СОРМ: Нормативная база и сертификация

28 марта 2024
СОРМ
СОРМ: Нормативная база и сертификация
Средства оперативно-розыскных мероприятий (СОРМ) на сетях операторов связи предназначены для выявления и отслеживания угроз безопасности государства и его граждан. Эти задачи решаются путем выборочного контроля - “прослушивания” передаваемой информации.

СОРМ в мире и в России

СОРМ в том или ином виде применяются и во многих странах: в Европе – Lawful Interception (LI), сертифицированная ETSI, в США – CALEA (Communications Assistance for Law Enforcement Act). В США и Европе правоохранительный орган, чтобы получить требуемую информацию от СОРМ, должен предоставить оператору судебный ордер.

В России пользователем СОРМ является Федеральная служба безопасности (ФСБ). ФСБ занимается контролем выявленных или потенциальных угроз, а также субъектов под подозрением. В отличии от Европы и США сотрудник ФСБ в любой момент может получить данные от СОРМ оператора связи, запросив их с пульта управления СОРМ по выделенному защищенному каналу. Разрешение суда необходимо, но предъявлять его ФСБ не обязано. Дело в том, что сведения об оперативно-розыскных мероприятиях, включая сведения об объектах контроля, являются сведениями ограниченного распространения, которые не могут быть раскрыты оператору. Оператор никак не влияет на процесс контроля, а только предоставляет доступ к трафику. Все остальные спецслужбы (ФСО, МВД, ФТС и др.) могут получить сведения об объектах и результатах контроля с применением СОРМ путем взаимодействия с ФСБ.

Разработка первых СОРМ в СССР была начата в конце 80-х годов Комитетом государственной безопасности (КГБ), с тех пор СОРМ стали существенно сложнее и разнообразнее.

Сейчас мы имеем целый ряд СОРМ, которые должны быть внедрены в сетях российских операторов связи: СОРМ-1, СОРМ-2, СОРМ-3 с системой хранения данных (СХД), СОРМ-86 с СХД.
СХД СОРМ-3 и СОРМ-86 зачастую называют “Яровая”.

Нормативная база СОРМ в России

Все действия спецслужб в отношении подозреваемых граждан регламентированы федеральными законами, постановлениями Правительства РФ и приказами министерств РФ. Следить законно.

Федеральный закон «О связи» №126-ФЗ, включая поправки, известные как “Закон Яровой” и Постановление Правительства РФ №2385 от 30.12.2020 “О лицензировании деятельности в области оказания услуг связи”, делают внедрение СОРМ обязательным для всех операторов связи.

Основные положения этих документов

  • Работа операторов связи без лицензий запрещена.
  • Внедрение СОРМ на сетях операторов связи — одно из условий действия лицензий. Несоблюдение требований к СОРМ влечет за собой штрафы и приостановление лицензий.
  • Требования к СОРМ устанавливаются федеральными законами, Постановлениями Правительства и приказами Минкомсвязи РФ.
  • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) выдает лицензии и осуществляет надзор за соблюдением условий действия лицензий, включая требования к СОРМ.
  • Федеральная служба безопасности утверждает планы внедрения СОРМ для операторов и осуществляет эксплуатацию СОРМ.
По законодательству, для того, чтобы не потерять лицензию, СОРМ должны установить все операторы связи и Интернет-провайдеры, работающие на территории России. Это касается как крупных компаний из “большой четверки” (Ростелеком, МТС, Мегафон, Билайн), так и небольших провайдеров.

Программно-аппаратные комплексы СОРМ разрабатываются в соответствии с требованиями ряда приказов и постановлений.

Основные из них

СОРМ-1

  • Приказ Минкомсвязи РФ № 268 от 19.01.2012 г.

СОРМ-2

  • Приказ Минкомсвязи России № 83 от 16.04.2014 г.
  • Приказ Минкомсвязи России № 139 от 15.04.2019 г.

СОРМ-3 с СХД

  • Приказ Минкомсвязи РФ № 573 от 29.10.2018 г.
  • Приказ Минцифры РФ № 630 от 12.07.2023 г.
  • Постановление Правительства РФ № 445 от 12.04.2018 г.

СОРМ-86 с СХД

  • Приказ Минкомсвязи РФ № 86 от 26.02.2018 г.
  • Приказ Минцифры РФ № 47 от 26.01.2023 г.
  • Постановление Правительства РФ № 445 от 12.04.2018 г.

Сертификация СОРМ

Все программно-аппаратные комплексы, используемые в качестве СОРМ в сетях операторов связи, подлежат подтверждению соответствия в форме обязательной сертификации. Получение сертификата — обязанность разработчика СОРМ: vasexperts.ru/resources/sertifikaty-i-dokumentacziya/

В процессе сертификации проверяется соответствие СОРМ приказам, в соответствии с которыми они были разработаны. Проверка осуществляется, в том числе, и на предмет соответствия требованиям к взаимодействию СОРМ с пультами управления СОРМ, используемыми ФСБ.
Аппаратная часть в составе программно-аппаратных комплексов СОРМ не подлежит отдельному подтверждению соответствия требованиям упомянутых приказов. Аппаратная часть должна соответствовать техническим условиям разработчика СОРМ, которые производитель предоставлял органу по сертификации в процессе сертификации.

К аппаратной части СХД СОРМ-3 и СОРМ-86 с СХД в дополнении к техническим условиям разработчика СОРМ применяется требование об “отечественном происхождении”. Требование установлено п. 4.1 Постановление Правительства РФ № 445 от 12.04.2018 г. На практике это требование означает, что на момент приобретения оборудования, актуальная запись о нем должна быть в реестре оборудования, произведенного на территории Российской Федерации с кодом ОКПД2 26.20.2: gisp.gov.ru/pp719v2/pub/prod/.

Механизм и правовая база включения оборудования в реестр отличаются от процедуры сертификации, однако выписку из реестра иногда называют “сертификат на СХД” или “сертификат на Яровую”.

Отечественное оборудование должно использоваться в составе СХД, приобретенных после вступления в силу п. 4.1 Постановление Правительства РФ № 445, а именно — после ноября 2019 года. СХД, приобретенные до ноября 2019 года, не подпадают под требование об отечественном происхождении.
К аппаратной части СОРМ-1, СОРМ-2, СОРМ-3 требование “об отечественности” не предъявляется.

Мы используем файлы cookies для оптимизации функциональности сайта и улучшения качества услуг. Нажимая «Принять», вы даете согласие на работу с этими файлами. Чтобы узнать больше, пожалуйста, прочтите нашу Политику конфиденциальности.