Меня зовут Олег, я ведущий юрист в ispmanager. В этой заметке я освещу основные изменения, касающиеся хостинг-провайдеров. 26 июля 2023 года законодатель принял федеральный закон, вносящий перемены в деятельность хостинг-провайдеров, новостных агрегаторов и владельцев сайтов. Что делать и как подготовиться к новым требования, расскажу далее.
Прежде чем анализировать текст, посмотрим, что говорит о духе нового закона один из его авторов Антон Горелкин. По его словам, закон направлен на то, чтобы:
Упорядочить хаотичность на рынке хостинга и убрать с рынка реселлеров услуг зарубежных хостеров, чтобы устранить риск «иностранного» вмешательства и возможность кибератак извне.
Собрать информацию обо всех участниках рынка.
Оставить на рынке только добропорядочных хостеров.
Не совсем понятно, как этот закон справится с хаотичностью, но в целом остальные тезисы текст закона подтверждает и выполняет. Давайте перейдём непосредственно к тексту и разделим нововведения на части.
1. Очередной реестр
С 1 декабря 2023 оказывать услуги хостинга могут компании, включённые в соответствующий реестр Роскомнадзора, а чтобы в него попасть, необходимо подать уведомление в Роскомнадзор до 15 декабря 2023 года.
И вот здесь самое интересное: на 24 августа 2023 года ни в «Консультанте Плюс», ни в «Гаранте», ни на госпортале нет нормативной базы, регламентирующей содержание уведомления, а также ведение этого реестра, хотя по закону её должно дать нам Правительство РФ. На его сайте тоже тихо.
На момент написания заметки горячая линия Роскомнадзора сообщила, что уведомление составляется в свободной форме и направляется на электронную почту Роскомнадзора.
Моя рекомендация: пока нет нормативки, попробуйте направить это уведомление в свободной форме. На горячей линии меня заверили, что специалисты Роскомнадзора после получения свяжутся с заявителем и объяснят, чего в поданном документе не хватает. С другой стороны, пока нет чётких указаний сверху, Роскомнадзор может создать дополнительные требования, но, на мой взгляд, будет руководствоваться требованиями, которые изложены в пункте 5 статьи 1 анализируемого закона. О них далее.
2. Как залететь в реестр
Итак, на сегодня нам известны только следующие критерии, по которым компания может предоставлять услуги хостинга и быть включённой в реестр:
Нужно являться российским юридическим лицом, при этом доли (акции) не менее чем 50% в капитале должны принадлежать гражданам РФ (без иного гражданства) / государственным и муниципальным органам РФ / юридическим лицам, у которых меньше 50% иностранного участия.
Не иметь записи о недостоверности адреса местонахождения в ЕГРЮЛ. Не должно быть ситуации, когда налоговая пришла по юрадресу, а ни сотрудников, ни директора там нет.
При оказании услуг хостинга необходимо соответствовать требованиям по защите информации, которые установит Минцифры по согласованию с ФСБ. Соответствующего документа сейчас нет, но подозреваю, что там, как и в других приказах ФСБ и ФСТЭК в области защиты информации, будет много требований и они окажутся затратными. Именно это обстоятельство может способствовать уходу с рынка малых игроков.
Технические средства, с помощью которых оказываются услуги хостинга, находятся на территории РФ. Тут, думаю, всё понятно: сервер должен находиться где-нибудь в нашей стране.
Думаю, эти критерии и требования не исчерпывающие, и полагаю, что их будет больше после публикации официальных документов от Роскомнадзора и Правительства РФ. Но именно перечисленные несут в себе дух закона, о котором мы говорили в предисловии.
3. Как не вылететь из реестра
Закон направлен на то, чтобы на рынке оставались только добропорядочные хостеры. И теперь регламентировано, что должен делать “добропорядочный” хостер, чтобы не вылететь из реестра:
Соблюдать все требования, которые перечислены в предыдущем разделе.
Соблюдать требования к вычислительной мощности технических средств, а также осуществлять взаимодействие с органами, которые ведут оперативно-розыскные мероприятия (МВД, ФСБ, таможня и т. д.) и принимать меры, чтобы эти мероприятия не были раскрыты третьим лицам. Порядок этого взаимодействия и требований к мощности установит правительство РФ. Да, документа тоже нет.
Участвовать в учениях. Далее цитата из закона: «…в целях приобретения практических навыков по обеспечению устойчивого, безопасного и целостного функционирования на территории Российской Федерации информационно-телекоммуникационной сети “Интернет”». Подробнее об этих «учениях» читайте в постановлении.
-
Далее идёт ряд технических требований, комментирование которых за рамками моей компетенции:
Соблюдать требования по устойчивому функционированию средств связи, обеспечивающих взаимодействие со средствами связи других операторов связи.
Использовать точки обмена трафиком, сведения о которых содержатся в реестре точек обмена трафиком.
Использовать технические и программные средства (в том числе средства связи), функционирующие в соответствии с требованиями, а также национальную систему доменных имён.
Оказывать услуги хостинга только лицу, прошедшему идентификацию (аутентификацию) в соответствии с порядком, который установит правительство РФ. Такого документа тоже нет. Я предполагаю, что будут использоваться способы, которые вводит этот же закон для владельцев сайтов: через госуслуги, через российскую электронную почту, через номер телефона с помощью оператора связи.
В случае несоблюдения вышеперечисленных обязательств Роскомнадзор направляет требование об устранении нарушений. Их необходимо будет устранить в течение 10 рабочих дней, в противном случае вы можете “вылететь” из реестра. Закон не указывает на безусловное исключение, он указывает, что это «является основанием для исключения», то есть вероятность, что вас не исключат из реестра за единичное нарушение и его неустранение.
Если компании нет в реестре, а она оказывает услуги хостинга, с 1 февраля 2024 года это будет запрещено, однако сейчас прямой статьи, предусматривающей наказание за это, КоАП РФ не предусмотрено.
4. Как же теперь быть?
На мой взгляд, стоит уже сейчас подготовиться к нововведениям и сделать необходимый минимум. Благо время для этого есть. Мои рекомендации:
Изучить, насколько ваша компания соответствует требованиям, которые я перечислил в разделе 3 этой статьи. Именно они, на мой взгляд, будут руководящими для выживания вашего бизнеса.
Провести аудит ваших технических и программных средств на соответствие требованиям, которые должно установить Минцифры по согласованию с ФСБ.
Уже сейчас можно провести аудит на соответствие техническим требованиям из Приказа Минкомсвязи России от 09.10.2019 № 579 и Приказ Минкомсвязи России от 16.09.2019 № 510.
Дождаться документа о требуемой вычислительной мощности ваших технических средств. Предположу, что они должны быть такие, чтобы правоохранительные органы имели возможность установить средства мониторинга в своих оперативных целях и “доставать” данные в течение какого-то периода, по аналогии с требованиями к операторам связи и мессенджерам.
Ввести в бизнес-процесс меры по идентификации клиентов. На мой взгляд, однозначно одними из способов будут указаны портал «Госуслуги» и номер телефона при содействии оператора связи. Пока непонятно, будет ли это относиться к текущим клиентам, но по аналогии с новыми требованиями к регистрации на сайтах это не должно их задеть.
Факультативно, при наличии такой возможности, выделить сотрудника, который будет отвечать за взаимодействие с правоохранительными органами, участие в учениях, перед Роскомнадзором — за устранение возможных нарушений. Сотрудник должен владеть нормативной базой, которая будет внедрена для регулирования деятельности хостинг-провайдеров.
Послесловие
Да, можно сказать, что деятельность хостинг-провайдеров подвели к регуляторной гильотине, но будем надеяться, что первое время действия закона, контролирующие органы помогут участникам рынка с соблюдением новых требований.
Учитывая, что государство использует рискориентированный подход, большие компании будут первыми в проверочном списке. Это значит, что малый и средний бизнес, которого много в этой сфере, сможет учиться на ошибках больших братьев.
Комментарии (14)
inkvizitor68sl
07.09.2023 16:29Не иметь записи о недостоверности адреса местонахождения в ЕГРЮЛ. Не должно быть ситуации, когда налоговая пришла по юрадресу, а ни сотрудников, ни директора там нет.
Ага, ситуация, когда весь хостинг работает на удалёнке, была невозможна даже в 2010, а сейчас стала ещё невозможнее!
select26
07.09.2023 16:29А дежурный инженер тоже на удаленке? Перезагрузить сервер или заменить диск?
Есть профессии где удаленки нет: врачи, продавцы магазинов, сантехники и т.п.
pae174
07.09.2023 16:29Сервер может быть арендованным и диск в нем будет менять инженер компании, сдавшей сервер в аренду. Перезагрузить машину удаленно можно по IPMI, например.
truthseeker
07.09.2023 16:29Сервер может быть свой, а не арендованный, но, на колокейшене в ДЦ. Инженер которого будет, по заявке системного администратора хостинга, который в это время может в другом полушарии находиться, менять диски, память и прочие компоненты.
Просто пишется заявка, в которой указывается что поменять, откуда взять компонент на замену(обычно из ЗИП компании, что размещает оборудование в этом ДЦ, но бывает что компоненты приобретаются и у самого ДЦ, если у них есть нужные, а у вас в ЗИП нет таких, и нужно срочно), как поменять(к примеру, диски можно менять на горячую, без выключения сервера, а можно и на холодную), а оперативу, или RAID-контроллер, только с отключением.
Кроме того, менять диски могут и "удалённые руки", не являющиеся частью техперсонала ДЦ, так как есть фирмы, что специализируются на этом. Иногда это дешевле, чем заключать договор с ДЦ на то, что они будут обслуживать ваши заявки по замене компонентов в вашем оборудовании. С другой стороны, проблема может решаться медленнее, чем когда у вас договор с ДЦ на обслуживание ваших серверов. А бывает и наоборот, инженера ДЦ телятся, а "удалённые руки" постоянно находятся рядом с крупными ДЦ, и работают шустро, выходит быстрей с ними. Это особенно заметно в случаях, когда инженеры ДЦ сильно перегружены, и у них очередь из заявок, что им нужно обработать, постоянно не хилая.
В общем, эксплуатировать сервера может одна компания(хостер), располагаться они могут в ДЦ другой компании, а диски менять может инженер из второй компании, или даже из третьей, в случае с "удалёнными руками".
inkvizitor68sl
07.09.2023 16:29Дежурный инженер сидит в ДЦ (и чаще всего является сотрудником ДЦ, а не хостера), а не в офисе по юридическому адресу.
Даже если ДЦ полностью принадлежит хостеру и дежурные его сотрудники - юр адрес у всех не в ДЦ.
ZloyKishechnik
07.09.2023 16:29+2Я задам довольно интересный вопрос на примере своего же личного проекта. Можно ли считать нас или наших конкурентов "хостерами", если мы предоставляем услуги по размещению пользовательских игровых серверов.
При этом так как это довольно не прибыльный рынок, то очевидно, что ООО или ЮР лица (не ИП) ни у кого из нас или конкурентов нет.
И если мы тупо являемся "хостингом серверов майнкрафта" (первые три строчки в гугле craft-hosting.ru, hosting-minecraft.ru, bungee.host) или, например, мы сами (чуть-чуть саморекламы) https://superhub.host и предоставляем услуги, очевидно, по ресселу - под нас это заточено?
При этом касаемо именно нас уточню, что все пользовательские данные хранятся на серверах на территории РФ, но "ноды", на которые заезжают пользователи (там их данных нет от слова совсем) стоят как в ЦОДах в РФ, так и за ее пределами.
ZloyKishechnik
07.09.2023 16:29Вот нам-то, пет-проектам, что делать в таком случае.....
salnicoff
07.09.2023 16:29Похоже, устраивать поминки. :-( Потому что запрещают сервера за границей (чтобы не делали VPN) и расчищают дорогу для «Яндекса» и «ВК» (вводят кучу требований по оборудованию/софту/документам).
oleggmakarov Автор
07.09.2023 16:29+2Разложу Ваш комментарии на части исходя из поставленных вопросов:
1. Можно ли считать предоставление игровых серверов как хостинг деятельность?
Законодательное определение: провайдер хостинга - лицо, осуществляющее деятельность по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет".
Расчленим это определение и подставим под наш случай:
а) информация - в нашем случае это данные (это тоже считается информацией) в виде модифицированного кода игры от клиента.
б) предоставление вычислительной мощности для размещения информации- это сервер, которые вы предоставляете и куда загружаются данные клиентом.
в) информационная система - совокупность ПО и "железа" сервера, с помощью которой предоставляется доступ к данным.
г) постоянное подключение к сети Интернет этой ИС- формально арендуемый сервер предоставляет возможность постоянно подключения (не берем во внимания поломки), поэтому тут тоже все складывается.
Исходя из этого определения приходим к положительному ответу на первую часть вопроса.
2. Если осуществляем рессел, то на нас закон тоже распространяется?
Закон не содержит разграничения между хостингом на своей вычислительной мощности и "арендуемой", поэтому я отвечу, что закон распространяется в равной степени на всех, кто подпадает под определение "провайдер хостинга".
Закон явно не "заточен" на регулирование игровых хостеров и первое время я думаю будут "страдать" классические хостеры.
Про территорию: в законе указано, что именно технические средства хостера должны находится на территории РФ, соответственно нода, рассматривая ее как физ. сервер, должна тоже быть на территории РФ.
oleggmakarov Автор
07.09.2023 16:29+1P.S.
Получается, что с точки зрения закона даже такие безобидные проекты должны жить по этим новым правилам.
С другой стороны, при малом обороте клиентов и выручки, риск того, что к игровым хостерам "придут", я на данный момент оценил бы как низкий, поскольку они не работают с "чувствительной" информацией, которую судя по всему пытается защитить законодатель принятым законом.
vikarti
07.09.2023 16:29Так. А допустим тот же Selectel в принципе может условия выполнить?
Потому что у них есть продажа серверов за пределами России. И это фича.
А (по тем же причинам) RuVDS?
VDS.SH?
А фокус когда хостер прямо говорит что IP у сервера — российские (и почти все geoip-чекилки так считают) но вот физически он явно не в России(в админке честно говорится страна), при этом есть тарифы (созданные еще под Телеграм) у которых прямо в названии RKN и фича про IP — в первом же комментарии на хабре к статье (в официальном блоге) где рассказывается про эти тарифы.
Да, компании во всех случаях — официальные Российские.А если кто-то (пусть даже Российская компания) в России например предоставлят услуги CDN но не локально-российского CDN глобального? Так теперь нельзя?
oleggmakarov Автор
Разложу Ваш комментарии на части исходя из поставленных вопросов:
1. Можно ли считать предоставление игровых серверов как хостинг деятельность?
Законодательное определение: провайдер хостинга - лицо, осуществляющее деятельность по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет".
Расчленим это определение и подставим под наш случай:
а) информация - в нашем случае это данные (это тоже считается информацией) в виде модифицированного кода игры от клиента.
б) предоставление вычислительной мощности для размещения информации- это сервер, которые вы предоставляете и куда загружаются данные клиентом.
в) информационная система - совокупность ПО и "железа" сервера, с помощью которой предоставляется доступ к данным.
г) постоянное подключение к сети Интернет этой ИС- формально арендуемый сервер предоставляет возможность постоянно подключения (не берем во внимания поломки), поэтому тут тоже все складывается.
Исходя из этого определения приходим к положительному ответу на первую часть вопроса.
2. Если осуществляем рессел, то на нас закон тоже распространяется?
Закон не содержит разграничения между хостингом на своей вычислительной мощности и "арендуемой", поэтому я отвечу, что закон распространяется в равной степени на всех, кто подпадает под определение "провайдер хостинга".
Закон явно не "заточен" на регулирование игровых хостеров и первое время я думаю будут "страдать" классические хостеры.
Про территорию: в законе указано, что именно технические средства хостера должны находится на территории РФ, соответственно нода, рассматривая ее как физ. сервер, должна тоже быть на территории РФ.