С 1 февраля 2024 года в соответствии с Законом № 406-ФЗ в России запретили оказывать услуги хостинга всем компаниям, которые не зарегистрировались в реестре Роскомнадзора (РКН). Как соблюсти новые правила, что будет, если этого не сделать, и как новый закон влияет на российский рынок хостинга, рассказывает юрист компании ISPmanager Олег Макаров.
Как попасть в реестр хостинг-провайдеров
Процесс ведения реестра хостинг-провайдеров регулирует Постановление правительства от 28.11.2023 № 2008.
Что такое реестр
Это база данных Excel, которую сформировал и ведет Роскомнадзор. Минцифры определило РКН как оператора отечественного реестра провайдеров хостинга, но для ведения реестра ведомство при желании сможет привлечь другую организацию.
Сейчас в реестре кроме хостинговых компаний есть университеты, ювелирные заводы и операторы связи, которые официально услуги хостинга не предоставляют.
Вероятно, данные субъекты подают в реестр из-за легального определения хостинг-провайдера — «лицо оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет"».
В бизнесе существует понятие «группа компаний» — несколько взаимосвязанных организаций. В рамках этой группы может быть юридическое лицо, которое является «IT центром» для остальных.
Такое юрлицо предоставляет остальным компаниям в группе собственные мощности для размещения и хранения информации, соответственно, осуществляет хостинговую деятельность и, следовательно, должно включиться в реестр.
Как попасть в реестр
Необходимо подать заявку на сайте РКН, чтобы попасть в реестр. Подробности о процессе подачи можно найти в следующих документах:
- Постановление правительства от 28.11.2023 № 2009.
- Инструкция РКН по заполнению уведомления.
Сведения, которые нужно предоставить хостеру, включают:
- данные об автономных системах, на которых предоставляются услуги хостинга,
- информация обо всех IP-адресах,
- местонахождение вычислительных мощностей (как собственных, так и арендованных),
- сведения об используемых средствах защиты информации,
- информация о точках обмена трафиком, к которым подключена инфраструктура провайдера хостинга и др.
Ответ придет в течение 15 рабочих дней в личный кабинет на сайте РКН. Если все хорошо, запись о компании внесут в реестр. Если данных не хватило, или они не соответствуют внутренней информации в госорганах, РКН попросит исправить — укажет, где что-то не так и чем дополнить уведомление.
На исправления есть 5 рабочих дней. Если РКН откажет — придется все заполнять заново. Ограничений по количеству попыток нет.
Читать по теме: Минцифры подготовило новый список норм кибербезопасности для хостинг-провайдеров
Требования к хостинг-провайдерам из реестра РКН
Требования к хостинг-провайдерам из реестра РКН описаны в восьми документах. Это приказы Минцифры № 1, 935, 936, Минкомсвязи № 510, 579 и Постановления Правительства № 1316, 1952, 2011.
Требования выглядят внушительно и могут быть сложны для небольших компаний. Их внедрение требует больше человеческих, чем технических ресурсов.
Предостоит все прочесть, понять, внедрить и назначить ответственных за взаимодействие с ведомствами — РКН, Минцифры, правоохранительными органами. И, конечно, модернизировать внутреннюю инфраструктуру, если есть «просадка» по вычислительным мощностям или средствам защиты, которые требуют новые правила.
Основные из них:
- Подключение к ГосСОПКА
ГосСОПКА — это федеральная информационная система, которую курирует Национальный координационный центр по компьютерным инцидентам и которая создана для защиты российской сетевой инфраструктуры от киберугроз. Все участники ГосСОПКА передают друг другу информацию о кибератаках — как планируемых, так и успешных. Иными словами, эта система делает делает все, чтобы поддерживать постоянную работоспособность Рунета.
Как подключиться:
- Самое простое — найти региональный корпоративный центр, который заключил с федеральным центром ГосСОПКА и ФСБ соглашение в области обнаружения, предупреждения и ликвидации последствий компьютерных атак.
- Сложнее — создать собственную инфраструктуру для подключения к ГосСОПКА. То есть стать корпоративным центром из предыдущего пункта и пройти лицензирование у ФСБ.
После подключения к ГосСОПКА хостинговая компания фактически участвует в обеспечении безопасности Рунета. Участник ГосСОПКА должен обеспечивать защиту от DDoS-атак, предоставлять информацию о местоположении серверов, использовать НСДИ, обеспечивать фильтрацию сетевого трафика, исходящего от клиента, с внешними ресурсами, в зависимости от способа идентификации клиента. Для выполнения всех этих мероприятий, хостинг-провайдеру необходимо хранить информацию о клиентах еще год после окончания предоставления услуг.
- Идентификация клиентов хостинговых компаний
Теперь недостаточно собирать анкетные данные клиентов — их нужно подтверждать одним или несколькими из способов, указанными в Постановлении правительства от 29.11.2023 № 2011
У кого собирать. У новых и старых клиентов — если они не проходили идентификацию указанными способами ранее или идентификация была ранее 1 января 2023 года.
Как собирать. Документ говорит, что работа должна быть организована так, чтобы при заказе клиенту пришлось сделать как минимум одно из действий:
- Использовать свои учетные данные из Госуслуг.
- Использовать биометрию для входа.
- Подписать заполненную анкету пользователя усиленной квалифицированной электронной подписью.
- Предъявить паспорт при личном обращении — например в офисе хостера.
- Оплатить услуги хостера картой российского банка или картой банка, который расположен в государстве-члене ЕАЭС. Это Армения, Казахстан, Белоруссия, Кыргызстан. Сюда можно включить оплату через СБП. Но нельзя использовать неименные предоплаченные карты — для получения которых не нужны документы.
- Подтвердить личность с помощью телефонного номера одного из российских операторов связи — номер, на котором оказываются услуги радиотелефонной связи. Например, номера IP-телефонии не подойдут.
- Использовать для аутентификации «иную информационную систему», которая обеспечит точную идентификацию клиента. Тут дают простор для творчества. Главное, чтобы эта ИС находилась под контролем российского лица или это лицо было подконтрольно хостеру или хостер ему.
- Подключение к СОРМ
СОРМ — система технических средств для обеспечения функций оперативно-розыскных мероприятий. СОРМ используется для контроля поведения пользователей в сети, выявления и расследования преступлений. Все это происходит через подключение правоохранительных органов к инфраструктуре операторов связи и некоторых интернет-сервисов.
На данный момент для включения в реестр не требуется подтверждать наличие внедренного СОРМ, но его отсутствие может повлечь исключение из реестра.
Именно подключение к СОРМ является основной причиной реформ для хостинг-провайдеров и ключевым моментом для «жизни в реестре», т.к в цифровой среде совершается большое количество преступлений, а единственной ниточкой к их раскрытию является информация от хостера, у которого могут приобретать мощности злоумышленники.
Как подключиться:
Есть два документа, которые регулируют процесс подключения к СОРМ для хостинговых компаний:
- Приказ Минцифры от 01.11.2023 № 935 — о внедрении СОРМ хостерами.
— Как сделать базу данных, к которой в любой момент могут обратиться правоохранительные органы, чтобы взять необходимые данные. Для этих целей необходимо использовать GraphQL. В документе описаны все команды и настройки, которые нужно выполнить.
— Какие именно данные должны собираться хостером и передаваться в правоохранительные органы. Сюда входят — персональные данные, переписки, видео, аудио и пр.
- Постановление правительства от 22.11.2023 № 1952 описывает взаимодействие с правоохранительными органами.
— Подать заявление в органы ФСБ не позднее 45 дней до начала деятельности, что вы готовы взаимодействовать и помогать в оперативно-розыскной деятельности.
— ФСБ рассматривает заявление в течение 30 дней. Если все хорошо, то в течение трех месяцев ведомство поможет разработать план внедрения технических средств для взаимодействия — он должен соответствовать требованиям, описанным в предыдущем документе.
— Внедрение технических средств для взаимодействия письменно актируется ФСБ. Это значит, что реальность внедрения будут контролировать. Однако по согласованию с тем же ФСБ вы можете использовать технические средства другого хостера или владельца автономной системы.
В профессиональном сообществе обсуждают планы крупных операторов связи выпустить продукт, который предоставит в пользование технические средства для СОРМ компаниям, что не в состоянии внедрить систему самостоятельно.
Технические средства хостера должны находится в пределах РФ, и он должен принимать все меры, чтобы сохранить в тайне информацию об оперативно-розыскных мероприятиях.
Чтобы не получить отказное письмо от ФСБ:
- Изучите все нормативные документы
- Проведите аудит мощностей и подготовьте инфраструктуру для внедрения СОРМ. Помните, что малейшие отклонения от требований могут повлечь отказ.
Дополнительные меры
- Участие в учениях «по обеспечению устойчивого, безопасного и целостного функционирования <…> сети Интернет». Минцифры проводит учения для всех хранителей Рунета, включая хостинговые компании, следует из Постановления правительства от 12.10.2019 № 1316. Об учениях предварительно предупреждают и рассылают их программу. Заранее делать ничего не нужно.
- Использование Национальной системы доменных имен (НСДИ) требует Приказ Минкомсвязи России № 510.
- Соответствие требованиям Федеральной службы по техническому и экспортному контролю (ФСТЭК) — фиксировать дату, время и иные сведения, позволяющие выявить действия пользователя в технических и программных средствах и хранить эту информацию в течение года со дня фиксации — в соответствии с Приказом Минцифры от 09.01.2008 № 1.
- Необходимость обновлять, использовать и управлять средствами связи строго из РФ (российские юридические и физические лица). А еще — сделать все, чтобы не допустить нарушения работоспособности средств связи со стороны иностранных лиц. Об этом говорит Приказ Минкомсвязи № 579.
Ответственность
Хостинг-провайдеры, которые не выполняют описанные требования или не включились в реестр, пока не несут административной ответственности. Об этом РКН пишет на своем сайте.
Что может грозить по другим видам ответственности?
Для тех, кого нет в реестре. Возможные варианты гражданской ответственности для незарегистрированных в реестре хостеров:
- Запрет деятельность по ст.1065 ГК РФ. Основанием иска может являться тезис, что хостеры вне реестра несут угрозу безопасности Рунета и данных граждан.
- Блокировка сайта, либо исключение страницы из поисковых запросов у пользователей. Сайты хостеров, которые оказывают услуги в нарушение запрета, могут внести в реестр запрещенной информации РКН и как следствие либо заблокировать сайт, либо вывести страницу из поисковых запросов у пользователей.
Для тех, кто в реестре. Если РКН обнаружит нарушения в любом из перечисленных выше условий, то направит требование устранить их в срок не более 10 рабочих дней. Если не принять меры в этот срок, то РКН направит новый запрос и даст еще 20 рабочих дней, чтобы хостер устранил нарушения. Если и в этот срок ничего не изменилось — хостера исключают из реестра в течение 5 рабочих дней.
Также хостеру может грозить штраф от 10 до 20 тыс. рублей за неисполнение требований со стороны РКН по ч.1 ст.19.5 КоАП РФ.
Такое положение можно назвать «льготным периодом», пока формируется практика нового регулирования.
Читать по теме: Минцифры приравняло услугу CDN к хостингу
Положение в отрасли
Большинство крупных компаний уже включилось в реестр, поскольку у них есть ресурсы на выполнение новых требований. Игрокам поменьше остается возможность продолжать оказывать услуги через реселлинг, с привлечением мощностей провайдеров из реестра РКН.
Но, кажется, с точки зрения бизнеса и рисков это станет не самым выгодным делом — с новым регулированием возрастают риски и мало кто захочет брать ответственность за чужих клиентов и особенно за действия «арендатора», с которого, в случае чего, и взять будет нечего.
Чтобы законно продолжать деятельность через реселлинг, новые требования будут вынуждать к очень плотному обмену информацией и взаимодействию между арендатором и арендодателем.
Проще будет консолидироваться, что уже происходит на хостинговом рынке РФ. Скорее всего, мелких хостеров, у которых не хватит ресурсов для внедрения новых требований, поглотят крупные. Например, «Рег.ру» открыл сбор предложений о продаже бизнеса и баз клиентов хостинг-провайдеров.
Комментирует Сергей Рыжков, руководитель направления профессиональных сервисов Рег.ру:
«Тренд на консолидацию отрасли продолжит усиливаться, а оставшимся игрокам в условиях сильной конкуренции придется наращивать мускулы и осваивать новые ниши. Традиционные хостинговые компании в ближайшей перспективе могут поделить рынок хостинга с облачными провайдерами, а также крупными ИТ и телеком-компаниями. При этом у крупных ИТ-компаний хостинг может стать составляющей в дополнение к основному портфелю услуг, а драйвером роста может стать появление комплексных экосистем. Наиболее востребованными станут облачные решения и онлайн-сервисы, ориентированные на решение разных бизнес-задач».
Заключение
Реестр хостинг-провайдеров создан в первую очередь как инструмент защиты Рунета. На сегодняшний день существует неофициальный льготный период, когда административная ответственность для не зарегистрированных в реестре хостеров не предусмотрена.
Это значит, что у действующих компаний есть время привести собственную инфраструктуру в соответствие с требованиями законодательства, а для более мелких игроков — оказывать услуги через реселлинг с помощью мощностей крупных провайдеров, включенных в реестр.
При этом рынок хостинга уже ответил на нововведения консолидационными трендами. По мнению хостинг-сообщества этот тренд продолжит усиливаться, а услуга хостинга может стать дополнением к основному портфелю услуг крупных ИТ-провайдеров, которые ранее эти услуги не оказывали.
Читать по теме: Роскомнадзор рекомендовал сократить сбор информации для зарубежных ботов
Фото на обложке: Unsplash
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- Пройти курс «Как попасть в топ поисковой выдачи Ozon»
- 1 Сбербанк потребовал взыскать с Елены Блиновской почти 13 млн рублей
- 2 В Госдуме предложили разрешить коммерческие обозначения для самозанятых
- 3 «Россети» предложили создавать майнинг-центры в регионах с низким энергопотреблением
- 4 Что такое пересортица товара и как правильно её оформить
ВОЗМОЖНОСТИ
28 января 2025
03 февраля 2025
28 февраля 2025