Всем привет, на связи юрист ispmanager Олег Макаров. Расскажу, как попасть в обязательный с 1 февраля 2024 года реестр хостеров, какие правила придется соблюдать и как накажут, если этого не сделать. Этот текст — расширенная авторская версия моей колонки на RB.ru
Моя статья пригодится хостерам — тем, кто ими является с точки зрения Роскомнадзора (РКН).
Мы уже обсуждали в предыдущей статье, как подготовиться к внесению в реестр. С тех пор появились новые подробности. Я попробую перевести на человеческий язык «нормативку» нашего правительства и ответить на частые вопросы.
С 1 февраля в России законно услуги хостинга могут оказывать только 442 компании — именно столько значится в обязательном по № 406-ФЗ реестре хостеров. Если и вы не хотите быть «угрозой Рунету», потребуется:
изучить объемные законы;
вложиться финансово, потому что перечень требований закона выглядит внушительно, и малому игроку исполнить их будет крайне накладно.
В этой статье обсудим:
Реестр хостинг-провайдеров — как попасть
Подключение к ГосСОПКА
Сбор данных клиентов
Подключение к СОРМ
Дополнительные требования: учения, НСДИ, ФСТЭК и локация в РФ
Наказания для хостеров в реестре и вне его
Главное: риски, расходы и ответственность хостеров
Реестр хостинг-провайдеров — как попасть
«Взяли на карандаш» — так можно описать ситуацию с реестром. Например, его участников будут тщательно контролировать, обяжут делиться информацией с правоохранительными органами и подключиться к СОРМ — системе технических средств для обеспечения функций оперативно-разыскных мероприятий.
Реестр хостинг-провайдеров — это табличка в Excel, которую сформировал и ведет Роскомнадзор. По решению Минцифры, сейчас именно РКН — оператор отечественного реестра. Позже ведомство может поручить вести учет другой организации.
Сегодня в реестре хостинг-провайдеров 442 организации. Среди них — Кубанский госуниверситет, ювелирный завод Uvelit и оператор связи МТС.
Странно видеть университет и «ювелира» в хостинг-реестре, но вот единственное объяснение: несколько организаций объединяются в группу компаний и выбирают одно юрлицо как IT-центр для остальных участников. Он предоставляет организациям внутри группы вычислительную мощность, чтобы размещать и хранить информацию. Получается, что IT-центр занимается хостингом и должен войти в реестр. Предполагаю, что такие компании запросили в РКН, чтобы уточнить — нужно ли им быть в реестре. Читателям в аналогичной ситуации советую тоже обратиться в РКН. Пока официальных разъяснений на этот счет я не встретил.
Реестр хостинг-провайдеров регулируется Постановлением Правительства от 28.11.2023 № 2008 «Об утверждении Правил формирования и ведения реестра провайдеров хостинга».
Как зарегистрироваться в реестре:
1. Подать уведомление в личном кабинете на сайте Роскомнадзора. Заполнить форму несложно, если вы прочтете руководства и заранее соберете техническую информацию об оборудовании, на котором разворачиваете хостинг.
Как подать уведомление, подробно описано в Постановлении правительства № 2009.
А Роскомнадзор в своей инструкции рассказывает, какие данные внести.
Ответ придет в течение 15 рабочих дней в личном кабинете на сайте РКН. Возможны три варианта:
Всё ок. Компанию внесут в реестр РКН.
Корректировка. Если вы что-то не указали или данные не соответствуют внутренней информации о вас в госорганах, РКН попросит исправиться. Укажет, где ошибки и что добавить в уведомление. У вас будет 5 рабочих дней.
Отказ. Уведомление придется заполнять по новой. Зато количество попыток не ограничено.
Дальше расскажу о требованиях, которые необходимо выполнить хостинг-провайдерам из реестра РКН.
Все документы, в которых описаны требования к хостинг-провайдерам
Приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 01.11.2023 № 936 «Об утверждении требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к информационно‑телекоммуникационной сети Интернет».
Приказ Министерства цифрового развития от 01.11.2023 № 935 «Об утверждении требований к вычислительной мощности, используемой провайдером хостинга, для проведения уполномоченными государственными органами, осуществляющими оперативно‑розыскную деятельность или обеспечение безопасности Российской Федерации, в случаях, установленных федеральными законами, мероприятий в целях реализации возложенных на них задач».
Постановление правительства от 22.11.2023 № 1952 «Об утверждении Правил взаимодействия провайдеров хостинга с уполномоченными государственными органами, осуществляющими оперативно‑розыскную деятельность или обеспечение безопасности Российской Федерации».
Постановление правительства от 29.11.2023 № 2011 «Об утверждении Правил прохождения идентификации и (или) аутентификации лицами, обратившимися к провайдеру хостинга в целях получения вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к информационно‑телекоммуникационной сети Интернет».
Приказ Минкомсвязи России № 579 «Об утверждении требований к обеспечению устойчивого функционирования средств связи, обеспечивающих взаимодействие со средствами связи других операторов связи, собственников или иных владельцев технологических сетей связи, в том числе находящихся за пределами территории Российской Федерации».
Приказ Минкомсвязи России № 510 «Об утверждении требования к функционированию технических и программных средств (в том числе средств связи), используемых в целях выявления в информационно‑телекоммуникационной сети „Интернет“ сетевых адресов, соответствующих доменным именам».
Постановление Правительства Российской Федерации от 12.10.2019 № 1316 «Об утверждении Положения о проведении учений по обеспечению устойчивого, безопасного и целостного функционирования на территории Российской Федерации информационно‑телекоммуникационной сети Интернет и сети связи общего пользования».
Приказ Министерства информационных технологий и связи Российской Федерации от 09.01.2008 № 1 «Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации».
Кажется, что соблюсти требования Роскомнадзора будет сложно небольшим компаниям. Потребуется много человеческих ресурсов: изучить и правильно внедрить новую систему, назначить ответственных за работу с РКН, Минцифры и правоохранительными органами. И придется доработать инфраструктуру внутри компании, если есть просадка по требованиям к мощности.
Похожая эпопея была с «законом Яровой», когда интернет‑провайдеры подключались к СОРМ. Тогда небольшие компании не смогли выполнить положения, но продолжали работать. А в 2023 году государство ввело штрафы для операторов связи, которые не подключились к СОРМ, — от 0,001 до 0,003% от годовой выручки. Полагаю, похожая ситуация произойдет и в хостинг‑сфере.
Перейду к требованиям.
Подключение к ГосСОПКА
ГосСОПКА — федеральная информационная система, которую курирует Национальный координационный центр по компьютерным инцидентам (НКЦКИ). ГосСОПКА создана, чтобы защищать Рунет от угроз: участники системы передают друг другу информацию о кибератаках. И вам, как участнику этой инфраструктуры, нужно подключиться к этой системе.
Как подключиться.
Два способа:
Простой. Найти региональный корпоративный центр, который заключил соглашение с федеральным центром ГосСОПКА и ФСБ «в области обнаружения, предупреждения и ликвидации последствий компьютерных атак», и подключиться через него. Сайты таких центров уверяют, что они «существенно оптимизируют этот процесс».
Сложный. Создать собственную инфраструктуру для подключения к ГосСОПКА. Нужно самим стать корпоративным центром. Это задача не из простых, так как связана с лицензированием в ФСБ. На мой взгляд, для хостера нет экономического смысла идти по такому сложному пути.
Время хранить Рунет приходит после подключения к ГосСОПКА. Например, если хостер узнает, что клиент участвует в кибератаке, в течение 12 часов он должен сделать всё, чтобы клиент больше не представлял угрозы. Способы не указаны, так что разбирайтесь сами — точечно и жестко.
Как работает система оповещения о кибератаке: НКЦИИ обнаружил кибератаку с IP-адреса, который принадлежит хостинг-провайдеру → сообщил хостинговой компании → компания в течение 4 часов определяет источник кибератаки → передает информацию в НКЦКИ. Например, сетевой адрес, порт, протоколы.
Также хостер обязан оперативно устранить «дыры» в инфраструктуре, если недочеты найдет кто-то из ведомств внутри ГосСОПКА — ФСБ, Минцифры или РКН.
Требования к участнику ГосСОПКА:
Иметь средства защиты от DDOS-атак.
Владеть информацией, где используются серверы.
Использовать национальную систему доменных имен (НСДИ).
Фильтровать сетевой трафик с внешними ресурсами от клиентов в зависимости от способа их идентификации. О них подробно расскажем ниже.
А еще теперь нужно хранить всю информацию о клиентах при работе с ними и в течение года после того, как перестали с ними работать.
Возможные проблемы. Мое мнение: если у хостера всё в порядке с техническим персоналом и «железом», требования из этого раздела выполнить реально. Если подключение происходит через корпоративный центр, обязательно проверить, чтобы у него были:
лицензия ФСБ;
соглашение «в области обнаружения, предупреждения и ликвидации последствий компьютерных атак».
Сбор данных клиентов
Теперь сведения о клиентах нужно дополнительно подтверждать. Данные придется собирать и у старых клиентов — если они ранее не проходили идентификацию нужными способами или прошли ее до 1 января 2023 года. Способов можно выбрать один или несколько, они указаны в Постановлении правительства № 2011.
Как собирать данные
Приемлемые способы идентификации:
Учетные данные из Госуслуг.
Использование усиленной квалифицированной электронной подписи.
Паспорт, если клиент обращается лично.
Биометрия.
Оплата картой российского банка или государства — члена ЕАЭС (Армения, Казахстан, Беларусь, Кыргызстан). Можно оплатить с помощью СБП. Ограничение: нельзя использовать неименные предоплаченные карты — чтобы их оформить, не нужны документы, поэтому нет возможности идентифицировать клиента.
Подтверждение с помощью номера телефона. Важно: номер должен быть с услугами радиотелефонной связи и выдан российским оператором. Номера IP‑телефонии не подойдут.
Использование другой информационной системы, которая идентифицирует клиента. Главное, чтобы система была под контролем российского юрлица.
Кажется, самое простое — это протянуть оплату через СБП и карты, но все данные о транзакции должны храниться у хостера, чтобы в случае чего ответить на запрос правоохранительных органов.
Возможные проблемы. Пока что проблема в неименных предоплаченных картах: с их помощью легко обойти идентификацию, потому что для выпуска не нужны документы. Поэтому рекомендую дополнительно использовать единую систему идентификации и аутентификации (ЕСИА) или номер телефона.
Подключение к СОРМ
Хостинг‑провайдерам не нужно подтверждать внедрение СОРМ, чтобы попасть в реестр. Но если СОРМ нет, хостера могут исключить из реестра.
Мое мнение: именно ради подключения к СОРМ и приняли закон о реестре хостеров. Потому что единственный способ раскрыть киберпреступления — получить информацию от хостера, который предоставил мощности злоумышленнику.
Вот автор закона, депутат Госдумы А. В. Горелкин, говорил, что рынок хостинга насыщен «виртуальными организациями, которые не обладают собственными мощностями, а по факту перепродают услуги хостинга зарубежных провайдеров», что в текущей геополитической ситуации «влечет за собой серьезные риски безнаказанного распространения противоправной информации, ставит под угрозу безопасность российских граждан и компаний».
Как подключиться. Выполнить требования документов, которые регулируют подключение к СОРМ. Подключение к СОРМ для хостеров несколько отличается от уже существующих требований для операторов связи.
Есть два документа, которые регулируют процесс подключения к СОРМ для хостинговых компаний: Приказ Минцифры № 935 и Постановление правительства № 1952.
Важно:
Создать базу данных, из которой правоохранительные органы могут в любой момент получить информацию. Для этого нужно использовать язык программирования GraphQL — в документе описаны команды и настройки.
Собирать и передавать данные клиентов. Список длинный, например: персональные сведения, переписки, видео, аудио. Было бы проще, если бы в документе написали, что можно не собирать.
Подать заявление в ФСБ не позднее чем за 45 дней до начала работы. Форму заявления на сайте ФСБ я не нашел. Простите, но я не хочу звонить в ФСБ, так что давайте как-нибудь сами.
От редактора — мы позвонили
Номер круглосуточной справочной — 8 (495) 224–70–69. Но подробных справок там не дают — просят отправить запрос на fsb@fsb.ru
ФСБ рассматривает заявление до 30 дней. Если всё в порядке, в течение трех месяцев ведомство поможет разработать план, как внедрить технические средства по требованиям, от чтения которых у меня заболела голова. Затем проверит его выполнение.
Хорошая новость: по согласованию с ФСБ хостер может использовать технические средства другого хостера или владельца автономной системы (AS). Крупные операторы связи уже обсуждают, как выпустить продукт, который даст возможность компаниям пользоваться техническими средствами для СОРМ.
А еще хостер обязан принимать меры, чтобы хранить в тайне информацию об оперативно‑разыскных мероприятиях, и технические средства хостеров должны находиться на территории РФ.
Возможные проблемы. Подключение к СОРМ — головная боль хостеров и возможная причина крушения малого бизнеса в хостинге. Предполагаю, что будет много отказов от ФСБ. Работа с ФСБ — самая сложная часть подключения к СОРМ.
Что делать, чтобы не получить отказ от ФСБ:
Изучите все нормативные документы, на которые я ссылаюсь в этой главе.
Проведите аудит мощностей и подготовьте инфраструктуру, чтобы внедрить СОРМ. ФСБ может отказать, даже если найдет небольшие отклонения от требований.
Пока остается надеяться, что на рынке появится продукт, который поможет внедрить СОРМ, — это облегчит работу небольшим хостерам.
Дополнительные требования: учения, НСДИ, ФСТЭК и локация в РФ
Остальные требования кажутся не такими значительными, но все равно они есть. Собрал их в одной главе.
Хостеры должны:
Участвовать в учениях «по обеспечению устойчивого, безопасного и целостного функционирования <…> сети Интернет». Минцифры проводит учения для всех хостинговых компаний. Об учениях предупреждают, рассылают программу. Хостерам не нужно следить за этим самостоятельно. Подробности в Постановлении правительства № 1316.
Использовать Национальную систему доменных имен (НСДИ). Подробности в приказе Минкомсвязи № 510.
Выполнять требования Федеральной службы по техническому и экспортному контролю (ФСТЭК). Фиксировать дату, время и другие сведения, которые помогут определить действия пользователя, хранить информацию в течение одного года. Подробнее — приказ Минцифры № 1.
Находиться на территории РФ чтобы иностранные лица не нарушили работу средств связи. Об этом рассказывают подробнее в Приказе Минкомсвязи № 579.
Возможные проблемы. В документах нет подробностей, как исполнять требования и ничего не нарушить. Можно поискать специалистов, которые знают требования ФСТЭК и средства защиты, рекомендованные ведомством.
Наказание для хостеров в реестре и вне его
Сейчас хостинг‑провайдеры не несут административной и уголовной ответственности, если не вписались в реестр или не выполняют требований, сообщает РКН на своем сайте. Но правильный юрист пойдет разбираться, а что с другими видами ответственности.
Новые правила для хостеров ввел Закон об информации. Его статья 17 указывает, что за нарушения грозят гражданская, административная и уголовная ответственность.
Хостинг‑провайдерам действительно не грозит административная и уголовная ответственность, как и сказал РКН. Тут подтверждаю: специальной статьи в Законе об информации на данный момент действительно нет. Риск «притянуть» хостера по УК РФ тоже околонулевой — там конкретной статьи тоже нет.
Ответственность для незарегистрированных в реестре. Вот несколько возможных последствий хостинга вне реестра — по ГК РФ.
Запретить деятельность по ст. 1065 ГК РФ. Не буду вдаваться в юридическую аргументацию, вот коротко: основанием для иска будет тезис, что хостеры вне реестра несут угрозу для безопасности Рунета и сохранности персональных данных граждан. Практика говорит, что весомых оснований для применения этой статьи в нашем случае нет. Но публичные интересы в судах в наше время превыше всего, так что вероятность имеется.
Заблокировать сайт либо вывести страницу из поисковых запросов у пользователей. Сайты хостеров, которые оказывают услуги в нарушение запрета, могут внести в реестр запрещенной информации РКН и, как следствие, заблокировать сайт либо вывести страницу из поисковых запросов у пользователей. Это самый реалистичный вариант. Но сейчас четкой аргументации для такой ответственности в законе нет.
Ответственность для тех, кто в реестре. Если Роскомнадзор обнаружит нарушения, то направит требование устранить их в течение 10 рабочих дней. Если не успеть, РКН направляет запрос «почему?» и дает еще 20 рабочих дней, чтобы хостер наконец-то исправился. Если снова ничего не произойдет, в течение 5 рабочих дней компанию исключат из реестра. Штраф за неисполнение требований РКН по ч. 1 ст. 19.5 КоАП РФ — от 10 до 20 тысяч рублей.
Риски наказания сейчас я бы оценил как малозначительные. И думаю, что наказывать никого не будут, пока не введут прямые штрафы — как для операторов связи.
Я бы назвал происходящее льготным периодом. Сейчас идет обкатка нового регулирования, и поэтому суровых наказаний пока не вводят. Предполагаю, что продлится она до конца 2024 года, а потом введут штрафы, как было с операторами связи и «законом Яровой». Полагаю, размер штрафов отобьет желание заниматься хостингом вне реестра. А пока, если не успели этого сделать, можно готовиться к включению в реестр.
Сложно придется небольшим компаниям, которые работают через реселлинг. Чтобы законно работать так по новым требованиям, арендаторам и арендодателям придется плотно обмениваться информацией и взаимодействовать друг с другом. Мало кто захочет брать ответственность за чужих клиентов: если арендатор нарушит требования, его трудно привлечь к ответственности.
Скорее всего, если у небольшого хостера не найдется ресурсов внедрить новые требования, его поглотит крупный бизнес — тот же «Рег.ру» уже собирает предложения о продаже бизнеса хостинг‑провайдеров.
Главное: риски, расходы и ответственность хостеров
Как попасть в реестр. Подать уведомление через личный кабинет на сайте РКН. Инструкция как правильно заполнить уведомление.
Риски и проблемы. Трудности, с которыми могут столкнуться компании:
Не хватит ресурсов, чтобы внедрить новые требования. Небольшие компании рискуют потерять бизнес. Как следствие, крупные игроки рынка могут поглотить небольших хостеров.
Тяжело найти корпоративный центр чтобы подключиться к ГосСОПКА. У центра должны быть лицензия ФСБ и соглашение «в области обнаружения, предупреждения и ликвидации последствий компьютерных атак».
Проблемы с идентификацией клиентов. Клиенты могут оплачивать услуги с неименных предоплаченных карт — с их помощью легко обойти идентификацию, потому что для выпуска не нужны документы. Решение: принимать оплату, хранить все данные о транзакциях и быть готовым передать их правоохранительным органам.
ФСБ откажет в подключении к СОРМ. Взаимодействие с ФСБ — самая тяжелая часть работы. Чтобы не получить отказ от ФСБ, нужно изучить все нормативные документы и строго соблюдать требования по внедрению СОРМ.
Реселлинг станет невыгодным. С новыми требованиями больше рисков: если арендатор нарушит условия, его трудно будет привлечь к ответственности.
Возможные расходы. Придется доработать инфраструктуру компании и следить за «дырами» — для этого нужны средства и опытные сотрудники.
Помимо основных требований, есть дополнительные: выполнять положения ФСТЭК, использовать НСДИ. Для этого может потребоваться специалист, который знает все эти требования и умеет применять их на практике.
Ответственность и штрафы. Хостеры пока не несут административной и уголовной ответственности, если не включились в реестр или не выполнили новые требования.
Виды возможной гражданской ответственности:
Для тех, кто не включился в реестр, — запрет работы, блокировка сайта или вывод из поисковых запросов пользователей.
Для тех, кто в реестре, — штраф от 10 до 20 тысяч рублей по ч. 1 ст. 19.5 КоАП РФ, если РКН найдет нарушения, а компания их не устранит.
Если у вас остались вопросы по включению в реестр РКН — задавайте в комментариях. Обсудим.