Как стать автором
Обновить
120.4
Рейтинг
Cloud4Y
#1 Корпоративный облачный провайдер

Как работает блокировка доступа к страницам, распространяющим запрещенный контент (теперь РКН проверяет и поисковики)

Блог компании Cloud4Y Информационная безопасность *Поисковые технологии *Сетевые технологии *Законодательство в IT


Прежде чем перейти к описанию системы, которая отвечает за фильтрацию доступа операторами связи, отметим, что теперь Роскомнадзор займется и контролем над работой поисковых систем.

В начале года утвержден порядок контроля и перечень мероприятий по соблюдению операторами поисковых систем требований прекратить выдачу сведений об интернет-ресурсах, доступ к которым ограничен на территории Российской Федерации.

Соответствующий приказ Роскомнадзора от 7 ноября 2017 года № 229 зарегистрирован в Министерстве юстиции России.

Приказ принят в рамках реализации положений статьи 15.8 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», которая определяет обязанности для владельцев VPN-сервисов, «анонимайзеров» и операторов поисковых систем по ограничению доступа к информации, распространение которой в России запрещено.

Мероприятия по контролю проводятся по месту нахождения органа по контролю без взаимодействия с операторами поисковых систем.


Под информационной системой понимается ФГИС информационных ресурсов информационно-телекоммуникационных сетей, доступ к которым ограничен.

По итогам мероприятия составляется акт, в котором указывается, в частности, информация о ПО, используемом для установления этих фактов, а также сведения, подтверждающие, что конкретная страница (страницы) сайта на момент контроля находилась в информационной системе более суток.

Акт направляется оператору поисковых систем посредством информационной системы. В случае несогласия с актом оператор в течение трёх рабочих дней вправе представить свои возражения в Роскомнадзор, который рассматривает возражения также в течение трёх рабочих дней. По результатам рассмотрения возражений оператора руководитель органа по контролю или его заместитель принимают решение о возбуждении дела об административном правонарушении.

Как сейчас устроена система фильтрации доступа для операторов связи


В России действует ряд законов, обязующих операторов связи фильтровать доступ к страницам распространяющим запрещенный контент:

  • ФЗ 126 «О связи», поправка в ст. 46 — об обязанности оператора ограничивать доступ к информации (ФСЭМ).
  • «Единый реестр» — постановление Правительства РФ от 26 октября 2012 г. N 1101 «О единой автоматизированной информационной системе «Единый реестр доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено»»
  • ФЗ 436 «О защите детей…», категоризация доступной информации.
  • ФЗ №3 «О полиции», статья 13, п. 12 — об устранении причин и условий, способствующих реализации угроз безопасности граждан и общественной безопасности.
  • ФЗ №187 «О внесении изменений в отдельные законодательные акты РФ по вопросам защиты интеллектуальных прав в информационно-телекоммуникационных сетях» («антипиратский закон»).
  • Выполнение решений судебных инстанций и предписаний органов прокуратуры.
  • Федеральный закон от 28.07.2012 N 139-ФЗ «О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию» и отдельные законодательные акты Российской Федерации».
  • Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Запросы от Роскомнадзора на блокировку несут в себе обновляемый перечень требований к провайдеру, каждая запись из такого запроса содержит:

  • тип реестра, в соответствии с которым производится ограничение;
  • момент времени, с которого возникает необходимость ограничения доступа;
  • тип срочности реагирования (обычная срочность – в течение суток, высокая срочность –незамедлительное реагирование);
  • тип блокировки реестровой записи (по URL или по доменному имени);
  • хэш-код реестровой записи (изменяется при любом изменении содержимого записи);
  • реквизиты решения о необходимости ограничения доступа;
  • один или несколько указателей страниц сайтов, доступ к которым должен быть ограничен (не обязательно);
  • одно или несколько доменных имен (не обязательно);
  • один или несколько сетевых адресов (не обязательно);
  • одна или несколько ip-подсетей (не обязательно).

Для эффективного доведения сведений до операторов была создана «Информационная система взаимодействия Роскомнадзора с операторами связи». Расположена она вместе с нормативными актами, инструкциями и памятками для операторов на специализированном портале:

vigruzki.rkn.gov.ru

Со своей же стороны, для проверки операторов связи Роскомнадзор стал выдавать клиента АС «Ревизор». Ниже немного о функционале агента.

Алгоритм осуществления проверки доступности каждого URL Агентом. При проверке Агент должен:

  • определить IP-адреса, в которые преобразуется сетевое имя проверяемого сайта (домен) или использовать IP адреса, предоставленные в выгрузке;
  • для каждого IP-адреса, полученного от DNS-серверов, произвести HTTP-запрос проверяемого URL. В случае получения от проверяемого сайта HTTP перенаправление, Агент должен проверить URL, на который осуществляется перенаправление. Поддерживается не менее 5 последовательных HTTP перенаправлений;
  • в случае невозможности осуществить HTTP-запрос (не происходит установки TCP-соединения) Агент должен делать вывод о наличии блокировки IP-адреса целиком;
  • в случае успешного HTTP-запроса Агент должен проверить полученный ответ проверяемого сайта по коду HTTP-ответа, по HTTP-заголовкам, по HTTP-содержанию (первые полученные данные размером до 10 кб). В случае совпадения полученного ответа с созданными в ЦУ шаблонами страниц-заглушек должен быть сделан вывод о наличии блокировки проверяемого URL;
  • при проведении проверки URL, Агент должен осуществить проверку установки шифрованного соединения и промаркировать ресурс;
  • в случае отсутствия совпадения полученных Агентом данных с шаблонами страниц-заглушек или доверенных страниц переадресации, информирующих о блокировке ресурса, Агент должен делать вывод об отсутствии блокировки URL на СПД оператора связи. В этом случае информация о данных (HTTP-ответе), полученная Агентом, записывается в отчёт (файл журнала проверки). Администратор системы имеет возможность сформировать из данной записи шаблон новой страницы-заглушки, для предотвращения последующих ложных выводов об отсутствии блокировки.

Список того, что должен обеспечивать Агент
  • связь с ЦУ для получения полного списка URL и режимов блокировки, которые необходимо протестировать;
  • связь с ЦУ для получения данных о режимах проверки. Поддерживаемые режимы: полная однократная проверка, полная периодическая с заданным интервалом, выборочная однократная с заданным пользователем списком URL, периодическая с заданным интервалом проверка списка URL (определённого типа записей ЕР);
  • продолжение выполнения заданных процедур проверки по имеющемуся URL списку, в случае невозможности получения списка URL с ЦУ, и хранения полученных результатов проверок с последующей передачей на ЦУ;
  • полное выполнение заданных процедур проверки по имеющимся URL спискам, в случае невозможности получения информации о режимах проверки с ЦУ, и хранения полученных результатов проверки с последующей передачей на ЦУ;
  • осуществление проверки результатов блокировки в соответствии с установленным режимом;
  • отправку на ЦУ отчёта о проведённой проверке (файл журнала проверки);
  • возможность проверки работоспособности СПД оператора связи, т.е. проверку доступности списка заведомо доступных сайтов;
  • возможность осуществлять проверку результатов блокировки с использованием прокси-сервера;
  • возможность удалённого обновления ПО;
  • возможность проведения диагностических процедур на СПД (время отклика, путь прохождения пакетов, скорость скачивания файлов с внешнего ресурса, определение IP-адресов для доменных имен, значение скорости получения информации в обратном канале связи в проводных сетях доступа, коэффициент потерь пакетов, среднее время задержки передачи пакетов);
  • производительность проверки не менее 10 URL в секунду при условии достаточности полосы канала связи;
  • возможность многократного обращения агента к ресурсу (до 20 раз), с изменяемой периодичностью от 1 раза в секунду, до 1 раза в минуту;
  • возможность создания случайного порядка записей списка, передаваемого для тестирования и задание приоритета по конкретной странице сайта в сети «Интернет».


В общем виде структура выглядит так:


Программные и программно-аппаратные решения для фильтрации интернет-трафика (DPI-решения) позволяют операторам блокировать трафик от пользователей к сайтам из списка РКН. Блокируют их или нет, это проверяет клиент АС Ревизор. Он по списку от РКН в автоматическом режиме проверяет доступность сайта.

Пример протокола мониторинга доступен по ссылке.

В прошлом году Роскомнадзор начал тестировать решения для блокировки, который может применять оператор для реализации данной схемы оператором. Приведу цитату по результатам такого тестирования:
«Положительные заключения Роскомнадзора получили специализированные программные решения «UBIC», «EcoFilter», «СКАТ DPI», «Тиксен-Блокировка», «SkyDNS Zapret ISP» и «Carbon Reductor DPI».

Также получено заключение Роскомнадзора, подтверждающее возможность использования операторами связи программного обеспечения «ZapretService» в качестве средства ограничения доступа к запрещенным ресурсам в интернете. Результаты тестирования показали, что при установке по рекомендованной производителем схеме подключения «в разрыв» и правильной настройке сети оператора связи, количество выявленных нарушений по Единому реестру запрещенной информации не превышает 0,02%.

Таким образом, операторам связи предоставлена возможность выбора наиболее подходящего для них решения по ограничению доступа к запрещенным ресурсам, в том числе из перечня программных продуктов, получивших положительное заключение Роскомнадзора.

Вместе с тем в ходе тестирования программного продукта IdecoSelecta ISP из-за длительной процедуры его развертывания и настройки некоторые операторы не смогли приступить к тестам в установленные сроки. У более чем половины операторов связи, участвующих в тестировании, срок тестовой эксплуатации Ideco Selecta ISP не превышал недели. Учитывая малый объем полученных статистических данных и небольшое число участников тестирования, Роскомнадзор в официальном заключении указал на невозможность получения однозначных выводов об эффективности продукта «Ideco Selecta ISP» как средства ограничения доступа к запрещенным ресурсам в интернете.»
Дополню, что в тестировании каждого программного продукта принимали участие до 27 операторов связи с различной численностью абонентов из разных федеральных округов Российской Федерации.

С официальными заключениями по результатам тестирования можно ознакомиться здесь. В этих заключениях практически ноль технической информации. Про продукт «Ideco Selecta ISP» можно почитать, чтобы знать, как не нужно делать.

В этом году тестирование продолжится и на данный момент, судя по новостям Роскомнадзора, взят уже один продукт и еще 2 в ближайших планах.

Что если блокировка произошла по ошибке?


В завершение, хотелось бы напомнить, что Роскомнадзор «не ошибается», что подтверждает Конституционный суд.

Постановление, фактически снимающее ответственность с Роскомнадзора за ошибочную блокировку сайтов, было принято в рамках рассмотрения жалобы в КС директора ассоциации интернет-издателей Владимира Харитонова. В ней говорилось, что в декабре 2012 года Роскомнадзор по ошибке заблокировал его интернет-библиотеку digital-books.ru. Как пояснял господин Харитонов, его ресурс располагался на том же IP-адресе, что и портал rastamantales(.)ru (сейчас rastamantales(.)com), который и был изначальным объектом блокировки. Владимир Харитонов попробовал в судебном порядке опротестовать решение Роскомнадзора, однако в июне 2013 года Таганский райсуд признал блокировку законной, а в сентябре 2013-го это решение оставил в силе Мосгорсуд.

Оттуда же:
В Роскомнадзоре «Ъ» заявили, что решением КС удовлетворены. «Конституционный суд подтвердил, что Роскомнадзор исполняет закон. Если у оператора нет технической возможности для ограничения доступа к отдельной странице сайта, а не к его сетевому адресу, то это ответственность оператора»,— сказал «Ъ» пресс-секретарь ведомства.

Этот вопрос актуален также для облачных провайдеров и хостинг-компаний, так как подобные инциденты случались и с ними. В июне 2016 года в России был заблокирован облачный сервис Amazon S3, хотя в реестр по требованию Федеральной налоговой службы была внесена лишь расположенная на его платформе страница покер-рума 888poker. Блокировка всего ресурса была связана как раз с тем, что Amazon S3 использует защищенный протокол https, который не позволяет заблокировать отдельные страницы. Только после того как сам Amazon удалил страницу, к которой возникли претензии у российских властей, ресурс был исключен из реестра.
Теги:
Хабы:
Всего голосов 14: ↑12 и ↓2 +10
Просмотры 26K
Комментарии Комментарии 14

Информация

Дата основания
2009
Местоположение
Россия
Сайт
www.cloud4y.ru
Численность
31–50 человек
Дата регистрации