25 сентября 2017 года на федеральном портале проектов нормативных правовых актов появился приказ от Роскомнадзора «Об утверждении Требований к способам (методам) ограничения доступа к информационным ресурсам, применяемым в соответствии с Федеральным законом «Об информации, информационных технологиях и о защите информации» и размещаемой информации об ограничении доступа к информационным ресурсам».

За пять месяцев было выпущено несколько версий и теперь 15 марта 2018 года приказ был зарегистрирован в Министерстве Юстиции Российской Федерации с номером №249 от 15 марта 2018 года.

Сам приказ состоит из 7 страниц и содержит требования по ограничению доступа операторами связи к ресурсам, которые есть в реестре Роскомнадзора и подлежат ограничению в соответствии с ч.12 с.15.1. Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».

В требованиях указано, что всё операторы связи обязаны выполнять анализ и фильтрацию трафика с использованием автоматических систем фильтрации трафика.

Строго указаны способы ограничения доступа к информационным ресурсам, находящимся в реестре Роскомнадзора. Операторы связи обязаны:

1. Выполнять точную фильтрацию для http-записей строго по реестру.
2. Блокировать https-ресурсы по доменному имени, которому принадлежит запись, например, если запись вида https://example.com/1/2/3, должен быть заблокирован доступ к example.com.
3. Фильтровать сетевые IP-адреса по всем сетевым портам, в том числе 80, 443.
4. Блокировать домены по всем сетевым протоколам, в том числе 80, 443, если указана запись вида *.domain.com, то ограничивать доступ к основному доменному имени, а также ко всем доменным именам нижестоящего уровня.

Любые другие способы блокировки не допускаются.

Также приказ содержит требования к странице-заглушке оператора связи:

1. Размер страницы заглушки не должен превышать 10 Кб.
2. Содержать текст «Доступ к информационному ресурсу ограничен на основании Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
3. Заглушка должна содержать уникальный идентификатор, который оператор связи получает при выполнении выгрузки. Данный идентификатор будет ключом, с помощью которого АС «Ревизор» будет определять кому из операторов связи принадлежит полученная страница-заглушка.
4. На странице-заглушке разрешено размещать рекламную информацию.

Обращаем внимание, что приказ ещё не вступил в силу. После вступления его в силу, ориентировочно через пару недель, все провайдеры использующие Carbon Reductor 7 и Carbon Reductor DPI 8 получат обновление согласно данному законопроекту.

Ниже представлен детальный разбор законопроекта и какие изменения ждут нас в ближайшем будущем.

п I. 4. Оператор связи обязан обеспечить ограничение доступа только к включенному в выгрузку указателю страницы сайта в сети «Интернет».

Carbon Reductor DPI 8 выполняет только фильтрацию ресурсов, включенных в "Единый реестр запрещенных сайтов".

Если запись выгрузки содержит сведения об указателе страницы сайта в сети «Интернет», использующем сетевой протокол, поддерживающий шифрование, допускается ограничение доступа ко всему доменному имени

Carbon Reductor DPI выполняет фильтрацию https-ресурсов, полностью ограничивая доступ к домену запрещённого сайта.

в том числе путем ограничения запросов пользователей к системе получения информации о доменных именах (далее – DNS-сервер) или выполнения соответствующих настроек DNS-серверов оператора связи.

Для полного выполнения данного законопроекта необходимо выполнить интеграцию с DNS-серверами, расположенными в Вашей сети. Как это сделать читайте в документации.

п I. 5. При наличии в записи выгрузки информации о сетевом адресе или последовательности сетевых адресов и отсутствии информации о доменном имени и указателе страницы сайта в сети «Интернет», оператор связи осуществляет ограничение доступа к указанному сетевому адресу или совокупности сетевых адресов по всем сетевым портам.

Данный пункт охватывает IP-фильтрация, также хотим отметить, что в Carbon Reductor DPI 8 имеется модуль BGP Blackhole. Инструкция по настройке BGP Blackhole. Альтернативой служит интеграция с маршрутизатором (ssh, telnet)

п I. 6. При наличии в записи выгрузки информации о доменном имени и при отсутствии информации об указателе страницы сайта в сети «Интернет», операторы связи осуществляют ограничение доступа ко всему информационному ресурсу по всем сетевым протоколам.

В данном случае подразумевается фильтрация по DNS + HTTP + HTTPS.

п I. 7. При наличии в записи выгрузки информации о доменном имени с указанием вида *.domain.com (маски), оператор связи осуществляет ограничение доступа к основному доменному имени, а также ко всем доменным именам нижестоящего уровня.

Мы уже об этом позаботились, Carbon Reductor DPI 8 выполняет блокировку всей доменной зоны по умолчанию.

п I. 8. Иные способы (методы) ограничения доступа к информационным ресурсам не допускаются.

Резолвер по умолчанию должен быть выключен.

п I. 9. При выгрузке операторам связи присваивается уникальный код (идентификатор), который необходим для подтверждения ограничения операторами связи доступа к информационным ресурсам.

Уникальный код (идентификатор) будет входить в состав реестра, пока он там отсутствует. Он позволит выполнить идентификацию оператора связи.

п I. 10. При обращении пользователя к информационным ресурсам, доступ к которым ограничен на основании Федерального закона от 27.06.2006 № 149-ФЗ оператором связи должно размещаться информационное сообщение «Доступ к информационному ресурсу ограничен на основании Федерального закона «Об информации, информационных технологиях и о защите информации»

Уже подготовлен патч с обновлением содержимого страницы-заглушки. Если Вы используете не входящую в состав продукта стандартную страницу-заглушку, то обратитесь в техническую поддержку, мы поможем Вам изменить её в соотвествии с приказом.

п II. 11. Информация, указанная в пункте 10 настоящих требований, должна размещаться на созданной в информационно-телекоммуникационной сети, в том числе в сети «Интернет», странице оператора связи или оператора связи, к которому осуществлено присоединение сети связи, или поставщика средств анализа трафика (далее – статическая страница), в формате HTML

Поставляемая в комплекте с Carbon Reductor DPI 8 страница-заглушки имеет формат HTML.

без алгоритмов динамического формирования кода страницы и размером не более 10 Кб.

Размер текущей страницы не превышает 10 Кб.

На статической странице также размещается уникальный код (идентификатор), указанный в пункте 9 настоящих требований.

Данная функциональность будет работать после применения нового обновления.

п II. 12. Информация, указанная в пункте 10 настоящих требований, должна занимать не менее чем 50 процентов площади, соответствующей статической страницы.

Уже подготовлен патч с обновлением содержимого страницы-заглушки.

п II. 13. Информация, указанная в пункте 10 настоящих требований, не может размещаться на страницах сайтов в сети «Интернет», содержащих: — новостную информацию; — информацию о способах получения доступа к информационным ресурсам, содержащим информацию, доступ к которой ограничен на основании Федерального закона от 27.06.2006 № 149-ФЗ.

Стандартная страница-заглушка полностью удовлетворяет этим требованиям.

п II. 14. На странице сайта в сети «Интернет», на которой размещена информация, указанная в пункте 10 настоящих требований, может размещаться реклама и иные сведения, распространяемые в соответствии с требованиями действующего законодательства Российской Федерации, в том законодательства о рекламе, а также законодательства о выборах и референдумах.

Пункт, который разрешает использование рекламы на странице-заглушке. В ближайшее время предоставим для этого опционально включаемое готовое решение.

Спасибо, что пользуетесь Carbon Reductor DPI!