Стандарт разработки мобильных приложений (Нацстандарт 277-2018)
Приказом Росстандарта 10 июля 2018 года утвержден национальный стандарт 277-2018 «Российская система качества. Сравнительные испытания мобильных приложений для смартфонов». Документ вводится в действие c 1 октября 2018 года сроком на 3 года. В 2021 году стандарту присвоят статус ГОСТ Р.
2018: Утвержден предварительный стандарт разработки мобильных приложений
Государство утвердило предварительный стандарт разработки мобильных приложений, говорится в сообщении Росстандарта, опубликованном на сайте ведомства 10 июля 2018 года. Требования носят рекомендательный характер, но, по словам авторов, должны будут стать «ориентиром при разработке».
Разработанный АНО «Роскачество» и утверждённый Росстандартом документ насчитывает 87 требований к функциональности приложений, в том числе к производительности, функциональности, удобству пользования и безопасности.
В описании стандарта говорится, что мобильное приложение должно требовать «абсолютный минимум разрешений» для работы, а также объяснять, зачем они нужны.
Кроме этого, приложение должно предоставлять пользователю «однозначно трактуемую политику конфиденциальности», информировать его, к каким личным сведениям оно получает доступ, какие данные собираются и передаются, как они используются и хранятся, как обеспечивается их безопасность и кто может получить к ним доступ.Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга
За пользователем должно сохраняться право контролировать сбор данных или отказываться от него вовсе. Отдельно оговаривается, что все персональные данные пользователей должны храниться в России. Стандарт предписывает возможность бесплатного пробного ознакомления «вне зависимости от бизнес-модели». Что касается безопасности, то в стандарте заявлены отсутствие критических уязвимостей, обновление не реже раза в год, отсутствие «навязчивых» рекламных материалов и т.д.
На рынке стандарт в его нынешнем виде встречен без особого энтузиазма. Основная претензия — это обилие «общих мест», спорных и размытых требований и при этом минимум технической конкретики.
Претендующий на «ГОСТ» документ должен быть максимально конкретным, — считает Олег Галушкин, эксперт по информационной безопасности компании SEQ (ранее SEC Consult Services). — Требование к мобильному приложению «не содержать критических уязвимостей» — это не конкретика, это в худшем смысле общие слова. Необходимой конкретикой могли бы стать методические рекомендации по безопасной разработке мобильного ПО. Составителям стандарта не пришлось бы даже ничего выдумывать: оптимальные методы давно уже выработаны самой отраслью — даже если далеко не все её игроки этим методам следуют. |
Участники рынка отмечают также, что лишь немногим более половины существующих приложений прошли бы проверку на соответствие утвержденному стандарту.
Стандарт должен будет войти в действие с 1 октября. Поскольку он рассматривается как национальный, им смогут воспользоваться все заинтересованные структуры, включая разработчиков из стран Евразийского экономического союза.[1] Кроме того, предполагается, что в 2021 году, после апробации, стандарту будет присвоен статус ГОСТ Р.