«Закон о хостинге» или что изменится в работе провайдеров в 2024

1 февраля 2024 года условия работы отечественных хостеров сильно изменились. Новые федеральные законы предписали провайдерам новые обязанности по защите информации и использованию технических средств.

Но что на практике означают эти предписания и что изменится в повседневной работе? Как технически и юридически отразить эти изменения в своей работе? И какие у этого будут последствия? Подробно раскрываем тему.

 

Законодательные предпосылки к изменениям

В конце прошлого года вступил в силу федеральный закон, регламентирующий работу провайдеров хостинга на территории России. Преимущественно закон составлен в контексте информационной безопасности.

Главное, на что следует обратить внимание — было изменено юридическое определение понятия «провайдер хостинга». Так, до 01.12.2023 хостинг-провайдером называлось «лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети “Интернет”».

Теперь же, согласно п. 18 ст. 2 № 149-ФЗ, под провайдером хостинга понимается «лицо, осуществляющее деятельность по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети “Интернет”». Т.е. в соответствии с этой статьёй ФЗ уйти от ответственности по выполнению новых предписаний не выйдет.

Из этого вытекает появление у хостинг-провайдеров ряда новых обязанностей.

 

Что изменилось с 1 февраля 2024

Главное изменение коснулось прав на осуществление в РФ деятельности хостинг-провайдерами и другими компаниями, предоставляющими услуги связи: теперь на рынке могут легально работать только игроки из «белого списка» - специального реестра Роскомнадзора.

Чтобы попасть туда нужно размещать инфраструктуру на территории РФ, хотя отказываться от PaaS, SaaS и других облачных технологий ни от кого пока не требуется.

Также важным нововведением является требование к тому, чтобы учредитель компании хостинг-провайдера, согласно 406-ФЗ, был «гражданином Российской Федерации, не имеющим гражданства другого государства, или российским юридическим лицом».

24 января 2024 на сайте Роскомнадзора была опубликована версия реестра, куда вошли основные отечественные хостеры.

Однако ведомство уточнило, что этот список будет пополняться и для того, чтобы попасть в него, от остальных хостеров требуется подать в РКН соответствующую заявку (ч. 1 ст. 10.2-1 № 149-ФЗ).

Рассмотрение заявки должно занимать до 15 рабочих дней и, в случае соответствия требованиям Роскомнадзора, ведомство внесет компанию в свой перечень, что откроет ей дорогу для дальнейшей легальной работы в РФ. Дорогу, сопряженную с новыми обязанностями.

 

Новые обязанности хостинг-провайдеров

Как уже говорилось выше, к работе хостинг-провайдеров, попавших в «белый список», будут предъявляться новые требования, частично базирующиеся на старых регламентах. Рассмотрим их подробнее.

Защита информации

В соответствии с ч. 2 ст. 10.2-1 № 149-ФЗ в РФ любой хостинг-провайдер теперь обязан соблюдать требования о защите информации, которые были установлены ФСБ. Эти требования к провайдеру хостинга приводятся в проекте соответствующего приказа, составленного Минцифрой. Согласно им, от провайдера хостинга требуется:

• Назначать структурное подразделение или должностное лицо, ответственное за защиту информации;
• взаимодействовать с ГосСОПКА (например, отключать информационные ресурсы в течение 12 часов с момента поступления информации об атаке на них);
• собирать и хранить данные о взаимодействии пользователей услуг с пользователями внешних сетевых ресурсов в Интернете в течение 1 года с момента окончания осуществления действий.

Взаимодействие с ФСБ России

Ч. 3 ст. 10.2-1 № 149-ФЗ описывает порядок взаимодействия хостинг-провайдеров, работающих на территории РФ, и ФСБ России. Так, провайдеры теперь обязаны:

• хранить всю информацию о пользователях своих услуг в течение 3-х лет, информацию о взаимодействии пользователей с другими пользователями в Интернете в течение 1 года с момента окончания осуществления действий;
• в течение 45 дней с момента начала хостинга подать заявление в территориальный орган ФСБ России заявление о начале взаимодействия с уполномоченными органами;
• не допускать раскрытия организационных и технических приемов проведения оперативно-разыскных мероприятий (ОРМ);
• принимать меры, исключающие возможность несанкционированного доступа посторонних лиц к техническим средствам, находящихся в ведении провайдера;
• обеспечить конфиденциальность проводимых работ по внедрению технических средств.

Использование технических средств ОРМ

Также, согласно ч. 3 ст. 10.2-1 № 149-ФЗ в обязанности хостинг-провайдеров теперь входит:

• обеспечивать необходимую вычислительную мощность для проведения ФСБ России оперативно-разыскных мероприятий (ОРМ);
• принимать меры по недопущению раскрытия организационных и тактических приемов проведения данных мероприятий.

Прочее

Согласно ч. 4 ст. 10.2-1 № 149-ФЗ, к хостинг-провайдерам теперь будет предъявляться часть требований, аналогичных тем, которые соблюдают операторы связи. В частности, теперь хостеры обязаны:

• участвовать в учениях для приобретения навыков по обеспечению устойчивого, безопасного и целостного функционирования Интернета и сетей связи общего пользования на территории России (п. 3 ст. 56.1 № 126-ФЗ);
• соблюдать требования к обеспечению устойчивого функционирования средств связи (пп. 1 п. 8 ст. 56.2 № 126-ФЗ);
• для передачи сообщений электросвязи использовать точки обмена трафиком, сведения о которых содержатся в соответствующем реестре (пп. 2 п. 8 ст. 56.2 № 126-ФЗ);
• использовать технические и программные средства, соответствующие установленным требованиям, и национальную систему доменных имен (пп. 3 п. 8 ст. 56.2 № 126-ФЗ).

Отметим, что хотя эти требования к хостингу уже имеют юридическую силу, нельзя исключать их корректировки в обозримом будущем. Поэтому хостинг-провайдерам желающим оставаться на рынке, можно посоветовать заблаговременно готовиться к ним с учетом общих тенденций.

 

Что на практике означают эти изменения

Если попытаться проанализировать новые требования к хостинг провайдерам с практической точки зрения, то новые законы — это новые издержки. В основном на техническое оснащение и обучение персонала.

Это неприятная новость для небольших игроков, однако она вовсе не означает их обязательный уход с рынка. Так, у небольших хостеров останется возможность арендовать у дата-центров и более крупных провайдеров те элементы инфраструктуры, которая поможет им соблюдать требования регуляторов (например, использовать СОРМ — его наличие это теперь обязательное условие). В частности рост рынка подобных услуг уже сегодня прогнозируется Минцифры РФ.

На стороне клиента новые требования повышают ответственность при выборе хостинг-провайдера. Надежность хостера в остальных аспектах работы является косвенным признаком того, что у него не возникнет проблем с Роскомнадзором, и, следовательно, ваш бизнес окажется надежно защищен от подобных накладок.

 

Как подготовиться

Как показала практика, попадание в «белый список» не является формальностью. Так, согласно данным, опубликованным Роскомнадзором, по состоянию на 18.12.2023 из 290 компаний, подавших заявление на включение их в реестр, лишь 14 были внесены сразу — по остальным начались проверки, а многие заявки были отклонены с требованием устранить ошибки в заявках.

Для участников рынка это служит сигналом о том, что соответствие новым законодательным нормам — дело ответственное и к нему следует подготовиться настолько заблаговременно, насколько это возможно. Рассмотрим подробнее, что могут сделать хостинг-провайдеры для получения права и дальше осуществлять свою деятельность на территории РФ.

Аудит технических средств

Если услуги, которые оказывает ваша компания, входят в новое определение провайдера хостинга, начать следует с аудита технических средств, которыми вы располагаете. Особенно это актуально для небольших фирм, которые раньше не так сильно сосредотачивались на регламентации своей работы: им может потребоваться с нуля расписать план по реализации новых требований регуляторов. Обратить внимание нужно на четыре основных аспекта:

• Как защищать информацию.
• Как выстроить взаимодействие по ОРМ.
• Как настроить системы идентификации и аутентификации клиентов.
• Как организовать централизованное управление ССОП.

В том случае, если вы являетесь собственником или владельцем технологической сети связи с номером ASN, нужно сопоставить требования, предъявляемые к таким сетям связи с требованиями к хостингу. Ну а в случае непонимания каких-то нюансов стоит обращаться к юристам.

Подготовка технических средств

Когда аудит проведен, нужно принять ряд конкретных мер для приведения своей деятельности к стандартам, диктуемым федеральным законам:

• Подать запрос в национальный координационный центр по компьютерным инцидентам (НКЦКИ) чтобы установить порядок взаимодействия по возникающим в ходе работы проблемам.
• Усилить меры по обнаружению и предотвращению попыток несанкционированного доступа к данным хостинга извне. Хотя ФЗ не предъявляет специфических требований именно для хостинг-провайдеров, дополнительная защита информации скорее всего поможет избежать проблем в будущем и повысит доверие клиентов к вашей фирме.
• Перейти на DNS-серверы национальной системы доменных имен и NTP-серверы, размещенные на территории РФ.
• Сформировать категории использования IP-адресов в зависимости от способа идентификации пользователей.

Изменения в локальных актах компании

Чтобы внесенные изменения в технические средства реально работали в соответствии с законом, необходимо скорректировать внутренний распорядок работы компании и определить центры ответственности за выполнение требований Роскомнадзора. Мы можем порекомендовать сделать следующее:

• Назначить сотрудников, которые будут отвечать за информационную безопасность, за техническую поддержку и организационно-техническое взаимодействие в рамках централизованного управления сетью связи общего пользования.
• Подготовить приказы об этом и внести изменения в ЛНА, которые регламентируют деятельность сотрудников внутри организации.
• Разработать протоколы реагирования на запросы, которые могут поступать из таких ведомств, как НКЦКИ, Минцифры России, ФСБ России и Роскомнадзора, поскольку по новому закону хостинг-провайдеры не имеют права их игнорировать.
• Внедрить систему идентификации и аутентификации клиентов хостинга, с учетом требований, которые предъявляет к этому новый закон. Среди одобренных регуляторами способов можно назвать:
  • авторизацию через ЕСИА и ЕБС,
  • сервис быстрых платежей банка России, посредством предоставления провайдеру пакета документов (паспорта РФ и выписки из единого госреестра юрлиц или ИП),
  • авторизацию с использованием абонентского номера, выделенного оператором подвижной радиотелефонной связи.
• Хорошим тоном будет оповестить своих клиентов — старых и потенциальных — о проделанной работе и новшествах в порядке предоставления услуг.

 

Наша готовность к соблюдению 149-ФЗ в 2024

Мы знаем и соблюдаем новые нормы, готовы с этим помочь и вам: бесплатно поможем с переездом в наш московский ЦОД с надежностью уровня Tier 3 и предоставим экспертный уровень защиты от DDoS и ботов.

Но главное — мы держим руку на пульсе и стараемся реально вникать в новые требования Роскомнадзора, чтобы эффективно соблюдать их.

• Во-первых, мы прошли регистрацию в Роскомнадзоре в качестве хостинг-провайдера, в этом можете убедиться сами.
• Во-вторых, в обязанности сотрудников нашей службы безопасности теперь входит активное взаимодействие с Роскомнадзорам по всем спорным вопросам.
• В-третьих, по мере совершенствования законодательства мы будем освещать новые тонкости его правоприменения в этом блоге, чтобы наши клиенты были в курсе происходящего.

Таким образом, работающий с нами бизнес может быть уверен, что его сайты в интернете и безопасность данных будут надежно защищены.

 

Резюме

Актуальная редакция закона будет дополняться по мере получения регулятором обратной связи от хостинг-провайдеров. Может, нас ждёт смягчение, уточнение или ужесточение политики по работе на территории РФ зарубежных хостинг-провайдеров. Хотя ни один из них не подавал заявку на регистрацию в Роскомнадзоре, по факту тот же Hetzner Online GmbH (крупный немецкий провайдер) продолжает работать на территории РФ. Однако мы рекомендуем перенести любые размещённые за рубежом интернет-проекты к отечественным хостерам, чтобы потом не столкнуться с недоступностью своих ресурсов.

Однако новые нормы еще не полностью оформились, и это достаточно стрессово для всех участников рынка, т.к. сложно прогнозировать правоприменение нового закона и его последствия. Сейчас он является в большей степени головной болью провайдеров, чем их клиентов. А ещё Роскомнадзора, который со своей стороны также ещё пытается интегрировать новую норму в свою работу. Если вы занимаетесь легальным бизнесом, у вас есть шанс практически не заметить произошедших изменений за исключением возможного повышения стоимости услуг хостингов т.к. соблюдение законодательных норм будет стоить провайдерам определенных издержек.

Среди положительных же сторон можно отметить тот факт, что безопасность ваших данных и качество услуг, предоставляемых хостингами в рамках российской юрисдикции только повысится. Ведь для игроков рынка новый закон о хостинге станет поводом для аудита инфраструктуры, а все ресурсы российских компаний сосредоточатся в РФ.