25 сентября 2017 года на федеральном портале проектов нормативных правовых актов появился приказ от Роскомнадзора «Об утверждении Требований к способам (методам) ограничения доступа к информационным ресурсам, применяемым в соответствии с Федеральным законом «Об информации, информационных технологиях и о защите информации» и размещаемой информации об ограничении доступа к информационным ресурсам».
За пять месяцев было выпущено несколько версий и теперь 15 марта 2018 года приказ был зарегистрирован в Министерстве Юстиции Российской Федерации с номером №249 от 15 марта 2018 года.
Сам приказ состоит из 7 страниц и содержит требования по ограничению доступа операторами связи к ресурсам, которые есть в реестре Роскомнадзора и подлежат ограничению в соответствии с ч.12 с.15.1. Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
В требованиях указано, что всё операторы связи обязаны выполнять анализ и фильтрацию трафика с использованием автоматических систем фильтрации трафика.
Строго указаны способы ограничения доступа к информационным ресурсам, находящимся в реестре Роскомнадзора. Операторы связи обязаны:
- Выполнять точную фильтрацию для http-записей строго по реестру.
- Блокировать https-ресурсы по доменному имени, которому принадлежит запись, например, если запись вида https://example.com/1/2/3, должен быть заблокирован доступ к example.com.
- Фильтровать сетевые IP-адреса по всем сетевым портам, в том числе 80, 443.
- Блокировать домены по всем сетевым протоколам, в том числе 80, 443, если указана запись вида *.domain.com, то ограничивать доступ к основному доменному имени, а также ко всем доменным именам нижестоящего уровня.
Любые другие способы блокировки не допускаются.
Также приказ содержит требования к странице-заглушке оператора связи:
- Размер страницы заглушки не должен превышать 10 Кб.
- Содержать текст «Доступ к информационному ресурсу ограничен на основании Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Заглушка должна содержать уникальный идентификатор, который оператор связи получает при выполнении выгрузки. Данный идентификатор будет ключом, с помощью которого АС «Ревизор» будет определять кому из операторов связи принадлежит полученная страница-заглушка.
- На странице-заглушке разрешено размещать рекламную информацию.
Обращаем внимание, что приказ ещё не вступил в силу. После вступления его в силу, ориентировочно через пару недель, все провайдеры использующие Carbon Reductor 7 и Carbon Reductor DPI 8 получат обновление согласно данному законопроекту.
Ниже представлен детальный разбор законопроекта и какие изменения ждут нас в ближайшем будущем.
п I. 4. Оператор связи обязан обеспечить ограничение доступа только к включенному в выгрузку указателю страницы сайта в сети «Интернет».
Carbon Reductor DPI 8 выполняет только фильтрацию ресурсов, включенных в "Единый реестр запрещенных сайтов".
Если запись выгрузки содержит сведения об указателе страницы сайта в сети «Интернет», использующем сетевой протокол, поддерживающий шифрование, допускается ограничение доступа ко всему доменному имени
Carbon Reductor DPI выполняет фильтрацию https-ресурсов, полностью ограничивая доступ к домену запрещённого сайта.
в том числе путем ограничения запросов пользователей к системе получения информации о доменных именах (далее – DNS-сервер) или выполнения соответствующих настроек DNS-серверов оператора связи.
Для полного выполнения данного законопроекта необходимо выполнить интеграцию с DNS-серверами, расположенными в Вашей сети. Как это сделать читайте в документации.
п I. 5. При наличии в записи выгрузки информации о сетевом адресе или последовательности сетевых адресов и отсутствии информации о доменном имени и указателе страницы сайта в сети «Интернет», оператор связи осуществляет ограничение доступа к указанному сетевому адресу или совокупности сетевых адресов по всем сетевым портам.
Данный пункт охватывает IP-фильтрация, также хотим отметить, что в Carbon Reductor DPI 8 имеется модуль BGP Blackhole. Инструкция по настройке BGP Blackhole. Альтернативой служит интеграция с маршрутизатором (ssh, telnet)
п I. 6. При наличии в записи выгрузки информации о доменном имени и при отсутствии информации об указателе страницы сайта в сети «Интернет», операторы связи осуществляют ограничение доступа ко всему информационному ресурсу по всем сетевым протоколам.
В данном случае подразумевается фильтрация по DNS + HTTP + HTTPS.
п I. 7. При наличии в записи выгрузки информации о доменном имени с указанием вида *.domain.com (маски), оператор связи осуществляет ограничение доступа к основному доменному имени, а также ко всем доменным именам нижестоящего уровня.
Мы уже об этом позаботились, Carbon Reductor DPI 8 выполняет блокировку всей доменной зоны по умолчанию.
п I. 8. Иные способы (методы) ограничения доступа к информационным ресурсам не допускаются.
Резолвер по умолчанию должен быть выключен.
п I. 9. При выгрузке операторам связи присваивается уникальный код (идентификатор), который необходим для подтверждения ограничения операторами связи доступа к информационным ресурсам.
Уникальный код (идентификатор) будет входить в состав реестра, пока он там отсутствует. Он позволит выполнить идентификацию оператора связи.
п I. 10. При обращении пользователя к информационным ресурсам, доступ к которым ограничен на основании Федерального закона от 27.06.2006 № 149-ФЗ оператором связи должно размещаться информационное сообщение «Доступ к информационному ресурсу ограничен на основании Федерального закона «Об информации, информационных технологиях и о защите информации»
Уже подготовлен патч с обновлением содержимого страницы-заглушки. Если Вы используете не входящую в состав продукта стандартную страницу-заглушку, то обратитесь в техническую поддержку, мы поможем Вам изменить её в соотвествии с приказом.
п II. 11. Информация, указанная в пункте 10 настоящих требований, должна размещаться на созданной в информационно-телекоммуникационной сети, в том числе в сети «Интернет», странице оператора связи или оператора связи, к которому осуществлено присоединение сети связи, или поставщика средств анализа трафика (далее – статическая страница), в формате HTML
Поставляемая в комплекте с Carbon Reductor DPI 8 страница-заглушки имеет формат HTML.
без алгоритмов динамического формирования кода страницы и размером не более 10 Кб.
Размер текущей страницы не превышает 10 Кб.
На статической странице также размещается уникальный код (идентификатор), указанный в пункте 9 настоящих требований.
Данная функциональность будет работать после применения нового обновления.
п II. 12. Информация, указанная в пункте 10 настоящих требований, должна занимать не менее чем 50 процентов площади, соответствующей статической страницы.
Уже подготовлен патч с обновлением содержимого страницы-заглушки.
п II. 13. Информация, указанная в пункте 10 настоящих требований, не может размещаться на страницах сайтов в сети «Интернет», содержащих: — новостную информацию; — информацию о способах получения доступа к информационным ресурсам, содержащим информацию, доступ к которой ограничен на основании Федерального закона от 27.06.2006 № 149-ФЗ.
Стандартная страница-заглушка полностью удовлетворяет этим требованиям.
п II. 14. На странице сайта в сети «Интернет», на которой размещена информация, указанная в пункте 10 настоящих требований, может размещаться реклама и иные сведения, распространяемые в соответствии с требованиями действующего законодательства Российской Федерации, в том законодательства о рекламе, а также законодательства о выборах и референдумах.
Пункт, который разрешает использование рекламы на странице-заглушке. В ближайшее время предоставим для этого опционально включаемое готовое решение.
Спасибо, что пользуетесь Carbon Reductor DPI!
