Официальная позиция РАЭК по требованию к установке оборудования СОРМ для интернет-компаний
Дата публикации: 26 июля 2018
Официальная позиция РАЭК по Проекту приказа Минкомсвязи России «Об утверждении Требований к оборудованию и программно-техническим средствам, используемым организатором распространения информации в сети «Интернет» в эксплуатируемых им информационных системах, обеспечивающих выполнение установленных действий при проведении оперативно-разыскных мероприятий, включая систему хранения» (Требования по хранению данных для “Пакета Яровой”)
В соответствии со статьей 15 Федерального закона 374-ФЗ от 06.07.2016 (“Закон Яровой”), Организаторы распространения информации обязаны хранить на территории РФ электронные сообщения пользователей и информацию о них, и предоставлять ее уполномоченным органам РФ. Приказ Минкомсвязи России устанавливает требования к оборудованию и программным средствам, с помощью которых будет обеспечиваться хранение данных, а также порядок и механизм выдачи доступа к данным для правоохранительных органов.
Позиция РАЭК в отношении данного подзаконного акта.
Обязанность по хранению текстовых сообщений пользователей сети «Интернет», голосовой информации, изображений, звуков, видео-, иных электронных сообщений пользователей сети «Интернет» до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки и предоставлению этой информации для организатора распространения информации определена частью 3 статьи 10.1 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
При этом частью 3 статьи 10.1 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», не устанавливаются никакие дополнительные требования к оборудованию и программно-техническим средствам, используемым программно-техническим средствам, используемым организатором распространения информации в сети «Интернет» в эксплуатируемых им информационных системах в части системы хранения информации.
Постановление Правительства от 26 июня 2018 г. № 728, определяющее правила хранения данных, фиксирует, что хранение осуществляется в программно-технических средствах, используемых ОРИ в эксплуатируемых ими информационных системах. Проект данного постановления содержал требования по хранению данных в средствах, обеспечивающих проведение Организационно-разыскных мероприятий (ОРМ ОРИ), однако подобная мера фактически удвоила бы объемы хранимой информации, и была исключена после критики отраслевых экспертов.
Приказ Минкомсвязи России же фактически заново вводит требование установки ОРМ ОРИ. Другими словами, часть информационной системы ОРИ становится СОРМ в соответствии с ведомственным приказом, что не только вновь неоправданно увеличивает расходы на хранение информации, но и противоречит закону «Об оперативно-разыскной деятельности». Требование к использованию ОРМ ОРИ исключает возможность использования собственного оборудования и программного обеспечения для реализации требований Федерального закона, так как в соответствии с Законом “Об ОРД” данные действия могут осуществляться только уполномоченными лицами, т.е. лицензированными производителями оборудования СОРМ.
Исходя из приведенных в проекте приказа методики оценки расходов ОРИ, только разовые расходы двух крупнейших российских интернет-компаний на реализацию положений приказа превысят 9 млрд рублей и нескольких лет на внедрение. При этом этапность ввода или категоризация данных для хранения Постановлением Правительства не предусмотрены. По мнению экспертов Ассоциации проект приказа создает условия для продвижения коммерческих интересов компаний-производителей оборудования СОРМ и создает неравные условия для российских интернет-компаний.
Выводы
Таким образом, ни проект приказа, ни пояснительная записка к нему не соответствуют положениям Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также противоречит действующему законодательству Российской Федерации об оперативно-разыскной деятельности. Информационные системы каждого ОРИ имеют уникальную архитектуру и специфичный набор интерфейсов, что делает невозможным внедрение типового решения. Проект нормативно-правового акта требует переработки, и приведения в соответствие с действующим законодательством Российской Федерации.