О новых требованиях к провайдерам хостинга

Я – Денис Лукаш, управляющий партнер юридической компании “Лукаш и Партнеры”, юрист в области информационного права.

С 1 декабря 2023 года вступают в силу новые требования к деятельности провайдеров хостинга, которые, по сути, реформируют рынок услуг хостинга. Решил публично поделиться мнением о новом регулировании с акцентом на те моменты, которые считаю важными с точки зрения права.

Во-первых, определение провайдеров хостинга в п. 18 ст. 2 № 149-ФЗ:

До 01.12.2023

Провайдер хостинга — лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет».

После 01.12.2023

Провайдер хостинга — лицо, осуществляющее деятельность по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет».

На первый взгляд, новелла незначительная. Но она не позволит провайдерам уходить от ответственности, ссылаясь на отсутствие возмездного договора с клиентом.

Во-вторых, у провайдеров хостинга появится много новых обязанностей.

Прежде всего, провайдеры хостинга обязаны уведомлять Роскомнадзор о начале своей деятельности (ч. 1 ст. 10.2-1 № 149-ФЗ).

В соответствии с проектом соответствующих Правил, уведомление нужно подать хотя бы за 15 рабочих дней до начала деятельности по предоставлению хостинга. Сделать это можно через личный кабинет на сайте Роскомнадзора.

Заполняя форму уведомления, провайдер хостинга указывает информацию о:

• лице, предоставляющем сервера;
• наличии уникального идентификатора совокупности средств связи и иных технических средств в Интернете включая ASN (при наличии);
• IP-адресах (диапазоне IP-адресов);
• местоположении серверов, включая адрес их расположения;
• подключении к сети «Интернет» (при наличии);
• точках обмена трафиком, к которым подключена инфраструктура провайдера (при наличии);
• контактах ответственных лицах провайдера хостинга;
• используемых средствах защиты информации;
• используемых средствах связи;
• лицензии на осуществление деятельности в области оказания услуг связи (при наличии).

Перечень предоставляемой информации обширный.

Проект Правил формирования и ведения реестра устанавливает всего два основания исключения провайдеров из реестра:

• прекращение или приостановление деятельности по предоставлению вычислительной мощности в соответствии с российским законодательством;
• неустранение выявленных нарушений, указанных в требовании Роскомнадзора.

NB! Деятельность провайдеров хостинга, не включенных в реестр, с 1 февраля 2024 года не допускается (ч. 11 ст. 10.2-1 № 149-ФЗ). При этом санкция за нарушение этого положения пока остается неочевидной.

В силу ч. 2 ст. 10.2-1 № 149-ФЗ провайдер хостинга обязан обеспечивать реализацию установленных ФСБ России требований о защите информации.

Перечень этих требований установлен проектом соответствующего приказа Минцифры России. Так, провайдер обязан:

• назначать структурное подразделение или должностное лицо, ответственное за защиту информации;
• взаимодействовать с ГосСОПКА (например, отключать информационные ресурсы в течение 12 часов с момента поступления информации об атаке на них);
• собирать и хранить данные о взаимодействии пользователей услуг с пользователями внешних сетевых ресурсов в Интернете в течение 1 года с момента окончания осуществления действий.

Также Требования предусматривают отдельные меры по обнаружению и предотвращению вторжений, по повышению устойчивости к DDOS-атакам и пр.

На основании ч. 3 ст. 10.2-1 № 149-ФЗ определяется порядок взаимодействия провайдеров хостинга и ФСБ России. Согласно проекту Правил, провайдеры должны:

• хранить всю информацию о пользователях своих услуг в течение 3-х лет, информацию о взаимодействии пользователей с другими пользователями в Интернете в течение 1 года с момента окончания осуществления действий;
• в течение 45 дней с момента начала хостинга подать заявление в территориальный орган ФСБ России заявление о начале взаимодействия с уполномоченными органами;
• не допускать раскрытия организационных и технических приемов проведения оперативно-разыскных мероприятий (ОРМ);
• принимать меры, исключающие возможность несанкционированного доступа посторонних лиц к техническим средствам, находящихся в ведении провайдера;
• обеспечить конфиденциальность проводимых работ по внедрению технических средств;
• принимать некоторые иные меры.

Основные сроки взаимодействия с ФСБ России выглядят так:

• Обращение в территориальный орган ФСБ с заявлением о начале взаимодействия с уполномоченными органами — в течение 45 дней

• Разработка совместно с ФСБ план СОРМ и его последующее согласование — в течение 3 месяцев

• Внедрение СОРМ согласно плану — в течение 15 месяцев

В силу ч. 3 ст. 10.2-1 № 149-ФЗ провайдеры обязаны:

• обеспечивать необходимую вычислительную мощность для проведения ФСБ России оперативно-разыскных мероприятий (ОРМ);
• принимать меры по недопущению раскрытия организационных и тактических приемов проведения данных мероприятий.

Что это значит? Провайдеры хостинга теперь обязаны использовать технические средства ОРМ, проект требований к которым сейчас утверждается.

Провайдеры хостинга могут осуществлять деятельность только для тех пользователей, которые прошли идентификацию и (или) аутентификацию определенными способами (ч. 5 ст. 10.2-1 № 149-ФЗ).

Проект соответствующих Правил предлагает 7 способов идентификации и аутентификации:

• с использованием ЕСИА;
• с использованием Единой биометрической системы;
• с использованием усиленной квалифицированной ЭП;
• посредством предъявления документов при личном обращении к провайдеру;
• посредством перевода денежных средств на банковский счет провайдера (перевод должен быть осуществлен со счета в российском банке или банке государства-члена ЕАЭС);
• с использованием иной информационной системы, которая соответствует требованиям о защите информации и принадлежит провайдеру или связанному с ним юридическому лицу;
• с использованием иной информационной системы, которая соответствует требованиям о защите информации, владельцем которой является гражданин Российской Федерации, не имеющий гражданства другого государства, или российское юридическое лицо.

Теперь провайдеры хостинга наравне с операторами связи должны:

• участвовать в учениях для приобретения навыков по обеспечению устойчивого, безопасного и целостного функционирования Интернета и сетей связи общего пользования на территории России (п. 3 ст. 56.1 № 126-ФЗ);
• соблюдать требования к обеспечению устойчивого функционирования средств связи (пп. 1 п. 8 ст. 56.2 № 126-ФЗ);
• для передачи сообщений электросвязи использовать точки обмена трафиком, сведения о которых содержатся в соответствующем реестре (пп. 2 п. 8 ст. 56.2 № 126-ФЗ);
• использовать технические и программные средства, соответствующие установленным требованиям, и национальную систему доменных имен (пп. 3 п. 8 ст. 56.2 № 126-ФЗ).

Эти правила распространяются на провайдеров хостинга в силу ч. 4 ст. 10.2-1 № 149-ФЗ.

Стоит отметить, что подзаконные акты по этим вопросам, вероятно, еще будут корректироваться.

Увеличатся издержки провайдеров на техническое оснащение для соответствия новым требованиям закона.

Однако это не означает ухода с рынка небольших провайдеров хостинга. У них останется возможность договариваться с дата-центрами или вышестоящими провайдерами хостинга об использовании их инфраструктуры для выполнения своих обязанностей (например, использовать СОРМ).

Минцифры России, судя по сводке предложений по итогам рассмотрения проекта одного из приказов, ожидает именно роста рынка сопутствующих услуг для провайдеров хостинга.

При этом отсутствие явной ответственности за нарушение новых требований и методик целенаправленного выявления небольших провайдеров хостинга смягчит перестройку рынка.

Проанализируйте ключевые признаки провайдера хостинга, отличающие его от других участников ИТ-рынка. Они следуют из определения провайдера хостинга:

• предоставление вычислительной мощности;

• размещение информации;
• наличие информационной системы;
• постоянное подключение к сети “Интернет”.

Другими признаками провайдера хостинга могут быть:

• ОКВЭД;
• упоминание хостинговых услуг в пользовательском соглашении;
• соответствующие отсылки в политике обработки персональных данных.

NB! Перечень второстепенных признаков не ограничен и зависит от ситуации.

Если у Вас есть сомнения, что ваш сервис соответствует новым критерием, то создается широкое поле для исследований и учета рисков. Помимо деятельности провайдеров хостинга есть смежные услуги, которые тоже нужно исследовать в совокупности. Сейчас это основной запрос ко мне на юридических консультациях по регулирования услуг хостинга.

Для небольших провайдеров новые требования потребуют серьезной подготовки, поэтому для оценки “масштаба катастрофы” советую заранее провести аудит и подготовить план реализации новых требованиям.

Сфокусировать внимание стоит на четырех направлениях:

• Защите информации;
• Взаимодействии по ОРМ;
• Идентификации и аутентификации;
• Централизованном управление ССОП.

Если провайдер хостинга – собственник или владелец технологической сети связи с номером ASN, ему нужно сопоставить требования к таким сетям связи с требованиями к хостингу.

Для этого провайдерам хостинга нужно:

• Обратиться в НКЦКИ с запросом об установлении порядка взаимодействия по компьютерным инцидентам;
• Обеспечить меры по обнаружению и предотвращению вторжений (к ним конкретных требований именно для провайдеров хостинга нет);
• Организовать защиту от DDOS (возможно привлечь сторонних провайдеров и включить в договор ними условия про DDOS из соответствующих приказов).
• Начать использовать DNS-серверы национальной системы доменных имен и NTP-серверы, расположенные на территории России (в том числе косвенно, через иных провайдеров).
• Разделить использование IP-адресов на категории по способу идентификации пользователей;
• Организовать хранение сетевого (пользовательского) трафика в течение 1-го года, данных о клиентах – до 3-х лет.

Поскольку теперь необходимо назначить ответственных должностных лиц или структурное подразделение рекомендую заранее:

• назначить ответственных лиц за информационную безопасность, за техническую поддержку и организационно-техническое взаимодействие в рамках централизованного управления сетью связи общего пользования;
• издать соответствующий приказ и внести изменения в действующие ЛНА.

Также стоит разработать регламент реагирования на запросы НКЦКИ, Минцифры России, ФСБ России и Роскомнадзора (это следствие обязанности реагировать на запросы).

С учетом новых требований нужно будет избрать один из предложенных законом способов идентификации и подготовить соответствующую техническую архитектуру.

В законе есть противоречие: в случае невыполнения требований Роскомнадзора провайдер хостинга должен быть исключен из реестра. Однако неочевидно, как будет “работать” это требование, если провайдер и не включался в реестр.

Подать по готовности уведомление можно будет через личный кабинет на сайте Роскомнадзора по ссылке (пока такой функционал недоступен).

Продолжайте решать вопрос взаимодействия по ОРМ.

Перечисленные выше шаги обозначены верхнеуровнево и не могут дать ответы на все вопросы. Например, по способам идентификации и аутентификации клиентов провайдера хостинга можно написать отдельную статью.

У меня собраны позиции Минцифры России и других официальных представителей органов власти по некоторым проблемным вопросам нового регулирования провайдеров хостинга, которые я пока не могу раскрыть публично. Надеюсь в будущем поделюсь ими в своем телеграм-канале Privacy Expert.

P. S. 149-ФЗ — Федеральный закон от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации». В статье упоминается 149-ФЗ с учетом изменений, вступающих в силу с 01.12.2023.