О штрафах ОРИ за невыполнение требований законодательства уже писал ранее в блоге-https://valerykomarov.blogspot.com/2018/07/blog-post_11.html.
Жизнь ОРИ продолжает усложняться.
Напомню, что "Организатором распространения информации в сети "Интернет" является лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет"."
Например, известный форум по ИБ Алексея Комарова числится в Реестре РКН как ОРИ
Организатор распространения информации в сети «Интернет» | |
Реестровый номер | 117-PP |
Дата регистрации в реестре | 01.02.2018 |
Фамилия, инициалы | Комаров А.В. |
Сервис №1 | rucybersecurity.ru |
Описание сервиса | На форуме ruCyberSecurity обсуждаются практические вопросы информационной безопасности, выполнение законодательных требований и другие смежные вопросы. #ИБ #ИТ #АСУТП #КИИ #АСУП |
Электронный адрес администратора сервиса | forum@rucybersecurity.ru |
Доступ | Не ограничивается |
Вот табличка из Приказа Минкомсвязи России от 29.10.2018 № 571
"Об утверждении Требований к оборудованию и программно-техническим средствам, используемым организатором распространения информации в сети "Интернет" в эксплуатируемых им информационных системах, для проведения уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, мероприятий в целях реализации возложенных на них задач"
NN
|
Количество зарегистрированных пользователей,
тысяч
|
Количество параметров контроля, не менее
|
1
|
< 1
|
100
|
2
|
1 - 10
|
2000
|
3
|
10 - 100
|
5000
|
4
|
100 - 500
|
7000
|
5
|
500 - 1000
|
10000
|
6
|
1000 - 10000
|
20000
|
7
|
> 10000
|
50000
|
И уже есть проект отдельного совместного приказа ФСБ и Минкомсвязи
"Об утверждении типовых Требований к плану мероприятий по внедрению оборудования и программно-технических средств"
ж) срок выполнения работ по организации линий и (или) каналов связи для подключения программно-технических средств к пункту управления уполномоченного подразделения (в соответствии с техническими условиями подключения, предоставленными организатору распространения информации);
з) срок реализации согласованных с уполномоченным подразделением мер по недопущению раскрытия организационных и технических приемов проведения оперативно-разыскных мероприятий, а также неразглашению третьим лицам любой информации о конкретных фактах и содержании взаимодействия с уполномоченным подразделением;
и) срок разработки схемы внедрения программно-технических средств (с учетом их размещения только на территории Российской Федерации);
к) срок разработки перечня лиц, привлекаемых к установке программно-технических средств, а также лиц, привлекаемых к их обслуживанию;
л) срок разработки инструкции по взаимодействию персонала организатора распространения информации и (или) лиц, обслуживающих программно-технические средства, с уполномоченным подразделением;
м) срок выполнения пусконаладочных работ по подключению программно-технических средств к пункту управления уполномоченного подразделения;
н) срок проведения опытной эксплуатации программно-технических средств, включая устранение замечаний, выявленных в ходе опытной эксплуатации;
о) срок разработки методики проведения приемо-сдаточных испытаний программно-технических средств;
п) срок проведения и оформления акта приемо-сдаточных испытаний программно-технических средств.
Недавно опубликован для общественного обсуждения проект ПП РФ "О Правилах хранения организаторами распространения информации в информационно-телекоммуникационной сети «Интернет» информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет» и информации об этих пользователях, предоставления ее уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации" https://regulation.gov.ru/projects#npa=101794
Очень "радуют"требования в Постановлении Правительства, принимаемого в 2020 году о том, что ОРИ должны обеспечить его выполнение до 1 февраля 2015 года.
Вот взял исполнитель текст Постановление Правительства РФ от 31.07.2014 № 759 и заменил Медведева на Мишустина. Бац-бац и готово. До 22 мая можем подавать замечания и предложения.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
Добрый день!
ОтветитьУдалитьСтранное отнесение к ОРИ в отношении Алексея Комарова - в определении указывается "лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ", а фактически фиксируется владелец форума (тот кто организовал, создал информационный контент). Обеспечением функционирования ИС и программ в данном случае может заниматься вообще сторонняя организация, у которой данные ИС и/или программы были арендованы.
Смысл отнесения к термину "Организатор" понятен, но формулировка определения данного термина, как мне кажется, не отражает сути вкладываемой в сам термин. Не претендую на правильность утверждения, просто высказал свои предположения.
Если, например, рассмотреть соцсеть ВКонтакте и Однокласники - организовав там свою страничку я буду ее организатором и буду определять и отвечать за размещаемые на ней материалы, но обеспечение функционирования средств, на которых организована эта страница лежит на плечах владельца этих средств (при этом сервер принадлежит одной компании, браузер или мобильное приложение, с помощью которых информация добавляется, распространяется, удаляется - принадлежит и обслуживается (выход обновлений и автоматическое обновление) - другим компаниям).
Алексей Комаров добровольно вносил и свой блог в Реестр ОРИ, через год исключил себя из него.
ОтветитьУдалитьФормулировки термина "ОРИ" очень широкие в законодательстве.Пока судебная практика на стороне ФСБ и РКН при отнесении "попавших" к ОРИ.
ОтветитьУдалитьВ том-то и дело - сложно однозначно определить.В принципе оплату аренды средств и сервисов - также можно считать обеспечением функционирования (не оплатил - не функционирует ресурс).
Удалить