27 август 2020
Либертариум Либертариум

Вопросы к авторам нормативных актов по СОРМ

16Кбайт вопросов, которые должны задавать себе составители нормативных актов по СОРМ. Важно, чтобы на эти вопросы были найдены ответы - ибо на многие сложные вопросы ответов пока не существует. Важно, чтобы чиновники не принимали решений вслепую, не имея полной информации по приведенным вопросам.

Мы глубоко приветствуем инициативу ФСБ и других ведомств, которые предлагают обществу участвовать в обсуждении норм и правил, по которым будет строиться система оперативно-разыскных мероприятий в цифровом 21 веке. Мы не против полиции и правопринуждения. Но мы против предоставления отдельным ведомствам безграничной власти.

Обсуждение предполагает задание вопросов и получение на них ответов. Ниже предлагаются вопросы к авторам проектов нормативных актов по СОРМ (большинство вопросов приложимо как к телефонной "прослушке", так и к более сложной процедуре ОРМ в СДЭС). Большое спасибо всем тем людям, которые помогли составить этот важный документ.


Какие системы СОРМ уже установлены (в том числе СОРМ в телефонии и на СДЭС)? Установлены ли у ключевых провайдеров СОРМ для протоколов X.400 и UUPC? Как было устроено финансирование создания, сопровождения и эксплуатации этих систем? Как можно ознакомиться с докладами, анализирующими эффективность создания и использования существующих СОРМ? Должны ли в результате принятия нового регулирования СОРМ быть заменены существующие уже системы?

Какая история существующих проектов нормативных актов по СОРМ в СДЭС? Как долго они рассматриваются? Какие альтернативы предлагающемуся проекту СОРМ рассматривались? Какие предлагались альтернативные архитектуры? Полностью ли рассмотрены конституционные и законодательные ограничения и последствия от введения СОРМ?

Какие ожидаемые затраты по разворачиванию и сопровождению СОРМ? Чье и в каких размерах предусматривается финансирование на разворачивание и сопровождение СОРМ? Какое существует законодательное обоснование предлагаемым схемам финансирования? Кто будет получать выгоду от данного финансирования? Рассматривалось ли улучшение ОРМ, если аналогичное финансирование будет потрачено на другие цели (от профилактики правонарушений, через закупку автомобилей и/или компьютеров для милиции или ФСБ к повышению зарплаты сотрудников, непосредственно занимающихся ОРМ). Какой контроль предусмотрен за целевым расходованием средств, чью экспертизу нужно будет получить, будут ли задействованы рыночные механизмы (проведен аукцион и т.д.) для сокращения расходов.

Каков процесс рассмотрения проектов нормативных актов по СОРМ в СДЭС? Какие именно акты и каких ведомств должны быть выпущены? Кто конкретно координатор процесса рассмотрения, как с ним связаться? Кто принимает решения об окончании этапов рассмотрения, кто определяет составы рабочих групп, кто утверждает тексты проектов? Как можно узнавать о ходе рассмотрения этих актов? Будут ли отклонения от обычной процедуры прохождения этого акта? Как в этом убедиться, по каким адресам и телефонам можно получить соответствующие справки? Как общественные организации смогут принять участие в разработке нормативных актов по СОРМ и быть уверены, что их предложения должным образом рассмотрены?

Какие усилия прилагает ФСБ и другие ведомства, чтобы минимизировать использование СОРМ в СДЭС в качестве метода правопринуждения?

Какое количество телефонной прослушки и ОРМ в СДЭС используется сегодня? Насколько успешно (глобальные катастрофы или угрозы безопасности были предотвращены)? Существует ли статистика по этому поводу? Если нет - то как можно требовать расширения применения СОРМ в СДЭС?

Какой процент абонентов, которые прослушиваются (или попадают в ОРМ на СДЭС) сегодня, используют шифровку сообщений? Какой прогноз по изменению этого числа в будущем? Насколько это затрудняет ОРМ (много ли расшифровывается)? Не обессмысливает ли распространение гражданской криптографии широкомасштабную установку СОРМ?

Какой ответ общественности ожидается на внедрение СОРМ в СДЭС (увеличение рынка шифровальных средств, усиление правозащитной деятельности)? Какие законодательные и иные меры придется принять, чтобы нейтрализовать ответные меры общественности? Не последует ли за введением СОРМ на СДЭС законодательная атака на право применения сильной криптографии?

Как люди смогут удостовериться, что установленная СОРМ не используется третьими лицами, и используется в строгом соответствии с Законом? Как доступ к СОРМ получат МВД, ФАПСИ, другие заинтересованные органы?

Как удостовериться, что полученная в результате ОРМ информация не будет опубликована или не станет известна третьим лицам? Какой режим хранения этой информации? Какой режим доступа к этой информации? Какой срок хранения этой информации? Какой эффект будет иметь утечка этой информации? Какие последствия для общества будут, если хакеры взломают СОРМ и допустят утечку информации? Как определить ответственность участников процесса?

СОРМ представляет собой сложную техническую систему, предсказать влияние которой на надежное функционирование сети связи очень трудно. Будет ли ФСБ принимать иски провайдеров за возможные нарушения в функционировании сети из-за неполадок СОРМ? Если СОРМ создает помехи клиентам сети, к кому они должны обращаться с иском - к провайдерам, или непосредственно к ФСБ?

Могут ли провайдеры в судебном порядке возмещать свои расходы на поддержание функционирования СОРМ из бюджета заказчика (ФСБ)? Могут ли клиенты провайдера обратиться с аналогичным коллективным иском к ФСБ, если провайдерам почему-то этого сделать не удастся?

Какой режим использования полученной в результате ОРМ информации в качестве доказательств? Злоумышленники часто выступают под чужими случайными именами в электронных сетях. Как в этом случае обладателю подобного имени защищаться от необоснованных обвинений ФСБ?

Как обеспечивается отсутствие "подбрасываемой" агентами ФСБ информации? Это неактуально в случае "прослушки", но весьма актуально в случае СОРМ на СДЭС.

Какие меры предусматриваются против возникновения "круговой поруки" провайдера и ФСБ по поводу неправомерного применения СОРМ?

Как учитывается международный опыт скандалов с неавторизованной прослушкой (Уотергейт и т.д.)

Будут ли ГТК и ФАПСИ сертифицировать установки СОРМ у провайдера (на предмет защиты от несанкционированного доступа и шифрования) по общим правилам, по отдельным правилам, или не будут сертифицировать? Как будет проводиться процедура сертификации и кто будет давать гарантии невмешательства в фукнционирование СОРМ?

Если информация копируется хотя бы в один дополнительный адрес, то ее легко скопировать после этого в любое другое число адресов. Какие методы защиты от копирования информации будут предприняты в СОРМ?

СОРМ является системой, к которой будут проявлять повышенный интерес другие правительства, а также террористические организации. Какие меры защиты от компрометации СОРМ предусматриваются? Если СОРМ будет скомпрометирована третьими лицами, как общество сможет узнать об этом? Какие меры при этом будут применены? Не является ли подобная централизованная надстройка над сетями более существенной угрозой общественной безопасности, чем выгоды от ее использовании в правопринуждении?

Кто ответственный за аудит процедуры проведения ОРМ с использованием СОРМ?

Как устроена процедура проверки решения суда (санкции прокурора) для того, чтобы удостовериться в его подлинности?

Какой вид для СОРМ СДЭС могли бы иметь предписания суда (санкции прокурора), чтобы на этом уровне могли быть установлены ограничения по мониторингу?

Какие отчеты по использованию и эффективности СОРМ предусмотрены, кому они будут доступны. Как общественность получит статистические и другие данные об использовании и эффективности СОРМ? Какие способы раскрытия этой важной для общественности информации предполагается использовать?

Будет ли СОРМ устанавливаться в сетях финансовых коммуникаций (например, rtsnet или сети ММВБ)? На российских сегментах международных финансовых сетей (например, SWIFT)? В сетях ВУЗов и научных центров? Как будет обеспечиваться СОРМ для проекта "Иридиум"?

Будет ли СОРМ устанавливаться в правительственных сетях связи? Если будет - то кто будет контролировать эту установку? Если не будет - то почему (разве процент потенциальных преступников среди сотрудников госучреждений меньше, чем в целом по обществу?). Какой контроль за ФСБ могло бы установить правительство, чтобы нормировать использование СОРМ в своих сетях? Почему эту практику нельзя распространить на все остальные ("неправительственные") системы СОРМ? Как получить список сетей, где СОРМ не будет устанавливаться?

Учитывая, что любая линия связи имеет две стороны, как юридически обосновать работу с информацией, принадлежащей стороне, которая не попадает под постановление суда или санкцию прокурора, но осуществляет официальную коммуникацию с "прослушиваемой" (или "перлюстрируемой" или "взламываемой" или "копируемой") стороной? Какие меры защиты предусмотрены для этих лиц-корреспондентов?

Какие меры предусмотрены для предотвращения повторных (многократных) оперативно-розыскных мероприятий, которые могут проводиться с применением одного и того же решения суда (санкции прокурора)?

Какое наименьшее количество людей, которое может нарушить секретность всей системы СОРМ у одного провайдера?

Можно ли "технически" для ФСБ "притвориться" абонентом (существующим реально или вымышленным) с использованием СОРМ, и насколько это будет законно, как организована будет оплата в этом случае? Не означает ли это де-факто скрытую возможность предоставления услуг связи для ФСБ?

Может ли провайдер опубликовать и/или сообщить абоненту о неправильном запросе на акцию ОРМ с использованием СОРМ? Если нет, то почему? Как иначе можно осуществлять действенный контроль над процессом формирования запросов на акции ОРМ с использованием СОРМ?

Будет ли провайдер иметь возможность накапливать статистические данные по использованию СОРМ (это позволит легко аудировать несанкционированное использование СОРМ третьими лицами по случаям расхождения в статистике провайдера и ФСБ).

Как будет устроена система обучения специалистов по работе с СОРМ? Как будет устроена система допуска этих специалистов к работе? Какие (и чьи) специалисты будут поддерживать работоспособность СОРМ, как будет организовано их обучение? Какие (и чьи) специалисты будут заниматься доработкой технических средств СОРМ? Как будет устроено финансирование работы этих специалистов?

Как общество сможет убедиться, что СОРМ в СДЭС не представляет собой угрозы тотального контроля (надзора) правительственных агентов за частной жизнью?

Какой эффект окажет разворачивание СОРМ на другие правительственные программы, ставящие своей целью защиту общественных и правительственных связных (в том числе финансовых) коммуникаций (программы ФАПСИ, ГТК и т.д.).

Какие возможны использования СОРМ на уровне субъектов федерации? Какие нормативные акты субъектов федерации могут запретить использовать СОРМ? Какие нормативные акты могут ухудшить общественную защиту от неправильного использования СОРМ? Каким образом планируется организовать работу в субъектах федерации

Какое влияние на общество окажет тот факт, что возможность полностью частной коммуникации будет утеряна?

Какой режим секретности СОРМ по сравнению с другими системами провайдеров? Как повлияет СОРМ на процедуры допуска сотрудников провайдера для качественного обслуживания аппаратуры связи? Не приведет ли СОРМ к ухудшению характеристик обслуживания, которые предлагаются провайдерами своим клиентам? Как СОРМ будет влиять на работу крупных провайдеров? Как СОРМ будет влиять на работу мелких провайдеров?

Смогут ли провайдеры применять готовое импортное оборудование, на котором невозможно установить СОРМ, но которое будет предполагать существенный выигрыш в стоимости и/или качестве предлагаемых услуг? Какие усилия делает ФСБ, чтобы СОРМ накладывала минимальные требования на программно-техническую базу провайдеров, а также позволяла оперативно ее заменять?

Как защититься от того, что провайдеры будут ухудшать возможные характеристики подключения своих клиентов (например, подключать клиентов по более низкоскоростным каналам, чем это возможно технически), чтобы удовлетворить требованиям СОРМ? Как часто предполагается модифицировать СОРМ, чтобы поспевать за техническим прогрессом в телекоммуникациях?

Как именно будет организовано тестирование системы и сдача ее в эксплуатацию? Провайдеры непрерывно обновляют свой программно-аппаратный парк; как это повлияет на частоту тестирования системы? Почему ФСБ является заказчиком, а провайдер - исполнителем, разве при создании СОРМ подрядные отношения? Если отношения не подрядные, то какие именно?

Не улучшит ли защиту потребителей обязательное требования к провайдеру оповещать своих абонентов, что у него установлена СОРМ, а также координат, по которым абоненты могли бы связаться с лицом в ФСБ, ответственным за использование СОРМ у данного провайдера?

Какие типы сетей предусматривают установку СОРМ (перечислить типы протоколов)? Какие ресурсы может занять конвертирование информации из одних форматов в другие, какова будет надежность таких "конверторов", насколько можно говорить о типовой архитектуре СОРМ для разных типов сетей? Если архитектура СОРМ не является типовой, то насколько типовым можно будет сделать использование различных типов СОРМ - по нормативным актам, инструкциям персонала и т.д. Не будет ли требование обязательной установки СОРМ у провайдера сдерживать технический прогресс?

В каких точках администрируемых сетей наиболее рационально устанавливать аппаратуру и программы СОРМ? Как определять ответственных в случае существенной вертикальной интеграции сетевых сервисов и/или их аутсорсинга? Как в этом случае обеспечивать режим секретности?

Как СОРМ будет влиять на международную коммуникацию? Не нарушит ли использование СОРМ в международной коммуникации каких-либо международных соглашений, к которым присоединилась Россия? Как отреагирует на создание всеобъемлющей СОРМ в России международное сообщество (правозащитные организации, правительства, бизнес-круги и т.д.)?

Как повлияет требование иметь СОРМ у всех провайдеров на предоставление услуг российскими провайдерами на международных рынках? Не приведет ли это требование к ухудшению конкурентоспособности российских провайдеров по сравнению с провайдерами других стран?

Что является критерием успеха в программе разворачивания СОРМ? Будет ли свернута программа разворачивания СОРМ, если критерии успеха не будут достигнуты?

Какое время жизни предлагаемого регулирования (и, соответственно, систем СОРМ)? Что предполагается делать на следующем этапе?

Какие международные контакты предполагается иметь по разработке и использованию СОРМ? Какие и с кем соглашения необходимо будет заключить?

Если оператор электросвязи не является поставшиком выделенных каналов, как многие ISP, то кто должен оплачивать организацию каналов? Оператор у которого устанавливается СОРМ или оператор, сдающий в аренду каналы? В первом случае - должны ли для каналов СОРМ устанавливаться специальные тарифы? Во втором - по какому принципу должен выбираться поставщик каналов связи? Что подразумевается под резервированием канала?

Где физически должен быть расположен удаленный пункт управления? Будет ли ФСБ создавать свои пункты слежения для СОРМ в каждом населенном пункте, включая сельскую местность? Если нет, то как соотнести требования пункта 4.4 с тем, что подключение удаленного населенного пункта к Москве может производиться по низкоскоростному каналу, например 128К, в то время, как подключение пользователей - по выскоскоростным (Ethernet).

Каким образом должен обеспечиваться СОРМ для ассиметричных схем доступа в Internet (DirectPC) - должен ли оператор протягивать от спутниковой антенны DirectPC, которую он ставит у клиента, выделенку к ближайшей резидентуре ФСБ?

Должны ли операторы за свой счет переоборудовать имеющиеся у них модемные пулы, не обладающие функциями АОН? Если да, то будут ли операторы ДЭС оплачивать оператору местной телефонной сети дополнительную услугу - АОН? Не приведет ли массированное использование технологии АОН операторами ДЭС к катастрофической перегрузке станционной аппаратуры АОН, которая изначально предназначается только для обслуживания междугородней связи. Кто должен компенсировать ухудшение качества обслуживания (постоянный невыход на 8-) для обычных абонентов ТфОП? Должен ли будет Госсвязьнадзор штрафовать оператора сети ТфОП за то, что в результате этой перегрузки не выдерживаются отраслевые нормативы качества связи?

Следует отметить, что использование аппаратуры АОН на абонентской линии не гарантирует правильности определения номера. Должно ли проводиться подключение СОРМ к станционной аппаратуре АОН с одновременным ее переоборудованием и кто это удовльствие будет оплачивать (оператор сети ДЭС, оператор местной телефонной сети, ФСБ, потребители за счет увеличения тарифов)?

Как соотносится разворачивание СОРМ и внедряемые сейчас по всей стране системы АПУС (Автоматизированный Повременный Учет Стоимости связи. Эти системы обеспечивают документирование всех исходящих звонков абонента: номер, куда звонили и продолжительность. Информация хранится на время, в течение которого местная ГТС готова принимать претензии по неправильно выставленному счету - на практике колеблется от полугода до трех)?.

Будет ли предоставлена возможность использования ресурсов СОРМ для публичных оповещений? Если да, то как это отличить от рекламы и спама, за чей счет это будет происходить, по какой цене, в чью пользу и механизмы контроля?

ПРИСЫЛАЙТЕ ЕЩЕ ВОПРОСЫ!

Комментарии (6)

  • Вопросы к авторам нормативных актов по СОРМ

    На мой взгляд правовая проблема организации СОРМ в INTERNET не столь актуальна, как ее трактуют организаторы опроса. Существует же СОРМ в телефонии, причем никто не кричит о нарушении прав личности. Соответствующая система контроля деятельности спецслужбы будет организована и здесь.
  • Вопросы к авторам нормативных актов по СОРМ

    аноним, 28.10.1999
    в ответ на: комментарий (анонимный, 11.09.1999)
    Не важна сфера применения СОРМа, а важны лишь способы внедрения, что на данный момент в нашей конкретной стране означает дополнительное финансирование из бюджета ФСБ с неконтролируемым распределением средств (как обычно) и организация принудительного рынка сбыта аппаратных средств с опцией СОРМа и средств криптографии.
  • Вопросы к авторам нормативных актов по СОРМ

    Марина Громова, 20.04.2000
    в ответ на: комментарий (анонимный, 11.09.1999)
    Насчет СОРМа в INTERNET - на практике это очень актуально и вот уже в течении нескольких лет. Хорошо рассуждать, не зная всей "внутренней кухни"...
    Если и есть какой-то контроль СОРМ в телефонии, так это только за счет следующего: ОРМ проводятся непосредственно на АТС (это с технической стороны), на основании судебного решения и материалов оперативно-розыскного дела (с правовой стороны). Если же последнего нет, то ОРМ незаконно, вот и все. В случае с телематикой все иначе: с технической стороны речь идет о создании точки удаленного доступа. А в случае с INTERNET с технической стороны речь идет о точке удаленного доступа, а о правовой стороне речь вообще не идет. Так, один из представителей ФСБ в устной беседе заявил, что он не обязан предъявлять суд. решения оператору связи. Вот такой вот уровень на практике.
  • Вопросы к авторам нормативных актов по СОРМ

    На практике, ОРМ в телефонии в очень многих местах реализуется следующим образом. В кросс зале (место где сходятся в кучу все линии) установлена стойка от кабеля ведущего в техслужбу местного ОВД. Специальный человек от ОВД имеет полный доступ в это помещение, и в любое время. Именно этот человек накидывает соединительные проводочки от абонентской линии к стойке ОВД. В одних местах от него просят бумажку-разрешение на проведение прослушивания абонента, в основном же никто и не спрашивает его ни о чем. Так что СОРМ-2 это логическое продолжение сложившейся практики проведения ОРМ в сетях электросвязи. Интересно, кто из работников связи
  • Вопросы к авторам нормативных актов по СОРМ

    Вы правы, наверное, я не могу спорить или делать предложения по техническим вопросам. Откровенно говоря, они меня не волнуют - меня волнует наличие суд. решения при технических манипуляциях. Нельзя смириться с незаконной практикой действий на сетях электросвязи, только потому, что она сложилась. И потом, если уже есть технические возможности для проведения ОРМ, зачем же тогда придуман СОРМ-2?
  • Вопросы к авторам нормативных актов по СОРМ

    Мне кажется, что вопросы стоит упорядочить по темам, иначе
    их слишком много и можно просто мыслями запутаться
[email protected] Московский Либертариум, 1994-2020