Поделиться
Неторопливый государственный робот зайдет на каждый сайт Рунета в поисках нелегальных персональных данных
Подведомственный Роскомнадзору Главный радиочастотный центр создает систему мониторинга сайтов Рунета для выявления на них неправомерно собранных или распространяемых персональных данных россиян. На проект выделен 41 млн руб.
ИС мониторинга нелегальных персональных данных
Как выяснил CNews, находящееся в ведении Роскомнадзора госпредприятие «Главный радиочастотный центр» (ГРЧЦ) готово потратить до 41,1 млн руб. на создание автоматизированной системы мониторинга нарушений прав субъектов персональных данных в интернете (АС МПДн).
Данная сумма указана в качестве начальной максимальной цены договора в тематическом тендере, который был объявлен ГРЧЦ 26 августа 2021 г. в формате конкурса, участниками которого могут быть только субъекты малого и среднего предпринимательства. Заявки от претендентов будут приниматься до 13 сентября, подведение итогов намечено на 20 сентября. Победителю предстоит выполнить все предусмотренные договором работы до 13 декабря 2021 г.
Создаваемая система станет проводить поиск ресурсов Рунета, собирающих или распространяющих персональные данные граждан России, и давать оценку соблюдения этими ресурсами требований законодательства нашей страны. АС МПДн должна будет обеспечивать возможность хранения и оперативного доступа ко всем данным мониторинга за период эксплуатации не менее трех лет.
О планах государства создать такую систему стало известно еще 27 мая 2021 г. со слов главы Роскомнадзора Андрея Липова. Тогда же он заявил, что, по его мнению, сейчас недостаточно развито законодательство в сфере ответственности за использование персональных данных, которые ранее уже утекли.
«У нас получается так, что какие-то штрафы несерьезные кто-то понес за утечку, а потом эти данные начали использовать, — цитировал его слова ТАСС. — Вот здесь, мне кажется, нужно работать со спросом. Наказание за использование незаконным образом полученных персональных данных — в этом направлении нужно подумать и туда идти».
Параметры работы системы
В соответствии с ТЗ тендера, система должна позволить одновременно работать в ней не менее 200 авторизованным пользователям. При этом время отклика системы при открытии экранных форм не должно превышать трех секунд, за исключением времени первичного запуска клиентского компонента, печати материалов, передачи файлов на сервер, формирования печатных форм и отчетов.
«Система должна обеспечивать мониторинг и проверку не менее 500 тыс. информационных ресурсов в сети ежегодно, — говорится в техзадании. — Система должна обеспечивать мониторинг и проверку не менее 15 тыс. информационных ресурсов в сети еженедельно (в пересчете на год — порядка 780 тыс.; — прим. CNews)».
Насколько расторопна система?
В связи с последними упомянутыми числами стоит отметить, что масштабы условного Рунета на порядок больше минимальных годовых параметров. По данным «Технического центра интернет», в домене верхнего уровня .RU на 27 августа 2021 г. делегировано 4,801 млн доменов, в .SU — 99 тыс., в .РФ — 637 тыс. Таким образом, даже без учета русскоязычных ресурсов в зарубежных доменах .COM и пр., под прицелом системы ГРЧЦ должно находиться свыше 5,5 млн доменов (пусть и не все они рабочие). То есть мониторинг такого числа сайтов при заданных параметрах системы может занять годы.
В то же время необходимо отметить, что на сегодняшний день в роскомнадзоровском реестре операторов, осуществляющих обработку персональных данных, содержатся сведения о 429 209 организациях. Кроме того, техзадание предусматривает возможность масштабирования АС МПДн по производительности , «в том числе увеличения числа пользователей сверх расчетного значения без модификации ПО, путем развития используемого комплекса технических средств».
Архитектурные и программные особенности системы
В техзадании на мониторинговую систему говорится, что она должна быть централизованной и построена по многоуровневой архитектуре с выделением уровней хранения данных (сервер баз данных), уровня приложений (сервер приложений), уровня представления (клиентское приложение). В качестве программных средств пользователей должен использоваться веб-браузер.
Все компоненты и функциональные задачи системы должны быть реализованы на основе микросервисной архитектуры с использованием виртуализации на уровне ОС (контейнеризации) на основе открытого ПО Docker, а также с учетом применения общепринятых рекомендаций по созданию микросервисной архитектуры. Среди последних — одно приложение в одном контейнере, для хранения данных вне контейнера используются тома, не используется SSH для входа в контейнер, кроме специфических контейнеров СУБД и подобных, не применяются ручные настройки или действия внутри контейнера, подключается только необходимый контекст, используются переменные окружения.
Система должна использовать ПО сторонних организации и пакеты офисных программ, включенное в Единый реестр российского софта при Минцифры. «В случае отсутствия в реестре российского ПО — открытое ПО, без ограничения прав на использование или изменение (усовершенствование)», — говорится в ТЗ.
Установка, эксплуатация и перенос системы на другую инфраструктуру (отличную от инфраструктуры на момент сдачи работ) не должны предъявлять дополнительных требований к покупке лицензий на ПО сторонних производителей, кроме ПО защиты каналов связей, антивирусных программ, сообщает заказчик.
Короткая ссылка
