Какие данные о пользователе следует хранить для сыска в Сети – проект приказа Минкомсвязи

Вика Рябова
14.08.2017
Категории: Актуально, Новости, проекты НПА, Регулирование
Теги: Закон Яровой, регулирование интернета, сорм

Минкомсвязь разместила на портале общественных обсуждений проект приказа об утверждении требований к оборудованию и программно-техническим средствам, используемым организатором распространения информации в Интернете в эксплуатируемых им информационных системах, обеспечивающих выполнение установленных действий при проведении оперативно-разыскных мероприятий (ОРМ).

Напомним, согласно поправкам, содержащимся в «пакете Яровой», федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» дополнен статьей 10.1. «Обязанности организатора распространения информации в сети «Интернет».

Минкомсвязь разработала правила применения оборудования для хранения голосовой информации – во исполнение «закона Яровой»

Пунктом 4 этой статьи установлено, что организатор распространения информации в Интернете обязан обеспечивать реализацию установленных федеральным органом исполнительной власти в области связи по согласованию с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, требований к оборудованию и программно-техническим средствам (ПТС), используемым указанным организатором в эксплуатируемых им информационных системах, для проведения этими органами в случаях, установленных федеральными законами, мероприятий в целях реализации возложенных на них задач, а также принимать меры по недопущению раскрытия организационных и тактических приёмов проведения данных мероприятий.

Поправки вступают в силу с 1 июля 2018 года. Для обеспечения действия закона и потребовался приказ Минкомсвязи, проект которого опубликован на regulation.gov.ru.

Организаторы распространения информации

Согласно закону №149-ФЗ, организатором распространения информации в Интернете (ОРИ) «является лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приёма, передачи, доставки и (или) обработки электронных сообщений пользователей сети Интернет».

Реестр организаторов распространения информации формируется Роскомнадзором совместно с органами, осуществляющими оперативно-розыскную деятельность, и органами государственной безопасности. Организаторы распространения информации обязаны предоставить в Роскомнадзор контактные сведения, необходимые для внесения в реестр и дальнейшего взаимодействия.

В настоящее время в реестре зарегистрировано 89 организаторов распространения информации.

Минкомсвязь хочет обязать госорганы хранить сведения о лицах, использующих их оборудование при оказании услуг связи

Программно-технические средства ОРМ ОРИ предназначены для получения, хранения, обработки и предоставления уполномоченным государственным органам, осуществляющим в соответствии с Федеральным законом от 12 августа 1995 г. №144-ФЗ «Об оперативно-розыскной деятельности» оперативно-разыскную деятельность, следующих данных:

о зарегистрированных пользователях, изменениях, дополнениях регистрационных данных;
информации о фактах приёма, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, местоположения, случаях авторизации или и прекращения авторизации пользователей в информационных системах ОРИ, или иных электронных сообщений интернет-пользователей и информации об этих пользователях – в течении одного года с момента окончания их приёма, передачи, доставки и (или) обработки;
текстовых сообщений интернет-пользователей, голосовой информации, изображений, звуков, видео-, иных электронных сообщений пользователей – в течение шести месяцев с момента окончания их приёма, передачи, доставки и (или) обработки;
иной информации, необходимой для выполнения возложенных на уполномоченные органы задач в порядке и случаях, установленных федеральными законами.

Под «иной информацией» следует понимать справочные данные организатора распространения информации, необходимые уполномоченному органу для идентификации событий и действий пользователей в информационных системах (ИС) ОРИ, поясняется в проекте приказа.

Проект приказа конкретизирует состав накапливаемой программно-техническими средствами ОРМ информации о пользователях:

идентификатор пользователя в ИС ОРИ;
дата и время регистрации пользователя;
дата и время заключения договора на обслуживание ИС ОРИ в случае заключения договора;
номер договора;
информация, внесенная пользователем:

псевдоним пользователя;

дата рождения;

внесённые пользователем адрес, имя, паспортные данные либо иные идентификаторы документов, удостоверяющих личность;

языки, о владении которыми сообщил пользователь;

список идентификаторов в ИС ОРИ, указанные пользователем как родственники;

внесённые пользователем принадлежащие ему идентификаторы в других средствах электронного взаимодействия, в т.ч. наименование сервиса и идентификатор;
дата и время последнего обновления пользователем регистрационной информации;
дата и время прекращения регистрации пользователя в ИС ОРИ;
дополнительная информация о пользователе, фиксируемая ИС ОРИ.

Минкомсвязь уточнила правоприменение конкретных норм по «закону Яровой»

В список информации о различных действиях пользователей входит, например, дата и время действия; IP-адрес и порт; номер мобильного телефона; адрес электронной почты; идентификатор платёжной системы, валюты, суммы, оплачиваемой услуги или товаров (при наличии); суммы прихода либо расхода, иных данных, указанных при осуществлении транзакции; местоположение пользователя в случае её фиксации и пр.

Малым операторам связи позволят использовать техсредства присоединяющего оператора для экономии на СОРМ

Документ описывает требования, предъявляемые к временным характеристикам обработки, поиска информации и выполнения задач ПТС ОРМ.

Так, время предварительной обработки информации с момента ее поступления в ПТС ОРМ до момента, когда она становится доступной для выполнения запросов, не должна превышать следующих значений:

60 секунд – для данных о внесённых пользовательских данных после завершения процедуры регистрации, изменения регистрационных данных, иных дополнений, внесенных пользователями;
5 минут – для данных о фактах авторизаций и выхода из информационного сервиса, регистрации, прекращениях регистрации;
5 минут с момента наступления события – для данных о фактах приёма, передачи и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков или иных электронных сообщений; информацию об организации приёма, передачи, доставки и (или) обработки электронных сообщений, осуществляемых с использованием технологий электронных платежных систем, в том числе информацию о произведенных денежных операциях и пр.

Время выполнения поисковой задачи программно-техническими средствами ОРМ не должно превышать следующих значений:

5 секунд – для данных о принадлежности идентификатора пользователя ИС ОРИ;
10 секунд – для данных, внесённых при регистрации пользователя, дополненных, изменённых в регистрационных данных пользователя;
10 секунд – по идентификатору пользователя для данных об изменениях в связанных с пользователем идентификаторов других пользователей ИС ОРИ.

Также в приложениях к проекту приказа описаны технические требования к ПТС ОРМ.

Обсуждение документа продлится до 6 сентября.