ЯроваяСорм: правила вступили, уже начали "прессовать"?

I. Хранение информации не за счет операторов!

Согласно федерального закона 374-ФЗ (далее – "374-ФЗ") от 06 июля 2016 года были внесены изменения в части обязанности хранить информацию в пункт 1 статьи 64 ФЗ "О связи", по которой

1. Операторы связи обязаны хранить на территории Российской Федерации:

1) информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений пользователей услугами связи – в течение трех лет с момента окончания осуществления таких действий;

2) текстовые сообщения пользователей услугами связи, голосовую информацию, изображения, звуки, видео-, иные сообщения пользователей услугами связи - до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки. Порядок, сроки и объем хранения указанной в настоящем подпункте информации устанавливаются Правительством Российской Федерации.

1.1. Операторы связи обязаны предоставлять уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность (далее – ОРД) или обеспечение безопасности Российской Федерации, указанную информацию, информацию о пользователях услугами связи и об оказанных им услугах связи и иную информацию, необходимую для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами.

Вместе с тем, в соответствии с третьим абзацем первой части статьи 46 ФЗ "О связи": "Оператор связи обязан осуществлять построение сетей связи с учетом требований, предусмотренных пунктом 2 статьи 64 настоящего федерального закона. Связанные с этим расходы несут операторы связи".

В соответствии с пунктом 2 статьи 64 ФЗ "О связи", "Операторы связи обязаны обеспечивать реализацию установленных федеральным органом исполнительной власти в области связи по согласованию с уполномоченными государственными органами, осуществляющими ОРД или обеспечение безопасности Российской Федерации, требований к сетям и средствам связи для проведения этими органами в случаях, установленных федеральными законами, мероприятий в целях реализации возложенных на них задач, а также принимать меры по недопущению раскрытия организационных и тактических приемов проведения указанных мероприятий".

Таким образом:

1) Функция оперативно-розыскных мероприятий и функция накопления информации – две различные функции. Обязанности и расходы по данным функциям различные (пункты 1 и 2 статьи 64 ФЗ "О связи");

2) По реализации пункта 2 статьи 64 ФЗ "О связи"(функция оперативно-розыскных мероприятий)расходы несут операторы связи;

3) По реализации пункта 1 статьи 64 ФЗ "О связи" (функция накопления информации) операторы связи не несут расходов.

***

Вместе с тем, пункт 15 Правил ППРФ №538 (вступил в действие с 1 июля 2018 года) устанавливает: "Текстовые сообщения пользователей услугами связи, голосовую информацию, изображения, звуки, видео-, иные сообщения пользователей услугами связи оператор связи хранит в технических средствах, обеспечивающих ОРД (далее по тексту – ТС ОРД) на территории Российской Федерации и в случаях, установленных федеральными законами, предоставляет уполномоченным органам".

Пунктами 2 и 4 Правил хранения операторами связи текстовых сообщений пользователей услугами связи, голосовой информации, изображений, звуков, видео- и иных сообщений пользователей услугами связи[1] предусмотрено: "2. Оператор связи осуществляет хранение на территории Российской Федерации текстовых сообщений, голосовой информации, изображений, звуков, видео- и иных сообщений пользователей услугами связи данного оператора (далее – сообщения электросвязи) в принадлежащих оператору связи технических средствах накопления информации.

4. Технические средства накопления информации входят в состав оборудования средств связи, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-розыскных мероприятий" (далее – ОРМ).

Минкомсвязи РФ 29.10.2018 подписало четвертую[2] версию приказа "Об утверждении Правил применения технических и программных средств информационных систем, содержащих базы данных абонентов оператора связи и предоставленных им услугах связи, обеспечивающих выполнение установленных действий при проведении ОРМ". Приказ издан за номером 573. В вышеуказанных правилах применения отдельно прописаны функции накопления и хранения информации, а именно:

2. Правила устанавливают обязательные требования к техническим и программным средствам информационных систем, содержащим базы данных абонентов оператора связи и предоставленных им услугах связи, обеспечивающих выполнение установленных действий при проведении оперативно-розыскных мероприятий (далее – ИС БД ОРМ), устанавливаемых на сетях операторов связи.

4. ИС БД ОРМ осуществляет сбор, накопление, хранение, поиск и предоставление уполномоченным государственным органам, осуществляющим в соответствии с Федеральным законом от 12 августа 1995 г. № 144-ФЗ "Об оперативно-розыскной деятельности" оперативно-розыскную деятельность (далее – уполномоченные органы), информации об абонентах и оказанных им услугах связи, в том числе о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков видео или иных сообщений пользователей услугами связи, содержания текстовых сообщений пользователей сети Интернет, изображений, звуков, видео-, иных электронные сообщения пользователей сети Интернет, а также иной информации, необходимой для выполнения возложенных на уполномоченные органы задач в порядке и случаях, установленных федеральными законами.

5. ИС БД ОРМ по запросу от пульта управления уполномоченного государственного органа (далее – ПУ) обеспечивает передачу на ПУ данных о предоставленных абонентам/пользователям следующих услугах:

11) услуги связи по предоставлению каналов связи;

12) услуги связи в сети передачи данных, за исключением передачи голосовой информации;

14) телематические услуги доступа к сети Интернет.

6. ИС БД ОРМ представляет собой аппаратно-программный комплекс (далее – АПК), обеспечивающий процессы сбора, накопления, хранения и предоставления по запросу на ПУ следующей информации:

4) содержимого текстовых сообщений пользователей, голосовой информации (в части лицензий на услуги связи по предоставлению каналов связи, услуги связи в сети передачи данных, за исключением передачи голосовой информации, телематические услуги связи), изображений, звуков, иных сообщений пользователей услугами связи;

9. ИС БД ОРМ обеспечивает:

9.2 Накопление, хранение до 6 месяцев содержимого текстовых сообщений пользователей, голосовой информации (в части лицензий на предоставление услуг связи в сети передачи данных, за исключением передачи голосовой информации и телематических услуг связи), изображений, звуков, иных сообщений пользователей услугами связи с момента окончания их приема, передачи, доставки и (или) обработки".

9.5. Накопление и хранение содержимого прочих видов соединений.

13.           ИС БД ОРМ выполняет сбор и накопление информации о следующих видах соединений, совершенных абонентами/пользователями посредством услуг сети передачи данных (в части лицензий п.5 пп. 11, 12, 14)".

Таким образом, все вышеуказанные подзаконные акты предусматривают, что функция накопления информации включается в ТС ОРМ.

Данные нормы вышеуказанных подзаконных актов противоречат федеральному закону "О связи" и могут быть признаны недействующими Верховным судом России по заявлению оператора, к которому предъявлены требования о финансировании расходов.

II СОРМ: не обязательно покупать, а можно реализовать самостоятельно!

В соответствии с Правилами, утвержденными постановлением правительства России от 27.08.2005 г. № 538:

"4. Сети и средства связи, используемые оператором связи, должны соответствовать требованиям, предъявляемым к ним для проведения ОРМ и устанавливаемым Минкомсвязи РФ по согласованию с ФСБ РФ.

6. В случае применения оператором связи средств связи, для которых не установлены требования, указанные в пункте 4 настоящих Правил, оператор связи на основании обращения органа федеральной службы безопасности предоставляет ему технологические помещения, соответствующие требованиям, установленным Минкомсвязи России по согласованию с ФСБ России".

Согласно позиции Минкомсвязи РФ (письмо от 03.05.2017 №П12-10244-ОГ): "Включение в План пунктов, связанных с внедрением технических и программных средств, обеспечивающие выполнение установленных действий при проведении оперативно-разыскных мероприятий..., может быть оправдано только после ..., и сертификации этого оборудования в соответствии с Правилами организации и проведения работ по обязательному подтверждению соответствия средств связи[3].

По информации Федерального агентства связи (далее – "Россвязи") [письмо от 16.11.2018 имеется у автора]: "в настоящее время отсутствуют сертификаты соответствия технические средства ОРМ (пункт 29 Перечня средств связи, подлежащих обязательной сертификации, утвержден постановлением правительства России от 25 июня 2009 года N 532)".

Для сертификации решений ТС ОРМ, согласно законодательству России, должны пройти следующие этапы:

1) Минюст России – зарегистрировать обновленный исправленный приказ Минкомсвязи. Минкомсвязи РФ29.10.2018 подписало четвертую[4] версию приказа "Об утверждении Правил применения технических и программных средств ИСБД". Приказ издан за N 573 и 7 ноября получен Минюстом[5]. Срок ответа Минюста (регистрация или отказ) – середина декабря 2018 г.

2) ФСБ России и Минкомсвязи должны утвердить программу и методику испытаний для:

2.1) Имитатора пульта управления;

2.2) Технических средств накопления (далее – ТСНИ)

3) Росаккредитация – должна провести аккредитацию лаборатории на возможность испытаний технических средств накопления (см. п. 15 Правил организации и проведения работ по обязательному подтверждению соответствия средств связи[6], далее – "Правила сертификации").

4) По методике – проведены испытания оборудования на соответствие требованиям лабораториями при Россвязи на имитаторе пульта управления (ПУ) с участием сотрудников ФСБ России и производителей оборудования (смотрите пункты 19 и 20 Правил сертификации), включая:

- Создание стенда-имитатора ПУ;

- Предоставление образцов (дампа) трафика.

5) Осуществлена сертификация и сертификаты зарегистрированы в "Россвязи". По пункту 18 Правил сертификации: при проведении сертификации сложного оборудования связи срок сертификации составляет 6 месяцев. По пункту 21 Правил сертификации: орган по сертификации после получения документально оформленных результатов сертификационных испытаний выдает сертификаты в течение 30 дней. Россвязи ещё 10 дней регистрирует сертификат соответствия... и в письменной форме сообщает об этом органу по сертификации... 24. Орган по сертификации в течение 10 дней после получения письменного уведомления Россвязи о регистрации сертификата соответствия выдает его заявителю. 25. Действие сертификата соответствия начинается с даты регистрации в реестре".

   
Рисунок Анны Галушко 

***

Таким образом, сертификация оборудования займёт не менее года. Согласно пункту 1 статьи 13.6 Кодекса России об административных правонарушениях: "1. Использование в сетях связи несертифицированных средств связи влечет для юридических лиц - от шестидесяти тысяч до трехсот тысяч рублей с конфискацией несертифицированных средств связи, или без".

По данным ООО МФИ СОФТ, стоимость реализации технических средств накопления в сети передачи данных (суммарный пиковый трафик 10 Гбит/с) составит с НДС 34 761 808 (тридцать четыре миллиона семьсот шестьдесят одна тысяча восемьсот восемь) рублей.

Некоторые территориальные управления ФСБ России в запросах о реализации 374-ФЗ указывают: "Ввиду отсутствия на данный момент сертифицированных технических средства накопления допускается установка декларируемых производителем как соответствующих требования законодательства с обязательством их сертифицировать в срок не более 3 мес. после готовности сертифицирующих лабораторий. Также сообщаем, что в настоящий момент по нашей информации имеются три технических решения по реализации технических средств накопления..."

Вместе с тем, в случае покупки технических средств накопления у сторонних лиц, и их не сертификации оными (как это было с системами СОРМ у ООО "Рианет" (Москва); ООО СОРМАТ (Ростов-на-Дону) и другими производителями в разных регионах), оператор связи будет вынужден заново реализовать функции накопления, вследствие чего у оператора возникнут финансовые убытки в размере затрат, понесенных на покупку несертифицированных СОРМ.

На восьмой всероссийской конференция "Актуальные вопросы внедрения СОРМ на сетях электросвязи России" в ответ на запрос о незаконности покупки несертифицированных средствах связи прозвучал ответ: "тогда приостановите оказание услуг до получения сертификатов".

Вместе с тем, согласно букве закона в пункте 1 статьи 64 ФЗ "О связи" №126-ФЗ: "Операторы связи обязаны хранить информацию пользователей услугами связи, а не покупать технические средства хранения". Таким образом, исходя из норм законодательства и имеющейся практики операторам все-таки разрешено самостоятельно хранить информацию пользователей услугами связи. То же самое касается и систем СОРМ. Однако данные системы должны соответствовать устанавливаемым приказом Минкомсвязи РФ по согласованию с ФСБ РФ требованиям, предъявляемым для проведения ОРМ.

***

Также хочу отметить, что согласно последнему абзацу полученного мною ответа Роскомнадзора от 17.05.2018 года касательно хранения по 374-ФЗ: "Обязанность хранить сообщения пользователей операторов связи, оказывающих услуги связи для целей кабельного вещания и услуг связи по предоставлению каналов связи Правилами ППРФ 445 на операторов связи не возложена". Под эти исключения подпадает и ОТТ трафик операторов-агрегаторов, в рамках оказания услуги связи для целей кабельного вещания. Это и логично, так как над контентом вещателей осуществляется отдельный контроль со стороны государства. А в рамках ориентированности на цифровую экономику этот контроль не должен быть задвоен.

 

 
___________________________________
[1] Утверждены постановлением Правительства Российской Федерации от 12.04.2018 N 445, далее - ППРФ 445.
[2] Приказы Минкомсвязи от 03.04.2018 N 146 и от 13.06.2018 (две версии) № 277 отменены.
[3] Утверждены постановлением Правительства Российской Федерации от 13 апреля 2005 г. № 214.
[4] Приказы Минкомсвязи от 03.04.2018 N 146 и от 13.06.2018 (две версии) № 277 отменены.
[5] Представлен на государственную регистрацию в Минюст 7 ноября 2018 г., см. ответ Минюста от 27.10.18.
[6] Утверждены Постановлением Правительства РФ от 13.04.2005 N 214.


Хайпы Международного конгресса НАТ

Только завершившийся Конгресс НАТ уже успел разойтись на цитаты, термин "мутная цифровизация" ушел в народ, наконец, окончательно легитимизировав тихое роптание отрасли по поводу ФЦП. Разбираем основные темы и новости, прозвучавшие на конгрессе.