Регулирование / Статьи
операторы технологии
17.5.2019

Как устроен СОРМ?

Работа системы оперативно-розыскных мероприятий в сетях операторов связи

Спецслужбы и силовые ведомства во всем мире имеют доступ к информации, которой обмениваются граждане в коммуникационных сетях. В одних странах это происходит по умолчанию, в других получить право на «прослушку» необходимо через суд. В России все операторы обязаны устанавливать на своих сетях специальные технические устройства, которые относятся к автоматизированной системе под названием СОРМ. Генеральный директор ООО «ОрдерКом», к.ю.н. Дмитрий Галушко объясняет, что собой представляет СОРМ, в чем разница между поколениями этой системы и с какими трудностями при внедрении СОРМ-3 сталкиваются сейчас российские операторы.


ЧТО ТАКОЕ СОРМ?

СОРМ – это аббревиатура, которая обозначает систему оперативно-розыскных мероприятий. С юридической точки зрения, в отношении деятельности операторов более корректно говорить о технических средствах СОРМ (ТС СОРМ).

Согласно закону от 12.08.1995 № 144-ФЗ «Об оперативно-розыскной деятельности» (ОРД), мероприятия СОРМ осуществляются по решению суда.

Лицензия на деятельность в области связи обязывает операторов реализовать на своих сетях технические мероприятия в области СОРМ. В соответствии с правилами взаимодействия, утвержденными постановлением правительства от 27.08.2005 №538,

оператор, получивший лицензию Роскомнадзора, обязан в течение 45 дней обратиться в ФСБ России

В ведомстве ему определят уполномоченного, с которым оператор в дальнейшем будет взаимодействовать по вопросам реализации СОРМ.

Если плана нет, уполномоченное подразделение ФСБ в срок до трех месяцев с даты подачи заявления совместно с оператором ведет его разработку. Итоговый документ составляется в трех экземплярах: для ФСБ, территориального управления Роскомнадзора и оператора.

Согласно плану, ФСБ выдает технические условия, а оператор устанавливает за свой счет ТС СОРМ. Затем происходит их тестирование и подписывается акт ввода в эксплуатацию.


НАСКОЛЬКО ЭФФЕКТИВНЫ ТС СОРМ ПРИ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ?

Это государственная тайна. В открытых источниках есть только данные, что СОРМ, к примеру, помогла найти похищенного сына Евгения Касперского.


ИЗ ЧЕГО СОСТОИТ СОРМ?

Из трех основных частей:

  1. Пульт управления (ПУ). За государственный счет устанавливается у оператора органом, осуществляющим оперативно-розыскную деятельность (ОРД).
  2. Съемник. Технические средства (коммутатор, сервер, плата в автоматической телефонной станции), которые устанавливаются на сети оператора связи за его счет.
  3. Каналы связи. В том числе виртуальные (VPN) между ПУ и съемником. Работы по организации канала связи тоже производятся за счет оператора.


В ЧЕМ РАЗЛИЧИЯ МЕЖДУ СОРМ-1, СОРМ-2 И СОРМ-3?

Это сленговые обозначения для поколений СОРМ (по аналогии с 2G, 3G и 4G).

  • СОРМ-1 – это телефонная «прослушка» подозреваемых. Она регулируется приказами Минкомсвязи России от 19.11.2012 № 268 (фиксированная телефония) и от 12.12.2016 № 645 (сотовая связь).
  • СОРМ-2 – это контроль содержимого интернет-соединений сети передачи данных. Регулируется приказом Минкомсвязи России от 16.04.2014 № 83.
  • СОРМ-3 – это информационная система баз данных. Регулируется приказом Минкомсвязи России от 29.10.2018 № 573.


ЧТО СОДЕРЖИТСЯ В СОРМ-3?

В информационной системе оператора связи должны находиться:

  • персональные данные (ФИО, адрес, копия паспорта) абонентов (физлиц и физлиц – пользователей юрлица);
  • сведения о платежах (из биллинга), оказанных услугах (включая платежные данные);
  • факты о соединениях абонентов (с кем коммуницировали, сколько раз, каким способом и т. д.);
  • содержимое соединений (требование федерального закона № 374-ФЗ от 06.06.16 – «пакета Яровой»).

Согласно постановлению правительства РФ № 445 от 12.04.18, 

содержимое голосовых соединений нужно хранить 6 месяцев; если же информация получена в сетях передачи данных и телематики, то содержимое необходимо хранить 30 дней

А емкость технических средств накопления информации требуется увеличивать ежегодно на 15% в течение 5 лет.


СТОИМОСТЬ ОБОРУДОВАНИЯ, ЕГО УСТАНОВКИ И СЕРТИФИКАЦИИ

Разработкой и продажей сертифицированного СОРМ-2 являются девять организаций, четыре из них входят в одну группу компаний.

СОРМ-3 на данном этапе не сертифицирован ни у кого

Минимальная стоимость реализации оборудования СОРМ-2 и СОРМ-3 на скорости 4 Гбит/с и технических работ по настройке взаимодействия съемника и ПУ – 915 тыс. рублей.

Стоимость покупки ТС СОРМ для реализации требований «пакета Яровой» с трафиком, направленным на вышестоящих операторов на скорости 10 Гбит/с, составит около 12 млн рублей.


БЕЗОПАСНОСТЬ СОБИРАЕМЫХ ДАННЫХ

В законе предполагается обеспечение СОРМ защитой от несанкционированного доступа. Конкретные меры предусмотрены требованиями, утвержденными приказом Мининформсвязи от 09.01.2008 № 1. В реальности сервер, на который ставится СОРМ, опечатывается.


ЛЕГАЛИЗАЦИЯ СОРМ-3

В настоящее время запрещено использовать несертифицированные ТС СОРМ. Согласно ст. 13.6. КоАП РФ, такие технические средства могут быть изъяты.
Вместе с тем, так как СОРМ-3 не сертифицирован, некоторые уполномоченные органы разрешают его реализовывать в ограниченном объеме, достаточном для оперативно-розыскной деятельности. К примеру,

системы хранения данных по согласованию с ФСБ могут быть закуплены самостоятельно ко второму кварталу 2020 года

Это существенно сэкономит бюджет.

Как только Минкомсвязи примет соответствующие методики для СОРМ-3, всем производителям ТС СОРМ придется проходить испытания в лабораториях, аккредитованных при Россвязи, и получать сертификаты на СОРМ-3 в соответствии с порядком, установленным постановлением правительства РФ от 13.04.2005 № 214. Если же поступит требование ФСБ, то необходимо получить еще и сертификат ФСТЭК на «контроль защищенности конфиденциальной информации от несанкционированного доступа». Примерный срок легализации СОРМ-3 – середина 2020 года.

Если не начать реализовывать СОРМ-3 и не согласовывать сдвиги сроков реализации с ФСБ, то куратор отправляет информацию об этом в Роскомнадзор. На ее основании проводится документарная проверка, по результатам которой оператор получает заявление в арбитраж по ч. 3 ст. 14.1 КоАП РФ (штраф 30-40 тыс. руб.) и предписание об устранении нарушения со сроком от двух до шести месяцев. При неисполнении предписания территориальное управление Роскомнадзора отправляет заявление в мировой суд (штраф 10 тыс.руб.) и подает в РКН материалы на приостановление деятельности оператора.


СОРМ В ДРУГИХ СТРАНАХ

В союзных республиках (Беларусь, Казахстан) система идентична российской. В Казахстане ПУ СОРМ ставится за счет оператора.

В странах Западной Европы и США такое оборудование вмонтировано в АТС, коммутаторы, серверы. Оператор связи покупает оборудование сразу с начинкой СОРМ

В Китае стоит глобальная система «Золотой щит», которая исполняет в том числе функцию ТС СОРМ.

Изображение: RSpectr, freepik.com

ЕЩЕ ПО ТЕМЕ:

Оператор «Теле-Маг» не согласен с положениями СОРМ
Компания подала иск в Верховный суд.

Еще по теме

Реально ли создать единую платформу для управления согласиями на обработку личной информации

Чего хотят экосистемы в сфере обработки данных

Что кроется в деталях обновленного закона «О персональных данных»

Минцифры рассылает во все военкоматы правительственные телеграммы о порядке действий в отношении IT-специалистов

Реален ли баланс между требованиями по обработке персональных данных и интересами бизнеса

Как оператору связи соблюдать требования по установке технических средств противодействия угрозам

Как внедрение стандартов ИИ и Big Data помогут защите персональных данных

Кто ответит за усиление киберзащиты в российских организациях

Когда утвердят операторов рекламных данных и в каком виде передавать информацию в госреестр

Какое наказание нужно противопоставить преступлениям с персональными данными

Законопроект о принудительном лицензировании контента попал под критику

Почему назрел вопрос регулирования персональных генетических данных

Эксперимент по мониторингу здоровья поможет расширить рынок устройств для наблюдения за пациентами

Общество требует внедрять прозрачные механизмы проверки возраста пользователей платформ

Как Центробанк собирается бороться с хищениями средств с банковских карт