О новых требованиях к провайдерам хостинга

Я – Денис Лукаш, управляющий партнер юридической компании “Лукаш и Партнеры”, юрист в области информационного права.

С 1 декабря 2023 года вступают в силу новые требования к деятельности провайдеров хостинга, которые, по сути, реформируют рынок услуг хостинга. Решил публично поделиться мнением о новом регулировании с акцентом на те моменты, которые считаю важными с точки зрения права.

Что изменится?

Во-первых, определение провайдеров хостинга в п. 18 ст. 2 № 149-ФЗ:

До 01.12.2023

Провайдер хостинга — лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет».

После 01.12.2023

Провайдер хостинга — лицо, осуществляющее деятельность по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет».

На первый взгляд, новелла незначительная. Но она не позволит провайдерам уходить от ответственности, ссылаясь на отсутствие возмездного договора с клиентом.

Во-вторых, у провайдеров хостинга появится много новых обязанностей.

Какие обязанности появятся у провайдеров хостинга?

Уведомление о начале деятельности

Прежде всего, провайдеры хостинга обязаны уведомлять Роскомнадзор о начале своей деятельности (ч. 1 ст. 10.2-1 № 149-ФЗ).

В соответствии с проектом соответствующих Правил, уведомление нужно подать хотя бы за 15 рабочих дней до начала деятельности по предоставлению хостинга. Сделать это можно через личный кабинет на сайте Роскомнадзора.

Заполняя форму уведомления, провайдер хостинга указывает информацию о:

  • лице, предоставляющем сервера;
  • наличии уникального идентификатора совокупности средств связи и иных технических средств в Интернете включая ASN (при наличии);
  • IP-адресах (диапазоне IP-адресов);
  • местоположении серверов, включая адрес их расположения;
  • подключении к сети «Интернет» (при наличии);
  • точках обмена трафиком, к которым подключена инфраструктура провайдера (при наличии);
  • контактах ответственных лицах провайдера хостинга;
  • используемых средствах защиты информации;
  • используемых средствах связи;
  • лицензии на осуществление деятельности в области оказания услуг связи (при наличии).

Перечень предоставляемой информации обширный.

Проект Правил формирования и ведения реестра устанавливает всего два основания исключения провайдеров из реестра:

  • прекращение или приостановление деятельности по предоставлению вычислительной мощности в соответствии с российским законодательством;
  • неустранение выявленных нарушений, указанных в требовании Роскомнадзора.

NB! Деятельность провайдеров хостинга, не включенных в реестр, с 1 февраля 2024 года не допускается (ч. 11 ст. 10.2-1 № 149-ФЗ). При этом санкция за нарушение этого положения пока остается неочевидной.

Защита информации

В силу ч. 2 ст. 10.2-1 № 149-ФЗ провайдер хостинга обязан обеспечивать реализацию установленных ФСБ России требований о защите информации.

Перечень этих требований установлен проектом соответствующего приказа Минцифры России. Так, провайдер обязан:

  • назначать структурное подразделение или должностное лицо, ответственное за защиту информации;
  • взаимодействовать с ГосСОПКА (например, отключать информационные ресурсы в течение 12 часов с момента поступления информации об атаке на них);
  • собирать и хранить данные о взаимодействии пользователей услуг с пользователями внешних сетевых ресурсов в Интернете в течение 1 года с момента окончания осуществления действий.

Также Требования предусматривают отдельные меры по обнаружению и предотвращению вторжений, по повышению устойчивости к DDOS-атакам и пр.

Взаимодействие с ФСБ России

На основании ч. 3 ст. 10.2-1 № 149-ФЗ определяется порядок взаимодействия провайдеров хостинга и ФСБ России. Согласно проекту Правил, провайдеры должны:

  • хранить всю информацию о пользователях своих услуг в течение 3-х лет, информацию о взаимодействии пользователей с другими пользователями в Интернете в течение 1 года с момента окончания осуществления действий;
  • в течение 45 дней с момента начала хостинга подать заявление в территориальный орган ФСБ России заявление о начале взаимодействия с уполномоченными органами;
  • не допускать раскрытия организационных и технических приемов проведения оперативно-разыскных мероприятий (ОРМ);
  • принимать меры, исключающие возможность несанкционированного доступа посторонних лиц к техническим средствам, находящихся в ведении провайдера;
  • обеспечить конфиденциальность проводимых работ по внедрению технических средств;
  • принимать некоторые иные меры.

Основные сроки взаимодействия с ФСБ России выглядят так:

  • Обращение в территориальный орган ФСБ с заявлением о начале взаимодействия с уполномоченными органами — в течение 45 дней
  • Разработка совместно с ФСБ план СОРМ и его последующее согласование — в течение 3 месяцев
  • Внедрение СОРМ согласно плану — в течение 15 месяцев

Использование технических средств ОРМ

В силу ч. 3 ст. 10.2-1 № 149-ФЗ провайдеры обязаны:

  • обеспечивать необходимую вычислительную мощность для проведения ФСБ России оперативно-разыскных мероприятий (ОРМ);
  • принимать меры по недопущению раскрытия организационных и тактических приемов проведения данных мероприятий.

Что это значит? Провайдеры хостинга теперь обязаны использовать технические средства ОРМ, проект требований к которым сейчас утверждается.

Ограничение круга клиентов

Провайдеры хостинга могут осуществлять деятельность только для тех пользователей, которые прошли идентификацию и (или) аутентификацию определенными способами (ч. 5 ст. 10.2-1 № 149-ФЗ).

Проект соответствующих Правил предлагает 7 способов идентификации и аутентификации:

  • с использованием ЕСИА;
  • с использованием Единой биометрической системы;
  • с использованием усиленной квалифицированной ЭП;
  • посредством предъявления документов при личном обращении к провайдеру;
  • посредством перевода денежных средств на банковский счет провайдера (перевод должен быть осуществлен со счета в российском банке или банке государства-члена ЕАЭС);
  • с использованием иной информационной системы, которая соответствует требованиям о защите информации и принадлежит провайдеру или связанному с ним юридическому лицу;
  • с использованием иной информационной системы, которая соответствует требованиям о защите информации, владельцем которой является гражданин Российской Федерации, не имеющий гражданства другого государства, или российское юридическое лицо.

Некоторые другие обязанности

Теперь провайдеры хостинга наравне с операторами связи должны:

  • участвовать в учениях для приобретения навыков по обеспечению устойчивого, безопасного и целостного функционирования Интернета и сетей связи общего пользования на территории России (п. 3 ст. 56.1 № 126-ФЗ);
  • соблюдать требования к обеспечению устойчивого функционирования средств связи (пп. 1 п. 8 ст. 56.2 № 126-ФЗ);
  • для передачи сообщений электросвязи использовать точки обмена трафиком, сведения о которых содержатся в соответствующем реестре (пп. 2 п. 8 ст. 56.2 № 126-ФЗ);
  • использовать технические и программные средства, соответствующие установленным требованиям, и национальную систему доменных имен (пп. 3 п. 8 ст. 56.2 № 126-ФЗ).

Эти правила распространяются на провайдеров хостинга в силу ч. 4 ст. 10.2-1 № 149-ФЗ.

Стоит отметить, что подзаконные акты по этим вопросам, вероятно, еще будут корректироваться.

Что новые требования означают для провайдеров хостинга?

Увеличатся издержки провайдеров на техническое оснащение для соответствия новым требованиям закона.

Однако это не означает ухода с рынка небольших провайдеров хостинга. У них останется возможность договариваться с дата-центрами или вышестоящими провайдерами хостинга об использовании их инфраструктуры для выполнения своих обязанностей (например, использовать СОРМ).

Минцифры России, судя по сводке предложений по итогам рассмотрения проекта одного из приказов, ожидает именно роста рынка сопутствующих услуг для провайдеров хостинга.

При этом отсутствие явной ответственности за нарушение новых требований и методик целенаправленного выявления небольших провайдеров хостинга смягчит перестройку рынка.

Что стоит сделать провайдерам уже сейчас?

Определите, являетесь ли вы провайдером хостинга

Проанализируйте ключевые признаки провайдера хостинга, отличающие его от других участников ИТ-рынка. Они следуют из определения провайдера хостинга:

  • предоставление вычислительной мощности;
  • размещение информации;
  • наличие информационной системы;
  • постоянное подключение к сети “Интернет”.

Другими признаками провайдера хостинга могут быть:

  • ОКВЭД;
  • упоминание хостинговых услуг в пользовательском соглашении;
  • соответствующие отсылки в политике обработки персональных данных.

NB! Перечень второстепенных признаков не ограничен и зависит от ситуации.

Если у Вас есть сомнения, что ваш сервис соответствует новым критерием, то создается широкое поле для исследований и учета рисков. Помимо деятельности провайдеров хостинга есть смежные услуги, которые тоже нужно исследовать в совокупности. Сейчас это основной запрос ко мне на юридических консультациях по регулирования услуг хостинга.

Проведите аудит технических средств

Для небольших провайдеров новые требования потребуют серьезной подготовки, поэтому для оценки “масштаба катастрофы” советую заранее провести аудит и подготовить план реализации новых требованиям.

Сфокусировать внимание стоит на четырех направлениях:

  • Защите информации;
  • Взаимодействии по ОРМ;
  • Идентификации и аутентификации;
  • Централизованном управление ССОП.

Если провайдер хостинга – собственник или владелец технологической сети связи с номером ASN, ему нужно сопоставить требования к таким сетям связи с требованиями к хостингу.

Подготовьте технические средства к новым требованиям

Для этого провайдерам хостинга нужно:

  • Обратиться в НКЦКИ с запросом об установлении порядка взаимодействия по компьютерным инцидентам;
  • Обеспечить меры по обнаружению и предотвращению вторжений (к ним конкретных требований именно для провайдеров хостинга нет);
  • Организовать защиту от DDOS (возможно привлечь сторонних провайдеров и включить в договор ними условия про DDOS из соответствующих приказов).
  • Начать использовать DNS-серверы национальной системы доменных имен и NTP-серверы, расположенные на территории России (в том числе косвенно, через иных провайдеров).
  • Разделить использование IP-адресов на категории по способу идентификации пользователей;
  • Организовать хранение сетевого (пользовательского) трафика в течение 1-го года, данных о клиентах – до 3-х лет.

Внесите изменения в локальные акты компании

Поскольку теперь необходимо назначить ответственных должностных лиц или структурное подразделение рекомендую заранее:

  • назначить ответственных лиц за информационную безопасность, за техническую поддержку и организационно-техническое взаимодействие в рамках централизованного управления сетью связи общего пользования;
  • издать соответствующий приказ и внести изменения в действующие ЛНА.

Также стоит разработать регламент реагирования на запросы НКЦКИ, Минцифры России, ФСБ России и Роскомнадзора (это следствие обязанности реагировать на запросы).

Подготовьте систему идентификации и аутентификации клиентов

С учетом новых требований нужно будет избрать один из предложенных законом способов идентификации и подготовить соответствующую техническую архитектуру.

Заранее подготовьте уведомление

В законе есть противоречие: в случае невыполнения требований Роскомнадзора провайдер хостинга должен быть исключен из реестра. Однако неочевидно, как будет “работать” это требование, если провайдер и не включался в реестр.

Подать по готовности уведомление можно будет через личный кабинет на сайте Роскомнадзора по ссылке (пока такой функционал недоступен).

И – последнее

Продолжайте решать вопрос взаимодействия по ОРМ.

В дополнение

Перечисленные выше шаги обозначены верхнеуровнево и не могут дать ответы на все вопросы. Например, по способам идентификации и аутентификации клиентов провайдера хостинга можно написать отдельную статью.

У меня собраны позиции Минцифры России и других официальных представителей органов власти по некоторым проблемным вопросам нового регулирования провайдеров хостинга, которые я пока не могу раскрыть публично. Надеюсь в будущем поделюсь ими в своем телеграм-канале Privacy Expert.

P. S. 149-ФЗ — Федеральный закон от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации». В статье упоминается 149-ФЗ с учетом изменений, вступающих в силу с 01.12.2023.

22
9 комментариев

Возник вопрос.
Есть ASN, диапазон IP-адресов, сервера.
Размещаем на серверах ИС, постоянно подключенные к сети "Интернет".
Но это наши собственные ИС. Мы не оказываем УСЛУГ хостинга, ни платно, ни бесплатно никаким внешним клиентам.
Раньше мы явно не подпадали под определение. Теперь есть сомнения.
Точек обмена трафиком нет. Услуги связи не оказываем.
По Вашему, мы теперь попали под раздачу или есть реальный шанс не исполнять очень тяжёлые для нас требования?
Таких, как мы, не так уж и мало.

Направлял письмо в Минцифры России в сентябре с аналогичным вопросом, последний ушел от явного ответа в отношении собственных серверов (хотя ответил на другие вопросы). Моя позиция - новые требования не распространяются если нет критерия "предоставления" вычислительной мощности (см. определение провайдера хостинга).

Замечу, Вы упомянули "внешним" клиентам. Если есть пользователи внутри группы компаний, часто это отдельные юридические лица, здесь как раз вычислительная мощность может именно предоставляться.

Спасибо!
У нас юрлицо одно. Но ИС с постоянным подключением к интернет, размещаемых на площадке, несколько. ОКВЭДы 63 есть, в уставе (шаблонном) есть услуги связи, включая услуги в области информационно-телекоммуникационных систем, телематических служб, услуг передачи данных, услуг по обеспечению доступа в Интернет, разработке и поддержке сайтов, предоставление машинного времени, иных информационных услуг...

Подозреваю, что при проверке не отбиться.

Какой сейчас статус всего этого? Это по-прежнему проекты нормативных актов?
Можно, например, зарегистрироваться в реестре хостеров или его реально пока нет?

С 01.12.23 открылась возможность подачи уведомления в электронном виде https://service.rkn.gov.ru/monitoring/rph.

Денис, а идентификации клиентов делает хостинг провайдера обработчиком персональных данных?

Провайдер хостинга в отношении одних потоков персональных данных является оператором, в отношении других - лицом, осуществляющим обработку персональных данных по поручению оператора (для краткости - обработчиком). Процесс идентификации здесь принципиально ничего не меняет. В отношении клиентов - физлиц провайдер хостинга является оператором, а также являлся ранее, даже если не собирал точные данные о клиенте - физлице (см. понятие "персональные данные" с учетом косвенного отнесения).
Провайдер хостинга являлся и является обработчиком в отношении персональных данных пользователей клиентов, т.е. тех персональных данных, которые обрабатывает клиент провайдера хостинга как оператор в размещаемой информационной системе на вычислительной мощности провайдера хостинга.

В дополнение для полноты. Каждый провайдер хостинга должен также уведомить Роскомнадзор об обработке персональных данных по ст. 22 152-ФЗ.