Регулирование / Статьи
операторы технологии
17.5.2019

Как устроен СОРМ?

Работа системы оперативно-розыскных мероприятий в сетях операторов связи

Спецслужбы и силовые ведомства во всем мире имеют доступ к информации, которой обмениваются граждане в коммуникационных сетях. В одних странах это происходит по умолчанию, в других получить право на «прослушку» необходимо через суд. В России все операторы обязаны устанавливать на своих сетях специальные технические устройства, которые относятся к автоматизированной системе под названием СОРМ. Генеральный директор ООО «ОрдерКом», к.ю.н. Дмитрий Галушко объясняет, что собой представляет СОРМ, в чем разница между поколениями этой системы и с какими трудностями при внедрении СОРМ-3 сталкиваются сейчас российские операторы.


ЧТО ТАКОЕ СОРМ?

СОРМ – это аббревиатура, которая обозначает систему оперативно-розыскных мероприятий. С юридической точки зрения, в отношении деятельности операторов более корректно говорить о технических средствах СОРМ (ТС СОРМ).

Согласно закону от 12.08.1995 № 144-ФЗ «Об оперативно-розыскной деятельности» (ОРД), мероприятия СОРМ осуществляются по решению суда.

Лицензия на деятельность в области связи обязывает операторов реализовать на своих сетях технические мероприятия в области СОРМ. В соответствии с правилами взаимодействия, утвержденными постановлением правительства от 27.08.2005 №538,

оператор, получивший лицензию Роскомнадзора, обязан в течение 45 дней обратиться в ФСБ России

В ведомстве ему определят уполномоченного, с которым оператор в дальнейшем будет взаимодействовать по вопросам реализации СОРМ.

Если плана нет, уполномоченное подразделение ФСБ в срок до трех месяцев с даты подачи заявления совместно с оператором ведет его разработку. Итоговый документ составляется в трех экземплярах: для ФСБ, территориального управления Роскомнадзора и оператора.

Согласно плану, ФСБ выдает технические условия, а оператор устанавливает за свой счет ТС СОРМ. Затем происходит их тестирование и подписывается акт ввода в эксплуатацию.


НАСКОЛЬКО ЭФФЕКТИВНЫ ТС СОРМ ПРИ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ?

Это государственная тайна. В открытых источниках есть только данные, что СОРМ, к примеру, помогла найти похищенного сына Евгения Касперского.


ИЗ ЧЕГО СОСТОИТ СОРМ?

Из трех основных частей:

  1. Пульт управления (ПУ). За государственный счет устанавливается у оператора органом, осуществляющим оперативно-розыскную деятельность (ОРД).
  2. Съемник. Технические средства (коммутатор, сервер, плата в автоматической телефонной станции), которые устанавливаются на сети оператора связи за его счет.
  3. Каналы связи. В том числе виртуальные (VPN) между ПУ и съемником. Работы по организации канала связи тоже производятся за счет оператора.


В ЧЕМ РАЗЛИЧИЯ МЕЖДУ СОРМ-1, СОРМ-2 И СОРМ-3?

Это сленговые обозначения для поколений СОРМ (по аналогии с 2G, 3G и 4G).

  • СОРМ-1 – это телефонная «прослушка» подозреваемых. Она регулируется приказами Минкомсвязи России от 19.11.2012 № 268 (фиксированная телефония) и от 12.12.2016 № 645 (сотовая связь).
  • СОРМ-2 – это контроль содержимого интернет-соединений сети передачи данных. Регулируется приказом Минкомсвязи России от 16.04.2014 № 83.
  • СОРМ-3 – это информационная система баз данных. Регулируется приказом Минкомсвязи России от 29.10.2018 № 573.


ЧТО СОДЕРЖИТСЯ В СОРМ-3?

В информационной системе оператора связи должны находиться:

  • персональные данные (ФИО, адрес, копия паспорта) абонентов (физлиц и физлиц – пользователей юрлица);
  • сведения о платежах (из биллинга), оказанных услугах (включая платежные данные);
  • факты о соединениях абонентов (с кем коммуницировали, сколько раз, каким способом и т. д.);
  • содержимое соединений (требование федерального закона № 374-ФЗ от 06.06.16 – «пакета Яровой»).

Согласно постановлению правительства РФ № 445 от 12.04.18, 

содержимое голосовых соединений нужно хранить 6 месяцев; если же информация получена в сетях передачи данных и телематики, то содержимое необходимо хранить 30 дней

А емкость технических средств накопления информации требуется увеличивать ежегодно на 15% в течение 5 лет.


СТОИМОСТЬ ОБОРУДОВАНИЯ, ЕГО УСТАНОВКИ И СЕРТИФИКАЦИИ

Разработкой и продажей сертифицированного СОРМ-2 являются девять организаций, четыре из них входят в одну группу компаний.

СОРМ-3 на данном этапе не сертифицирован ни у кого

Минимальная стоимость реализации оборудования СОРМ-2 и СОРМ-3 на скорости 4 Гбит/с и технических работ по настройке взаимодействия съемника и ПУ – 915 тыс. рублей.

Стоимость покупки ТС СОРМ для реализации требований «пакета Яровой» с трафиком, направленным на вышестоящих операторов на скорости 10 Гбит/с, составит около 12 млн рублей.


БЕЗОПАСНОСТЬ СОБИРАЕМЫХ ДАННЫХ

В законе предполагается обеспечение СОРМ защитой от несанкционированного доступа. Конкретные меры предусмотрены требованиями, утвержденными приказом Мининформсвязи от 09.01.2008 № 1. В реальности сервер, на который ставится СОРМ, опечатывается.


ЛЕГАЛИЗАЦИЯ СОРМ-3

В настоящее время запрещено использовать несертифицированные ТС СОРМ. Согласно ст. 13.6. КоАП РФ, такие технические средства могут быть изъяты.
Вместе с тем, так как СОРМ-3 не сертифицирован, некоторые уполномоченные органы разрешают его реализовывать в ограниченном объеме, достаточном для оперативно-розыскной деятельности. К примеру,

системы хранения данных по согласованию с ФСБ могут быть закуплены самостоятельно ко второму кварталу 2020 года

Это существенно сэкономит бюджет.

Как только Минкомсвязи примет соответствующие методики для СОРМ-3, всем производителям ТС СОРМ придется проходить испытания в лабораториях, аккредитованных при Россвязи, и получать сертификаты на СОРМ-3 в соответствии с порядком, установленным постановлением правительства РФ от 13.04.2005 № 214. Если же поступит требование ФСБ, то необходимо получить еще и сертификат ФСТЭК на «контроль защищенности конфиденциальной информации от несанкционированного доступа». Примерный срок легализации СОРМ-3 – середина 2020 года.

Если не начать реализовывать СОРМ-3 и не согласовывать сдвиги сроков реализации с ФСБ, то куратор отправляет информацию об этом в Роскомнадзор. На ее основании проводится документарная проверка, по результатам которой оператор получает заявление в арбитраж по ч. 3 ст. 14.1 КоАП РФ (штраф 30-40 тыс. руб.) и предписание об устранении нарушения со сроком от двух до шести месяцев. При неисполнении предписания территориальное управление Роскомнадзора отправляет заявление в мировой суд (штраф 10 тыс.руб.) и подает в РКН материалы на приостановление деятельности оператора.


СОРМ В ДРУГИХ СТРАНАХ

В союзных республиках (Беларусь, Казахстан) система идентична российской. В Казахстане ПУ СОРМ ставится за счет оператора.

В странах Западной Европы и США такое оборудование вмонтировано в АТС, коммутаторы, серверы. Оператор связи покупает оборудование сразу с начинкой СОРМ

В Китае стоит глобальная система «Золотой щит», которая исполняет в том числе функцию ТС СОРМ.

Изображение: RSpectr, freepik.com

ЕЩЕ ПО ТЕМЕ:

Оператор «Теле-Маг» не согласен с положениями СОРМ
Компания подала иск в Верховный суд.

Еще по теме

Помогут ли поправки в ГК РФ легализовать работу исследователей уязвимостей

Помогут ли страховые выплаты, предложенные ВСС, компенсировать ущерб от утечки персданных

Евросоюз потребовал у западных социальных сетей раскрыть механизмы работы рекомендательных алгоритмов

Каких поставщиков услуг хостинга выбрало государство для своих информсистем

Регуляторы и производители поспорили о стоимости отечественного ПО

Готовы ли бизнес и госсектор к выполнению требований президента об импортозамещении ПО

Эксперты обсудили идею введения штрафов за сбор избыточных персональных сведений

Эксперты отрасли оценили предложенный Минтрудом профстандарт ИБ-специалиста по защите КИИ

Как добиться максимальной компенсации в суде при защите персданных

Как институт уполномоченных операторов персданных поможет бизнесу

Как новый закон об обезличивании персданных повлияет на бизнес

Почему расследованием инцидентов с персональными данными должны заняться цифровые криминалисты

При каких условиях в организации может начаться проверка защиты персданных

Помогут ли механизмы самоконтроля операторов в защите личной информации граждан

Нужен ли ИТ-рынку национальный стандарт доверенной среды исполнения