Як ви пам'ятаєте, на початку травня 2019 року президент підписав закон «Про суверенний інтернет», який набуде чинності 1 листопада. Закон номінально покликаний забезпечити стабільну роботу російського сегменту інтернету за відключення від всесвітньої мережі або скоординованих атак. А що далі?
Наприкінці травня Мінкомзв'язку підготувало проект ухвали уряду «Про затвердження Порядку централізованого управління мережею зв'язку загального користування». Ознайомитись з повним текстом проекту та ходом його обговорення можна на .
Ця постанова визначає «Порядок централізованого управління мережею зв'язку загального користування». Тобто за яких умов вітчизняний сегмент мережі інтернет зроблять «суверенним». А також хто і на якій підставі це робитиме (ну чи під яким приводом, тут уже кожному своє).
У загальному вигляді проект включає:
- види загроз стійкості, безпеки та цілісності функціонування мережі;
- регламент визначення загроз, заходи щодо їх усунення;
- вимоги до організаційно-технічної взаємодії у межах централізованого управління мережею;
- способи визначення Роскомнаглядом технічної можливості виконання вказівок, у межах централізованого управління мережею;
- умови та випадки, за яких оператор зв'язку має право не спрямовувати трафік через технічні засоби протидії загрозам.
Коли інтернет особливо небезпечний
Щодо останнього пункту списку, то в проекті виділено три типи загроз:
- загрози цілісності мережі — загрози порушення здатності взаємодії мереж зв'язку, при якому стає неможливим встановлення з'єднання та (або) передача інформації між користувачами послуг зв'язку.
- загрози стійкості мережі — загрози, за яких порушується здатність мережі зберігати свою цілісність у стандартних режимах експлуатації, при відмові частини елементів мережі зв'язку та повертатися у вихідний стан (надійність мережі зв'язку), а також за зовнішніх дестабілізуючих впливів природного та техногенного характеру (живучість мережі зв'язку).
- загрози безпеці функціонування мережі — загрози порушення здатності оператора зв'язку протистояти спробам несанкціонованого доступу до технічних та програмних засобів мережі та навмисних атак, наслідком яких може бути порушення функціонування мережі зв'язку.
Мінкомзв'язок за погодженням із ФСБ визначає перелік актуальних загроз. Імовірності реалізації загрози можуть бути присвоєні рівні: низький, середній, високий. Рівень небезпеки може встановлюватися: низьким, середнім, високим.
Імовірність реалізації та рівень небезпеки визначає Росокомнагляд, виходячи з даних моніторингу мережі. Перелік актуальних загроз має бути опублікований на їхньому офіційному сайті.
Але найголовніше:
«Централізоване управління мережею зв'язку загального користування здійснюється у разі актуальності загрози, ймовірність реалізації якої висока та (або) рівень небезпеки якої визначено високим.»
Горщик, не вари
Крім «Порядку централізованого управління…» було внесено ще один законопроект. «Про затвердження положення про проведення навчань щодо забезпечення сталого, безпечного та цілісного функціонування інформаційно-телекомунікаційної мережі «інтернет» та мережі зв'язку загального користування на території Російської Федерації» ().
Цей проект «визначає порядок проведення навчань щодо підвищення інформаційної безпеки, цілісності та стійкості функціонування інформаційно-телекомунікаційної мережі «Інтернет» та мережі зв'язку загального користування на території Російської Федерації…». Визначення навчань у цьому проекті дається так:
«Вчення являють собою сукупність організаційних, технічних і тактичних заходів, спрямованих на виконання учасниками навчань завдань в умовах конкретної ситуації виникнення загроз цілісності, стійкості та безпеки функціонування на території Російської Федерації мережі «Інтернет» та мережі зв'язку загального користування.»
Навчання проводяться на федеральному та регіональному рівнях. Учасниками цих навчань, згідно з постановою, є:
«оператори зв'язку, власники або інші власники технологічних мереж зв'язку, власники або інші власники точок обміну трафіком, власники або інші власники ліній зв'язку, що перетинають Державний кордон Російської Федерації, інші особи, якщо такі особи мають номер автономної системи, а також Міністерство цифрового розвитку, зв'язку та масових комунікацій Російської Федерації, Федеральна служба безпеки Російської Федерації, Міністерство оборони Російської Федерації, Федеральна служба охорони Російської Федерації, Міністерство Російської Федерації у справах цивільної оборони, надзвичайних ситуацій та ліквідації наслідків стихійних лих, Федеральна служба з нагляду у сфері зв'язку, інформаційних технологій та масових комунікацій, Федеральне агентство зв'язку. До участі в навчаннях можуть залучатися інші органи державної влади та органи місцевого самоврядування за рішенням Міністерства цифрового розвитку, зв'язку та масових комунікацій Російської Федерації.
Заявленими цілями навчань є:
- забезпечення безпеки, цілісності та стійкості функціонування Інтернету та мережі зв'язку загального користування на території РФ;
- забезпечення безпеки, цілісності та стійкості функціонування Інтернету РФ (так, вже визначили, що є «Інтернет» Російської Федерації);
- відновлення мереж зв'язку під час надзвичайних ситуацій природного та техногенного характеру.
Основні завдання навчань виглядають так:
- визначення та практична реалізація заходів щодо виявлення загроз інформаційній безпеці, цілісності та стійкості функціонування інформаційно-телекомунікаційної мережі «Інтернет» та мережі зв'язку загального користування на території Російської Федерації, а також уточнення моделей загроз;
- актуалізація норм, вкладених у забезпечення стійкості функціонування інформаційно-телекомунікаційної мережі «Інтернет» та мережі зв'язку загального користування біля Російської Федерації;
- навчання застосування прийомів щодо забезпечення стійкості функціонування інформаційно-телекомунікаційної мережі «Інтернет» та мережі зв'язку загального користування на території Російської Федерації;
- дослідження та вдосконалення прийомів та способів забезпечення захищеності інформаційно-телекомунікаційної мережі «Інтернет» та мережі зв'язку загального користування на території Російської Федерації.
З плану наказом Минкомсвязи Росії визначаються керівник навчання і посадові особи у складі керівництва навчань, посередницького апарату, контрольних і дослідницьких (за потреби) груп, і навіть організації у сфері зв'язку, що у навчаннях.
До складу організацій, що беруть участь у навчаннях, можуть входити оператори зв'язку, у тому числі власники точок обміну трафіком, власники ліній зв'язку та технологічних мереж зв'язку, особи, що мають номери автономних систем.
Протягом місяця після закінчення навчань Центром моніторингу та управління мережею зв'язку загального користування при взаємодії з федеральними органами виконавчої влади та організаціями в галузі зв'язку здійснюється всебічний аналіз, зіставлення, перевірка та узагальнення матеріалів про проведені навчання, за результатами розробляється висновок.
Висновок затверджується Мінкомзв'язку за погодженням з Міноборони РФ, ФСБ і ФСТ, і містить рекомендації щодо підвищення інформаційної безпеки, цілісності та стійкості функціонування Інтернету та мережі зв'язку загального користування на території РФ та план заходів щодо їх реалізації.
Висновки
А їх не буде. Занадто багато здогадів щодо цього. Цілком імовірно, що на додаток до всіх IT-компаній для нормальної роботи доведеться отримувати чергові ФСБ, ФСТЕК чи інших дуже важливих організацій. А може, будуть тести на здатність працювати за умов відключення від всесвітньої мережі. Хто знає, що день прийдешній нам готує?
Джерело: habr.com