1. Статьи
Заметки пользователей
27.02.2017 18:40
PDF
60579
208

Технические средства контроля за оператором (обновлено)

Официальная информация

С 2014 г. в России ведется Единый реестр, позволяющий идентифицировать сайты в сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено" (далее - реестр). Согласно п. 10 ст. 15.1 ФЗ т 27.07.2006 №149-ФЗ, оператор связи, оказывающий услуги доступа к сети Интернет, обязан в течение суток с момента включения в реестр сетевого адреса сайта, ограничить доступ к такому сайту в сети Интернет". 

Роскомнадзор утвердил Рекомендации по ограничению доступа к информации в Интернет.

Ранее контролировали только частоту выгрузки реестра, наказывая на 30 тыс. руб. за невыгрузку. Теперь за закрытием доступа следит сертифицированный аппаратно-программный Агент АС "Ревизор" (далее - Ревизор). И наказывать будут уже на 50-100 тыс. руб. (ИП – до 30) за неограничение доступа (законопроект принят в первом чтении 07.10.16, вступает в силу по истечении 30 дней со дня официального опубликования).

Технические средства контроля за оператором (обновлено)

Ревизор устанавливается согласно приказа Роскомнадзора от 17.07.14 г. № 103.

Согласно п. 4.1.2. Технического задания, Агент должен иметь доступ к ЦУ по прикладному протоколу, защищенному протоколами SSL(TLS) , и к сети Интернет через СПД, ограничение доступа к информации на которой будет проверяться. 

Алгоритм осуществления проверки доступности каждого URL Агентом. При проверке Агент должен:

  • определить IP-адреса, в которые преобразуется сетевое имя проверяемого сайта (домен) или использовать IP адреса, предоставленные в выгрузке;
  • для каждого IP-адреса, полученного от DNS-серверов, произвести HTTP-запрос проверяемого URL. В случае получения от проверяемого сайта HTTP перенаправление, Агент должен проверить URL, на который осуществляется перенаправление. Поддерживается не менее 5 последовательных HTTP перенаправлений;
  • в случае невозможности осуществить HTTP-запрос (не происходит установки TCP-соединения) Агент должен делать вывод о наличии блокировки IP-адреса целиком;
  • в случае успешного HTTP-запроса Агент должен проверить полученный ответ проверяемого сайта по коду HTTP-ответа, по HTTP-заголовкам, по HTTP-содержанию (первые полученные данные размером до 10 кб). В случае совпадения полученного ответа с созданными в ЦУ шаблонами страниц-заглушек должен быть сделан вывод о наличии блокировки проверяемого URL;
  • при проведении проверки URL, Агент должен осуществить  проверку установки шифрованного соединения и промаркировать ресурс;
  • в случае отсутствия совпадения полученных Агентом данных с шаблонами страниц-заглушек  или доверенных страниц переадресации, информирующих о блокировке ресурса, Агент должен делать вывод об отсутствии блокировки URL на СПД оператора связи. В этом случае информация о данных (HTTP-ответе), полученная Агентом, записывается в отчёт (файл журнала проверки). Администратор системы имеет возможность сформировать из данной записи шаблон новой страницы-заглушки, для предотвращения последующих ложных выводов об отсутствии блокировки.


Агент должен обеспечивать:

  • связь с ЦУ для получения полного списка URL и режимов блокировки, которые необходимо протестировать;
  • связь с ЦУ для получения данных о режимах проверки. Поддерживаемые режимы: полная однократная проверка, полная периодическая с заданным интервалом, выборочная однократная с заданным пользователем списком URL, периодическая с заданным интервалом проверка списка URL (определённого типа записей ЕР);
  • продолжение выполнения заданных процедур проверки по имеющемуся URL списку,  в случае невозможности получения списка URL с ЦУ, и хранения полученных результатов проверок с последующей передачей на ЦУ;
  • полное выполнение заданных процедур проверки по имеющимся URL спискам, в случае невозможности получения информации о режимах проверки с ЦУ, и хранения полученных результатов проверки с последующей передачей на ЦУ;
  • осуществление проверки результатов блокировки в соответствии с установленным режимом;
  • отправку на ЦУ отчёта о проведённой проверке (файл журнала проверки);
  • возможность проверки работоспособности СПД оператора связи, т.е.  проверку доступности списка заведомо доступных сайтов;
  • возможность осуществлять проверку результатов блокировки с использованием прокси-сервера;
  • возможность удалённого обновления ПО;
  • возможность проведения диагностических процедур на СПД (время отклика, путь прохождения пакетов, скорость скачивания файлов с внешнего ресурса, определение IP-адресов для доменных имен, значение скорости получения информации в обратном канале связи  в проводных сетях доступа, коэффициент потерь пакетов, среднее время задержки передачи пакетов);
  • производительность проверки не менее 10 URL в секунду при условии достаточности полосы канала связи;
  • возможность многократного обращения агента к ресурсу (до 20 раз), с изменяемой периодичностью от 1 раза в секунду, до 1 раза в минуту;
  • возможность создания случайного порядка записей списка, передаваемого для тестирования и задание приоритета по конкретной странице сайта в сети "Интернет".

 

Также функционал Ревизора умеет  проверять работоспособности СПД операторов связи, (проверка списка заведомо доступных сайтов с сети Оператора).


Из выступления руководителя ФГУП ГРЧЦ Абрамова от 20.09.16.

"В настоящее время проводится мониторинг 1589 из 3804 операторов телематических услуг;

За время работы АС"Ревизор" в Роскомнадзор передан 5301 акт о нарушениях операторами связи блокировок запрещенных интернет-ресурсов. Также составлено 3463 документа о нарушениях ФЗ от 28.12.2013 №398-ФЗ." 

Технические средства контроля за оператором (обновлено)
Как Ревизор контролирует "оборот" информации в Интернете
 

Схема размещения и требования для Ревизора

Технические средства контроля за оператором (обновлено)

Расходы на Ревизор, в т.ч. за:

  • порт доступа на скорости 10Мбит/с, 
  • трафик, который использует Ревизор (может достигать нескольких Гб),
  • потребляемое электричество


предлагается оплатить Оператору. Вместе с тем, это не вытекает из законов РФ, а п. 9 Приказа 107 нарушает права предпринимателей и может быть оспорен в ВС РФ.
 

Структура функционирования системы "Ревизор"

  1. "Ревизор", установленный на сети Оператора, следит за ограничением доступа к списку Реестра.
  2. С помощью "Ревизора", установленного на планшете Инспектора РКН, происходит подключение к Wi-Fi. Есть судебная практика.
  • Если Ревизор находит запрещенный ресурс, Агент делает скриншот сайта, отправляет его в ЕИС Роскомнадзора (Файл 112.2 Кб). 
  • Пока ревизоры не имели сертификатов, существовал Временный порядок проведения мониторинга соблюдения операторами связи требований по ограничению доступа к сайтам в сети интернет, и было исключено автоматизированное направление результатов контроля в ЕИС Роскомнадзора. Работник ФГУП "РЧЦ ЦФО", ответственный за проведение мониторинга, в обязательном порядке осуществлял проверку в ручном режиме сформированных Акта и Протокола мониторинга, а также приложения к Протоколу мониторинга из архива файлов, содержащего скриншоты информационных ресурсов в сети "Интернет", доступ к которым не был ограничен оператором связи. По результатам проверки работник ставил личную подпись под Актом мониторинга и направлял материалы проверки в управление Роскомнадзора на бумажном носителе.
  • Скриншот прилагается к Протоколу проверки, являясь доказательством вины в суде. Есть судебная практика.
  • После ввода в эксплуатацию ЕИС, будет автоматизированное направление результатов контроля в ЕИС Роскомнадзора.

Технические средства контроля за оператором (обновлено)

Порядок установки (пример ЦФО)

Ответственные – филиалы РЧЦ ЦФО (далее – "Филиал"). Предполагаемое количество агентов в ЦФО -  952, в т.ч. для Москвы и области – около 800. Планируемые способы получения Агентов:

  • Доставка непосредственно операторам - исключительный случай.
  • Передача по адресам Филиала/РКН по ЦФО в Москве:
    • ул. Старокрымская, д. 13;
    • ул. Достоевского, д. 1/21;
    • Старокаширское шос. , д. 2, корп. 10.
  • При выдаче – расписка о получении.
  • Проект Договора безвозмездного пользования высылается на E-Mail Оператора.

Рекомендации

Железок" закупили не на всех интернет-провайдеров, поэтому:

  • Не ставьте программный Ревизор – требуйте аппаратную часть. Это подтверждено Роскомнадзором, вышестоящим над территориальными управлениями и предприятиями РЧЦ.
  • Передача Ревизора документируется актом приемки-передачи, про договор в приказе 103 упоминания нет!
  • Предлагайте изменения в договор (протоколом разногласий).

Технические средства контроля за оператором (обновлено)

 

Практика

Вместе с тем, некоторые особо рьяные филиалы РЧЦ в ответ на предложение Оператора подписать договор в иной редакции, жалуются в УФСБ, а последние выдают представления о нарушении безопасности страны. 

С другой стороны, имел место и такой сучай: в ответ на представление, Оператор ответил ФСБ, что безопасность нарушает ГРЧЦ, который требует подписания не установленного законодательством договора. В итоге, позвонили из ГРЧЦ и согласились подписать договор на условиях Оператора.

 

На форуме запущен опрос об использовании операторами "Ревизора". Можно принять в нём участие и ознакомиться с результатами.

Дополнительная информация

Из центрального аппарата РКН дано указание в территориальные органы о начале с 01.12.2016 административной практики наказания Операторов, не установивших Ревизор. Есть вероятность, что данное нарушение будет инкриминировано как нарушение условий действия лицензии по п.3 ст.14.1. КОАП РФ (штраф 30-40 тыс.руб.).

Надзор будет указывать, что в условиях действия лицензии на телематику написано о необходимости соблюдениия Правил оказания услуг связи. А в п. 26.а Правил оказания телематических услуг связи указано:

"26. Оператор связи обязан:
а) оказывать абоненту и (или) пользователю телематические услуги связи в соответствии с законодательными и иными нормативными правовыми актами Российской Федерации".

П.5 ст.46 является законодательным актом. Таким образом, нарушая норму п.5 ст.46 ФЗ О связи, Оператор, по мнению РКН, будет нарушать условия действия лицензии. Вместе с тем, такое расширительное толкование может быть оспорено в Верховном суде на основании п.4 ст. 8 ФЗ "О лицензировании отдельных видов деятельности (к лицензионным требованиям не могут быть отнесены требования о соблюдении законодательства Российской Федерации в соответствующей сфере деятельности в целом).

Бланк письма

Добавлено 05.12.2016

Нам прислали протокол о неблокировке со скриншотами. Блокировка производится по связке "IP + домен", строго согласно данным реестра, то есть на обработку перенаправляется трафик только на IP-адреса из реестра. Естественно, они не всегда соответствуют актуальным IP-адресам, но Роскомнадзору, похоже, все равно.

И что, собственно, нужно было делать? Резолвить адреса самостоятельно, игнорируя реестр? Не поможет ведь, не говоря уже о том, что следить за всем этим будет просто некому и некогда. Похоже, проще было весь трафик от "Ревизора" перенаправлять на блокировку.

В отчетах от "Ревизора" значились IP-адреса, отсутствующие в реестре. То есть, "Ревизор" при своих проверках даже не проверяет соответствие с данными из реестра. В протоколе IP-адресов нет вообще - только URL-ы и снимки, причем на некоторых имеется информация о том, что такого сайта не существует. К тому же, насколько помнится, в официальных рекомендациях предлагалась как раз такая схема блокировки с обработкой только необходимого трафика. И это при том, что вышестоящий провайдер тоже производит блокировку.

В итоге, проблема разрешилась. После наглядного объяснения ситуации с IP-адресами от РКН  ответ был продолжать блокировать, как и раньше.

Добавлено 12.12.2016

Интересная информация поступила от одного из пользователей форума НАГ из Омской области (далее, от его лица).

Не все конторы, которые получили акт мониторинга и протокол мониторинга, получают протокол об административном нарушении. Они там устраивают какую-то "лотерею" и проводят внеплановое систематическое наблюдение. Получили сегодня акт и протокол об административном нарушении для одного ООО, для второго - пока нет. И не факт еще, что будет.

Не успел всё посмотреть, но навскидку бросается в глаза следующее: в акте написано, что  проведено внеплановое систематическое наблюдение с 5 декабря по 9 декабря, а протокол об административном нарушении выписан 6 декабря, т.е. не дожидаясь окончания наблюдения. Помимо акта, протокола, приложения, распечатаны скрины, навскидку, такие-же, на какие я давал ссылку (19 сайтов), т.е. созданные до 5 декабря. Дополнительно заблокировали всё, что можно. Может, для второго ООО прокатит. Также, начали переписку с техподдержкой с разъяснением ситуации в примерах.

Готовимся к суду. Наши партнеры, они были в первой группе, тоже получили протокол, но на день раньше. Наказание будет и на юр. лицо и на ответ. лицо.

Примечание юриста: Как показал опыт, по существующей практике наказывают дважды: и должностное, и юридическое лица. Примеры составления протоколов и передачи в суд уже есть в Амурской, Челябинской, Омской, Ростовской, Свердловской, областях, ХМАО. Кроме того, некоторые производители dpi прописывают в договоре свою ответственность за штрафы РКН при "не блокировке". Ищите лучших вендоров.

Добавлено 27.02.2017

С 25 марта в соответствии с 18-ФЗ от 22.02.17, незаблокировавший доступ Оператор связи получает штраф 50-100 тыс. рублей, безальтернативно. 

Кроме того, следует обратить внимание на онлайн-конференцию, "Проблемные вопросы ограничения доступа к информации, распространение которой на территории Российской Федерации запрещено", запланированную Роскомнадзором на 28 февраля.

Добавлено 01.03.2017

При этом, в разных управлениях РКН - разные требования. Так, в ЦФО устраивает 1% незаблокированных ресурсов, а в Кемеровской обл. требуют, чтобы было заблокировано все.
Практику достаточности 1% незаблокированных подтверждает ответ на вопрос 32 с официального сайта РКН, в котором, исполняющий обязанности начальника Отдела мониторинга интернет-ресурсов Управления информационных технологий Аппарата управления ФГУП "РЧЦ ЦФО" Минаков Владислав Алексеевич, утверждает, что: "На текущий момент в АС "Ревизор" формируются материалы по операторам связи, на сетях которых зафиксировано более 1% незаблокированных ресурсов".
Также следует обратить внимание на необходимость ходить на суды, где, в частности, указывать на срок давности привлечения к ответственности - 3 мес. с даты обнаружения (составления ГРЧЦ Протокола Мониторинга).
На суде до 25 марта 2017 года следует заявить:
В соответствии с п. 6. ст. 205 АПК РФ: "При рассмотрении дела о привлечении к административной ответственности арбитражный суд в судебном заседании устанавливает, имеются ли основаниядля привлечения к административной ответственности лица, в отношении которого составлен протокол". Основанием для привлечения к ответственности является наличие состава правонарушения.

П. 1 ст. 2.1 кодекса РФ об административных правонарушениях (далее – "КоАП РФ"): определяет состав административного правонарушения как: "противоправное, виновное действие (бездействие), за которое настоящим Кодексом ... установлена административная ответственность.

В соответствии с п. 4.б. раздела XVI  Перечня лицензионных условий осуществления деятельности в области оказания телематических услуг связи  (утверждены постановлением правительства России от 18.02.2005 N 87), при осуществлении телематических услуг связи, предусмотрено нижеуказанное лицензионное требование: "4.обеспечение предоставления абоненту и (или) пользователю:  б) Доступа...в том числе к сети Интернет".

Таким образом, каждый, осуществляющий деятельность в области оказания телематических услуг связи обязан предоставлять доступ к сети Интернет.

П. 5. ст. 46 ФЗ "О связи" гласит: "Оператор связи, оказывающий услуги по предоставлению доступа к ... сети "Интернет", обязан осуществлять ограничение ... доступа к информации, распространяемой посредством ... сети "Интернет "в порядке, установленном Федеральным законом от 27 июля 2006 года N 149-ФЗ". Таким образом, данное требование относится ко всем Операторам связи, осуществляющим деятельность по предоставлению телематических услуг связи.

Ответчик осуществляет деятельность по предоставлению доступа к сети Интернет в соответствии с п. 4.б) лицензии на телематические услуги связи. Ответчику вменяется в вину неисполнение п. 5 лицензии - исполнение Правил оказания телематических услуг связи. В Правилах оказания телематических услуг связи (утверждены Постановлением Правительства РФ от 10.09.2007 N 575) насчитывается 73 пункта, каждый из которых обязан соблюдать Оператор, имеющий лицензию на телематические услуги связи, в том числе пункт 26 а) о соблюдении законодательных и иных нормативных правовых актов Российской Федерации, договора с Абонентом.

В соответствии с п. 4. Статьи 8 Федерального закона от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности": "К лицензионным требованиям не могут быть отнесены требования о соблюдении законодательства Российской Федерации в соответствующей сфере деятельности в целом".

Учитывая вышеизложенное, наказание Ответчика за неисполнение п. 5. ст. 46 ФЗ "О связи" по ч. 3 ст. 14.1 Кодекса России об административных правонарушениях как за нарушение условия действия лицензии № 97516 от 16.04.2012, будет наказанием за неисполнение требования о соблюдении законодательства России  в сфере осуществления деятельности по предоставлению телематических услуг связи в целом.

Вместе с тем, следует отметить, что в настоящее время отсутствует ответственность за неисполнение оператором связи, оказывающим услуги по предоставлению доступа к сети "Интернет", обязанности, предусмотренной п. 5 ст. 46 Федерального Закона "О связи" №126-ФЗ от 07.07.03 (далее - "ФЗ "О связи") по ограничению доступа к информации.

В соответствии с информацией официального сайта Государственной думы Федерального собрания Российской Федерации 10.02.17 проект федерального закона № 1102471-6 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления ответственности оператора связи)", вводящего административную ответственность за: "Неисполнение оператором связи, оказывающим услуги по предоставлению доступа к информационно-телекоммуникационной сети "Интернет"обязанности по ограничению доступа к информации, доступ к которой должен быть ограничен на основании сведений, полученных от федерального органа исполнительной власти, осуществляющего функции по контролю и надзору в сфере связи" .

Данный закон №18-ФЗ только 22 февраля 2017 г. подписан Президентом России.

В соответствии со ст. 2 проекта федерального закона, он "вступает в силу по истечении тридцати дней после дня его официального опубликования", то есть 25 марта 2017.

На дату составления протоколов об административных правонарушениях, федеральный закон №18-ФЗ от 22.02.17 не вступил в действие.

Таким образом, на дату составления протоколов об административных правонарушениях отсутствует ответственность за нарушение п.5 ст. 46 федерального закона "О связи".отсутствие состава

 

Галушко Дмитрий, генеральный директор ООО "ОрдерКом", кандидат юридических наук.  

 

208 комментариев
Оставлять комментарии могут только авторизованные пользователи
Robot_NagNews
Robot_NagNews

Материал:

Немного о технических средствах контроля за соблюдением оператором требований

ст.15.1-15.4 ФЗ N149-ФЗ от 27.07.06 - системе "Ревизор".

 

Полный текст

danswin
danswin

И программа и Оборудование не отвечает требованием Закона о предоставление информации и защиты персанальных данных. Следовательно информацию которую проганяют через Ревизор я лично не знаю и не могу быть уверен что она именно эта проганяется. Сертификат который получен Да хоть что то хорошо. Но Нет сертификата пройденного через ФСБ, то есть я не уверен что кто либо может воспользоваться танным продуктом для своих целях путь и даже Роскомнадзор или Агент. ФСБ должно выдать им разрешения на экспутацию программного и оборудования для установки таких средств операторам связи. Следовательно Где такой сертификат от ФСБ? Следовательно нарушен закон об защиты данных и персональных данных и нарушения контроля программного обеспечения и оборудования которое устанавливают операторам связи.

Мы сами ждем тестировки от оборудования "Ревизор" далее будем по результатам писать 3-4 письма в: роскомнадзор, МИФИ-софт, Агенту, ФСБ. Об легальности программного продукта и использорвание в таком виде на проведение обработки какой то информации.

Sergey Gilfanov
Sergey Gilfanov

И программа и Оборудование не отвечает требованием Закона о предоставление информации и защиты персанальных данных.

Я, конечно, понимаю желание стравить две конторы друг с другом, но при чем тут персональные данные? Данная железка вообще абонентами не интересуется и может работать даже когда у оператора никаких клиентов нет.

 

Вот то, что из этих железок хороший ботнет получится - это да. Кому-то обязательно захочется троянов на них посадить. Тем более, что известно, куда именно эти железки ходят и какой именно софт на них стоит (т.е. в чем искать дырки). Да и к каналу удаленного управления, поди, придраться можно.

Ну и еще разные развлечения саботажного вида. Скажем, что призойдет, если этим железкам в DNS ответах по поводу запрашиваемых адресов начнет что-то левое прилетать. (По воле вероятного противника или разных иных хакеров)

saaremaa
saaremaa

Скажем, что призойдет, если этим железкам в DNS ответах по поводу запрашиваемых адресов начнет что-то левое прилетать.

"накажут" оператора за не блокировку. Делов-то. ИМХО кроме как пополняемость бюджета за счет оператора эта бабалайка полезных функций не выполняет.

jffulcrum
jffulcrum

Не того боитесь. http://forum.nag.ru/forum/index.php?showtopic=108651 - пункт 4.1.2.2 техзадания. Тут как и с черными списками - сначала драть будут за одно, а в итоге драть будут за все подряд. Не было связи (аплинк упал) - на тебе, не было заявленной скорости (переборщил с овербукингом) - на тебе, не открывался kremlin.ru - на тебе, пинг до серверов госуслуг хреновый - получи штраф, собака! Особо эстетичным будет замер показателей BER или IPG в сети, ну, как там оператор РД к сетям ПД выполняет...

danswin
danswin

Вообщем с ЕКБ установшика Агента пришел ответ. в нашей сети 2 сайта прошли. Но как так если у меня стоит редуктор блокирует проверяно с ПК лично. ПОтом после погашение сервера ректора на этот же сайт выдает сообщения вышестоящего мол запрет. От сюда и вопрос как так мог пропустить запрос если у мен физически 2 защиты.

В ответ получен следующего содержание: У вас какой DNS? я такой то. а унас вот такой и система мониторит. Я им говорю так в мире очень много днс и что я должен всех гасить? Да вы должны принемать меры. А это нереально. Следовательно система не работаспособна так как любой человек может изменить ДНС и смотреть закрытые сайты и ИМХО штраф.

Нами будет направлен запрос в Роскомнадзор + Мифи-софт + Агенту с возможностью запроса в ФСБ на предмет разберательства пусть уже сами принемают решение.

По мне так это просто не кчемная ерунда. Но если требует закон установки оборудования я не откажусь. Но требую чтобы программа работала безукаризнено и качество, а так считаю программу не доработаной и сырой.

Negator
Negator

Мы пришли к выводу что штрафы неизбежны при любой системе.

Поэтому правильная позиция - договариваться с надзором.

Галушко Дмитрий
Галушко Дмитрий

Мы пришли к выводу что штрафы неизбежны при любой системе.

Поэтому правильная позиция - договариваться с надзором.

Полагаете, что всегда удастся договориться?

 

ПС Обновил инфо.

visir
visir

В ответ получен следующего содержание: У вас какой DNS? я такой то. а унас вот такой и система мониторит. Я им говорю так в мире очень много днс и что я должен всех гасить? Да вы должны принемать меры.

А Вы заверните все ДНС-запросы от этой балалайки на свои сервера - типа приняли меры.

Sergey Gilfanov
Sergey Gilfanov

Скажем, что призойдет, если этим железкам в DNS ответах по поводу запрашиваемых адресов начнет что-то левое прилетать.

"накажут" оператора за не блокировку. Делов-то. ИМХО кроме как пополняемость бюджета за счет оператора эта бабалайка полезных функций не выполняет.

Я не про это. А про то, что если отдавать через DNS специально подобранные адреса - то эти железки и будут долбиться туда, куда злодею надо, а не куда было задумано. DDoS однако.

 

А Вы заверните все ДНС-запросы от этой балалайки на свои сервера - типа приняли меры.

А потом кто-нибудь этому серверу DNS cache poisoning устроит, чтобы эта 'балалайка' (далее смотри выше)