Блог компании РЕКОНН

Рассказываем о наших услугах и продуктах, делимся инструкциями и полезными советами

СОРМ: кому нужен и как пользоваться

Понятие аутсорминг возникло на платформе реализации системы оперативно-розыскных мероприятий (СОРМ), утвержденной законодательством РФ для обеспечения государственной безопасности и успешной борьбы с преступностью. Предполагает обеспечение доступа оперативным органам к информационной базе сетей связи, включая персональные данные абонентов.

Предпосылки создания СОРМ

Понятие и базовые функции СОРМ были впервые введены в законодательную базу и изложены в Федеральном законе №126-ФЗ «О связи», принятом 12 августа 1995 года. В последующие годы правительственные органы России активно развивали эту систему, расширяя ее законодательные функции и возможности.

В 2016 году в РФ был принят закон, включающий в обязанность провайдеров хранение всего трафика подключенных абонентов в течение 3 лет. Постепенно СОРМ становилась значимой, полновесной и информационно емкой базой для успешной работы правоохранительных органов.

Правовая база

Законодательная основа системы и ее реализация на территории России регламентируется следующими документами:

  • Закон РФ «Об оперативно-розыскной деятельности (ОРД)» в части ст.6, принятый 12.10.1995 года. (144-Ф3).
  • Закон РФ «Об информации, информационных технологиях и защите информации», утверждающий нормативные действия и регулирующий процедуру ОРД, а также внедрение в системы связи технических средств, обеспечивающих своевременное и беспрепятственное осуществление данных мероприятий. (149-Ф3).
  • Закон РФ «О связи», регламентирующий правовую базу обязанностей провайдеров и операторов связи, касающихся СОРМ. (126-ФЗ).
  • Приказы Министерства связи и коммуникационных систем РФ, в которых изложены технические требования к провайдерам и операторам связи, касающиеся СОРМ, порядок их внедрения в действующую систему и дальнейшего использования.
  • Нормативные законодательные акты, определяющие степень и вид ответственности за невыполнение правил, предписанных СОРМ и за нарушение конституционных прав абонентов сетей на конфиденциальность.

СОРМ-1 – историческая справка

Данная система стала первой ступенью реализации СОРМ, учрежденной в России в 1995 году. Была разработана для осуществления мероприятий оперативного розыска в части телефонной связи. Для их внедрения было разработано специальное техническое задание, предоставленное Министерству связи России в 1998 году. Спустя год был окончательно утвержден порядок применения СОРМ-1, а в 2000 году Министерство связи подписало приказ «Об утверждении правил осуществления оперативно розыскных мероприятий в сетях электросвязи» (№70).

СОРМ-1 представляет собой комплекс аппаратно-программных средств, позволяющий осуществлять контроль за передачей информации через сеть связи и сбор информации о пользователях сети. Она включает в себя программное обеспечение и оборудование, устанавливаемое на серверах операторов связи.

Приказ Минкомсвязи России № 268 «Об утверждении правил оказания услуг связи» был издан 19 ноября 2012 года и является основным нормативным документом, регулирующим деятельность операторов связи на территории Российской Федерации. В рамках этого приказа были уточнены и
расширены правила оказания услуг связи, ранее установленные постановлением правительства Российской Федерации № 538 от 1 июня 2004 года. В частности:

  • были введены новые требования к качеству услуг связи,
  • установлен порядок уведомления абонентов об изменении тарифов;
  • установлены правила взаимодействия с государственными органами в случае проведения оперативно-разыскных мероприятий.

История создания СОРМ-2

СОРМ-2 была создана в России в 2001 году в результате совместной работы Минкомсвязи, ФСБ и МВД. СОРМ-2 разработана для расширения возможностей СОРМ-1, так как она позволяет осуществлять мониторинг трафика, передаваемого через сети передачи данных, включая интернет.

Это позволяет увеличить эффективность проведения оперативно-разыскных мероприятий в сетях связи.

Однако в отличие от СОРМ-1 использование СОРМ-2 для проведения оперативно-разыскных мероприятий в сетях передачи данных регулируется не только законодательством России, но и международными договорами, в которых участвует Россия, такими как Конвенция о киберпреступности Совета Европы.

Приказом Минкомсвязи России от 1 марта 2005 года № 83 «Об утверждении требований к услугам связи, предоставляемым оператором связи, организующим открытую передачу данных» были установлены требования к операторам связи, организующим открытую передачу данных. В частности, приказ устанавливает требования к качеству предоставления услуг связи, в том числе к скорости передачи данных, качеству оборудования и технической поддержке.

Кроме того, приказ № 83 содержит требования к защите конфиденциальности персональных данных, передаваемых через открытые сети связи. В соответствии с приказом операторы связи обязаны принимать меры по защите персональных данных от несанкционированного доступа и утечки информации.

Приказ Минкомсвязи РФ № 139 «Об утверждении требований к порядку оказания услуг связи и требований к обеспечению возможности их применения для осуществления оперативно-разыскных мероприятий» был подписан 17 апреля 2012 года и определял требования к провайдерам связи по обеспечению возможности осуществления оперативно-разыскных мероприятий с использованием Системы оперативно-разыскных мероприятий (СОРМ-2). Приказ уточнял и расширял правила, установленные приказом Минкомсвязи РФ № 55 от 25.02.2005 «Об утверждении требований к оказанию услуг связи и требований к обеспечению возможности их применения для осуществления оперативно-разыскных мероприятий». Он также расширил круг провайдеров, обязанных обеспечивать возможность применения СОРМ-2, включив в него провайдеров IP-телефонии и интернет-телефонии.

Для чего была проведена разработка СОРМ-3

СОРМ-3 была разработана с целью расширения возможностей оперативно-разыскных органов в сфере мониторинга электронных коммуникаций и усиления контроля за информационной безопасностью в Российской Федерации. В частности, СОРМ-3 предусматривает возможность расширения списка контролируемых данных, включая мультимедийные сообщения, и технических средств, на которые может быть установлена система. Также СОРМ-3 содержит меры по обеспечению защиты информации, получаемой

в результате мониторинга, и усовершенствование
механизмов контроля за доступом к ней.

Правовым документом, который определяет правила внедрения и использования СОРМ-3, стал приказ Минкомсвязи России № 573 «Об утверждении требований к порядку оказания услуг связи и требований к программно-техническим средствам для осуществления оперативно-разыскных мероприятий», который был опубликован 31 декабря 2019 года.

Особенности закона Яровой

В 2016 году принят закон «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам обеспечения безопасности при проведении операций в электросвязи» (более известный как закон Яровой). Он включает в себя ряд новаций, касающихся обязанностей операторов связи в области безопасности.

Основные особенности закона:

  • хранение трафика. Операторы связи обязаны хранить метаданные и контент трафика своих пользователей в течение трех лет;
  • установка СОРМ-3. Операторы связи обязаны устанавливать и поддерживать СОРМ-3, которая позволяет получать доступ к данным пользователей;
  • обязательная идентификация. Операторы связи обязаны проводить идентификацию пользователей и хранить информацию об их паспортных данных;
  • уведомление о блокировке. Операторы связи обязаны уведомлять пользователей обо всех блокировках и ограничениях доступа к сервисам и сайтам.

Закон вызвал общественные дискуссии и критику в связи с нарушением прав и свобод граждан, а также в связи с высокой стоимостью для операторов связи, связанной с необходимостью приобретения и обслуживания оборудования для установки СОРМ-3.

Времена мизерных штрафов за утечку персональных данных прошли. Что дальше?

Статьи ITGLOBAL.COM Security

Проблемы реализации закона Яровой

1. С реализацией закона Яровой возникло несколько проблем.

2. Высокие затраты на обновление и модернизацию сетей связи и программного обеспечения для соответствия требованиям закона.

3. Недостаточное количество специалистов, знакомых с требованиями и методами реализации закона.

4. Нарушение прав на конфиденциальность персональных данных пользователей, так как требования закона предполагают сбор и хранение данных о пользователях без их согласия.

5. Нарушение свободы информации и права на конфиденциальность переписки, так как закон позволяет правоохранительным органам иметь доступ к переписке и трафику пользователей.

6. Риск утечки персональных данных пользователей и злоупотребления ими.

7. Отсутствие эффективного механизма контроля за исполнением требований закона, а также за надлежащим использованием полученных данных.

8. Ограничение доступа к некоторым сервисам и ресурсам в интернете, что может привести к нарушению прав пользователей на свободный доступ к информации.

Покупка оборудования СОРМ

Оборудование СОРМ продают специализированные поставщики, которые имеют соответствующую сертификацию регулирующими органами на производство и поставку такого оборудования.

Обычно для закупки оборудования СОРМ нужно связаться с поставщиком и подать заявку. Затем поставщик проводит проверку документов и высылает коммерческое предложение. Если условия устраивают заказчика, заключается договор и происходит оплата. При этом следует учитывать, что покупка и использование оборудования СОРМ регулируется законодательством

Российской Федерации, а также может потребовать согласования с соответствующими органами власти.

Самым большим недостатком покупки аппаратно-программного комплекса (АПК) технических средств СОРМ является необходимость ежегодной оплаты его технического обслуживания, которая составляет 8–12% от его базовой стоимости. А с учетом роста рынка услуг связи модернизация собственного комплекса будет создавать постоянную финансовую нагрузку на оператора связи.

Проблемы интеграции АПК СОРМ с сетями операторов связи

Интеграция АПК СОРМ с сетями операторов связи может вызывать некоторые проблемы и ограничения в связи с техническими, юридическими и экономическими факторами.

Технические проблемы.

СОРМ-технологии требуют специального оборудования и программного обеспечения для реализации функционала, который бы обеспечил прослушивание, перехват фильтрацию и анализ трафика. Кроме того, СОРМ должна быть совместима со всеми типами технологий связи, включая сотовые сети, IP-телефонию, VoIP и т.д.

Юридические проблемы.

Владельцы компаний — операторов связи должны соблюдать ряд юридических норм и правил, чтобы удовлетворить требования законодательства, регулирующего телекоммуникационные услуги. В России операторы связи обязаны предоставлять технические возможности для реализации СОРМ, а также сохранять данные, полученные в ходе прослушивания трафика. Это может вызвать определенные юридические проблемы, так как операторы связи обязаны защищать конфиденциальность пользователей.

Экономические проблемы.

Интеграция СОРМ может привести к дополнительным затратам на приобретение оборудования, его настройку, обучение персонала, создание инфраструктуры и т.д. Кроме того, СОРМ может замедлить процесс передачи данных, что может негативно повлиять на качество услуг и удовлетворенность клиентов.

Проблемы состава данных.

В соответствии с законодательством РФ операторы обязаны собирать и хранить актуальные данные о своих клиентах.

Помимо задачи поддержания постоянной актуальности этих данных возникает вопрос формата хранения — не каждый, даже сертифицированный биллинг в состоянии сформировать набор данных, подходящий для загрузки в АПК СОРМ.

Аренда оборудования СОРМ и интеграция с сетями присоединенных операторов связи

Одним из возможных решений проблемы интеграции решений СОРМ с сетями связи большинства операторов может стать аренда оборудования СОРМ.

Однако это решение также не лишено проблем и недостатков. Оно может:

  • привести к ограничению доступа к коммуникационным услугам для пользователей других операторов связи, которые не являются присоединенными к СОРМ;
  • быть дополнительной финансовой нагрузкой для операторов связи, которые должны будут арендовать оборудование СОРМ и интегрироваться с ним.

Кроме того, данный подход не решает проблему технической сложности интеграции СОРМ с сетями операторов связи.

Для того чтобы обеспечить полноценную работу системы СОРМ, необходимо проводить ее интеграцию с сетями всех операторов связи, что может потребовать дополнительных затрат времени и ресурсов.

В целом проблема интеграции СОРМ с сетями операторов связи является сложной и требует комплексного подхода для ее решения.

Аутсорминг

Еще одним решением может стать аутсорсинг СОРМ (аутсорминг) — услуга, при которой оператор связи перепоручает работу по реализации системы оперативно-разыскных мероприятий присоединяющему оператору связи на основании совместного приказа Минцифры и ФСБ России от 28.03.2022 года при соблюдении ряда технических условий.

А именно:

  • прохождение всего трафика через единственного присоединяющего оператора связи;
  • наличие актов ввода в эксплуатацию технических средств присоединяющего оператора связи.

Правовые особенности аутсорсинга СОРМ заключаются в следующем:

  • необходимо заключить договор на оказание услуг по СОРМ между оператором связи и компанией-аутсормером (по аналогии с аутсорсером). Договор должен учитывать требования законодательства, касающиеся СОРМ;
  • необходимо согласовать с Роскомнадзором все документы, связанные с внедрением СОРМ. Компания-аутсормер должна иметь соответствующие лицензии на реализацию СОРМ и соответствовать всем требованиям закона;
  • оператор связи несет ответственность за безопасность передаваемой информации, поэтому компания-аутсормер должна обеспечивать сохранность данных, получаемых при использовании СОРМ;
  • аутсорминг должен осуществляться в соответствии с требованиями закона, в том числе в отношении обработки персональных данных;
  • оператор связи должен осуществлять контроль за деятельностью компании-аутсормера и обеспечивать соблюдение закона при использовании СОРМ;
  • компания-аутсормер обязана соблюдать конфиденциальность информации, полученной в результате использования СОРМ.

Аутсорминг

Вопрос целесообразности аутсорминга в значительной степени зависит от потребностей конкретной организации или государственного учреждения, ответственного за реализацию СОРМ. Однако можно выделить несколько преимуществ, общих для всех.

1. Экономия затрат. При покупке собственного оборудования необходимо потратить значительную сумму на его приобретение и установку, а также на обучение сотрудников и обеспечение необходимых условий для его эксплуатации. При аутсорсинге же все эти затраты несет поставщик услуг.

2. Прогнозируемость расходов. Апгрейд собственных технических средств СОРМ может приводить к значительным затратам на дооснащение комплекса производителем на текущих рыночных условиях, без возможности перейти на решение альтернативного вендора. А также стоимость расширения пропускной полосы в случае увеличения трафика заранее будет зафиксирована в договоре с компанией-аутсорсером.

3. Гибкость и масштабируемость. При покупке собственного оборудования возможны проблемы с масштабированием и адаптацией к изменяющимся требованиям. Аутсорсинг позволяет гибко масштабировать ресурсы в зависимости от потребностей и обеспечивает более высокую гибкость, что важнопри расширении списка оказываемых оператором связи услуг.

4. Экспертиза и опыт поставщика. Компании, специализирующиеся на аутсорсинге СОРМ, обладают большим опытом и экспертизой в этой области, что позволяет им более эффективно решать проблемы и обеспечивать качественное обслуживание.

5. Безопасность. Аутсорсинг СОРМ может обеспечивать более высокий уровень безопасности за счет использования специальных мер и технологий защиты, которые могут быть недоступны при самостоятельной реализации.

6. Удобство. Аутсорсинг СОРМ позволяет компании сосредоточиться на своей основной деятельности, не тратя время и ресурсы на обеспечение функционирования СОРМ.