10 августа 2017

В Минкомсвязи разработали правила подключения СОРМ к интернет-сервисам

На общественное обсуждение выставлен проект требований к программно-аппаратным средствам по проведению оперативно-розыскных мероприятий, которое должно быть установлено у организаторов распространения информации.

Подключение интернет-сервисов к системе государственной слежки за действиями пользователей обретает конкретные черты.

Напомним, что с 2014 года Роскомнадзор наполняет реестр организаторов распространения информации (ОРИ) по заявкам, исходящим из ФСБ. На текущий момент сервисы (сайты, почтовые службы, файлообменники, мессенджеры и т.д.), которые внесены в данный реестр, обязаны собирать, хранить и предоставлять российским компетентным органам (по их запросу) все метаданные пользователей, а с момента вступления в силу «пакета Яровой» — с 1 июля 2018 года — уже и всю внутреннюю переписку, аудио- и видеозвонки, файлы, одним словом, всё чем обмениваются пользователи между собой. Те сервисы, которые отказываются это делать, помещаются в реестр запрещенных сайтов и блокируются на территории России. 

Министерство связи и массовых коммуникаций РФ подготовило проект приказа «об утверждении требований к оборудованию и программно-техническим средствам, используемым организатором распространения информации в сети «Интернет» в эксплуатируемых им информационных системах, обеспечивающих выполнение установленных действий при проведении оперативно-разыскных мероприятий, включая систему хранения». Документ подготовлен в целях реализации федеральных законов №97-ФЗ (регулирующего деятельность ОРИ), 149-ФЗ («Об информации, информационных технологиях и о защите информации»), «пакета Яровой» — 374-ФЗ и ряда соответствующих межведомственных приказов, и в данный момент выставлен на общественное обсуждение на Федеральном портале проектов нормативных правовых актов.

Соисполнителем правового акта значится ФСБ России.

Проект приказа был разработан в виду «отсутствия отраслевых требований к оборудованию и программно-техническим средствам, используемым организатором распространения информации в сети «Интернет» в эксплуатируемых им информационных системах, обеспечивающих выполнение установленных действий при проведении оперативно-разыскных мероприятий, включая систему хранения».

Организаторы распространения информации обязаны будут «привести в соответствие с требованиями к оборудованию и программно-техническим средствам, используемым организатором распространения информации в сети «Интернет» в эксплуатируемых им информационных системах, обеспечивающих выполнение установленных действий при проведении оперативно-разыскных мероприятий, включая систему хранения, технические средства обеспечивающие выполнение установленных действий при проведении оперативно-разыскных мероприятий, а также вводимые в эксплуатацию информационные системы, на которые распространяются указанные требования».

Поэтому иллюзии некоторых внесённых в реестр ОРИ сервисов относительно того, что они «просто предоставят открытые данные о своих компаниях» изначально выглядели наивными, а после утверждения этого приказа полностью «помножатся на ноль». Российские власти на вполне законных основаниях будут иметь право принудить данные сервисы установить оборудование для слежки, а также обеспечить хранение всех данных пользователей, включая переписку и звонки.

Требования данного проекта приказа предъявляются к оборудованию и программно-техническим средствам, используемым организатором распространения информации в сети «Интернет» в эксплуатируемых им информационных системах, обеспечивающих выполнение установленных действий при проведении оперативно-разыскных мероприятий (ОРМ), включая систему хранения в целях взаимодействия организаторов распространения информации в сети «Интернет» с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, в соответствии с вышеперечисленными законами и другими нормативными правовыми актами. Устанавливаемые документом требования обязательны для исполнения всеми зарегистрированными в реестре ОРИ сервисами.

«Программно-технические средства ОРМ ОРИ, включая программное обеспечение и оборудование системы хранения, обеспечивающее выполнение установленных действий при проведении оперативно-разыскных мероприятий, идентифицируется как оборудование и (или) програмное обеспечение информационных систем ОРИ», — говорится в проекте приказа.

Программно-технические средства ОРМ ОРИ предназначены для получения, хранения, обработки и предоставления уполномоченным государственным органам, осуществляющим в соответствии с Федеральным законом от 12 августа 1995 г. № 144-ФЗ «Об оперативно-розыскной деятельности» оперативно-разыскную деятельность (далее – уполномоченные органы) следующих данных:

  • О зарегистрированных пользователях, изменениях, дополнениях регистрационных данных;
  • Информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, местоположения, случаях авторизации или деавторизации пользователей в информационных системах ОРИ, или иных электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет» и информации об этих пользователях – в течении одного года с момента окончания их приёма, передачи, доставки и (или) обработки;
  • Текстовых сообщений пользователей сети «Интернет», голосовой информации, изображений, звуков, видео-, иных электронных сообщений пользователей сети «Интернет» – в течение шести месяцев с момента окончания их приёма, передачи, доставки и (или) обработки;
  • Иной информации, необходимой для выполнения возложенных на уполномоченные органы задач в порядке и случаях, установленных федеральными законами.

«Под иной информацией следует понимать справочные данные организатора распространения информации необходимые уполномоченному органу для идентификации событий и действий пользователей в информационных системах организатора распространения информации в сети «Интернет» (далее — ИС ОРИ)», — уточняют авторы документа.

Программно-технические средства ОРМ накапливают следующую информацию о фактах приема, передачи и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков или иных электронных сообщений пользователей сети «Интернет» (информация о точном времени приема, передачи, доставки и (или) обработки электронных сообщений с указанием информации об адресатах этих сообщений, в том числе информации для неопределенного круга лиц пользователей сети «Интернет»), фиксируемую информацию об организации приема, передачи, доставки и (или) обработки электронных сообщений, осуществляемых с использованием технологий электронных платежных систем, в том числе информацию о произведенных денежных операциях (с указанием информации о корреспонденте — идентификаторе платежной системы, валюты, суммы, оплачиваемой услуги или товаров (при наличии), об иных данных, указанных при проведении денежной операции), осуществленных транзакциях (с указанием идентификатора платежной системы («электронного кошелька»), суммы прихода либо расхода, иных данных, указанных при осуществлении транзакции):

  • дату и время события;
  • вид информационного сервиса;
  • идентификатор пользователя ИС ОРИ;
  • технические идентификаторы пользователя ИС ОРИ переданные в ИС в силу используемых коммуникационных протоколов:
    — IP-адрес и порт;
    — номер телефона подвижной станции абонента;
    — адрес электронной почты;
    — наименование программы клиента;
    — иная фиксируемая техническая информация;
  • вид события;
  • идентифкаторы пользователей ИС ОРИ с которыми было взаимодействие (контакты);
  • местоположение пользователя в случае ее фиксации ИС ОРИ (широта/долгота, иное описание местоположения);
  • информационный ресурс созданный в ИС ОРИ на котором выполнено информационное взаимодействие (тип ресурса, полное наименование ресурса);
  • техническая информация о ресурсе;
  • идентификатор пользователя ИС ОРИ-владельца ресурса;
  • текст сообщения без разметки и иной служебной коммуникационной информации;
    — техническая информация о платеже:
    — вид платежной услуги (платежного сервиса);
    — идентификатор платежа в сервисе;
    — иная фиксируемая информация о платеже;
    — филиал ОРИ.

По мнению составителей документа, возникшая проблема отсутствия соответствующих требований не может быть решена без вмешательства со стороны государства. В описании проблемы и её решении авторы проекта приказа опираются на «российский опыт», международный же опыт в соответствующих сферах деятельности, признают авторы, отсутствует.

Поскольку в пункте «Оценка соответствующих расходов (возможных поступлений) бюджетов бюджетной системы Российской Федерации» данные отсутствуют, можно предположить, что либо расходы лягут на ОРИ, либо этот вопрос министерством ещё не прорабатывался.

Согласно статистическим данным Минкомсвязи России, Россвязи, Роскомнадзора, ФСБ России, «риски решения проблемы предложенным способом регулирования и риски негативных последствий, а также описание методов контроля эффективности избранного способа достижения целей регулирования» отсутствуют, а степень их контроля — «полная». Установление переходных положений, а также эксперимента, по мнению Минкомсвязи, в случае введение в действие данного проекта приказа не требуются.

Сроки проведения публичного обсуждения проекта приказа: начало — 8 августа 2017 года, окончание — 22 августа текущего года.

Напомним, в число так называемых «организаторов распространения информации» согласно российскому законодательству входит очень широкий перечень интернет-сервисов, предоставляющих разного рода услуги — от мессенджеров до сайтов знакомств. Не так давно в реестр ОРИ был внесён мессенджер, созданный Павлом Дуровым Telegram, а также швейцарский защищённый сервис мгновенного обмена сообщениями Threema. После долгого противостояния и препирательств через СМИ с Роскомнадзором Павел Дуров всё же согласился предоставить данные о компании, но отказался исполнять требования «пакета Яровой», а администрация Threema вообще опровергла какое бы то ни было сотрудничество с российскими властями. Публично отказавшиеся от внесения в реестр ОРИ сервисы были заблокированы Роскомнадзором на территории России, и в число их попали мессенджеры BBM и Line, а также онлайн-рация Zello. Стоит заметить, в данный момент российское надзорное ведомство продолжает блокировать технические сайты этих сервисов, в том числе корпоративный проект онлайн-рации — Zello Work:

До этого блокировки Роскомнадзора в отношении Zello касались в основном сервисов Amazon. Данные блокировки длятся уже четыре месяца и, по утверждению гендиректора сервиса Freely Wi-Fi Михаила Климарева, «система способна создать до 10 миллиардов вариантов таких адресов, даже не используя буквы. Домены, по его словам, меняются автоматически с помощью скрипта, который обнаруживает как «текущий домен начинает деградировать»», поэтому российскому надзорному ведомству осталось заблокировать всего ещё каких-то несколько миллиардов доменов. При этом приложение продолжает пробивать цензурный заслон.

Тем сервисам, которые не имеют возможности «клонировать» всё новые технические домены и в чьих задачах есть пункт о сотрудничестве с российскими властями, предстоит установить вышеупомянутое в проекте приказа Минкомсвязи оборудование. Правда, за чей счёт, а также как это соответствует Конституции РФ и законам той страны, в которой они официально зарегистрированы, пока не совсем понятно.

Мы призываем всех заинтересованных лиц принять участие в общественном обсуждении данного проекта приказа, дата окончания которого обозначена 6 сентября текущего года.

Читайте также:

Роскомнадзор начал блокировать десятки технических сервисов запрещённых в РФ мессенджеров
?
Telegram внесён в реестр организаторов распространения информации
?
Роскомнадзор опубликовал проект приказа о порядке идентификации запрещённых сайтов
?
Роскомнадзор выставил на общественное обсуждение порядок блокировки «зеркал»
?
Проект SAFE — Защити себя от слежки

Контакты

По общим вопросам

[email protected]

По юридическим вопросам

[email protected]

Для СМИ

Телеграм: moi_fee
Signal: moi_fee.13

18+

23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.