14 January

На создание национальной системы DNS-серверов согласно утвержденным требованиям понадобятся десятки миллиардов рублей

Information SecurityLegislation in ITNetwork hardware


Минкомсвязи на днях утвердило требования к операторам связи и интернет-сервисам, которые выполняют функции DNS. Эти сервисы должны не только хранить информацию о пользователях в течение года, но и обеспечивать время отклика на уровне 100 мс.

После анализа законопроекта специалистами Минэкомразвития оказалось, что для реализации этих требований нужно будет потратить десятки миллиардов рублей.

Тем не менее, приказ «Об утверждении требований к функционированию технических и программных средств, используемых в целях выявления в сети интернет сетевых адресов, соответствующих доменным именам» уже подписан министром связи Константином Носковым. Это подзаконный акт к другому документу — закону «О суверенном интернете».

Приказ, по словам его составителей, должен регулировать использование специфических программных и технических средств владельцами так называемых «уникальных идентификаторов совокупности средств связи в сети интернет». Владельцы, как правило — операторы связи, организаторы распространения информации в сети интернет и обладатели технологических сетей связи.

Все эти лица и организации должны обеспечить бесперебойную работу своих DNS, а также передачу данных для DNS в неизменном виде, плюс взаимодействие пользователей услугами связи с национальной системой доменных имен. Ранее к этой системе отнесли доменные зоны .RU,.РФ, .SU, а также другие доменные зоны верхнего уровня, администраторами которых являются юридические лица из РФ.

Лимит времени по ответу на запрос пользователя не должен превышать 100 мс. Изначальные требования были гораздо менее серьезными — в первоначальном варианте лимит времени ограничен 5 минутами.

Еще одно условие — по истечении трех лет с момента вступления в силу приказа DNS должны выполнять требования по информационной безопасности, установленные приказами ФСТЭК (Федеральная служба технического и экспортного контроля) и Минкомсвязи.

Что касается реакции Минэкомразвития на соответствующий документ, то она резко отрицательная. У Министерства — целый ряд замечаний о введении запретов и ограничений и возникновению необоснованных расходов субъектов предпринимательской деятельности.

Так, DNS выполняются администраторами доменных зон и операторами реестра доменных зон. Но они не являются ни операторами связи, ни владельцами технологических сетей связи, ни владельцами номеров автономных систем. Соответственно, это регулирование на них не распространяется.

Но даже если не возникнет внешняя угроза, если случится сбой в работе оборудования Технического центра интернета, то разрешение доменных имен в этих зонах станет технически нереализуемой задачей. Соответственно, Минэкомразвития требует разработать критерии для операторов реестров доменных зон, одновременно определив порядок их взаимодействия с операторами реестра корневой зоны интернета.

При этом в Минэкомразвития отметили, что приказ Минкомсвязи направлен лишь на регулирование одного из видов DNS-серверов — рекурсивного. А есть еще Stub-сервера и авторитетные сервера. Последние отвечают за правильность разрешения доменных имен и устойчивость работы DNS.

Соответственно, даже если с рекурсивными серверами все будет в порядке, а вот авторитетные сервера будут работать не так, как полагается, то деятельность национальной доменной зоны может быть нарушена. При этом в случае проблем обвинят провайдеров, которые не могут нести ответственность за подобные проблемы.

В первой редакции законопроекта Минкомсвязи требовало от операторов связи обеспечивать бесперебойное взаимодействие пользователей услуг связи с Национальной системой доменных имен на территории России и за ее пределами. Но в Минэкомразвития указали, что отечественные операторы не могут отвечать за деятельность инфраструктуры вне России и не в состоянии выполнить это требование. Поэтому оно было убрано из финальной версии приказа.

В целом, у Минэкомразвития есть еще много замечаний. Критическими, кроме озвученных выше, два. Первое — представители ведомства считают технически невыполнимым требование обеспечивать неизменность данных для работы DNS от операторов. Второе — выполнение DNS требований по информационной безопасности, установленных Минкомсвязи ФСТЭК. Проблема в том, что DNSSEC защищает лишь от модификации данных, а вот информацию можно просмотреть, скопировать и затем распространять.

Что касается лимита в 100 мс, то по мнению Минэкомразвития и экспертов, оно нецелесообразно. У большинства операторов связи ответ от DNS приходит примерно за 8 мс. Т.е. если позволить операторам увеличить лимит времени, это может привести к ухудшению качества оказания услуг связи при обращении пользователей к Национальной системе доменных имен.

На хранение информации об обращениях пользователей к DNS в течение года потребуется проведения ряда работ и создание дополнительной инфраструктуры. А это — не менее двух лет времени и затраты в объеме нескольких десятков миллиардов рублей.

«Формально так и осталось неясным, про кого этот документ, — говорит Кулин. — Можно предположить, что он относится к DNS-ресолверам и коснется интернет-провайдеров, хостинг-провайдеров и ОРИ. Требование о неизменности передачи сообщений для DNS-систем технически нереализуемо, так как в протоколе DNS нет защиты от изменения сообщений. А в части ограничения времени ответа DNS-системы 100 мсек остается непонятным, как это время измерять», — заявил гендиректор хостинг-провайдера «Дремучий лес» Филипп Кулин.
Tags:dnsнациональная сетьавтономный рунет
Hubs: Information Security Legislation in IT Network hardware
+4
4.7k 3
Comments 27
Top of the last 24 hours