Поделиться
Утверждены правила для хостеров ГИС. Нужно предоставить вычислительные мощности для мероприятий ФСБ
Постановлением правительства утверждены правила включения сведений о провайдере хостинга в перечень хостеров, предоставляющих вычислительные мощности операторам государственных информационных систем (ГИС), муниципальных информационных систем (ИС). Обеспечить реализацию установленных Федеральная служба безопасности (ФСБ) России требований о защите информации, а также обеспечить взаимодействие с ФСБ.
Новые правила формирования реестра
Постановлением Правительства России утверждены правила включения сведений о провайдере хостинга в перечень хостеров, предоставляющих вычислительные мощности операторам ГИС, муниципальных ИС, ИС государственных и муниципальных унитарных предприятий и учреждений, а также правила исключения таких сведений из реестра. Документ был опубликован в конце августа 2024 г. на сайте правительства.
Согласно изменениям в закон об информации, с 1 сентября 2024 г. операторы вышеперечисленных систем обязаны использовать вычислительные мощности хостеров, сведения о которых включены в перечень провайдеров хостинга.
Провайдеры обязаны обеспечивать необходимую вычислительную мощность для проведения ФСБ России оперативно-розыскной деятельности (ОПД) и принимать меры по недопущению раскрытия организационных и тактических приемов в процессе таких мероприятий. Требования к техническим средствам ОРМ содержатся в соответствующем Приказе Минцифры России от 01.11.2023 №935.
ОПД вид деятельности, осуществляемый гласно и негласно оперативными подразделениями ФСБ России в пределах их полномочий посредством проведения ОПД в целях защиты жизни, здоровья, прав и свобод человека и гражданина, собственности, обеспечения безопасности общества и государства от преступных посягательств. Задачами ОПД являются: выявление, предупреждение, пресечение и раскрытие преступлений, а также выявление и установление лиц, их подготавливающих, совершающих или совершивших; осуществление розыска лиц, скрывающихся от органов дознания, следствия и суда, уклоняющихся от уголовного наказания, а также розыска без вести пропавших; добывание информации о событиях или действиях, создающих угрозу государственной, военной, экономической или экологической безопасности в стране.
Система СОРМ-3 собирает статистику о пользователе со всех ИС провайдера: биллинг, radius, NAT, DPI. Затем классифицирует информацию и отправляет ее на длительное хранение. В результате сотрудники ФСБ России получают полную картину профиля абонента. Это так называемая «информационная система баз данных». В ИС оператора связи должны находиться: персональные данные (ФИО, адрес, копия паспорта) абонентов (физических лиц и физических лиц – пользователей юридического лица); сведения о платежах (из биллинга), оказанных услугах (включая платежные данные); факты о соединениях абонентов (с кем коммуницировали, сколько раз, каким способом и т. д.); содержимое соединений (требование федерального закона № 374-ФЗ от 06.06.16 – «пакета Яровой»).
31 июля 2023 г. был официально опубликован Федеральный закон «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и Федеральный закон «О связи» № 406-ФЗ. Теперь по закону хостинг-провайдеры обязаны соблюдать новые требования по информационной безопасности (ИБ), хранить данные в России и оказывать услуги только лицам, прошедшим идентификацию в порядке, который установлен Постановлением Правительства России.
Подписанным документом устанавливается, что для включения в реестр хостер предоставляет в Минцифры России соответствующее заявление (на бумаге или через единый портал «Госуслуг»).
Заявление должно содержать в себе следующие данные от компании. Полное и сокращенное наименование, организационно-правовая форма, идентификационный номер (при наличии) наименование, место нахождения и адрес, налогоплательщика, основной государственный регистрационный номер, фамилия, имя, отчество (при наличии) руководителя юридического лица, иного контактного лица организации. Информация, подтверждающая включение сведений о провайдере хостинга в реестр провайдеров хостинга (сведения включаются после направления хостером в Роскомнадзор уведомления о начале своей деятельности). Информация о местоположении технических средств, используемых при предоставлении вычислительной мощности, включая адрес их расположения на территории России. Дополнительные документы нужно предоставить лишь при необходимости. Минцифры России должно рассмотреть заявление и провести проверку представленных документов в течение 15 рабочих дней со дня их поступления.
С 1 февраля 2024 г. запрещена деятельность провайдеров хостинга, не включенных в реестр.
Провайдер хостинга, сведения о котором включены в реестр, обязан ежегодно, с 1 по 30 ноября (включительно), начиная со следующего года подтверждать свои данные и информацию о себе.
Утвержденные правила включают и сроки для различных действий провайдеров и министерства и правила исключения хостеров из реестра. Деятельность провайдеров, которые не войдут в реестр, могут признать незаконной. Однако пока прямой ответственности за это до сих пор не предусмотрено.
Другие обязанности провайдеров хостингов
Обязанность у провайдеров хостингов подавать уведомление о начале деятельности в Роскомнадзор. Провайдерами хостинга могут быть только российские юридические лица: при этом не менее чем 50% доли (акции) в капитале должны принадлежать гражданам России (без иного гражданства) / государственным и муниципальным органам России / юридическим лицам, у которых меньше 50% иностранного участия.
Размещать серверы, на которых хранятся и обрабатываются данные, в России (нельзя арендовать мощности зарубежных провайдеров).
Провайдеры вправе оказывать услуги только лицам, которые прошли идентификацию и (или) аутентификацию определенными способами (ч. 5 ст. 10.2-1 № 149-ФЗ). Идентифицировать клиентов можно любым из способов, которые установлены соответствующим постановлением Правительства России.
Использовать технические и программные средства, соответствующие установленным требованиям, и национальную систему доменных имен (пп. 3 п. 8 ст. 56.2 № 126-ФЗ). Участвовать в учениях для приобретения навыков по обеспечению устойчивого, безопасного и целостного функционирования интернета и сетей связи общего пользования на территории России (п. 3 ст. 56.1 № 126-ФЗ).
Соблюдать требования к обеспечению устойчивого функционирования средств связи (пп. 1 п. 8 ст. 56.2 № 126-ФЗ). Для передачи же сообщений электросвязи использовать точки обмена трафиком, сведения о которых содержатся в соответствующем реестре (пп. 2 п. 8 ст. 56.2 № 126-ФЗ).
Короткая ссылка
