31 июля 2023 года был официально опубликован Федеральный закон «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и Федеральный закон «О связи» № 406-ФЗ. Теперь по закону хостинг-провайдеры обязаны соблюдать новые требования по информационной безопасности, хранить данные в России и оказывать услуги только лицам, прошедшим идентификацию в порядке, который установлен Постановлением Правительства РФ.
В статье мы расскажем, зачем были нужны изменения и как они повлияли на работу российских провайдеров. За подробными разъяснениями и консультацией вы можете обратиться к нам в юридическую компанию i-legal.
ЗАЧЕМ НУЖНЫ ИЗМЕНЕНИЯ
Введенные правила призваны защитить компании, их клиентов и пользователей от кибератак, а также обеспечить безопасность персональных данных.
Основными задачами изменений авторы законопроекта о регулировании хостинга отмечают следующие:
1) снизить риск кибератак. Некоторые российские провайдеры перепродают услуги зарубежных хостингов. В этом есть некоторая опасность, ведь персональные данные россиян хранятся за рубежом, и велик риск того, что информацию могут перехватить иностранные киберпреступники;
2) контроль рынка. Государство хочет знать обо всех участниках рынка и допускать к работе только тех, кто беспокоится о персональных данных клиентов. Антон Горелкин, один из авторов поправок, сообщил, что «их главная задача — упорядочить рынок хостинга, собрать информацию о его участниках, определить условия взаимодействия с органами власти».
2) контроль рынка. Государство хочет знать обо всех участниках рынка и допускать к работе только тех, кто беспокоится о персональных данных клиентов. Антон Горелкин, один из авторов поправок, сообщил, что «их главная задача — упорядочить рынок хостинга, собрать информацию о его участниках, определить условия взаимодействия с органами власти».
КТО ТАКИЕ ХОСТИНГ-ПРОВАЙДЕРЫ, ИЛИ КАК ОПРЕДЕЛИТЬ, ЯВЛЯЕТЕСЬ ЛИ ВЫ ПРОВАЙДЕРОМ ХОСТИНГА?
В соответствии с пунктом 18 статьи 2 Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" под провайдером хостинга понимается лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет".
В соответствии с пунктом 18 статьи 2 Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" под провайдером хостинга понимается лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет".
Иначе говоря, хостинг — это услуга по размещению сайта на сервере. Хотя сайт существует только в цифровом мире, для работы ему необходимо физическое пространство — место, где будут храниться все те файлы, из которых состоит ресурс, а физическим пространством, в котором «живет» сайт, становится сервер. Сервер — это мощный компьютер, предназначенный для хранения данных. Он постоянно подключен к сети, поэтому вся информация, размещенная на сервере, всегда доступна для посетителей. То есть сервер помимо хранения обеспечивает беспрерывный доступ интернет-пользователей ко всем данным ресурса.
Итак, выделим ключевые признаки провайдера хостинга, отличающие его от других участников IT-рынка:
1) предоставление вычислительной мощности;
2) размещение информации;
3) наличие информационной системы;
4) постоянное подключение к сети “Интернет”.
2) размещение информации;
3) наличие информационной системы;
4) постоянное подключение к сети “Интернет”.
Второстепенными признаками провайдера хостинга могут быть:
1) ОКВЭД (63.11 - Деятельность по обработке данных, предоставление услуг по размещению информации и связанная с этим деятельность);
2) упоминание хостинговых услуг в пользовательском соглашении компании;
3) соответствующие отсылки в политике обработки персональных данных.
2) упоминание хостинговых услуг в пользовательском соглашении компании;
3) соответствующие отсылки в политике обработки персональных данных.
Перечень второстепенных признаков не ограничен и зависит от ситуации.
Исходя из этих пунктов, легко определить, являетесь ли вы провайдером хостинга и касаются ли вас изменения в регулировании деятельности хостинг-провайдеров. Мы в i-legal предлагаем использовать простую таблицу для этих целей.
Обратите внимание: закон не содержит разграничения между хостингом на своей вычислительной мощности и арендуемой, поэтому распространяется в равной степени на всех, кто подпадает под определение провайдер хостинга. Компания может арендовать стойки или серверные шкафы у другой организации и затем предоставлять их своим клиентам в субаренду: это называется co-location-услуги. Иными словами, хостинг-провайдер арендует физическое пространство и инфраструктуру у дата-центра или другого поставщика услуг и предоставляет его своим клиентам.
КАКИЕ ОБЯЗАННОСТИ ПОЯВЯТСЯ У ПРОВАЙДЕРОВ ХОСТИНГА В СООТВЕТСТВИИ СО СТ. 10.2-1 № 149-ФЗ
1.Обязанность подавать уведомление о начале деятельности в Роскомнадзор.
С 1 декабря 2023 года оказывать услуги хостинга имеют право компании, включённые в соответствующий реестр Роскомнадзора. Провайдерами хостинга могут быть только российские юридические лица: при этом не менее чем 50% доли (акции) в капитале должны принадлежать гражданам РФ (без иного гражданства) / государственным и муниципальным органам РФ / юридическим лицам, у которых меньше 50% иностранного участия.
С 1 декабря 2023 года оказывать услуги хостинга имеют право компании, включённые в соответствующий реестр Роскомнадзора. Провайдерами хостинга могут быть только российские юридические лица: при этом не менее чем 50% доли (акции) в капитале должны принадлежать гражданам РФ (без иного гражданства) / государственным и муниципальным органам РФ / юридическим лицам, у которых меньше 50% иностранного участия.
2.Размещать серверы, на которых хранятся и обрабатываются данные, в России (нельзя арендовать мощности зарубежных провайдеров).
3.Ограничить круг клиентов.
Провайдеры вправе оказывать услуги только лицам, которые прошли идентификацию и (или) аутентификацию определенными способами (ч. 5 ст. 10.2-1 № 149-ФЗ).
Идентифицировать клиентов можно любым из способов, которые установлены соответствующим постановлением Правительства Российской Федерации, а именно с помощью:Провайдеры вправе оказывать услуги только лицам, которые прошли идентификацию и (или) аутентификацию определенными способами (ч. 5 ст. 10.2-1 № 149-ФЗ).
- ЕСИА;
- квалифицированной ЭП;
- платежной карты (кроме предоплаченной), которую выдал субъект национальной платежной системы;
- номера мобильного телефона;
- системы быстрых платежей;
- с использованием иной информационной системы, которая соответствует требованиям о защите информации и принадлежит провайдеру или связанному с ним юридическому лицу;
- с использованием иной информационной системы, соответствующей требованиям о защите информации, владельцем которой является гражданин Российской Федерации, не имеющий гражданства другого государства, или российское юридическое лицо.
4.Обеспечить реализацию установленных ФСБ России требований о защите информации.
В соответствии с постановлением Правительства Российской Федерации провайдер обязан:
- назначать структурное подразделение или должностное лицо, ответственное за защиту информации;
- взаимодействовать с ГосСОПКА;
- собирать и хранить данные о взаимодействии пользователей услуг с пользователями внешних сетевых ресурсов в Интернете в течение 1 года с момента окончания осуществления действий;
- соблюдать иные отдельные меры по обнаружению и предотвращению вторжений, по повышению устойчивости к DDOS-атакам и пр.
5.Обеспечить взаимодействие с ФСБ России.
В соответствии с постановлением Правительства Российской Федерации провайдер обязан:
В соответствии с постановлением Правительства Российской Федерации провайдер обязан:
- хранить всю информацию о пользователях своих услуг в течение 3-х лет, информацию о взаимодействии пользователей с другими пользователями в Интернете в течение 1 года с момента окончания осуществления действий;
- в течение 45 дней с момента начала хостинга подать заявление в территориальный орган ФСБ России заявление о начале взаимодействия с уполномоченными органами;
- не допускать раскрытия организационных и технических приемов проведения оперативно-розыскных мероприятий (ОРМ);
- принимать меры, исключающие возможность несанкционированного доступа посторонних лиц к техническим средствам, находящихся в ведении провайдера;
- обеспечить конфиденциальность проводимых работ по внедрению технических средств;
- принимать иные меры для сохранности данных пользователей в соответствии с вышеуказанным постановлением Правительства.
6.Использовать технические средства ОРМ.
Провайдеры обязаны обеспечивать необходимую вычислительную мощность для проведения ФСБ России ОРМ и принимать меры по недопущению раскрытия организационных и тактических приемов в процессе таких мероприятий. Требования к техническим средствам ОРМ содержатся в соответствующем Приказе Минцифры России от 01.11.2023 N 935.
7.Использовать технические и программные средства, соответствующие установленным требованиям, и национальную систему доменных имен (пп. 3 п. 8 ст. 56.2 № 126-ФЗ).
8.Участвовать в учениях для приобретения навыков по обеспечению устойчивого, безопасного и целостного функционирования Интернета и сетей связи общего пользования на территории России (п. 3 ст. 56.1 № 126-ФЗ).
9.Соблюдать требования к обеспечению устойчивого функционирования средств связи (пп. 1 п. 8 ст. 56.2 № 126-ФЗ).
10.Для передачи сообщений электросвязи использовать точки обмена трафиком, сведения о которых содержатся в соответствующем реестре (пп. 2 п. 8 ст. 56.2 № 126-ФЗ).
1. Определите, являетесь ли вы провайдером хостинга.
2. Если ваша организация подходит под описание основных признаков провайдера хостинга, которое мы даём в статье выше, рекомендуем провести аудит технических средств и подготовить план по их приведению в соответствие с новыми требованиями:
- о защите информации;
- по взаимодействию с ФСБ РФ по вопросам ОРМ;
- по идентификации и аутентификации клиентов;
- о централизованном управлении сетью связи общего пользования (ССОП).
3. Внимательно ознакомьтесь со всеми документами и ссылками, которыми мы делимся в этой статье. Это поможет провести эффективный аудит и подготовить организацию к введенным законодателем требованиям.
4. Подготовьте ваши технические средства к установленным требованиям:
- обратитесь в Национальный координационный центр по компьютерным инцидентам (НКЦКИ) с запросом об установлении порядка взаимодействия по компьютерным инцидентам;
- разделите использование IP-адресов на категории по способу идентификации пользователей;
- организуйте хранение сетевого (пользовательского) трафика в течение 1-го года, данных о клиентах – до 3-х лет;
- начните использовать DNS-серверы национальной системы доменных имен и NTP-серверы, расположенные на территории России;
- организуйте защиту от DDOS.
Обратите внимание: в случае, если вы являетесь «небольшим» хостинг провайдером, оказывающим своим клиентам co-location-услуги, рекомендуем договориться с дата-центрами или вышестоящими провайдерами хостинга об использовании их инфраструктуры для выполнения своих обязанностей (например, об использовании их сетей связи общего пользования (ССОП).
5. Рекомендуем назначить ответственных лиц за информационную безопасность, за техническую поддержку и организационно-техническое взаимодействие в рамках централизованного управления сетью связи общего пользования (для этого нужно издать соответствующий приказ и/или внести изменения в действующие локально-нормативные акты (ЛНА).
6. Рекомендуем создать регламент реагирования на запросы НКЦКИ, Минцифры России, ФСБ России и Роскомнадзора (для этого нужно издать соответствующий приказ и/или внести изменения в действующие ЛНА).
7. Если все вышеперечисленные пункты выполнены, то нужно подать уведомление через личный кабинет организации на сайте Роскомнадзора для того, чтобы попасть в реестр хостинг-провайдеров (см. Постановление Правительства РФ от 28 ноября 2023 г. № 2008 “Об утверждении Правил формирования и ведения реестра провайдеров хостинга” и Постановление Правительства РФ от 28 ноября 2023 г. № 2009 “Об утверждении Правил направления провайдером хостинга уведомления о начале осуществления деятельности по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к информационно-телекоммуникационной сети "Интернет").
ДЕЙСТВИЯ КОМПАНИИ ПОСЛЕ ВНЕСЕНИЯ В РЕЕСТР ХОСТИНГ-ПРОВАЙДЕРОВ
После включения в реестр провайдеру необходимо соблюдать все требования, перечисленные в нашей статье, в том числе выполнять условия о вычислительной мощности технических средств, осуществлять взаимодействие с органами, которые ведут оперативно-розыскные мероприятия (МВД, ФСБ, таможня и т.д.), и принимать меры, чтобы эти мероприятия не были раскрыты третьим лицам.
В случае несоблюдения вышеперечисленных обязательств Роскомнадзор направит требование об устранении нарушений. Если в течение 10 рабочих дней оно не будет выполнено, провайдера исключат из реестра.
С 1 февраля 2024 года компании, которой нет в реестре, оказывать услуги хостинга запрещено.
ЧТО ОЗНАЧАЮТ ПРИНЯТЫЕ ТРЕБОВАНИЯ ДЛЯ ПРОВАЙДЕРА ХОСТИНГА, И КАКУЮ ОТВЕТСТВЕННОСТЬ ОН НЕСЕТ ЗА ИХ НЕСОБЛЮДЕНИЕ
Очевидно, что издержки провайдеров на техническое оснащение для приведения в соответствие с требованиями закона значительно увеличатся.
Деятельность провайдеров, которые не войдут в реестр, могут признать незаконной. Однако пока прямой ответственности за это до сих пор не предусмотрено.
Отсутствие явной ответственности за нарушение новых установленных требований должно смягчить перестройку рынка. Но нужно иметь ввиду, что в будущем в законодательство могут быть внесены соответствующие изменения, которые будут направлены на пресечение деятельности провайдеров «вне закона» и наложение на них штрафов.
Пока следует иметь в виду следующее:
1) отсутствие в реестре хостинг-провайдера может привести к приостановлению или запрещению оказания услуг хостинга;
2) привлечь к ответственности хостинг-провайдера, который проигнорирует новые требования законодательства, могут по статье 13.31 КоАП (неисполнение организатором распространения информации в сети "Интернет" обязанности уведомить уполномоченный федеральный орган исполнительной власти о начале осуществления деятельности по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин). Штраф в размере от 30 000 до 50 000 рублей;
3) в соответствии со ст. 19.7 КоАП РФ «Непредставление сведений (информации)» установлена ответственность за непредставление или несвоевременное представление в государственный орган сведений, подача которых предусмотрена законом. Штраф для юридических лиц - от 3 000 до 5 000 рублей.
2) привлечь к ответственности хостинг-провайдера, который проигнорирует новые требования законодательства, могут по статье 13.31 КоАП (неисполнение организатором распространения информации в сети "Интернет" обязанности уведомить уполномоченный федеральный орган исполнительной власти о начале осуществления деятельности по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин). Штраф в размере от 30 000 до 50 000 рублей;
3) в соответствии со ст. 19.7 КоАП РФ «Непредставление сведений (информации)» установлена ответственность за непредставление или несвоевременное представление в государственный орган сведений, подача которых предусмотрена законом. Штраф для юридических лиц - от 3 000 до 5 000 рублей.
ВЫВОДЫ И ПОСЛЕДСТВИЯ
1.С 1 декабря 2023 года провайдеры хостинга обязаны уведомлять Роскомнадзор о начале своей деятельности, после чего их данные будут внесены в реестр провайдеров хостинга.
2.Невнесение в реестр хостинг-провайдеров может привести к приостановлению или запрещению оказания услуг хостинга.
3.Прежде чем подать соответствующее уведомление в Роскомнадзор, компании необходимо провести аудит её технических средств и подготовить план по их приведению в соответствие с новыми требованиями.
4.После постановки в реестр Роскомнадзора у провайдеров хостинга появится много новых обязанностей, при несоблюдении которых Роскомнадзор направит требование об устранении нарушений. На его выполнение даётся срок – 10 рабочих дней, в противном случае провайдера исключат из реестра, и его деятельность станет незаконной.
5.Явной ответственности за нарушение приведенных в настоящей статье требований пока нет. Но не стоит забывать, что в будущем в законодательство могут быть внесены соответствующие изменения, которые будут направлены на пресечение деятельности провайдеров «вне реестра» и наложение на них штрафов.
В нашей статье описаны основные принципы работы провайдеров хостинга в соответствии с принятым законом, возможные риски и способы их минимизировать. Мы продолжим наблюдать, как работают требования на примере реальных кейсов, и будем поделиться с вами полученным опытом.