vk_logo twitter_logo facebook_logo livejournal_logo googleplus_logo youtube_logo telegram_logo telegram_logo

Технические средства контроля за оператором (обновлено) 76

Дата публикации: 05.12.2016
Количество просмотров: 14575

Официальная информация

С 2014 г. в России ведется Единый реестр, позволяющий идентифицировать сайты в сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено" (далее - реестр). Согласно п. 10 ст. 15.1 ФЗ т 27.07.2006 №149-ФЗ, оператор связи, оказывающий услуги доступа к сети Интернет, обязан в течение суток с момента включения в реестр сетевого адреса сайта, ограничить доступ к такому сайту в сети Интернет". 

Роскомнадзор утвердил Рекомендации по ограничению доступа к информации в Интернет.

Ранее контролировали только частоту выгрузки реестра, наказывая на 30 тыс. руб. за невыгрузку. Теперь за закрытием доступа следит сертифицированный аппаратно-программный Агент АС "Ревизор" (далее - Ревизор). И наказывать будут уже на 50-100 тыс. руб. (ИП – до 30) за неограничение доступа (законопроект принят в первом чтении 07.10.16, вступает в силу по истечении 30 дней со дня официального опубликования).

Ревизор устанавливается согласно приказа Роскомнадзора от 17.07.14 г. № 103.

Согласно п. 4.1.2. Технического задания, Агент должен иметь доступ к ЦУ по прикладному протоколу, защищенному протоколами SSL(TLS) , и к сети Интернет через СПД, ограничение доступа к информации на которой будет проверяться. 

Алгоритм осуществления проверки доступности каждого URL Агентом. При проверке Агент должен:

  • определить IP-адреса, в которые преобразуется сетевое имя проверяемого сайта (домен) или использовать IP адреса, предоставленные в выгрузке;
  • для каждого IP-адреса, полученного от DNS-серверов, произвести HTTP-запрос проверяемого URL. В случае получения от проверяемого сайта HTTP перенаправление, Агент должен проверить URL, на который осуществляется перенаправление. Поддерживается не менее 5 последовательных HTTP перенаправлений;
  • в случае невозможности осуществить HTTP-запрос (не происходит установки TCP-соединения) Агент должен делать вывод о наличии блокировки IP-адреса целиком;
  • в случае успешного HTTP-запроса Агент должен проверить полученный ответ проверяемого сайта по коду HTTP-ответа, по HTTP-заголовкам, по HTTP-содержанию (первые полученные данные размером до 10 кб). В случае совпадения полученного ответа с созданными в ЦУ шаблонами страниц-заглушек должен быть сделан вывод о наличии блокировки проверяемого URL;
  • при проведении проверки URL, Агент должен осуществить  проверку установки шифрованного соединения и промаркировать ресурс;
  • в случае отсутствия совпадения полученных Агентом данных с шаблонами страниц-заглушек  или доверенных страниц переадресации, информирующих о блокировке ресурса, Агент должен делать вывод об отсутствии блокировки URL на СПД оператора связи. В этом случае информация о данных (HTTP-ответе), полученная Агентом, записывается в отчёт (файл журнала проверки). Администратор системы имеет возможность сформировать из данной записи шаблон новой страницы-заглушки, для предотвращения последующих ложных выводов об отсутствии блокировки.


Агент должен обеспечивать:

  • связь с ЦУ для получения полного списка URL и режимов блокировки, которые необходимо протестировать;
  • связь с ЦУ для получения данных о режимах проверки. Поддерживаемые режимы: полная однократная проверка, полная периодическая с заданным интервалом, выборочная однократная с заданным пользователем списком URL, периодическая с заданным интервалом проверка списка URL (определённого типа записей ЕР);
  • продолжение выполнения заданных процедур проверки по имеющемуся URL списку,  в случае невозможности получения списка URL с ЦУ, и хранения полученных результатов проверок с последующей передачей на ЦУ;
  • полное выполнение заданных процедур проверки по имеющимся URL спискам, в случае невозможности получения информации о режимах проверки с ЦУ, и хранения полученных результатов проверки с последующей передачей на ЦУ;
  • осуществление проверки результатов блокировки в соответствии с установленным режимом;
  • отправку на ЦУ отчёта о проведённой проверке (файл журнала проверки);
  • возможность проверки работоспособности СПД оператора связи, т.е.  проверку доступности списка заведомо доступных сайтов;
  • возможность осуществлять проверку результатов блокировки с использованием прокси-сервера;
  • возможность удалённого обновления ПО;
  • возможность проведения диагностических процедур на СПД (время отклика, путь прохождения пакетов, скорость скачивания файлов с внешнего ресурса, определение IP-адресов для доменных имен, значение скорости получения информации в обратном канале связи  в проводных сетях доступа, коэффициент потерь пакетов, среднее время задержки передачи пакетов);
  • производительность проверки не менее 10 URL в секунду при условии достаточности полосы канала связи;
  • возможность многократного обращения агента к ресурсу (до 20 раз), с изменяемой периодичностью от 1 раза в секунду, до 1 раза в минуту;
  • возможность создания случайного порядка записей списка, передаваемого для тестирования и задание приоритета по конкретной странице сайта в сети "Интернет".

 

Также функционал Ревизора умеет  проверять работоспособности СПД операторов связи, (проверка списка заведомо доступных сайтов с сети Оператора).


Из выступления руководителя ФГУП ГРЧЦ Абрамова от 20.09.16.

"В настоящее время проводится мониторинг 1589 из 3804 операторов телематических услуг;

За время работы АС"Ревизор" в Роскомнадзор передан 5301 акт о нарушениях операторами связи блокировок запрещенных интернет-ресурсов. Также составлено 3463 документа о нарушениях ФЗ от 28.12.2013 №398-ФЗ." 


Как Ревизор контролирует "оборот" информации в Интернете
 

Схема размещения и требования для Ревизора

Расходы на Ревизор, в т.ч. за:

  • порт доступа на скорости 10Мбит/с, 
  • трафик, который использует Ревизор (может достигать нескольких Гб),
  • потребляемое электричество


предлагается оплатить Оператору. Вместе с тем, это не вытекает из законов РФ, а п. 9 Приказа 107 нарушает права предпринимателей и может быть оспорен в ВС РФ.
 

Структура функционирования системы "Ревизор"

  1. "Ревизор", установленный на сети Оператора, следит за ограничением доступа к списку Реестра.
  2. С помощью "Ревизора", установленного на планшете Инспектора РКН, происходит подключение к Wi-Fi. Есть судебная практика.
  • Если Ревизор находит запрещенный ресурс, Агент делает скриншот сайта, отправляет его в ЕИС Роскомнадзора (Файл 112.2 Кб). 
  • Пока ревизоры не имели сертификатов, существовал Временный порядок проведения мониторинга соблюдения операторами связи требований по ограничению доступа к сайтам в сети интернет, и было исключено автоматизированное направление результатов контроля в ЕИС Роскомнадзора. Работник ФГУП "РЧЦ ЦФО", ответственный за проведение мониторинга, в обязательном порядке осуществлял проверку в ручном режиме сформированных Акта и Протокола мониторинга, а также приложения к Протоколу мониторинга из архива файлов, содержащего скриншоты информационных ресурсов в сети "Интернет", доступ к которым не был ограничен оператором связи. По результатам проверки работник ставил личную подпись под Актом мониторинга и направлял материалы проверки в управление Роскомнадзора на бумажном носителе.
  • Скриншот прилагается к Протоколу проверки, являясь доказательством вины в суде. Есть судебная практика.
  • После ввода в эксплуатацию ЕИС, будет автоматизированное направление результатов контроля в ЕИС Роскомнадзора.

Порядок установки (пример ЦФО)

Ответственные – филиалы РЧЦ ЦФО (далее – "Филиал"). Предполагаемое количество агентов в ЦФО -  952, в т.ч. для Москвы и области – около 800. Планируемые способы получения Агентов:

  • Доставка непосредственно операторам - исключительный случай.
  • Передача по адресам Филиала/РКН по ЦФО в Москве:
    • ул. Старокрымская, д. 13;
    • ул. Достоевского, д. 1/21;
    • Старокаширское шос. , д. 2, корп. 10.
  • При выдаче – расписка о получении.
  • Проект Договора безвозмездного пользования высылается на E-Mail Оператора.

Рекомендации

Железок" закупили не на всех интернет-провайдеров, поэтому:

  • Не ставьте программный Ревизор – требуйте аппаратную часть. Это подтверждено Роскомнадзором, вышестоящим над территориальными управлениями и предприятиями РЧЦ.
  • Передача Ревизора документируется актом приемки-передачи, про договор в приказе 103 упоминания нет!
  • Предлагайте изменения в договор (протоколом разногласий).

 

Практика

Вместе с тем, некоторые особо рьяные филиалы РЧЦ в ответ на предложение Оператора подписать договор в иной редакции, жалуются в УФСБ, а последние выдают представления о нарушении безопасности страны. 

С другой стороны, имел место и такой сучай: в ответ на представление, Оператор ответил ФСБ, что безопасность нарушает ГРЧЦ, который требует подписания не установленного законодательством договора. В итоге, позвонили из ГРЧЦ и согласились подписать договор на условиях Оператора.

 

На форуме запущен опрос об использовании операторами "Ревизора". Можно принять в нём участие и ознакомиться с результатами.

Дополнительная информация

Из центрального аппарата РКН дано указание в территориальные органы о начале с 01.12.2016 административной практики наказания Операторов, не установивших Ревизор. Есть вероятность, что данное нарушение будет инкриминировано как нарушение условий действия лицензии по п.3 ст.14.1. КОАП РФ (штраф 30-40 тыс.руб.).

Надзор будет указывать, что в условиях действия лицензии на телематику написано о необходимости соблюдениия Правил оказания услуг связи. А в п. 26.а Правил оказания телематических услуг связи указано:

"26. Оператор связи обязан:
а) оказывать абоненту и (или) пользователю телематические услуги связи в соответствии с законодательными и иными нормативными правовыми актами Российской Федерации".

П.5 ст.46 является законодательным актом. Таким образом, нарушая норму п.5 ст.46 ФЗ О связи, Оператор, по мнению РКН, будет нарушать условия действия лицензии. Вместе с тем, такое расширительное толкование может быть оспорено в Верховном суде на основании п.4 ст. 8 ФЗ "О лицензировании отдельных видов деятельности (к лицензионным требованиям не могут быть отнесены требования о соблюдении законодательства Российской Федерации в соответствующей сфере деятельности в целом).

Бланк письма

Добавлено 05.12.2016

Нам прислали протокол о неблокировке со скриншотами. Блокировка производится по связке "IP + домен", строго согласно данным реестра, то есть на обработку перенаправляется трафик только на IP-адреса из реестра. Естественно, они не всегда соответствуют актуальным IP-адресам, но Роскомнадзору, похоже, все равно.

И что, собственно, нужно было делать? Резолвить адреса самостоятельно, игнорируя реестр? Не поможет ведь, не говоря уже о том, что следить за всем этим будет просто некому и некогда. Похоже, проще было весь трафик от "Ревизора" перенаправлять на блокировку.

В отчетах от "Ревизора" значились IP-адреса, отсутствующие в реестре. То есть, "Ревизор" при своих проверках даже не проверяет соответствие с данными из реестра. В протоколе IP-адресов нет вообще - только URL-ы и снимки, причем на некоторых имеется информация о том, что такого сайта не существует. К тому же, насколько помнится, в официальных рекомендациях предлагалась как раз такая схема блокировки с обработкой только необходимого трафика. И это при том, что вышестоящий провайдер тоже производит блокировку.

В итоге, проблема разрешилась. После наглядного объяснения ситуации с IP-адресами от РКН  ответ был продолжать блокировать, как и раньше.

Галушко Дмитрий, генеральный директор ООО "ОрдерКом", кандидат юридических наук.  

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/articles/article/30436/tehnicheskie-sredstva-kontrolya-za-operatorom-obnovleno-.html

Комментарии:(76) комментировать

7 ноября 2016 - 13:21
Robot_NagNews:
#1

Материал:
Немного о технических средствах контроля за соблюдением оператором требований
ст.15.1-15.4 ФЗ N149-ФЗ от 27.07.06 - системе "Ревизор".

Полный текст


7 ноября 2016 - 13:21
danswin:
#2

И программа и Оборудование не отвечает требованием Закона о предоставление информации и защиты персанальных данных. Следовательно информацию которую проганяют через Ревизор я лично не знаю и не могу быть уверен что она именно эта проганяется. Сертификат который получен Да хоть что то хорошо. Но Нет сертификата пройденного через ФСБ, то есть я не уверен что кто либо может воспользоваться танным продуктом для своих целях путь и даже Роскомнадзор или Агент. ФСБ должно выдать им разрешения на экспутацию программного и оборудования для установки таких средств операторам связи. Следовательно Где такой сертификат от ФСБ? Следовательно нарушен закон об защиты данных и персональных данных и нарушения контроля программного обеспечения и оборудования которое устанавливают операторам связи.
Мы сами ждем тестировки от оборудования "Ревизор" далее будем по результатам писать 3-4 письма в: роскомнадзор, МИФИ-софт, Агенту, ФСБ. Об легальности программного продукта и использорвание в таком виде на проведение обработки какой то информации.


7 ноября 2016 - 13:40
Sergey Gilfanov:
#3

Просмотр сообщенияdanswin (07 ноября 2016 - 12:21) писал:

И программа и Оборудование не отвечает требованием Закона о предоставление информации и защиты персанальных данных.


Я, конечно, понимаю желание стравить две конторы друг с другом, но при чем тут персональные данные? Данная железка вообще абонентами не интересуется и может работать даже когда у оператора никаких клиентов нет.

Вот то, что из этих железок хороший ботнет получится - это да. Кому-то обязательно захочется троянов на них посадить. Тем более, что известно, куда именно эти железки ходят и какой именно софт на них стоит (т.е. в чем искать дырки). Да и к каналу удаленного управления, поди, придраться можно.
Ну и еще разные развлечения саботажного вида. Скажем, что призойдет, если этим железкам в DNS ответах по поводу запрашиваемых адресов начнет что-то левое прилетать. (По воле вероятного противника или разных иных хакеров)


7 ноября 2016 - 14:09
saaremaa:
#4

Просмотр сообщенияSergey Gilfanov (07 ноября 2016 - 12:40) писал:

Скажем, что призойдет, если этим железкам в DNS ответах по поводу запрашиваемых адресов начнет что-то левое прилетать.


"накажут" оператора за не блокировку. Делов-то. ИМХО кроме как пополняемость бюджета за счет оператора эта бабалайка полезных функций не выполняет.


7 ноября 2016 - 15:42
jffulcrum:
#5

Не того боитесь. http://forum.nag.ru/...howtopic=108651 - пункт 4.1.2.2 техзадания. Тут как и с черными списками - сначала драть будут за одно, а в итоге драть будут за все подряд. Не было связи (аплинк упал) - на тебе, не было заявленной скорости (переборщил с овербукингом) - на тебе, не открывался kremlin.ru - на тебе, пинг до серверов госуслуг хреновый - получи штраф, собака! Особо эстетичным будет замер показателей BER или IPG в сети, ну, как там оператор РД к сетям ПД выполняет...


7 ноября 2016 - 16:54
danswin:
#6

Вообщем с ЕКБ установшика Агента пришел ответ. в нашей сети 2 сайта прошли. Но как так если у меня стоит редуктор блокирует проверяно с ПК лично. ПОтом после погашение сервера ректора на этот же сайт выдает сообщения вышестоящего мол запрет. От сюда и вопрос как так мог пропустить запрос если у мен физически 2 защиты.
В ответ получен следующего содержание: У вас какой DNS? я такой то. а унас вот такой и система мониторит. Я им говорю так в мире очень много днс и что я должен всех гасить? Да вы должны принемать меры. А это нереально. Следовательно система не работаспособна так как любой человек может изменить ДНС и смотреть закрытые сайты и ИМХО штраф.
Нами будет направлен запрос в Роскомнадзор + Мифи-софт + Агенту с возможностью запроса в ФСБ на предмет разберательства пусть уже сами принемают решение.
По мне так это просто не кчемная ерунда. Но если требует закон установки оборудования я не откажусь. Но требую чтобы программа работала безукаризнено и качество, а так считаю программу не доработаной и сырой.


7 ноября 2016 - 17:34
Negator:
#7

Мы пришли к выводу что штрафы неизбежны при любой системе.
Поэтому правильная позиция - договариваться с надзором.


7 ноября 2016 - 17:41
Галушко Дмитрий:
#8

Просмотр сообщенияNegator (07 ноября 2016 - 16:34) писал:

Мы пришли к выводу что штрафы неизбежны при любой системе.
Поэтому правильная позиция - договариваться с надзором.


Полагаете, что всегда удастся договориться?

ПС Обновил инфо.


7 ноября 2016 - 18:36
visir:
#9

Просмотр сообщенияdanswin (07 ноября 2016 - 15:54) писал:

В ответ получен следующего содержание: У вас какой DNS? я такой то. а унас вот такой и система мониторит. Я им говорю так в мире очень много днс и что я должен всех гасить? Да вы должны принемать меры.


А Вы заверните все ДНС-запросы от этой балалайки на свои сервера - типа приняли меры.


7 ноября 2016 - 21:02
Sergey Gilfanov:
#10

Просмотр сообщенияsaaremaa (07 ноября 2016 - 13:09) писал:

Просмотр сообщенияSergey Gilfanov (07 ноября 2016 - 12:40) писал:

Скажем, что призойдет, если этим железкам в DNS ответах по поводу запрашиваемых адресов начнет что-то левое прилетать.


"накажут" оператора за не блокировку. Делов-то. ИМХО кроме как пополняемость бюджета за счет оператора эта бабалайка полезных функций не выполняет.


Я не про это. А про то, что если отдавать через DNS специально подобранные адреса - то эти железки и будут долбиться туда, куда злодею надо, а не куда было задумано. DDoS однако.

Просмотр сообщенияvisir (07 ноября 2016 - 17:36) писал:

А Вы заверните все ДНС-запросы от этой балалайки на свои сервера - типа приняли меры.


А потом кто-нибудь этому серверу DNS cache poisoning устроит, чтобы эта 'балалайка' (далее смотри выше)


Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться