИ РБ) - тут как быть? 🙂
