2018/07/10 18:16:28

Стандарт разработки мобильных приложений (Нацстандарт 277-2018)

Приказом Росстандарта 10 июля 2018 года утвержден национальный стандарт 277-2018 «Российская система качества. Сравнительные испытания мобильных приложений для смартфонов». Документ вводится в действие c 1 октября 2018 года сроком на 3 года. В 2021 году стандарту присвоят статус ГОСТ Р.

2018: Утвержден предварительный стандарт разработки мобильных приложений

Государство утвердило предварительный стандарт разработки мобильных приложений, говорится в сообщении Росстандарта, опубликованном на сайте ведомства 10 июля 2018 года. Требования носят рекомендательный характер, но, по словам авторов, должны будут стать «ориентиром при разработке».

В России принят стандарт разработки мобильных приложений

Разработанный АНО «Роскачество» и утверждённый Росстандартом документ насчитывает 87 требований к функциональности приложений, в том числе к производительности, функциональности, удобству пользования и безопасности.

В описании стандарта говорится, что мобильное приложение должно требовать «абсолютный минимум разрешений» для работы, а также объяснять, зачем они нужны.

Кроме этого, приложение должно предоставлять пользователю «однозначно трактуемую политику конфиденциальности», информировать его, к каким личным сведениям оно получает доступ, какие данные собираются и передаются, как они используются и хранятся, как обеспечивается их безопасность и кто может получить к ним доступ.

За пользователем должно сохраняться право контролировать сбор данных или отказываться от него вовсе. Отдельно оговаривается, что все персональные данные пользователей должны храниться в России. Стандарт предписывает возможность бесплатного пробного ознакомления «вне зависимости от бизнес-модели».

Что касается безопасности, то в стандарте заявлены отсутствие критических уязвимостей, обновление не реже раза в год, отсутствие «навязчивых» рекламных материалов и т.д.

На рынке стандарт в его нынешнем виде встречен без особого энтузиазма. Основная претензия — это обилие «общих мест», спорных и размытых требований и при этом минимум технической конкретики.

«
Претендующий на «ГОСТ» документ должен быть максимально конкретным, — считает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — Требование к мобильному приложению «не содержать критических уязвимостей» — это не конкретика, это в худшем смысле общие слова. Необходимой конкретикой могли бы стать методические рекомендации по безопасной разработке мобильного ПО. Составителям стандарта не пришлось бы даже ничего выдумывать: оптимальные методы давно уже выработаны самой отраслью — даже если далеко не все её игроки этим методам следуют.
»

Участники рынка отмечают также, что лишь немногим более половины существующих приложений прошли бы проверку на соответствие утвержденному стандарту.

Стандарт должен будет войти в действие с 1 октября. Поскольку он рассматривается как национальный, им смогут воспользоваться все заинтересованные структуры, включая разработчиков из стран Евразийского экономического союза.[1] Кроме того, предполагается, что в 2021 году, после апробации, стандарту будет присвоен статус ГОСТ Р.

Примечания