Что ФСБ будет знать о пользователях Рунета по «Закону Яровой». Список

Минкомсвязи вводит СОРМ дляинтернет-сервисов Минкомсвязиподготовило проект приказа, регламентирующего взаимодействие интернет-сервисовс системой оперативно-розыскных мероприятий (СОРМ). Документ направлен навыполнение требований «Закона Яровой» и опубликован на портале regulation.gov.ru. Перваяверсия СОРМ появилась в середине 1990-х годов. Она обеспечила спецслужбамдоступ к переговорам абонентов телефонных сетей. СОРМ используют ведомства,уполномоченные на проведение оперативно-розыскных мероприятий (ОРМ): ФСБ (основноеведомство, ответственное за СОРМ), МВД, ФСО, Служба внешней разведки иФедеральная таможенная служба. Когда интернет-сервисыобязали сотрудничать со спецслужбами В2000-м году стала создаваться система СОРМ-2, обеспечивающая спецслужбам доступк трафику абонентов интернет-провайдеров. В 2014 г. был принятантитеррористический пакет законопроектов, который ввел для интернет-сервисовтребования, обеспечивающие спецслужбам возможность проведения ОРМ. С этой цельюв закон «Об информации, ИТ и защите информации» было введено понятие «организаторраспространения информации в сети интернет» (ОРИ). http://filearchive.cnews.ru/img/news/2017/06/08/fsb600.jpg"> Появился исчерпывающий список того, что ФСБ будет знать о пользователях интернета по «Закону Яровой» ПодОРИ подпадает владелец любого сайта или программы, которая обеспечиваетпользователям интернета возможность общения, за исключением сайтов для личных исемейных нужд. В соответствии с первой версией закона, ОРИ должны были хранитьна территории России регистрационные данные российских пользователей иинформацию о всех переданных и полученных ими сообщениях (журналы сообщений) втечение полугода. Всоответствии с принятым в том же году постановлением правительства, ОРИ врамках ОРМ должны были передавать данные о своих пользователях по запросуспецслужб. Информация передавалась в ручном режиме, срок ответа составлял до 30дней (или до 3 дней для срочных запросов). Если объем передаваемой информациипревышал 8,5 ГБ, то спецслужбы должны были самостоятельно предоставить носительдля ее передачи. Впрошлом году был принят так называемый «Закон Яровой». Он расширил требования кОРИ, обязав их хранить журналы переданных и полученных сообщений в течениегода, а в случае применения шифрования сообщений — передать спецслужбам ключидля их дешифровки. С лета 2018 г. необходимо будет хранить и содержимое самихсообщений на территории России сроком до полугода. [b]Интернет-сервисы установятсредства ОРМ и подключаться к СОРМ по выделенным каналам[/b] Этотже проект приказа Минкомсвязи предполагает, что ОРИ должны будут более тесноинтегрироваться с сетями спецслужб — им придется подключиться к СОРМ по примерутелекоммуникационных операторов. Проект приказа требует от ОРИ установкусредств ОРМ — в виде отдельного программно-аппаратного комплекса или в видесамостоятельного модуля в информационной системе (ИС) ОРИ. Даннаясистема должна будет подключиться по выделенному каналу связи к пультууправления (ПУ) спецслужб со скоростью от 100 Мбит/с до 1 Гбит/с в зависимостиот типа выполняемых запросов. Для защиты передаваемых спецслужбам данныхОРИ рекомендуется создать виртуальную частную сеть (VPN) с поддержкойтехнологий туннелирования IP Sec VPN и L2TP. ОРИдолжны будут обеспечить защиту данных, передаваемых по СОРМ, отнесанкционированного доступа со стороны неавторизированных пользователей,технического персонала и третьих лиц. ОРИ должны будут сообщать спецслужбам опопытках получения доступа к передаваемым в рамках ОРМ данным, включая попыткиполучить доступ к оперативной памяти средств ОРМ с целью изъятия данных опроводимых ОРМ, резервного копирования данных об ОРМ, доступа к средствам ОРМчерез непредусмотренные порты и физического вскрытия устройств ОРМ. [b]Какую информацию нужно будетхранить о пользователях [/b] ОРИ,для выполнения требований об ОРМ, должны будут хранить следующую информацию опользователях: дата и время регистрации, последнего обновления регистрационныхданных и прекращения регистрации; дата и время заключения договора и его номер;псевдонимы пользователя в системах других ОРИ; указанная пользователемрегистрационная информация. В перечень последней попадают псевдоним пользователя,дата рождения, адрес, ФИО, данные паспорта или иного документа, языкиобщения и родственники из числа пользователей того же ОРИ. Такжедолжна храниться информация о фактах изменения регистрационных данных, авторизациии прекращении авторизации. В этих случаях должны указываться дата и времятакого события, идентификатор пользователя и его технические идентификаторы (IP-адреси порт, e-mail-адрес, номер мобильного телефона, используемая пользователемпрограмма). Вжурнале полученных и переданных пользователями сообщений и совершенных платежахдолжна храниться следующая информация: дата и время; вид сервиса; идентификаторпользователя; технические идентификаторы пользователя; идентификаторпользователя, отправившего/получившего сообщение от искомого пользователя;используемый пользователем информационный ресурс ОРИ и данные о его владельце;местоположение пользователя (ширина, долгота и пр.) и текст самого сообщения. [b]Какие запросы спецслужбыбудут посылать интернет-сервисам [/b] Поисковыезапросы, приходящие с ПУ в ОРИ, разделены на четыре класса. Класс 1 — стандартныезапросы по поиску переданных сообщений по идентификатору пользователя, еготехническим идентификаторам и временному интервалу занесения соответствующейинформацию в систему ОРМ. Класс2 — расширенные запросы на поиск информации о переданных сообщениях. Помимовышеупомянутых идентификаторов, при формировании таких запросов могутиспользоваться данные о местоположении пользователя, его контактах исовершенных платежах. Класс3 подразумевает поиск фактов авторизации и выхода из ресурса ОРИ поидентификатору пользователя, его техническим идентификаторам, местоположениюпользователя и временному интервалу занесения информация. Поисковыезапросы второго и третьего класса могуn комбинироваться логическими операторами «и», «или» и «не».Также в поисковых запросах допустимо использование трафаретных символов «*» и«?», подразумевающие поиск информации о группе пользователей с заданнымикритериями. Максимальновремя, за которое установленная у ОРИ система ОРМ должна обработать поисковыйзапрос с ПУ, составляет от 5 до 60 секунд в зависимости от класса запроса ивременного интервала занесения соответствующей информации в систему ОРИ. Установленнаяу ОРИ система должна одновременно обрабатывать не менее 100 запросов. Макисмальноевремя обработки информации установленной у ОРИ системой ОРМ с моментасовершения события до момента, когда она будет доступна для обработкипоисковыми запросами с ПУ, составляет 60 секунд для фактов внесениярегистрационных данных или их изменения и 5 минут для фактов авторизации идеавторизации, регистрации и прекращения регистрации, передачи и получениясообщений и совершения платежей. [b]Как Роскомнадзор контролируетвзаимодействие интернет-сервисов со спецслужбами [/b] Напомним,ОРИ обязаны регистрироваться в реестре, который ведет Роскомнадзор. За отказ отрегистрации закон предусматривает санкции в виде блокировки доступа стерритории России. Осенью 2014 г., когда вступили в силу первые требования кОРИ, в соответствующем реестре зарегистрировались ряд российскихинтернет-сервисов: mail.ru, «Яндекс», «Рамблер» и т. д. Иностранныесервисы долгое время игнорировали данный реестр, при этом Роскомнадзор неприбегал к блокировкам. Но с началом 2017 г. начались первые блокировки заотказ регистрироваться в реестре ОРИ, в частности, был заблокирован сервисинтернет-раций Zello и ряд мессенджеров «второго эшелона». Послеэтого некоторые иностранные сервисы решили зарегистрироваться, например, службазнакомств Badoo и сервис обмена мгновенными сообщениями Snapchat. Наиболеегромкой была история с мессенджером Telegram: его владелец [b]Павел Дуров[/b] отказывался регистрироваться в реестре, в связи с чемглава Роскомнадзора угрожал блокировкой. В итоге Дуров согласился предоставитьконтактные данные для регистрации Telegram в реестр, но предупредил, чторечи о передачи спецслужбам данных о пользователях не идет. «Проектданного приказа Минкомсвязи должен был появиться, так как он необходим длявыполнения требования «Закона Яровой», — констатирует в разговоре с CNews главапроекта Роскомсвобода [b]Артем Козлюк[/b].— Другое дело, что остается непонятным, будут ли иностранные сервисы выполнятьэти требования. И что скажут власти США на то, что американские пользователибудут передавать российским спецслужбам данные о своих пользователях». В«Яндексе» заявили CNews, что проект приказа Минкомсвязи содержит многотехнических деталей и требует изучения. Представитель холдинга «Рамблер»ограничился комментарием, что необходимо дождаться финальной версии документа,а также выразил надежду, что с ОРИ будут проведены консультации по этомувопросу.[img]http://filearchive.cnews.ru/img/news/2017/06/08/fsb600.jpg"> Появился исчерпывающий список того, что ФСБ будет знать о пользователях интернета по «Закону Яровой» ПодОРИ подпадает владелец любого сайта или программы, которая обеспечиваетпользователям интернета возможность общения, за исключением сайтов для личных исемейных нужд. В соответствии с первой версией закона, ОРИ должны были хранитьна территории России регистрационные данные российских пользователей иинформацию о всех переданных и полученных ими сообщениях (журналы сообщений) втечение полугода. Всоответствии с принятым в том же году постановлением правительства, ОРИ врамках ОРМ должны были передавать данные о своих пользователях по запросуспецслужб. Информация передавалась в ручном режиме, срок ответа составлял до 30дней (или до 3 дней для срочных запросов). Если объем передаваемой информациипревышал 8,5 ГБ, то спецслужбы должны были самостоятельно предоставить носительдля ее передачи. Впрошлом году был принят так называемый «Закон Яровой». Он расширил требования кОРИ, обязав их хранить журналы переданных и полученных сообщений в течениегода, а в случае применения шифрования сообщений — передать спецслужбам ключидля их дешифровки. С лета 2018 г. необходимо будет хранить и содержимое самихсообщений на территории России сроком до полугода. Интернет-сервисы установятсредства ОРМ и подключаться к СОРМ по выделенным каналам Этотже проект приказа Минкомсвязи предполагает, что ОРИ должны будут более тесноинтегрироваться с сетями спецслужб — им придется подключиться к СОРМ по примерутелекоммуникационных операторов. Проект приказа требует от ОРИ установкусредств ОРМ — в виде отдельного программно-аппаратного комплекса или в видесамостоятельного модуля в информационной системе (ИС) ОРИ. Даннаясистема должна будет подключиться по выделенному каналу связи к пультууправления (ПУ) спецслужб со скоростью от 100 Мбит/с до 1 Гбит/с в зависимостиот типа выполняемых запросов. Для защиты передаваемых спецслужбам данныхОРИ рекомендуется создать виртуальную частную сеть (VPN) с поддержкойтехнологий туннелирования IP Sec VPN и L2TP. ОРИдолжны будут обеспечить защиту данных, передаваемых по СОРМ, отнесанкционированного доступа со стороны неавторизированных пользователей,технического персонала и третьих лиц. ОРИ должны будут сообщать спецслужбам опопытках получения доступа к передаваемым в рамках ОРМ данным, включая попыткиполучить доступ к оперативной памяти средств ОРМ с целью изъятия данных опроводимых ОРМ, резервного копирования данных об ОРМ, доступа к средствам ОРМчерез непредусмотренные порты и физического вскрытия устройств ОРМ. Какую информацию нужно будетхранить о пользователях ОРИ,для выполнения требований об ОРМ, должны будут хранить следующую информацию опользователях: дата и время регистрации, последнего обновления регистрационныхданных и прекращения регистрации; дата и время заключения договора и его номер;псевдонимы пользователя в системах других ОРИ; указанная пользователемрегистрационная информация. В перечень последней попадают псевдоним пользователя,дата рождения, адрес, ФИО, данные паспорта или иного документа, языкиобщения и родственники из числа пользователей того же ОРИ. Такжедолжна храниться информация о фактах изменения регистрационных данных, авторизациии прекращении авторизации. В этих случаях должны указываться дата и времятакого события, идентификатор пользователя и его технические идентификаторы (IP-адреси порт, e-mail-адрес, номер мобильного телефона, используемая пользователемпрограмма). Вжурнале полученных и переданных пользователями сообщений и совершенных платежахдолжна храниться следующая информация: дата и время; вид сервиса; идентификаторпользователя; технические идентификаторы пользователя; идентификаторпользователя, отправившего/получившего сообщение от искомого пользователя;используемый пользователем информационный ресурс ОРИ и данные о его владельце;местоположение пользователя (ширина, долгота и пр.) и текст самого сообщения. Какие запросы спецслужбыбудут посылать интернет-сервисам Поисковыезапросы, приходящие с ПУ в ОРИ, разделены на четыре класса. Класс 1 — стандартныезапросы по поиску переданных сообщений по идентификатору пользователя, еготехническим идентификаторам и временному интервалу занесения соответствующейинформацию в систему ОРМ. Класс2 — расширенные запросы на поиск информации о переданных сообщениях. Помимовышеупомянутых идентификаторов, при формировании таких запросов могутиспользоваться данные о местоположении пользователя, его контактах исовершенных платежах. Класс3 подразумевает поиск фактов авторизации и выхода из ресурса ОРИ поидентификатору пользователя, его техническим идентификаторам, местоположениюпользователя и временному интервалу занесения информация. Поисковыезапросы второго и третьего класса могуn комбинироваться логическими операторами «и», «или» и «не».Также в поисковых запросах допустимо использование трафаретных символов «*» и«?», подразумевающие поиск информации о группе пользователей с заданнымикритериями. Максимальновремя, за которое установленная у ОРИ система ОРМ должна обработать поисковыйзапрос с ПУ, составляет от 5 до 60 секунд в зависимости от класса запроса ивременного интервала занесения соответствующей информации в систему ОРИ. Установленнаяу ОРИ система должна одновременно обрабатывать не менее 100 запросов. Макисмальноевремя обработки информации установленной у ОРИ системой ОРМ с моментасовершения события до момента, когда она будет доступна для обработкипоисковыми запросами с ПУ, составляет 60 секунд для фактов внесениярегистрационных данных или их изменения и 5 минут для фактов авторизации идеавторизации, регистрации и прекращения регистрации, передачи и получениясообщений и совершения платежей. Как Роскомнадзор контролируетвзаимодействие интернет-сервисов со спецслужбами Напомним,ОРИ обязаны регистрироваться в реестре, который ведет Роскомнадзор. За отказ отрегистрации закон предусматривает санкции в виде блокировки доступа стерритории России. Осенью 2014 г., когда вступили в силу первые требования кОРИ, в соответствующем реестре зарегистрировались ряд российскихинтернет-сервисов: mail.ru, «Яндекс», «Рамблер» и т. д. Иностранныесервисы долгое время игнорировали данный реестр, при этом Роскомнадзор неприбегал к блокировкам. Но с началом 2017 г. начались первые блокировки заотказ регистрироваться в реестре ОРИ, в частности, был заблокирован сервисинтернет-раций Zello и ряд мессенджеров «второго эшелона». Послеэтого некоторые иностранные сервисы решили зарегистрироваться, например, службазнакомств Badoo и сервис обмена мгновенными сообщениями Snapchat. Наиболеегромкой была история с мессенджером Telegram: его владелец Павел Дуров отказывался регистрироваться в реестре, в связи с чемглава Роскомнадзора угрожал блокировкой. В итоге Дуров согласился предоставитьконтактные данные для регистрации Telegram в реестр, но предупредил, чторечи о передачи спецслужбам данных о пользователях не идет. «Проектданного приказа Минкомсвязи должен был появиться, так как он необходим длявыполнения требования «Закона Яровой», — констатирует в разговоре с CNews главапроекта Роскомсвобода Артем Козлюк.— Другое дело, что остается непонятным, будут ли иностранные сервисы выполнятьэти требования. И что скажут власти США на то, что американские пользователибудут передавать российским спецслужбам данные о своих пользователях». В«Яндексе» заявили CNews, что проект приказа Минкомсвязи содержит многотехнических деталей и требует изучения. Представитель холдинга «Рамблер»ограничился комментарием, что необходимо дождаться финальной версии документа,а также выразил надежду, что с ОРИ будут проведены консультации по этомувопросу.