Понятие аутсорминг возникло на платформе реализации системы оперативно-розыскных мероприятий (СОРМ), утвержденной законодательством РФ для обеспечения государственной безопасности и успешной борьбы с преступностью. Предполагает обеспечение доступа оперативным органам к информационной базе сетей связи, включая персональные данные абонентов.
Предпосылки создания СОРМ
Понятие и базовые функции СОРМ были впервые введены в законодательную базу и изложены в Федеральном законе №126-ФЗ «О связи», принятом 12 августа 1995 года. В последующие годы правительственные органы России активно развивали эту систему, расширяя ее законодательные функции и возможности.
В 2016 году в РФ был принят закон, включающий в обязанность провайдеров хранение всего трафика подключенных абонентов в течение 3 лет. Постепенно СОРМ становилась значимой, полновесной и информационно емкой базой для успешной работы правоохранительных органов.
Правовая база
Законодательная основа системы и ее реализация на территории России регламентируется следующими документами:
ПОЛКОВНИК КГБ. СОРМ
- Закон РФ «Об оперативно-розыскной деятельности (ОРД)» в части ст.6, принятый 12.10.1995 года. (144-Ф3).
- Закон РФ «Об информации, информационных технологиях и защите информации», утверждающий нормативные действия и регулирующий процедуру ОРД, а также внедрение в системы связи технических средств, обеспечивающих своевременное и беспрепятственное осуществление данных мероприятий. (149-Ф3).
- Закон РФ «О связи», регламентирующий правовую базу обязанностей провайдеров и операторов связи, касающихся СОРМ. (126-ФЗ).
- Приказы Министерства связи и коммуникационных систем РФ, в которых изложены технические требования к провайдерам и операторам связи, касающиеся СОРМ, порядок их внедрения в действующую систему и дальнейшего использования.
- Нормативные законодательные акты, определяющие степень и вид ответственности за невыполнение правил, предписанных СОРМ и за нарушение конституционных прав абонентов сетей на конфиденциальность.
СОРМ-1 – историческая справка
Данная система стала первой ступенью реализации СОРМ, учрежденной в России в 1995 году. Была разработана для осуществления мероприятий оперативного розыска в части телефонной связи. Для их внедрения было разработано специальное техническое задание, предоставленное Министерству связи России в 1998 году. Спустя год был окончательно утвержден порядок применения СОРМ-1, а в 2000 году Министерство связи подписало приказ «Об утверждении правил осуществления оперативно розыскных мероприятий в сетях электросвязи» (№70).
СОРМ-1 представляет собой комплекс аппаратно-программных средств, позволяющий осуществлять контроль за передачей информации через сеть связи и сбор информации о пользователях сети. Она включает в себя программное обеспечение и оборудование, устанавливаемое на серверах операторов связи.
Приказ Минкомсвязи России № 268 «Об утверждении правил оказания услуг связи» был издан 19 ноября 2012 года и является основным нормативным документом, регулирующим деятельность операторов связи на территории Российской Федерации. В рамках этого приказа были уточнены и
За нами следят! (как устроен СОРМ)
расширены правила оказания услуг связи, ранее установленные постановлением правительства Российской Федерации № 538 от 1 июня 2004 года. В частности:
- были введены новые требования к качеству услуг связи,
- установлен порядок уведомления абонентов об изменении тарифов;
- установлены правила взаимодействия с государственными органами в случае проведения оперативно-разыскных мероприятий.
История создания СОРМ-2
СОРМ-2 была создана в России в 2001 году в результате совместной работы Минкомсвязи, ФСБ и МВД. СОРМ-2 разработана для расширения возможностей СОРМ-1, так как она позволяет осуществлять мониторинг трафика, передаваемого через сети передачи данных, включая интернет.
Это позволяет увеличить эффективность проведения оперативно-разыскных мероприятий в сетях связи.
Однако в отличие от СОРМ-1 использование СОРМ-2 для проведения оперативно-разыскных мероприятий в сетях передачи данных регулируется не только законодательством России, но и международными договорами, в которых участвует Россия, такими как Конвенция о киберпреступности Совета Европы.
Приказом Минкомсвязи России от 1 марта 2005 года № 83 «Об утверждении требований к услугам связи, предоставляемым оператором связи, организующим открытую передачу данных» были установлены требования к операторам связи, организующим открытую передачу данных. В частности, приказ устанавливает требования к качеству предоставления услуг связи, в том числе к скорости передачи данных, качеству оборудования и технической поддержке.
Кроме того, приказ № 83 содержит требования к защите конфиденциальности персональных данных, передаваемых через открытые сети связи. В соответствии с приказом операторы связи обязаны принимать меры по защите персональных данных от несанкционированного доступа и утечки информации.
Приказ Минкомсвязи РФ № 139 «Об утверждении требований к порядку оказания услуг связи и требований к обеспечению возможности их применения для осуществления оперативно-разыскных мероприятий» был подписан 17 апреля 2012 года и определял требования к провайдерам связи по обеспечению возможности осуществления оперативно-разыскных мероприятий с использованием Системы оперативно-разыскных мероприятий (СОРМ-2). Приказ уточнял и расширял правила, установленные приказом Минкомсвязи РФ № 55 от 25.02.2005 «Об утверждении требований к оказанию услуг связи и требований к обеспечению возможности их применения для осуществления оперативно-разыскных мероприятий». Он также расширил круг провайдеров, обязанных обеспечивать возможность применения СОРМ-2, включив в него провайдеров IP-телефонии и интернет-телефонии.
Для чего была проведена разработка СОРМ-3
СОРМ-3 была разработана с целью расширения возможностей оперативно-разыскных органов в сфере мониторинга электронных коммуникаций и усиления контроля за информационной безопасностью в Российской Федерации. В частности, СОРМ-3 предусматривает возможность расширения списка контролируемых данных, включая мультимедийные сообщения, и технических средств, на которые может быть установлена система. Также СОРМ-3 содержит меры по обеспечению защиты информации, получаемой
в результате мониторинга, и усовершенствование
механизмов контроля за доступом к ней.
Правовым документом, который определяет правила внедрения и использования СОРМ-3, стал приказ Минкомсвязи России № 573 «Об утверждении требований к порядку оказания услуг связи и требований к программно-техническим средствам для осуществления оперативно-разыскных мероприятий», который был опубликован 31 декабря 2019 года.
Особенности закона Яровой
В 2016 году принят закон «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам обеспечения безопасности при проведении операций в электросвязи» (более известный как закон Яровой). Он включает в себя ряд новаций, касающихся обязанностей операторов связи в области безопасности.
Основные особенности закона:
- хранение трафика. Операторы связи обязаны хранить метаданные и контент трафика своих пользователей в течение трех лет;
- установка СОРМ-3. Операторы связи обязаны устанавливать и поддерживать СОРМ-3, которая позволяет получать доступ к данным пользователей;
- обязательная идентификация. Операторы связи обязаны проводить идентификацию пользователей и хранить информацию об их паспортных данных;
- уведомление о блокировке. Операторы связи обязаны уведомлять пользователей обо всех блокировках и ограничениях доступа к сервисам и сайтам.
Закон вызвал общественные дискуссии и критику в связи с нарушением прав и свобод граждан, а также в связи с высокой стоимостью для операторов связи, связанной с необходимостью приобретения и обслуживания оборудования для установки СОРМ-3.
Времена мизерных штрафов за утечку персональных данных прошли. Что дальше?
Статьи ITGLOBAL.COM Security
Проблемы реализации закона Яровой
1. С реализацией закона Яровой возникло несколько проблем.
2. Высокие затраты на обновление и модернизацию сетей связи и программного обеспечения для соответствия требованиям закона.
3. Недостаточное количество специалистов, знакомых с требованиями и методами реализации закона.
4. Нарушение прав на конфиденциальность персональных данных пользователей, так как требования закона предполагают сбор и хранение данных о пользователях без их согласия.
5. Нарушение свободы информации и права на конфиденциальность переписки, так как закон позволяет правоохранительным органам иметь доступ к переписке и трафику пользователей.
6. Риск утечки персональных данных пользователей и злоупотребления ими.
7. Отсутствие эффективного механизма контроля за исполнением требований закона, а также за надлежащим использованием полученных данных.
8. Ограничение доступа к некоторым сервисам и ресурсам в интернете, что может привести к нарушению прав пользователей на свободный доступ к информации.
Покупка оборудования СОРМ
Оборудование СОРМ продают специализированные поставщики, которые имеют соответствующую сертификацию регулирующими органами на производство и поставку такого оборудования.
Обычно для закупки оборудования СОРМ нужно связаться с поставщиком и подать заявку. Затем поставщик проводит проверку документов и высылает коммерческое предложение. Если условия устраивают заказчика, заключается договор и происходит оплата. При этом следует учитывать, что покупка и использование оборудования СОРМ регулируется законодательством
Российской Федерации, а также может потребовать согласования с соответствующими органами власти.
Самым большим недостатком покупки аппаратно-программного комплекса (АПК) технических средств СОРМ является необходимость ежегодной оплаты его технического обслуживания, которая составляет 8–12% от его базовой стоимости. А с учетом роста рынка услуг связи модернизация собственного комплекса будет создавать постоянную финансовую нагрузку на оператора связи.
Проблемы интеграции АПК СОРМ с сетями операторов связи
Интеграция АПК СОРМ с сетями операторов связи может вызывать некоторые проблемы и ограничения в связи с техническими, юридическими и экономическими факторами.
Технические проблемы.
СОРМ-технологии требуют специального оборудования и программного обеспечения для реализации функционала, который бы обеспечил прослушивание, перехват фильтрацию и анализ трафика. Кроме того, СОРМ должна быть совместима со всеми типами технологий связи, включая сотовые сети, IP-телефонию, VoIP и т.д.
Юридические проблемы.
Владельцы компаний — операторов связи должны соблюдать ряд юридических норм и правил, чтобы удовлетворить требования законодательства, регулирующего телекоммуникационные услуги. В России операторы связи обязаны предоставлять технические возможности для реализации СОРМ, а также сохранять данные, полученные в ходе прослушивания трафика. Это может вызвать определенные юридические проблемы, так как операторы связи обязаны защищать конфиденциальность пользователей.
Экономические проблемы.
Интеграция СОРМ может привести к дополнительным затратам на приобретение оборудования, его настройку, обучение персонала, создание инфраструктуры и т.д. Кроме того, СОРМ может замедлить процесс передачи данных, что может негативно повлиять на качество услуг и удовлетворенность клиентов.
Проблемы состава данных.
В соответствии с законодательством РФ операторы обязаны собирать и хранить актуальные данные о своих клиентах.
Помимо задачи поддержания постоянной актуальности этих данных возникает вопрос формата хранения — не каждый, даже сертифицированный биллинг в состоянии сформировать набор данных, подходящий для загрузки в АПК СОРМ.
Аренда оборудования СОРМ и интеграция с сетями присоединенных операторов связи
Одним из возможных решений проблемы интеграции решений СОРМ с сетями связи большинства операторов может стать аренда оборудования СОРМ.
Однако это решение также не лишено проблем и недостатков. Оно может:
- привести к ограничению доступа к коммуникационным услугам для пользователей других операторов связи, которые не являются присоединенными к СОРМ;
- быть дополнительной финансовой нагрузкой для операторов связи, которые должны будут арендовать оборудование СОРМ и интегрироваться с ним.
Кроме того, данный подход не решает проблему технической сложности интеграции СОРМ с сетями операторов связи.
Для того чтобы обеспечить полноценную работу системы СОРМ, необходимо проводить ее интеграцию с сетями всех операторов связи, что может потребовать дополнительных затрат времени и ресурсов.
В целом проблема интеграции СОРМ с сетями операторов связи является сложной и требует комплексного подхода для ее решения.
Аутсорминг
Еще одним решением может стать аутсорсинг СОРМ (аутсорминг) — услуга, при которой оператор связи перепоручает работу по реализации системы оперативно-разыскных мероприятий присоединяющему оператору связи на основании совместного приказа Минцифры и ФСБ России от 28.03.2022 года при соблюдении ряда технических условий.
- прохождение всего трафика через единственного присоединяющего оператора связи;
- наличие актов ввода в эксплуатацию технических средств присоединяющего оператора связи.
Правовые особенности аутсорсинга СОРМ заключаются в следующем:
- необходимо заключить договор на оказание услуг по СОРМ между оператором связи и компанией-аутсормером (по аналогии с аутсорсером). Договор должен учитывать требования законодательства, касающиеся СОРМ;
- необходимо согласовать с Роскомнадзором все документы, связанные с внедрением СОРМ. Компания-аутсормер должна иметь соответствующие лицензии на реализацию СОРМ и соответствовать всем требованиям закона;
- оператор связи несет ответственность за безопасность передаваемой информации, поэтому компания-аутсормер должна обеспечивать сохранность данных, получаемых при использовании СОРМ;
- аутсорминг должен осуществляться в соответствии с требованиями закона, в том числе в отношении обработки персональных данных;
- оператор связи должен осуществлять контроль за деятельностью компании-аутсормера и обеспечивать соблюдение закона при использовании СОРМ;
- компания-аутсормер обязана соблюдать конфиденциальность информации, полученной в результате использования СОРМ.
Аутсорминг
Вопрос целесообразности аутсорминга в значительной степени зависит от потребностей конкретной организации или государственного учреждения, ответственного за реализацию СОРМ. Однако можно выделить несколько преимуществ, общих для всех.
1. Экономия затрат. При покупке собственного оборудования необходимо потратить значительную сумму на его приобретение и установку, а также на обучение сотрудников и обеспечение необходимых условий для его эксплуатации. При аутсорсинге же все эти затраты несет поставщик услуг.
2. Прогнозируемость расходов. Апгрейд собственных технических средств СОРМ может приводить к значительным затратам на дооснащение комплекса производителем на текущих рыночных условиях, без возможности перейти на решение альтернативного вендора. А также стоимость расширения пропускной полосы в случае увеличения трафика заранее будет зафиксирована в договоре с компанией-аутсорсером.
3. Гибкость и масштабируемость. При покупке собственного оборудования возможны проблемы с масштабированием и адаптацией к изменяющимся требованиям. Аутсорсинг позволяет гибко масштабировать ресурсы в зависимости от потребностей и обеспечивает более высокую гибкость, что важнопри расширении списка оказываемых оператором связи услуг.
4. Экспертиза и опыт поставщика. Компании, специализирующиеся на аутсорсинге СОРМ, обладают большим опытом и экспертизой в этой области, что позволяет им более эффективно решать проблемы и обеспечивать качественное обслуживание.
5. Безопасность. Аутсорсинг СОРМ может обеспечивать более высокий уровень безопасности за счет использования специальных мер и технологий защиты, которые могут быть недоступны при самостоятельной реализации.
6. Удобство. Аутсорсинг СОРМ позволяет компании сосредоточиться на своей основной деятельности, не тратя время и ресурсы на обеспечение функционирования СОРМ.
Источник: reconn.ru
СОРМ: определение, версии, особенности
СОРМ (сокр. от система технических средств для обеспечения функций оперативно-разыскных мероприятий) — аббревиатура и концепция, которая в последние годы стала известна не только операторам связи, но и рядовым пользователям. Вероятность «тотальной слежки» и вторжения в частную жизнь вынуждает людей задумываться о том, какой информацией они обмениваются в Интернете и по телефону. Но в действительности беспокоиться и нести лишние убытки приходится только операторам связи. В этой статье расскажем об идее СОРМ и ее версиях.
Что такое СОРМ
Комплекс СОРМ начали разрабатывать еще в 80-х. С тех пор свет увидели 3 типа СОРМ:
- СОРМ-1 — система для прослушивания телефонных линий;
- СОРМ-2 — аналогичная система для контроля интернет-трафика;
- СОРМ-3 — система, которая способна не только контролировать все виды связи, но и хранить полученные данные и информацию об абонентах.
Идея и основная цель создания СОРМ — гарантировать безопасность страны и ее жителей за счет выборочного контроля информации. ФСБ (Федеральная служба безопасности) контролирует лишь те субъекты, которые оказались под подозрением, а также уже выявленные или потенциальные угрозы. Сотрудников органов не интересует личная жизнь граждан и их деятельность в Интернете до тех пор, пока это никому не угрожает.
Аналоги СОРМ разработали и в других странах. В Европе ETSI (European Telecommunications Standards Institute), а в Штатах — CALEA (Communications Assistance for Law Enforcement Act). Российская система отличается от зарубежных тем, что сотруднику ФСБ не нужно предъявлять судебный ордер для получения необходимой информации.
Государственное регулирование СОРМ
Разработка аппаратных комплексов СОРМ ведется на основании нескольких приказов Госкомсвязи, Минкомсвязи и постановлений Правительства РФ, выпущенных с 1999 по 2014 года. Их основная идея состоит в том, чтобы обязать операторов связи «предоставлять уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, информацию о пользователях услугами связи и об оказанных им услугах связи, а также иную информацию, необходимую для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами». Но ежегодно требования ужесточаются.
В июле 2018 года, после подписания Владимиром Путиным, вступили в силу поправки авторства депутаты Ирины Яровой и сенатора Виктора Озерова. С тех пор все операторы связи и организации, предоставляющие доступ в Интернет должны хранить всю информацию полгода, а данные о ее передаче третьим лицам — 3 года. Под информацией в данном случае подразумевается весь трафик: файлы, электронные письма, разговоры и т.п. Кроме того, операторы и провайдеры должны открывать правоохранителям ключи шифрования, если какие-либо данные были зашифрованы.
СОРМ-1, СОРМ-2, СОРМ-3
СОРМ-1
Эта система была разработана более 30 лет назад и ее единственная функция — прослушивание телефонных разговоров. Ее устройство не требует дополнительных пояснений, в отличие от двух последующих версий.
СОРМ-2
Система, разработанная для осуществления надзора за пользователями Интернета на территории России. С технической точки зрения СОРМ-2 — это сервер, соединенный с устройствами интернет-провайдера. При этом провайдер остается не в курсе целей и методов наблюдения.
Как это работает на практике?
Соответствующие ведомства приступают к слежке за конкретным человеком в том случае, если его подозревают в преступлении или планировании преступления. Такие действия совершенно законны и регулируются законами и приказами. С точки зрения подозреваемого и его интернет-провайдера слежка происходит совершенно незаметно. Чтобы не потерять лицензию, все операторы связи и провайдеры на территории России обязаны установить оборудование СОРМ, поэтому единственный способ избежать слежки — вовсе не пользоваться Интернетом.
СОРМ-3
Система СОРМ-3 была разработана, чтобы получать данные о пользователе не только в настоящий момент, но также за период до 3-х лет. То есть новая версия СОРМ собирает и хранит статистику о действиях человека в Интернете. Масштаб действия СОРМ-3 намного больше, чем у предыдущих версий системы. Она направлена на выявление и предотвращение не мелких правонарушений, а более крупных случаев осуществления незаконной деятельности.
Как это работает на практике?
Для сбора и хранения настолько больших объемов данных используются большие системы хранения и DPI (Deep Packet Inspection). Это помогает фильтровать лишнюю информацию, например, тяжелый медиаконтент, изображения, видео, аудио, игры и пр. Корректная работа системы зависит от каналов связи, которые идут от сетевого оборудования оператора связи к СОРМ-3. При этом функции СОРМ-3 позволяют «привязываться» к определенным признакам пользователя, например электронной почте, геолокации и номерам телефонов.
Какое оборудование необходимо для работы СОРМ-3?
Оборудование, которое использовалось для СОРМ-2 не подходит для новой версии системы. Для реализации новой схемы оператору связи необходимо приобрести:
- сервер для СКАТ DPI с лицензией не ниже FLTR,
- сервер для СКАТ ИС СОРМ 3 с соответствующей лицензией,
- систему хранения данных.
После этого оператор получит все преимущества системы контроля и анализа трафика (СКАТ DPI), а также выполнит требования законодательства в отношении СОРМ.
Получить консультацию по выбору решения СОРМ-3 и DPI можно у специалистов разработчиков решения – VAS Experts.
Источник: www.computerra.ru
Что такое СОРМ и как уберечь личную жизнь от спецслужб
Вероятнее всего, спецслужбы не расскажут вам, что вы стали объектом оперативно-розыскных мероприятий (ОРМ). Самостоятельно узнать, что за вами следят, практически невозможно. По российским законам, установить прослушку на ваш телефон и перехватить ваш интернет-трафик можно только в случае, если вы подозреваетесь в совершении средних, тяжких и особо тяжких преступлений. Но на практике спецслужбы могут следить за всеми, кто неугоден российским властям. Даже необходимое для начала ОРМ решение суда спецслужбы, по закону, могут получить постфактум.
Что такое СОРМ
СОРМ — «Система оперативно-розыскных мероприятий». Ее разработали еще для КГБ в конце 1980-х годов. Сегодня на вооружении российских спецслужб работают системы СОРМ-1, СОРМ-2 и СОРМ-3.
- СОРМ-1 – это телефонная «прослушка» подозреваемых. Она регулируется приказами Минкомсвязи России от 19.11.2012 № 268 (фиксированная телефония) и от 12.12.2016 № 645 (сотовая связь).
- СОРМ-2 – это контроль содержимого интернет-соединений сети передачи данных. Регулируется приказом Минкомсвязи России от 16.04.2014 № 83 .
- СОРМ-3 – это информационная система баз данных. Регулируется приказом Минкомсвязи России от 29.10.2018 № 573 .
СОРМ-1
Согласно приказу Минкомсвязи, который постоянно обновляется с развитием технологий, все телефонные операторы обязаны по первому запросу спецслужб передавать на «пульт управления» СОРМ-1 звонки, СМС, любой трафик «объекта контроля» и сервисную информацию или логи (включение или выключение телефона и так далее).
Что если купить сим-карту, которая оформлена не на меня?
Итак, вы купили «анонимную симку». Как только вы вставите ее в свой мобильник, он отправит оператору идентификатор сим-карты и IMEI аппарата. Учитывая, что ваш телефон раньше не был «анонимным», ваша сим-карта будет «привязана» оперативниками к вашей личности.
Очевидно, что если вы вставите «анонимную симку» в «анонимный мобильник», купленный на радиорынке, то спецслужбам будет куда сложнее вас вычислить, но и тут у них есть методы. Все дело в том, что ваш личный мобильник с вашей личной сим-картой находится вблизи нового «анонимного» и по синхронным перемещениям два аппарата можно связать с одним человеком.
Если вы решили отключать свой телефон на время использования «анонимного», то спецслужбы смогут вас вычислить по отчетам оператора о включении и выключении аппарата и составить пару устройств. Это, конечно, будет достаточно непросто. Даже если вы просто будете оставлять свой телефон, отходить на приличное расстояние и только там начинать пользоваться «анонимным», у оперативников будет возможность вычислить вас по включениям и выключениям телефонов.
«Анонимные симки» стоят совсем недорого. Минусами такого приобретения можно назвать то, что все сим-карты будут из одной или соседних партий, что позволит установить связь между ними. Если же вы будете покупать сим-карты в розницу, то чтобы набрать 50 штук, вам придется объехать все интернет-магазины в вашем городе, что, вероятно, оставит вас в памяти продавцов последних двух мест надолго.
Источник: camslider.ru