Перш чым перайсці да апісання сістэмы, якая адказвае за фільтраванне доступу аператарамі сувязі, адзначым, што зараз Роскомнадзор зоймецца і кантролем над працай пошукавых сістэм.
У пачатку года зацверджаны парадак кантролю і пералік мерапрыемстваў па выкананні аператарамі пошукавых сістэм патрабаванняў спыніць выдачу звестак аб інтэрнет-рэсурсах, доступ да якіх абмежаваны на тэрыторыі Расійскай Федэрацыі.
Раскамнагляду ад 7 лістапада 2017 года № 229 зарэгістраваны ў Міністэрстве юстыцыі Расіі.
Загад прыняты ў рамках рэалізацыі палажэнняў артыкула 15.8 Федэральнага закона ад 27.07.2006/149/XNUMX № XNUMX-ФЗ «Аб інфармацыі, інфармацыйных тэхналогіях і аб абароне інфармацыі», якая вызначае абавязкі для ўладальнікаў VPN-сэрвісаў, "ананімайзераў" і аператараў пошукавых сістэм па абмежаванні доступу да інфармацыі, распаўсюджванне якой у Расіі забаронена.
Мерапрыемствы па кантролі праводзяцца па месцы знаходжання органа па кантролі без узаемадзеяння з аператарамі пошукавых сістэм.
Пад інфармацыйнай сістэмай разумеецца ФГІС інфармацыйных рэсурсаў інфармацыйна-тэлекамунікацыйных сетак, доступ да якіх абмежаваны.
Па выніках мерапрыемства складаецца акт, у якім указваецца, у прыватнасці, інфармацыя аб ПЗ, якое выкарыстоўваецца для ўстанаўлення гэтых фактаў, а таксама звесткі, якія пацвярджаюць, што канкрэтная старонка (старонкі) сайта на момант кантролю знаходзілася ў інфармацыйнай сістэме больш за суткі.
Акт накіроўваецца аператару пошукавых сістэм з дапамогай інфармацыйнай сістэмы. У выпадку нязгоды з актам аператар на працягу трох працоўных дзён мае права прадставіць свае пярэчанні ў Роскомнадзор, які разглядае пярэчанні таксама на працягу трох працоўных дзён. Па выніках разгляду пярэчанняў аператара кіраўнік органа па кантролі або яго намеснік прымаюць рашэнне аб узбуджэнні справы аб адміністрацыйным правапарушэнні.
Як зараз уладкована сістэма фільтрацыі доступу для аператараў сувязі
У Расіі дзейнічае шэраг законаў, якія абавязваюць аператараў сувязі фільтраваць доступ да старонак якія распаўсюджваюць забаронены кантэнт:
- ФЗ 126 "Аб сувязі", папраўка ў арт. 46 - аб абавязку аператара абмяжоўваць доступ да інфармацыі (ФСЭМ).
- «Адзіны рэестр» - пастанова Урада РФ ад 26 кастрычніка 2012 г. N 1101 «Аб адзінай аўтаматызаванай інфармацыйнай сістэме «Адзіны рэестр даменных імёнаў, паказальнікаў старонак сайтаў у інфармацыйна-тэлекамунікацыйнай сетцы «Інтэрнэт» і сеткавых адрасоў, якія дазваляюць ідэнтыфікаваць сайт сеткі «Інтэрнэт», якія змяшчаюць інфармацыю, распаўсюджванне якой у Расійскай Федэрацыі забаронена»»
- ФЗ 436 "Аб абароне дзяцей…", катэгарызацыя даступнай інфармацыі.
- ФЗ №3 "Аб паліцыі", артыкул 13, п. 12 - аб ліквідацыі прычын і ўмоў, якія спрыяюць рэалізацыі пагроз бяспекі грамадзян і грамадскай бяспекі.
- ФЗ №187 "Аб унясенні змяненняў у асобныя заканадаўчыя акты РФ па пытаннях абароны інтэлектуальных правоў у інфармацыйна-тэлекамунікацыйных сетках" ("антыпірацкі закон").
- Выкананне рашэнняў судовых інстанцый і прадпісанняў органаў пракуратуры.
- Федэральны закон ад 28.07.2012/139/XNUMX N XNUMX-ФЗ «Аб унясенні змяненняў у Федэральны закон «Аб абароне дзяцей ад інфармацыі, якая прычыняе шкоду іх здароўю і развіццю» і асобныя заканадаўчыя акты Расійскай Федэрацыі».
- Федэральны закон ад 27 ліпеня 2006 года № 149-ФЗ "Аб інфармацыі, інфармацыйных тэхналогіях і аб абароне інфармацыі".
Запыты ад Роскомнадзора на блакіроўку нясуць у сабе пералік патрабаванняў да правайдэра, які абнаўляецца, кожны запіс з такога запыту змяшчае:
- тып рэестра, у адпаведнасці з якім праводзіцца абмежаванне;
- момант часу, з якога ўзнікае неабходнасць абмежавання доступу;
- тып тэрміновасці рэагавання (звычайная тэрміновасць - на працягу сутак, высокая тэрміновасць -неадкладнае рэагаванне);
- тып блакавання рэестравага запісу (па URL або па даменным імі);
- хэш-код рэестравага запісу (змяняецца пры любой змене змесціва запісу);
- рэквізіты рашэння аб неабходнасці абмежавання доступу;
- адзін ці некалькі паказальнікаў старонак сайтаў, доступ да якіх павінен быць абмежаваны (не абавязкова);
- адно ці некалькі даменных імёнаў (не абавязкова);
- адзін ці некалькі сеткавых адрасоў (не абавязкова);
- адна ці некалькі ip-падсетак (не абавязкова).
Для эфектыўнага давядзення звестак да аператараў была створана "Інфармацыйная сістэма ўзаемадзеяння Роскомнадзора з аператарамі сувязі". Размешчана яна разам з нарматыўнымі актамі, інструкцыямі і памяткамі для аператараў на спецыялізаваным партале:
Са свайго ж боку, для праверкі аператараў сувязі Роскомнадзор стаў выдаваць кліента АС "Рэвізор". Ніжэй крыху аб функцыянале агента.
Алгарытм ажыццяўлення праверкі даступнасці кожнага URL Агентам. Пры праверцы Агент павінен:
- вызначыць IP-адрасы, у якія пераўтворыцца сеткавае імя правяраемага сайта (дамен) або выкарыстоўваць IP адрасы, прадстаўленыя ў выгрузцы;
- для кожнага IP-адрасы, атрыманага ад DNS-сервераў, вырабіць HTTP-запыт правяраемага URL. У выпадку атрымання ад правяраемага сайта HTTP перанакіраванне, Агент павінен праверыць URL, на які ажыццяўляецца перанакіраванне. Падтрымліваецца не менш за 5 паслядоўных HTTP перанакіраванняў;
- у выпадку немагчымасці ажыццявіць HTTP-запыт (не адбываецца ўсталёўкі TCP-злучэнні) Агент павінен рабіць выснову аб наяўнасці блакавання IP-адрасы цалкам;
- у выпадку паспяховага HTTP-запыту Агент павінен праверыць атрыманы адказ правяраемага сайта па кодзе HTTP-адказу, па HTTP-загалоўках, па HTTP-зместу (першыя атрыманыя дадзеныя памерам да 10 кб). У выпадку супадзення атрыманага адказу са створанымі ў ЦУ шаблонамі старонак-заглушак павінна быць зроблена выснова аб наяўнасці блакіроўкі правяраемага URL;
- пры правядзенні праверкі URL, Агент павінен ажыццявіць праверку ўстаноўкі шыфраванага злучэння і прамаркіраваць рэсурс;
- у выпадку адсутнасці супадзення атрыманых Агентам даных з шаблонамі старонак-заглушак або давераных старонак пераадрасацыі, якія інфармуюць аб блакіроўцы рэсурсу, Агент павінен рабіць выснову аб адсутнасці блакіроўкі URL на СПД аператара сувязі. У гэтым выпадку інфармацыя аб дадзеных (HTTP-адказе), атрыманая Агентам, запісваецца ў справаздачу (файл часопіса праверкі). Адміністратар сістэмы мае магчымасць сфарміраваць з дадзенага запісу шаблон новай старонкі-заглушкі, для прадухілення наступных ілжывых высноў аб адсутнасці блакавання.
Спіс таго, што павінен забяспечваць Агент
- сувязь з ЦУ для атрымання поўнага спісу URL і рэжымаў блакіроўкі, якія неабходна пратэставаць;
- сувязь з ЦУ для атрымання даных аб рэжымах праверкі. Падтрымліваюцца рэжымы: поўная аднаразовая праверка, поўная перыядычная з зададзеным інтэрвалам, выбарачная аднаразовая з зададзеным карыстальнікам спісам URL, перыядычная з зададзеным інтэрвалам праверка спісу URL (пэўнага тыпу запісаў ЕР);
- працяг выканання зададзеных працэдур праверкі па наяўным URL спісе, у выпадку немагчымасці атрымання спісу URL з ЦУ, і захоўванні атрыманых вынікаў праверак з наступнай перадачай на ЦП;
- поўнае выкананне зададзеных працэдур праверкі па наяўных URL спісах, у выпадку немагчымасці атрымання інфармацыі аб рэжымах праверкі з ЦУ, і захоўвання атрыманых вынікаў праверкі з наступнай перадачай на ЦУ;
- ажыццяўленне праверкі вынікаў блакіроўкі ў адпаведнасці з устаноўленым рэжымам;
- адпраўку на ЦУ справаздачы аб праведзенай праверцы (файл часопіса праверкі);
- магчымасць праверкі працаздольнасці СПД аператара сувязі, г.зн. праверку даступнасці спісу заведама даступных сайтаў;
- магчымасць ажыццяўляць праверку вынікаў блакіроўкі з выкарыстаннем проксі-сервера;
- магчымасць выдаленага абнаўлення ПЗ;
- магчымасць правядзення дыягнастычных працэдур на СПД (час водгуку, шлях праходжання пакетаў, хуткасць запампоўкі файлаў са знешняга рэсурсу, вызначэнне IP-адрасоў для даменных імёнаў, значэнне хуткасці атрымання інфармацыі ў зваротным канале сувязі ў правадных сетках доступу, каэфіцыент страт пакетаў, сярэдні час затрымкі перадачы пакетаў);
- прадукцыйнасць праверкі не менш за 10 URL у секунду пры ўмове дастатковасці паласы канала сувязі;
- магчымасць шматразовага звароту агента да рэсурсу (да 20 разоў), з змянянай перыядычнасцю ад 1 разу ў секунду, да 1 раза ў хвіліну;
- магчымасць стварэння выпадковага парадку запісаў спісу, які перадаецца для тэставання і заданне прыярытэту па канкрэтнай старонцы сайта ў сетцы «Інтэрнэт».
У агульным выглядзе структура выглядае так:
Праграмныя і праграмна-апаратныя рашэнні для фільтрацыі інтэрнэт-трафіку (DPI-рашэнні) дазваляюць аператарам блакаваць трафік ад карыстальнікаў да сайтаў са спісу РКН. Блакуюць іх ці не, гэта правярае кліент АС Рэвізор. Ён па спісе ад РКН у аўтаматычным рэжыме правярае даступнасць сайта.
Прыклад пратакола маніторынгу даступны .
У мінулым годзе Роскомнадзор пачаў тэставаць рашэнні для блакіроўкі, які можа прымяняць аператар для рэалізацыі дадзенай схемы аператарам. Прывяду цытату па выніках такога тэсціравання:
"Станоўчыя заключэнні Роскомнадзора атрымалі спецыялізаваныя праграмныя рашэнні "UBIC", "EcoFilter", "СКАТ DPI", "Ціксэн-Блакіроўка", "SkyDNS Zapret ISP" і "Carbon Reductor DPI".
Таксама атрымана заключэнне Роскомнадзора, якое пацвярджае магчымасць выкарыстання аператарамі сувязі праграмнага забеспячэння "ZapretService" у якасці сродку абмежавання доступу да забароненых рэсурсаў у інтэрнэце. Вынікі тэсціравання паказалі, што пры ўстаноўцы па рэкамендаванай вытворцам схеме падключэння "ў разрыў" і правільнай наладзе сеткі аператара сувязі, колькасць выяўленых парушэнняў па Адзіным рэестры забароненай інфармацыі не перавышае 0,02%.
Такім чынам, аператарам сувязі прадастаўлена магчымасць выбару найбольш прыдатнага для іх рашэння па абмежаванні доступу да забароненых рэсурсаў, у тым ліку з пераліку праграмных прадуктаў, якія атрымалі станоўчае заключэнне Раскамнагляду.
Разам з тым падчас тэставанняў праграмнага прадукта IdecoSelecta ISP з-за працяглай працэдуры яго разгортвання і налады некаторыя аператары не змаглі прыступіць да тэстаў ва ўсталяваныя тэрміны. У больш за палову аператараў сувязі, якія ўдзельнічаюць у тэставанні, тэрмін тэставай эксплуатацыі Ideco Selecta ISP не перавышаў тыдні. Улічваючы малы аб'ём атрыманых статыстычных дадзеных і невялікая колькасць удзельнікаў тэставання, Раскамнагляд у афіцыйным зняволенні звярнуў увагу на немагчымасць атрымання адназначных высноў аб эфектыўнасці прадукта «Ideco Selecta ISP» як сродку абмежавання доступу да забароненых рэсурсаў у інтэрнэце.»
Дапоўню, што ў тэставанні кожнага праграмнага прадукта прымалі ўдзел да 27 аператараў сувязі з рознай колькасцю абанентаў з розных федэральных акруг Расійскай Федэрацыі.
З афіцыйнымі заключэннямі па выніках тэсціравання можна азнаёміцца . У гэтых заключэннях практычна нуль тэхнічнай інфармацыі. Пра прадукт "Ideco Selecta ISP" можна пачытаць, каб ведаць, як не трэба рабіць.
У гэтым годзе тэставанне працягнецца і на дадзены момант, мяркуючы па навінам Роскомнадзора, узяты ўжо адзін прадукт і яшчэ 2 у бліжэйшых планах.
Што калі блакіроўка адбылася памылкова?
У завяршэнне, хацелася б нагадаць, што Раскамнагляд "не памыляецца", што пацвярджае Канстытуцыйны суд.
Пастанова, якая фактычна здымае адказнасць з Раскамнагляду за памылковую блакіроўку сайтаў, была прынята ў рамках разгляду скаргі ў КС дырэктара асацыяцыі інтэрнэт-выдаўцоў Уладзіміра Харытонава. У ёй гаварылася, што ў снежні 2012 года Раскамнагляд памылкова заблакаваў яго інтэрнэт-бібліятэку digital-books.ru. Як тлумачыў спадар Харытонаў, яго рэсурс размяшчаўся на тым жа IP-адрасе, што і партал rastamantales (.) ru (цяпер rastamantales (.) com), які і быў першапачатковым аб'ектам блакавання. Уладзімір Харытонаў паспрабаваў у судовым парадку апратэставаць рашэнне Раскамнагляду, аднак у чэрвені 2013 года Таганскі райсуд прызнаў блакіроўку законнай, а ў верасні 2013-га гэтае рашэнне пакінуў у сіле Масгарсуд.
Адтуль жа:
У Раскамнаглядзе "Коммерсанта" заявілі, што рашэннем КС задаволеныя. «Канстытуцыйны суд пацвердзіў, што Раскамнагляд выконвае закон. Калі ў аператара няма тэхнічнай магчымасці для абмежавання доступу да асобнай старонкі сайта, а не да яго сеткавага адрасу, то гэта адказнасць аператара», - сказаў «Коммерсанта» прэс-сакратар ведамства.
Гэтае пытанне актуальнае таксама для хмарных правайдэраў і хостынг-кампаній, бо падобныя інцыдэнты здараліся і з імі. У чэрвені 2016 года ў Расіі быў заблакаваны хмарны сэрвіс Amazon S3, хоць у рэестр па патрабаванні Федэральнай падатковай службы была ўнесена толькі размешчаная на яго платформе старонка покер-рума 888poker. Блакаванне ўсяго рэсурсу была злучана як раз з тым, што Amazon S3 выкарыстае абаронены пратакол https, які не дазваляе заблакаваць асобныя старонкі. Толькі пасля таго як сам Amazon выдаліў старонку, да якой узніклі прэтэнзіі ў расійскіх уладаў, рэсурс быў выключаны з рэестра.
Крыніца: habr.com