Минцифры определило, как хостеры должны взаимодействовать с ФСБ и ставить СОРМ

Минцифры продолжает работу над воплощением в жизнь норм федерального закона №406-ФЗ, которым предполагается достаточно жёсткое регулирование хостеров. В прошлый раз мы рассказывали о проекте постановления кабмина о правилах формирования и ведения реестра провайдеров хостинга, а сегодня «Ъ» обратил внимание на четыре новых документа от министерства.

Первый документ — проект приказа Минцифры «Об утверждении требований к вычислительной мощности, используемой провайдером хостинга, для проведения уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, мероприятий в целях реализации возложенных на них задач».

В пояснительной записке сказано, что с 1 декабря 2023 г. провайдер хостинга обязан:

«...обеспечивать реализацию установленных федеральным органом исполнительной власти в области связи по согласованию с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, требований к вычислительной мощности, используемой провайдером хостинга, для проведения этими органами в случаях, установленных федеральными законами, мероприятий в целях реализации возложенных на них задач, а также принимать меры по недопущению раскрытия организационных и тактических приемов проведения данных мероприятий».

Как объясняет канал «ОрдерКом», речь идёт об установке Системы технических средств для обеспечения функций оперативно-разыскных мероприятий (СОРМ). Ранее их устанавливали операторы связи, теперь же такая обязанность ложится и на хостеров.

«Реализация указанных в приказе мер будет способствовать обеспечению проведения уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, мероприятий в целях реализации возложенных на них задач», – отмечают авторы документа.

Второй документ — проект постановления Правительства Российской Федерации «Об утверждении Правил взаимодействия провайдеров хостинга с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации». Речь идёт о взаимодействии с ФСБ, также поясняет «ОрдерКом».

Также с 1 декабря 2023 года провайдер хостинга обязан «обеспечивать реализацию установленных федеральным органом исполнительной власти в области связи по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети „Интернет“».

«Реализация указанных в приказе мер будет способствовать обеспечению защиты информации и инфраструктуры провайдера хостинга от взломов и утечек, а также недопущению компьютерных атак с использованием инфраструктуры провайдера хостинга», – утверждается в пояснительной записке к первому документу.

Указанное взаимодействие планируется осуществлять с использованием технических средств вычислительной мощности провайдера хостинга, обеспечивающих выполнение установленных действий при проведении оперативно-разыскных мероприятий в эксплуатируемых провайдером хостинга информационных системах.

«При этом, – также говорится в пояснительной записке, – допускается по согласованию с уполномоченными подразделением органа федеральной службы безопасности использование провайдером хостинга технических средств, принадлежащих иному провайдеру хостинга и (или) владельцу технологической сети связи, имеющему номер автономной системы, и (или) организатору распространения информации».

В рамках взаимодействия провайдер хостинга обеспечивает хранение информации о пользователях услуг провайдера хостинга в течение трёх лет, ‎о взаимодействии пользователей услуг провайдера хостинга с пользователями сети интернет в течение одного года с момента окончания осуществления действий, а также предоставление указанной информации уполномоченному органу посредством технических средств. То есть на хостеров распространяется «пакет Яровой».

Не допускается нахождение технических средств, используемых в рамках взаимодействия провайдера хостинга с уполномоченными органами, за пределами территории Российской Федерации, гласит одно из правил в самом документе.

Третий документ касается работы технических средств противодействия угрозам (ТСПУ), которые теперь обязаны подключаться хостеры. У большинства провайдеров такое оборудование уже есть.

Кроме всего прочего, они будут включены в учения по «обеспечению устойчивого, безопасного и целостного функционирования на территории Российской Федерации информационно-телекоммуникационной сети «Интернет» и сети связи общего пользования».

Их подключат к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА, контролируется ФСБ). Компании обязаны предоставлять в ГосСОПКА по запросу в течение четырех часов IP-адреса опасных сайтов. Этого требует уже четвёртый документ.

Хостинги также обяжут блокировать в течение 12 часов сайты, которые ГосСОПКА посчитает причастными к кибератакам, например, DDoS.

Дата окончания публичного обсуждения первого документа — 4 октября 2023 г.

Второй перестанут обсуждать также 4 октября.

Дата окончания общественного обсуждения третьего — 28 сентября 2023 г.

Четвёртый — также 4 числа.

Если у вас есть какие-то пожелания или замечания, вы можете оставить их на страницах каждого документа.