1 февраля 2024 года условия работы отечественных хостеров сильно изменились. Новые федеральные законы предписали провайдерам новые обязанности по защите информации и использованию технических средств.
Но что на практике означают эти предписания и что изменится в повседневной работе? Как технически и юридически отразить эти изменения в своей работе? И какие у этого будут последствия? Подробно раскрываем тему.
В конце прошлого года вступил в силу федеральный закон, регламентирующий работу провайдеров хостинга на территории России. Преимущественно закон составлен в контексте информационной безопасности.
Главное, на что следует обратить внимание — было изменено юридическое определение понятия «провайдер хостинга». Так, до 01.12.2023 хостинг-провайдером называлось «лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети “Интернет”».
Теперь же, согласно п. 18 ст. 2 № 149-ФЗ, под провайдером хостинга понимается «лицо, осуществляющее деятельность по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети “Интернет”». Т.е. в соответствии с этой статьёй ФЗ уйти от ответственности по выполнению новых предписаний не выйдет.
Из этого вытекает появление у хостинг-провайдеров ряда новых обязанностей.
Главное изменение коснулось прав на осуществление в РФ деятельности хостинг-провайдерами и другими компаниями, предоставляющими услуги связи: теперь на рынке могут легально работать только игроки из «белого списка» - специального реестра Роскомнадзора.
Чтобы попасть туда нужно размещать инфраструктуру на территории РФ, хотя отказываться от PaaS, SaaS и других облачных технологий ни от кого пока не требуется.
Также важным нововведением является требование к тому, чтобы учредитель компании хостинг-провайдера, согласно 406-ФЗ, был «гражданином Российской Федерации, не имеющим гражданства другого государства, или российским юридическим лицом».
24 января 2024 на сайте Роскомнадзора была опубликована версия реестра, куда вошли основные отечественные хостеры.
Однако ведомство уточнило, что этот список будет пополняться и для того, чтобы попасть в него, от остальных хостеров требуется подать в РКН соответствующую заявку (ч. 1 ст. 10.2-1 № 149-ФЗ).
Рассмотрение заявки должно занимать до 15 рабочих дней и, в случае соответствия требованиям Роскомнадзора, ведомство внесет компанию в свой перечень, что откроет ей дорогу для дальнейшей легальной работы в РФ. Дорогу, сопряженную с новыми обязанностями.
Как уже говорилось выше, к работе хостинг-провайдеров, попавших в «белый список», будут предъявляться новые требования, частично базирующиеся на старых регламентах. Рассмотрим их подробнее.
В соответствии с ч. 2 ст. 10.2-1 № 149-ФЗ в РФ любой хостинг-провайдер теперь обязан соблюдать требования о защите информации, которые были установлены ФСБ. Эти требования к провайдеру хостинга приводятся в проекте соответствующего приказа, составленного Минцифрой. Согласно им, от провайдера хостинга требуется:
Ч. 3 ст. 10.2-1 № 149-ФЗ описывает порядок взаимодействия хостинг-провайдеров, работающих на территории РФ, и ФСБ России. Так, провайдеры теперь обязаны:
Также, согласно ч. 3 ст. 10.2-1 № 149-ФЗ в обязанности хостинг-провайдеров теперь входит:
Согласно ч. 4 ст. 10.2-1 № 149-ФЗ, к хостинг-провайдерам теперь будет предъявляться часть требований, аналогичных тем, которые соблюдают операторы связи. В частности, теперь хостеры обязаны:
Отметим, что хотя эти требования к хостингу уже имеют юридическую силу, нельзя исключать их корректировки в обозримом будущем. Поэтому хостинг-провайдерам желающим оставаться на рынке, можно посоветовать заблаговременно готовиться к ним с учетом общих тенденций.
Если попытаться проанализировать новые требования к хостинг провайдерам с практической точки зрения, то новые законы — это новые издержки. В основном на техническое оснащение и обучение персонала.
Это неприятная новость для небольших игроков, однако она вовсе не означает их обязательный уход с рынка. Так, у небольших хостеров останется возможность арендовать у дата-центров и более крупных провайдеров те элементы инфраструктуры, которая поможет им соблюдать требования регуляторов (например, использовать СОРМ — его наличие это теперь обязательное условие). В частности рост рынка подобных услуг уже сегодня прогнозируется Минцифры РФ.
На стороне клиента новые требования повышают ответственность при выборе хостинг-провайдера. Надежность хостера в остальных аспектах работы является косвенным признаком того, что у него не возникнет проблем с Роскомнадзором, и, следовательно, ваш бизнес окажется надежно защищен от подобных накладок.
Как показала практика, попадание в «белый список» не является формальностью. Так, согласно данным, опубликованным Роскомнадзором, по состоянию на 18.12.2023 из 290 компаний, подавших заявление на включение их в реестр, лишь 14 были внесены сразу — по остальным начались проверки, а многие заявки были отклонены с требованием устранить ошибки в заявках.
Для участников рынка это служит сигналом о том, что соответствие новым законодательным нормам — дело ответственное и к нему следует подготовиться настолько заблаговременно, насколько это возможно. Рассмотрим подробнее, что могут сделать хостинг-провайдеры для получения права и дальше осуществлять свою деятельность на территории РФ.
Если услуги, которые оказывает ваша компания, входят в новое определение провайдера хостинга, начать следует с аудита технических средств, которыми вы располагаете. Особенно это актуально для небольших фирм, которые раньше не так сильно сосредотачивались на регламентации своей работы: им может потребоваться с нуля расписать план по реализации новых требований регуляторов. Обратить внимание нужно на четыре основных аспекта:
В том случае, если вы являетесь собственником или владельцем технологической сети связи с номером ASN, нужно сопоставить требования, предъявляемые к таким сетям связи с требованиями к хостингу. Ну а в случае непонимания каких-то нюансов стоит обращаться к юристам.
Когда аудит проведен, нужно принять ряд конкретных мер для приведения своей деятельности к стандартам, диктуемым федеральным законам:
Чтобы внесенные изменения в технические средства реально работали в соответствии с законом, необходимо скорректировать внутренний распорядок работы компании и определить центры ответственности за выполнение требований Роскомнадзора. Мы можем порекомендовать сделать следующее:
Мы знаем и соблюдаем новые нормы, готовы с этим помочь и вам: бесплатно поможем с переездом в наш московский ЦОД с надежностью уровня Tier 3 и предоставим экспертный уровень защиты от DDoS и ботов.
Но главное — мы держим руку на пульсе и стараемся реально вникать в новые требования Роскомнадзора, чтобы эффективно соблюдать их.
Таким образом, работающий с нами бизнес может быть уверен, что его сайты в интернете и безопасность данных будут надежно защищены.
Актуальная редакция закона будет дополняться по мере получения регулятором обратной связи от хостинг-провайдеров. Может, нас ждёт смягчение, уточнение или ужесточение политики по работе на территории РФ зарубежных хостинг-провайдеров. Хотя ни один из них не подавал заявку на регистрацию в Роскомнадзоре, по факту тот же Hetzner Online GmbH (крупный немецкий провайдер) продолжает работать на территории РФ. Однако мы рекомендуем перенести любые размещённые за рубежом интернет-проекты к отечественным хостерам, чтобы потом не столкнуться с недоступностью своих ресурсов.
Однако новые нормы еще не полностью оформились, и это достаточно стрессово для всех участников рынка, т.к. сложно прогнозировать правоприменение нового закона и его последствия. Сейчас он является в большей степени головной болью провайдеров, чем их клиентов. А ещё Роскомнадзора, который со своей стороны также ещё пытается интегрировать новую норму в свою работу. Если вы занимаетесь легальным бизнесом, у вас есть шанс практически не заметить произошедших изменений за исключением возможного повышения стоимости услуг хостингов т.к. соблюдение законодательных норм будет стоить провайдерам определенных издержек.
Среди положительных же сторон можно отметить тот факт, что безопасность ваших данных и качество услуг, предоставляемых хостингами в рамках российской юрисдикции только повысится. Ведь для игроков рынка новый закон о хостинге станет поводом для аудита инфраструктуры, а все ресурсы российских компаний сосредоточатся в РФ.
Статья добавлена 9 месяцев назад. Автор - Blog Admin