Перейти к основному содержимому

2.03. Государственный контроль за Интернетом

ОБЯЗАТЕЛЬНОДЛЯ НОВИЧКОВНЕ ДЛЯ НОВИЧКОВВ РАЗРАБОТКЕ
Разработчику Архитектору Инженеру

Совет
"Вселенная IT" является образовательным сайтом, никем не лоббируется и не финансируется. Нижеприведённая информация является познавательной, общедоступной и не несёт за собой "нехороших" целей.

Часть I. Введение: что такое государственный контроль в цифровой среде?

Интернет изначально задумывался как децентрализованная, открытая и самоорганизующаяся сеть сетей, в которой передача данных осуществляется по протоколам, не предполагающим централизованного управления. Однако с ростом масштаба, экономической значимости и социального влияния глобальной сети государства постепенно начали внедрять механизмы регулирования, ориентированные на три основные цели:

  1. Поддержание правопорядка — предотвращение преступлений (киберпреступность, террористическая деятельность, распространение детской порнографии и т.п.);
  2. Обеспечение национальной безопасности — защита критически важных информационных инфраструктур, контроль утечек государственной тайны, противодействие иностранным дезинформационным кампаниям;
  3. Реализация публичных интересов — защита прав граждан (в частности, персональных данных), обеспечение доступности информации, соблюдение культурных и правовых норм (например, запрет на пропаганду насилия или разжигание ненависти).

Важно различать два уровня вмешательства:

  • Предупредительный (проактивный) контроль — фильтрация трафика, лицензирование операторов, обязательное хранение метаданных и контента, внедрение технических средств (DPI, SORM);
  • Реактивный (последующий) надзор — мониторинг с последующей реакцией (удаление контента, привлечение к ответственности, выдача запросов на данные).

Технически контроль может осуществляться на разных уровнях стека протоколов:

  • На физическом уровне — через управление инфраструктурой (кабели, точки обмена трафиком — IXP);
  • На сетевом уровне — маршрутизация, BGP-хиджинг, DNS-фильтрация, IP-блокировки;
  • На транспортном и прикладном уровнях — инспекция пакетов (DPI), регулирование TLS-сертификатов, API-интеграции (например, для получения данных у провайдеров).

Отдельно выделяется юрисдикционный аспект: как правило, государства регулируют деятельность субъектов, находящихся под их юрисдикцией (резиденты, зарегистрированные компании, серверы на территории), но всё чаще возникают конфликты экстерриториальности — когда, например, европейский регулятор требует от американской компании удалить контент, доступный в ЕС.

Ключевые принципы, лежащие в основе большинства современных моделей регулирования:

  • Субсидиарность — регулирование осуществляется как можно ближе к источнику угрозы (локально, а не глобально);
  • Соразмерность — меры должны быть адекватны угрозе и не наносить чрезмерного ущерба правам пользователей (например, принцип necessity and proportionality в Европейской конвенции по правам человека);
  • Прозрачность процедур — даже при применении ограничительных мер должны быть задокументированы основания, порядок обжалования, критерии включения/исключения из списков;
  • Принцип «безопасности по умолчанию» (security & privacy by design) — технические стандарты всё чаще включают требования к встроенной защите и возможности аудита.

Далее мы рассмотрим, как эти принципы реализуются в практике различных стран и регионов.

Часть II. Международные и региональные модели регулирования

2.1. Международные координационные и правоохранительные структуры

Государственный контроль за сетью редко осуществляется в полной изоляции. В условиях трансграничного характера цифровых сервисов формируются многоуровневые механизмы взаимодействия:

Международный союз электросвязи (МСЭ, ITU)
Подразделение ООН, координирующее глобальную телекоммуникационную политику. МСЭ не обладает полномочиями по прямому регулированию Интернета, но разрабатывает рекомендации по:

  • распределению радиочастотного спектра и спутниковых орбит (влияет на физическую доступность связи);
  • стандартизации протоколов (например, в области кибербезопасности — серия рекомендаций X.1500);
  • национальным стратегиям цифровой трансформации (включая вопросы цифрового суверенитета и кибергигиены).

МСЭ регулярно публикует Global Cybersecurity Index (GCI), отражающий уровень зрелости национальных систем кибербезопасности, включая правовые, технические и организационные меры.

Интерпол (Международная организация уголовной полиции)
Аккумулирует запросы на международное правовое содействие в сфере киберпреступности. Основные инструменты:

  • I-24/7 — защищённая сеть обмена данными между национальными центрами;
  • Cybercrime Directorate — координирует операции по борьбе с мошенничеством, кражей персональных данных, вредоносным ПО;
  • Global Complex for Innovation (GCI) — симуляционный центр в Сингапуре для тренировки цифровых расследований.

Ключевой момент: Интерпол не обладает правом прямого доступа к данным или принудительного исполнения решений — он действует через национальные правоохранительные органы по запросу. Запросы на получение пользовательских данных от IT-компаний всё равно направляются через соответствующие национальные юрисдикции.

Организация Объединённых Наций (ООН)
В 2021 г. Генеральная Ассамблея приняла резолюцию «Содействие многостороннему, многоуровневому и демократическому управлению Интернетом», подтверждающую приоритет национального суверенитета при сохранении открытости сети. В рамках ООН действует Группа правительственных экспертов (ГПЭ) по вопросам информационной безопасности — площадка для выработки норм поведения государств в киберпространстве.

Совет Европы и Конвенция о киберпреступности (Будапештская конвенция, 2001)
Первый международный договор, обязывающий страны:

  • криминализировать определённые виды киберпреступлений (незаконный доступ, перехват данных, компьютерные мошенничества, подделка данных, контент-преступления);
  • обеспечивать правоохранительным органам доступ к сохранённым компьютерным данным и трафику (в т.ч. через preservation orders — оперативные запросы на сохранение данных до выдачи официального запроса);
  • устанавливать 24/7-точки контакта для экстренного взаимодействия.

На 2025 г. Конвенцию ратифицировали 68 государств, включая США, Канаду, Японию, но не включая Россию, Китай, Бразилию. Вместо неё Россия продвигает альтернативную Конвенцию ООН по киберпреступности (проект, обсуждаемый с 2019 г.), ориентированную на более широкое понимание «незаконного контента» и усиление роли государств в регулировании.

2.2. США: правовая основа, технические меры и сотрудничество с частным сектором

В США отсутствует единый надзорный орган за Интернетом. Функции распределены между:

  • Федеральной торговой комиссией (FTC) — защита потребителей и персональных данных;
  • Федеральной комиссией по связи (FCC) — регулирование телекоммуникаций, нейтральности сети (Net Neutrality — статус менялся в зависимости от администрации);
  • Министерством юстиции (DOJ) и его подразделениями — ФБР (внутренняя безопасность), DEA (борьба с наркооборотом), Secret Service (финансовые преступления);
  • Агентством национальной безопасности (АНБ, NSA) — внешняя разведка и защита национальной инфраструктуры.

Правовая база доступа к данным:

  • Закон о помощи в обеспечении правопорядка в эпоху цифровых технологий (CALEA, 1994) — обязывает провайдеров связи обеспечивать техническую возможность перехвата трафика по решению суда.
  • Закон о патриотизме (Patriot Act, 2001) — §215 позволял получать «любые документы» (включая метаданные звонков и интернет-активности) без предъявления конкретных подозрений (в 2020 г. истёк; часть полномочий перешла в USA FREEDOM Reauthorization Act с ужесточёнными процедурами).
  • Закон о хранении данных за рубежом (CLOUD Act, 2018) — уточняет, что американские компании обязаны выдавать данные по запросу DOJ, даже если они хранятся на серверах за пределами США, при условии, что пользователь находится под юрисдикцией США. В то же время закон предусматривает executive agreements — двусторонние соглашения (например, с Великобританией, Австралией), позволяющие правоохранителям напрямую обращаться к иностранным провайдерам без экстрадиционных процедур.

Практика сотрудничества с IT-корпорациями:
Apple, Google, Microsoft, Meta ежегодно публикуют Transparency Reports, в которых раскрывают:

  • количество полученных правительственных запросов (по типам: запросы на данные пользователей, запросы на удаление контента, национальные security letters);
  • процент запросов, по которым предоставлены данные (например, в 2024 г. Google выполнил ~61% запросов от правоохранителей США на раскрытие данных);
  • типы запрашиваемых данных (subscriber info, content data, real-time location).

Компании вправе оспаривать запросы в суде, если сочтут их чрезмерными или необоснованными (например, Apple неоднократно отклоняла запросы на «backdoor» в iOS). Однако практика показывает, что большинство запросов, оформленных по установленной процедуре (ордер, subpoena), исполняются без публичных возражений.

Стоит отметить: технический контроль трафика на уровне инфраструктуры (например, DPI-фильтрация всего трафика) в США отсутствует как массовая практика. Контроль носит выборочный, целевой характер — по конкретным подозреваемым, на основании судебного решения.

2.3. Европейский Союз и Великобритания: баланс безопасности, прав и регуляторной строгости

ЕС придерживается модели правового регулирования через общие нормы, а не техническую цензуру. Ключевые инструменты:

  • Общий регламент по защите данных (GDPR, 2018) — устанавливает жёсткие требования к обработке персональных данных, включая:

    • принцип purpose limitation (данные собираются только под чёткую цель);
    • data minimisation (только необходимый объём);
    • right to erasure («право на забвение» — Google и др. обязаны удалять ссылки по запросу, если баланс интересов склоняется в пользу субъекта данных);
    • санкции до 4% глобального оборота.

  • Директива NIS2 (2022) — расширяет круг субъектов критической инфраструктуры (включая облачные провайдеры, CDN, DNS-провайдеры), обязывает к обязательному сообщению об инцидентах, аудиту и резервному копированию.

  • Цифровые службы (Digital Services Act, DSA) — введена в 2023 г., требует от крупных платформ (VLOPs — Very Large Online Platforms, например, YouTube, TikTok, X):

    • алгоритмической прозрачности (описание систем рекомендаций);
    • независимого аудита рисков;
    • оперативного удаления illegal content (определённого национальным правом — например, призывы к насилию, террористический контент, контрафакт);
    • запрет на таргетинг рекламы по чувствительным параметрам (раса, религия, сексуальная ориентация) для несовершеннолетних.

Национальные особенности:

  • Германия: Закон NetzDG (2017) обязывает соцсети удалять явно незаконный контент (например, публичное оправдание нацизма по §130 УК Германии) в течение 24 часов, иначе — штраф до €50 млн. Критикуется за стимулирование «перестраховки» — автоматических удалений на основе ИИ без проверки контекста.
  • Франция: Акцент на борьбу с дезинформацией в период выборов (закон 2018 г., позволяющий суду блокировать сайты менее чем за 48 часов).
  • Великобритания: Online Safety Act (2023) возлагает на платформы duty of care — обязанность предотвращать вред, включая «легально, но вредно» (legal but harmful) — например, контент, пропагандирующий расстройства пищевого поведения среди подростков. Ofcom (регулятор) может налагать штрафы до 10% оборота и блокировать доступ к несоответствующим сервисам.

Важно: в ЕС запрещена общенациональная блокировка доступа к сайтам как мера первого реагирования. Судебное решение о блокировке возможно, но только как крайняя мера, если другие способы (например, уведомление хостинг-провайдера) не сработали (см. прецедент Telekabel, CJEU, 2014).

2.4. Восточная Азия: Япония и Республика Корея

Япония
Является сторонником открытого Интернета. Регулирование минимально инвазивно:

  • Закон о защите персональных данных (APPI) с 2017 г. приближён к GDPR;
  • Удаление контента происходит по запросу правоохранителей или через добровольные механизмы (например, Japan Network Information Center, JPNIC координирует реакцию на фишинг и вредоносные домены);
  • Блокировка сайтов возможна, но требует судебного решения. Массовых DPI-систем нет;
  • Особое внимание — кибербезопасности Олимпийских игр 2020: создан NISC (National Center of Incident Readiness and Strategy for Cybersecurity) как единый координационный центр.

Республика Корея
Обладает одной из самых развитых цифровых инфраструктур, но и одной из самых жёстких систем регулирования:

  • Закон о реальном имени (2007–2012) — требовал указания гражданского идентификатора (RRN) при комментировании на крупных сайтах. Признан неконституционным в 2012 г., но следы остались: платформы активно используют верификацию через мобильные номера и банковские аккаунты.
  • Комиссия по коммуникациям Кореи (KCC) и Корейский агент по кибербезопасности и информации (KISA) контролируют:
    • соблюдение закона о персональных данных (PIPA);
    • борьбу с cyber defamation — по §70 УК за «клевету в СМИ» предусмотрено до 7 лет тюрьмы (одно из самых строгих положений в мире);
    • мониторинг «вредного контента» (азартные игры, порнография, пропаганда суицида).
  • Платформы обязаны удалять контент в течение 24 часов после уведомления KCC. Google Korea, Naver, Kakao ежегодно удаляют десятки тысяч URL.

2.5. Китайская модель: «Великий китайский файрвол» и компартийное руководство цифровым пространством

Китайская система регулирования — наиболее системная и технически развитая в мире. Основана на принципе «цифрового суверенитета» — право государства управлять своей кибертерриторией без вмешательства извне.

Институциональная структура:

  • Министерство промышленности и информатизации (MIIT) — лицензирование провайдеров, технические стандарты;
  • Государственное управление по киберпространству (CAC) — создано в 2014 г., координирует политику, осуществляет цензуру, управляет «Чёрным списком»;
  • Министерство общественной безопасности (MPS) и Государственная безопасность (MSS) — оперативный контроль, расследования.

Технические механизмы «Великого китайского файрвола» (GFW):

  • DNS-спуфинг и перенаправление — при запросе заблокированного домена (например, facebook.com) DNS-серверы выдают неверный IP или не отвечают;
  • TCP RST-инъекция — при обнаружении сигнатур (например, TLS-SNI-заголовка, содержащего запрещённое доменное имя) GFW отправляет пакет RST, разрывая соединение;
  • Глубокая инспекция трафика (DPI) — анализ пакетов на граничных маршрутизаторах (у провайдеров первого уровня — China Telecom, China Unicom, China Mobile); распознаются не только домены, но и сигнатуры протоколов (Tor, Shadowsocks, WireGuard);
  • BGP-манипуляции — временное перенаправление трафика через контролируемые узлы для анализа.

С 2017 г. введена обязательная регистрация всех виртуальных частных сетей (VPN). Коммерческие VPN-сервисы должны получить лицензию MIIT и обеспечивать «техническое взаимодействие с органами безопасности». Фактически легальными остаются только корпоративные VPN для бизнеса.

Контент-политика:

  • Все онлайн-платформы обязаны назначать контент-менеджеров, лично ответственных за модерацию;
  • Запрещено любое содержание, «подрывающее национальное единство», «раскрывающее государственную тайну», «распространяющее ложную информацию», «нарушающее общественный порядок»;
  • Введена система социального рейтинга (Social Credit System) — нарушения в сети (например, распространение «вредной информации») могут снижать рейтинг, влияя на доступ к кредитам, авиаперелётам и госуслугам.

С 2022 г. активно развивается концепция «чистого киберпространства» (清朗行动) — кампания по борьбе с «нездоровой культурой фанатов», «чрезмерной редакцией изображений», «ложными новостями» и «иностранным влиянием». Платформы обязаны удалять до 95% нарушений в течение 2 часов.

2.6. Северная Корея: тотальная изоляция и внутренняя сеть Kwangmyong

Северная Корея представляет собой уникальный случай полного государственного монополизма над коммуникациями.

  • Публичный доступ в глобальный Интернет разрешён только высшему руководству, дипломатам и немногим иностранным корреспондентам (через провайдера Star Joint Venture, совместное предприятие с Китаем).
  • Внутренняя сеть Kwangmyong («Светлый путь») — изолированная национальная сеть, доступная в университетах, госучреждениях и некоторых гостиницах. Содержит:
    • копии энциклопедий и учебников;
    • материалы КНДР о партии, идеологии чучхе, биографии лидеров;
    • ограниченные сервисы (внутренняя почта, форумы).
  • Мобильная связь (оператор Koryolink, совместно с Orascom/Egypt) не даёт доступа в Интернет — только голос, SMS и внутренние сервисы (например, Kwangmyong через WAP-браузер).
  • Контрабанда устройств (телефоны, USB-накопители с контентом) карается строго — вплоть до отправки в трудовые лагеря.

С 2016 г. запущена кампания по цифровой гигиене: проверки домов на наличие «иностранных материалов», установка ПО для мониторинга активности на легальных устройствах. По данным Daily NK, в Пхеньяне действует подразделение 121 — хакерская группа, специализирующаяся на краже криптовалюты для финансирования программ.

Часть III. Государственный контроль за Интернетом в Российской Федерации

3.1. Институциональная структура: кто отвечает за что

В Российской Федерации функции регулирования цифровой среды распределены между несколькими федеральными органами, взаимодействующими в рамках утверждённых регламентов:

  • Министерство цифрового развития, связи и массовых коммуникаций (Минцифры России)
    Формирует государственную политику и нормативно-правовую базу в сфере связи, ИТ и СМИ. Координирует:

    • развитие национальной цифровой инфраструктуры («Цифровая экономика», «Госключ», «ЕПГУ»);
    • внедрение «суверенного интернета»;
    • регулирование криптографических средств (в т.ч. требования к СКЗИ).

  • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор, РКН)
    Подведомственный Минцифры орган, обладающий исполнительными полномочиями. Основные направления деятельности:

    • ведение реестров (запрещённых сайтов, ОРИ, ОПИ, СМИ-иноагентов);
    • применение мер ограничения доступа (блокировка, замедление, принудительное перенаправление);
    • контроль за соблюдением законодательства о персональных данных (ФЗ-152);
    • лицензирование деятельности в сфере связи.

  • Федеральная служба безопасности (ФСБ России)
    Отвечает за оперативно-розыскную деятельность в киберпространстве. В рамках закона № 144-ФЗ «Об оперативно-розыскной деятельности» и технических требований к системе СОРМ (Система оперативно-розыскных мероприятий), ФСБ имеет право:

    • получать метаданные и контент в режиме реального времени;
    • направлять операторам связи обязательные технические задания на внедрение оборудования СОРМ;
    • инициировать внесение ресурсов в реестр запрещённых сайтов (через запросы в Роскомнадзор).

  • Центр информационной безопасности (ЦИБ) ФСТЭК России
    Устанавливает требования к защите информации, включая классификацию систем по уровням конфиденциальности, сертификацию СКЗИ, стандарты кибербезопасности для критической инфраструктуры (требования СТО БР ИББС-1.0, приказы № 31–34).

  • Генеральная прокуратура РФ
    Обладает правом прокурорского реагирования: может выносить представления о внесении ресурса в реестр запрещённых без обращения в суд, если выявлено нарушение, угрожающее «основам конституционного строя» или «безопасности государства» (ст. 15.1 ФЗ-149). Данная норма активно применяется с 2022 г.

Межведомственное взаимодействие формализовано в «Плане первоочередных мероприятий по обеспечению устойчивого функционирования российского сегмента сети Интернет» (утв. Правительством РФ № 924-р от 20.04.2023), где чётко распределены роли при реализации «мер противодействия внешним угрозам».

3.2. Правовая база: ключевые федеральные законы и подзаконные акты

Ниже приведены основные нормативные акты, определяющие рамки государственного контроля. Все они находятся в силе на ноябрь 2025 г.

Закон / АктКраткое содержаниеПолномочия РКН / ФСБ
ФЗ-149 «Об информации, ИТ и о защите информации» (в ред. 2023)Основной закон, определяющий правовой статус информации, информационных систем, права и обязанности операторов. Вводит понятия «информационная безопасность», «ограниченный доступ», «распространение информации».Ведение Единого реестра запрещённых сайтов (ст. 15.1); применение технических мер ограничения доступа.
ФЗ-152 «О персональных данных» (в ред. 2022)Устанавливает требования к сбору, хранению, обработке и трансграничной передаче ПДн. С 2023 г. действует запрет на трансграничную передачу ПДн в страны, не обеспечивающие адекватную защиту («недружественные»), без предварительного согласия Роскомнадзора.Проверки операторов ПДн, вплоть до приостановки обработки; внесение в реестр нарушителей.
ФЗ-398 «О безопасности критической информационной инфраструктуры» (2017)Обязывает субъекты КИИ (энергетика, связь, транспорт, финансы) обеспечивать защиту, уведомлять об инцидентах, использовать только сертифицированные СКЗИ.ЦИБ ФСТЭК осуществляет контроль; Минцифры — координация.
ФЗ-242 (2019) — «Закон о локализации ПДн»Требует хранить и обрабатывать ПДн граждан РФ на серверах, расположенных на территории РФ.Роскомнадзор вправе блокировать ресурсы при неисполнении (например, LinkedIn в 2016 г., хотя формально ФЗ-242 вступил позже — применён по аналогии).
ФЗ-530 (2022) — «О нежелательных организациях в цифровой среде»Расширяет понятие «нежелательной деятельности»: включает распространение «фейков» о ВС РФ, призывы к санкциям, «дискредитацию» госорганов.Прокуратура инициирует внесение, Роскомнадзор исполняет блокировку.
Постановление Правительства № 1092 (2022)Утверждает требования к «Системе оперативного реагирования» (СОР) — комплексу технических средств для централизованного управления маршрутами в российском сегменте Интернета.Операторы связи обязаны подключиться к узлам управления трафиком (УУТ), развёрнутым в МРТС, «Транстелекоме», «Ростелекоме».

3.3. Технические инструменты контроля

3.3.1. СОРМ (Система оперативно-розыскных мероприятий)

Исторически сложившаяся и постоянно модернизируемая система, обязательная для всех операторов связи (ст. 64 ФЗ-126). Три поколения:

  • СОРМ-1 (с 1998 г.) — перехват телефонного трафика (голос, SMS);
  • СОРМ-2 (с 2000 г.) — перехват метаданных интернет-трафика (IP-источник/назначение, порты, время, объём, тип протокола);
  • СОРМ-3 (с 2014 г., обязательное внедрение с 2021 г.) — перехват контента (тело HTTP-запросов/ответов, тело писем, тексты мессенджеров при отсутствии сквозного шифрования), а также геолокационные данные в реальном времени.

Требования:

  • Оператор обязан установить оборудование СОРМ в своей сети (аппаратные модули от аккредитованных поставщиков — «Информтехника», «Криптонит», «Алмаз-Антей»);
  • Обеспечить выделенный канал связи с узлом ФСБ;
  • Хранить метаданные не менее 6 месяцев, контент — 30 суток (п. 1.3 Техтребований ФСБ № 1/22-01/СР).

С 2023 г. внедряется СОРМ-4 — модуль интеграции с системами распознавания речи (для VoIP) и анализа изображений (в т.ч. для выявления запрещённых символов).

3.3.2. DPI (Deep Packet Inspection)

Глубокая инспекция пакетов применяется:

  • На сетях операторов связи (как часть СОРМ-3);
  • На магистральных узлах (в рамках «Системы оперативного реагирования»).

Функции DPI в РФ:

  • Выявление сигнатур запрещённых ресурсов (в т.ч. по TLS-SNI до установки шифрованного соединения);
  • Обнаружение использования инструментов обхода блокировок (Tor, Psiphon, Outline, Shadowsocks);
  • Анализ трафика на предмет «аномалий» — резкие всплески трафика, нестандартные протоколы (например, DNS-over-HTTPS в обход локальных серверов);
  • Классификация трафика по типу (видео, мессенджеры, P2P) — используется для управления приоритезацией (например, в условиях «чрезвычайной ситуации»).
3.3.3. «Система оперативного реагирования» (СОР)

Не путать с СОРМ. СОР — это инфраструктурный проект, направленный на обеспечение устойчивости Рунета при внешнем отключении от корневых DNS-серверов или BGP-дизагрегации.

Ключевые компоненты:

  • Национальная система доменных имён (НСДИ) — зеркало корневых зон (A–M), обновляемое через МРТС;
  • Центр управления сетью (ЦУС) — технический центр в структуре ФСБ, координирующий маршрутизацию в автономном режиме;
  • Узлы управления трафиком (УУТ) — точки принудительного перенаправления трафика; развёрнуты в 8 междугородных узлах связи;
  • Обязательная маршрутизация через российские шлюзы — постановление № 1092 требует, чтобы весь входящий и исходящий международный трафик проходил через УУТ.

В тестовом режиме (2019, 2021, 2023 гг.) подтверждена техническая возможность полного автономного функционирования Рунета в течение 72+ часов.

3.3.4. Реестры как инструмент управления доступом

Роскомнадзор ведёт несколько реестров, имеющих юридические последствия:

  1. Единый реестр запрещённых сайтов (ст. 15.1 ФЗ-149)

    • Основания: экстремизм, наркотики, суицид, порнография, «фейки» о ВС РФ, «дискредитация», призывы к санкциям, нарушение ПДн-локализации и др.
    • Процедура: решение суда / представление прокурора / запрос ФСБ / уведомление хостинг-провайдера (72 часа на удаление, иначе — блокировка).
    • На ноябрь 2025 г. в реестре — ~7,1 млн URL (данные Роскомнадзора).

  2. Реестр организаторов распространения информации (ОРИ)

    • Обязательная регистрация для сервисов, позволяющих пользователям размещать/распространять информацию (соцсети, мессенджеры, форумы, блог-платформы).
    • Обязанности: хранение ПДн и контента 6/12 месяцев, установка СОРМ-3, предоставление ФСБ ключей дешифрования при наличии сквозного шифрования.
    • На 2025 г. — ~54 тыс. зарегистрированных ОРИ, включая Telegram (с 2022 г.), «ВКонтакте», «Одноклассники», Rutube.

  3. Реестр операторов персональных данных (ОПД)

    • Регистрация обязательна для всех, кто обрабатывает ПДн.
    • С 2023 г. — упрощённая регистрация; акцент смещён на проверки и штрафы.

3.4. Процедуры ограничения доступа: как происходит блокировка

Процесс строго регламентирован:

  1. Инициация

    • Судебное решение (по иску прокуратуры, Роскомнадзора, частного лица);
    • Представление прокурора (в порядке ст. 37 Закона о прокуратуре);
    • Запрос ФСБ (в рамках ОРД);
    • Уведомление хостинг-провайдера (срок — 24 ч на уведомление владельца, 72 ч на удаление контента).

  2. Внесение в реестр
    — Роскомнадзор вносит IP/DNS/URL в Единый реестр, направляет информацию операторам связи.

  3. Техническая реализация

    • На DNS-уровне: подмена A/AAAA-записей на «заглушку» (192.168.0.1 или IP-адрес информационного ресурса РКН);
    • На IP-уровне: блокировка адреса в маршрутизаторах (через BGP blackholing или ACL);
    • На HTTP-уровне: возврат HTTP 451 («недоступно по юридическим причинам») — с 2021 г. обязательный код для всех блокировок;
    • На TLS-уровне: блокировка по SNI (до установки соединения; обходится при использовании Encrypted Client Hello — ECH, но поддержка в российских DPI пока ограничена).

  4. Обжалование
    — Подача заявления в суд общей юрисдикции;
    — Обращение в Роскомнадзор с доказательствами устранения нарушения (например, удаление контента);
    — В случае ошибочной блокировки — обязанность РКН исключить ресурс в течение 24 ч (п. 5.4 Административного регламента).

Практика показывает, что массовые блокировки (например, по домену целиком — twitter.com, facebook.com) реализуются комбинированным способом: DNS + IP + DPI. При этом доступ через прокси, Tor или легальные VPN (например, «Касперский Secure Connection») технически возможен, но с 2023 г. РКН активно блокирует IP-адреса известных публичных прокси-серверов и мостов Tor.

3.5. Взаимодействие с иностранными и российскими IT-компаниями

Иностранные компании

  • Google, Apple, Meta, Microsoft формально не зарегистрированы как ОРИ (кроме Apple — частично, как распространитель ПО);
  • Тем не менее, их локальные представительства (например, Google Russia LLC до 2022 г.) подпадали под требования ПДн и удаляли контент по запросам;
  • После 2022 г. большинство ушло с рынка; взаимодействие происходит через нерезидентов — медленнее, но не прекращено: например, Google обрабатывает запросы «права на забвение» от россиян через европейские офисы.

Российские компании

  • Mail.ru Group («ВКонтакте», «Марусин почта», «Марусин диск»), «Яндекс» (до смены структуры управления), «Ростелеком», «МТС», «Мегафон» — полностью интегрированы в систему:
    • Располагают отделами по взаимодействию с госорганами;
    • Внедрили СОРМ-3;
    • Хранят данные на территории РФ;
    • Автоматизировали удаление по API-запросам от РКН (в среднем — 98% обработки за <2 часа).

Случай Telegram

  • В 2018–2020 гг. — массовая блокировка (18 млн IP-адресов Amazon и Google Cloud);
  • В 2020 г. — прекращение блокировок после «технических разъяснений» (предположительно — соглашение об установке СОРМ-3 для российских пользователей);
  • С 2022 г. — официальная регистрация как ОРИ; открытие офиса в Москве; интеграция с Госуслугами и «Миром».

3.6. Эффективность и побочные эффекты

С технической точки зрения система демонстрирует высокую работоспособность:

  • Среднее время внесения в реестр и блокировки — менее 4 часов для приоритетных категорий;
  • Уровень обхода блокировок: по данным «Лаборатории Касперского» (2024), ~23% пользователей используют инструменты обхода (в 2021 г. — ~41%);
  • Число ошибочных блокировок («переблокировок») снизилось с 12% (2019) до 3,7% (2024) благодаря внедрению автоматизированной верификации.

Однако возникают системные издержки:

  • Рост latency — из-за DPI и маршрутизации через УУТ задержки увеличились на 15–40 мс в среднем;
  • Снижение отказоустойчивости — централизация управления трафиком создаёт точки единого отказа;
  • Экономические издержки для бизнеса — стоимость внедрения СОРМ-3 для среднего хостинг-провайдера — 2–5 млн руб.;
  • Миграция сервисов в децентрализованные протоколы — рост числа сайтов на IPFS, Nostr, Matrix.

Часть IV. Как минимизировать риск блокировки и что делать при внесении ресурса в реестр запрещённых сайтов

4.1. Профилактика: системный подход к снижению рисков

Блокировка — это следствие, а не причина. Чтобы избежать её, необходимо выстроить комплексную систему (compliance), охватывающую четыре слоя: правовой, контентный, технический и организационный.

4.1.1. Правовой уровень: соответствие базовым требованиям

  1. Определите правовой статус вашего ресурса
    Согласно ст. 2 ФЗ-149, критически важно классифицировать свою деятельность:

    • Если пользователи могут размещать или распространять информацию (комментарии, посты, загрузка файлов, чаты), вы — организатор распространения информации (ОРИ) и обязаны зарегистрироваться в реестре ОРИ в течение 3 рабочих дней с момента начала функционирования.
    • Если вы собираете персональные данные (даже имя и email для рассылки), вы — оператор ПДн и обязаны уведомить Роскомнадзор (хотя с 2023 г. уведомление не требуется при обработке только «общедоступных» данных, регистрация в реестре ОПД сохраняется как рекомендация).
    • Если сервис доступен на территории РФ и использует шифрование — требуется уведомление ФСБ о применяемых средствах защиты (п. 2.1 Приказа ФСБ № 337 от 2021 г.), а при использовании криптографии с длиной ключа > 56 бит — получение заключения о соответствии.

  2. Локализация данных
    Требование ФЗ-242: персональные данные граждан РФ должны собираться, записываться, систематизироваться, накапливаться, храниться, уточняться и извлекаться с использованием баз данных, расположенных на территории РФ.

    • Допустимо реплицировать данные за рубеж (например, для резервного копирования), но первичная запись должна происходить на российский сервер.
    • Рекомендуется использовать географическую маршрутизацию (GeoDNS или Anycast с привязкой к РФ), чтобы трафик российских пользователей автоматически направлялся на локальные узлы.

  3. Политики и документация
    Обязательные документы (ст. 18.1 ФЗ-152, ст. 10.1 ФЗ-149):

    • Политика обработки персональных данных;
    • Пользовательское соглашение (с чётким описанием прав и обязанностей);
    • Правила публикации (moderation policy) — перечень запрещённых тем (экстремизм, насилие, незаконные призывы и т.п.).
      Документы должны быть публично доступны, написаны на русском языке, и пользователь должен дать активное согласие (чекбокс, не «продолжая пользоваться, вы соглашаетесь»).
4.1.2. Контентный уровень: управление рисками генерируемого пользователями контента

  1. Модерация: обязательная и добросовестная
    Согласно п. 2 ст. 10.1 ФЗ-149, ОРИ обязаны принимать меры по недопущению распространения запрещённой информации. Судебная практика (Постановление Президиума ВАС № 5432/13) трактует это как требование к:

    • автоматической предмодерации (фильтрация по ключевым словам, ИИ-детекция изображений — например, на основе решений «Крибрум», «Антифрод Системс»);
    • ручной постмодерации (24/7 для крупных платформ, 72 ч — минимальный срок для малых);
    • оперативному удалению после получения уведомления (72 ч по закону, но на практике — чем быстрее, тем ниже риск реестра).

  2. Механизм уведомлений и жалоб

    • Обязательно наличие формы для подачи жалоб на контент (ст. 10.1 ФЗ-149);
    • Рекомендуется внедрить трёхуровневую систему обжалования:
      1. пользователь жалуется → модератор принимает решение;
      2. при несогласии — апелляция к старшему модератору;
      3. при повторном несогласии — направление в независимую экспертную комиссию (например, при поддержке Ассоциации интернет-компаний — АИК).

  3. Отказ от «опасных» категорий контента
    Вне зависимости от модерации, заранее исключите функционал, влекущий автоматическую блокировку:

    • Торрент-трекеры и индексы раздач (даже легальных);
    • Обменники криптовалют без лицензии ЦБ;
    • Сервисы мгновенного обмена сообщениями с отсутствием возможности дешифровки для оператора (в этом случае — невозможность выполнить требования СОРМ-3 → отказ в регистрации ОРИ → автоматическая блокировка после 30 дней работы).
4.1.3. Технический уровень: архитектурная устойчивость

  1. Подготовка к СОРМ-3
    Даже если вы пока не зарегистрированы как ОРИ, проектируйте систему с учётом будущего подключения:

    • Выделите логический интерфейс перехвата (LI — Lawful Intercept) в архитектуре;
    • Используйте протоколы с возможностью выдачи ключей сессии (например, TLS 1.2 с RSA key exchange; TLS 1.3 с (EC)DHE требует внедрения механизма key escrow);
    • Избегайте «чёрных ящиков» — оборудование и ПО должны иметь российскую сертификацию ФСБ/ФСТЭК при работе с ПДн или критической инфраструктурой.

  2. Резервирование DNS и хостинга

    • Используйте несколько регистраторов доменов (в т.ч. российских — RU-CENTER, REGRU);
    • Разворачивайте инфраструктуру в нескольких дата-центрах (включая Tier-III в РФ);
    • Настройте резервные A/AAAA-записи на «информационную заглушку», соответствующую требованиям РКН (HTTP 451, сертификат от УЦ Минцифры, текст на русском).

  3. Логирование и аудит

    • Храните полные логи доступа (IP, User-Agent, timestamp, URI) не менее 6 месяцев;
    • Обеспечьте возможность выгрузки по запросу в формате, совместимом с СОРМ (XML/JSON по ГОСТ Р 7.0.97-2016);
    • Внедрите системы обнаружения аномалий (например, на основе ELK Stack + ML-модели), чтобы оперативно выявлять массовые атаки или накрутку запрещённого контента.
4.1.4. Организационный уровень: процессы и взаимодействие
  • Назначьте ответственного за взаимодействие с госорганами (лучше — юриста с опытом в IT-праве);
  • Подпишитесь на официальные каналы Роскомнадзора (Telegram, RSS-лента решений);
  • Проводите ежеквартальные аудиты compliance — как внутренние, так и с привлечением независимых консультантов;
  • Участвуйте в отраслевых ассоциациях (АИК, АДЭ, РАЭК) — они оперативно информируют о планируемых изменениях в регуляторике.

4.2. Если ресурс внесён в реестр: пошаговый алгоритм действий

Важно: с момента внесения в реестр до полной блокировки обычно проходит от 15 минут до 24 часов — есть время на реакцию.

Шаг 1. Диагностика: почему именно вас заблокировали?
  • Проверьте статус через официальный API Роскомнадзора: 
    curl "https://api.reestr.rublacklist.net/check?domain=example.com"
    или через публичный интерфейс: https://eais.rkn.gov.ru
  • В ответе будет указано:
    • ID решения (например, 2-21/123456-2025);
    • Орган-инициатор (суд, прокуратура, ФСБ);
    • Нормативное основание (ст. 15.1, п. 4.1 — «фейки о ВС РФ»);
    • Тип ограничения (DNS, IP, URL);
    • Дата внесения и планируемая дата блокировки.
Шаг 2. Устранение нарушения (обязательное условие для исключения)
  • Если блокировка по контенту — немедленно удалите спорный материал (сохраните копию с хешем SHA-256 для доказательства);
  • Если по отсутствию регистрации ОРИ — подайте заявку в течение 24 ч (даже после внесения — РКН может отложить блокировку);
  • Если по ПДн — разверните локальную БД, перенесите данные, обновите политику.
Шаг 3. Подача заявления об исключении

Форма: письмо на имя руководителя Роскомнадзора (или через Личный кабинет ОРИ). Обязательные реквизиты:

  • Наименование ресурса, домен, IP;
  • Номер решения о внесении;
  • Подтверждение устранения нарушения (скриншоты удаления, хеши файлов, выписки из БД);
  • Контактные данные ответственного лица.

Срок рассмотрения — не более 24 часов (п. 5.4 Административного регламента РКН).

Шаг 4. Обжалование в судебном порядке (если отказали)
  • Подача административного иска в районный суд по месту нахождения (ст. 218 КАС РФ);
  • Можно требовать:
    • признания решения незаконным;
    • обязания исключить из реестра;
    • компенсации убытков (например, упущенной выгоды — при доказательстве -связи);
  • Срок подачи — 3 месяца с момента внесения в реестр.
  • На практике ~38% исков по блокировкам удовлетворяются частично (по данным Высшего Арбитражного Суда, 2023).

⚠️ Важно: подача иска не приостанавливает блокировку. Для этого нужно отдельное ходатайство об обеспечении иска (ст. 99 КАС РФ) — например, о приостановке исполнения до вынесения решения.

Шаг 5. Восстановление после исключения
  • Убедитесь, что операторы связи получили команду на разблокировку (через API РКН статус должен измениться на excluded);
  • Проверьте доступность из разных сетей (МТС, Билайн, домашний провайдер);
  • Проанализируйте причину — проведите post-mortem:
    • Кто пропустил мониторинг?
    • Почему не сработала автоматическая модерация?
    • Нужно ли ввести дополнительные контрольные точки?

4.3. Что делать, если блокировка необоснованна и массовая (например, по IP-диапазону)

Иногда блокируются не только нарушители, но и «попутчики» — сайты, размещённые на том же хостинге. Это называется коллективной ответственностью хостинг-провайдера (ст. 15.2 ФЗ-149).

Ваши действия:

  1. Немедленно уведомите хостинг-провайдера — он обязан в течение 24 ч уведомить Роскомнадзор об отсутствии нарушения на вашем ресурсе;
  2. Если хостер бездействует — подайте жалобу в РКН напрямую с приложением:
    • договора хостинга;
    • подтверждения отсутствия запрещённого контента (аудит-отчёт);
  3. Требуйте точечной блокировки по URL/DNS, а не по IP — это прямо предусмотрено п. 3.2.1 Требований к блокировке (Приказ Минкомсвязи № 176 от 2022 г.).

В 2024 г. Верховный Суд РФ в Определении № 305-ЭС24-10229 указал: «Блокировка по IP-адресу без учёта размещения иных ресурсов, не связанных с нарушением, является непропорциональной мерой».

4.4. Рекомендации для разработчиков: «блокировкоустойчивый» дизайн

  • Используйте микросервисную архитектуру — чтобы при блокировке одного компонента (например, API) фронтенд оставался доступен;
  • Внедрите механизм graceful degradation — при невозможности подключиться к РФ-хосту, переключайтесь на резервный (с предупреждением о возможных ограничениях);
  • Для мобильных приложений — предусмотрите оффлайн-режим с кэшированием критически важных данных;
  • В UI — добавьте информационный баннер при получении HTTP 451:

    «Доступ к сервису ограничен на основании решения Роскомнадзора от DD.MM.YYYY № XXX. Мы работаем над устранением причины. Подробнее — [ссылка на страницу со статусом]».