СОРМ у мережах передачі даних вимоги є, сертифікатів немає
Нещодавня практика
До введення в дію Правил у законодавчому полі України не було зареєстрованих Мін'юстом нормативних правових актів із обов'язковими вимогами до системи технічних засобів для забезпечення функцій оперативно-розшукових заходів (СОРМ) у мережах передачі даних. Виробники продавали несертифіковані кошти, а УФСБ рекомендувало операторам купувати та встановлювати їх власним коштом.
Для забезпечення цілісності, стійкості функціонування та безпеки єдиної мережі електрозв'язку України є обов'язковим підтвердження відповідності встановленим вимогам засобів зв'язку, що використовуються в мережі зв'язку загального користування.
Підтвердження відповідності вимогам, передбаченим Правилами з питань застосування засобів зв'язку, здійснюється за допомогою їхньоїобов'язкової сертифікації або прийняття декларації про відповідність.
Перелік засобів зв'язку, що підлягають обов'язковій сертифікації, включає: …обладнання засобів зв'язку, в тому числі програмнезабезпечення, що забезпечує виконання встановлених дій при проведенні оперативно-розшукових заходів.
Федеральний закон «Про зв'язок», ст. 41.
Нові вимоги
Згадані Правила встановлюють вимоги як до каналів зв'язку від мережевого обладнання оператора до СОРМ (хоча обладнання СОРМ може бути розташоване і на майданчику оператора), так і до функціоналу СОРМ. Серед нових вимог – забезпечення можливості відбору трафіку по щонайменше 2 тис. суб'єктів. Причому за обраними суб'єктами має забезпечуватися зберігання всього трафіку за період щонайменше 12 годин.(При необхідності УФСБ робить запит на запис, і на підставі цього запиту СОРМ здійснює запис відповідної інформації.) Функціонал СОРМ повинен забезпечувати прив'язку мережевих пакетів до конкретних ідентифікаторів користувача, за якими надалі може здійснюватися відбір трафіку. Зокрема, передбачено відбір за такими параметрами:
Чи варто поспішати?
Водночас сертифікованого обладнання СОРМ, що відповідає Правилам, поки що на ринку немає. І в найближчій перспективі очікувати його появи не доводиться. Справа в тому, що для сертифікації обладнання СОРМ в мережах передачі даних по системі сертифікації «зв'язок» (ССС, не плутати з Ростестом) крім Правил потрібна методика випробувань. Таку методику нині розробляє ЦНДІС. Потім методика має бути затверджена Мінкомзв'язку та ФСБ (процес нешвидкий). І лише після цього можна буде розпочинати сертифікацію. При цьому згідно з п. 18 Правил організації та проведення робіт з обов'язкового підтвердження відповідності засобів зв'язку, процедура сертифікації може тривати до шести місяців. Вона складається з двох етапів:
1. випробувань СОРМ у випробувальній лабораторії, акредитованій Федеральним агентством зв'язку (Центрі з науково-технічного супроводу впровадження СОРМ на мережах електрозв'язку України при ФГУП ЦНДІС);
2. видачі сертифіката органом, акредитованим Россвязью.
Тому зараз операторам варто подумати, чи купувати несертифіковане обладнання СОРМ. Адже якщо в кінцевому рахунку все одно потрібно встановлювати сертифіковане, то гроші за несертифіковане випадуть витраченими даремно.