Как Минэкономразвития опубликовало фальшивый проект НПА, чтобы отменить требования к безопасности сайтов ФОИВ и доступности размещенной на них информации.
Минэкономразвития демонстрирует общественности проект НПА: легким движением руки 4 страницы превращаются… превращаются 4 страницы… всего в 2!
В 2009 году Минэкономразвития издало приказ № 470 «О Требованиях к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти», который устанавливал ряд требований к официальным сайтам федеральных органов исполнительной власти (ФОИВ).
Чтобы показать подлинные масштабы героической попытки Минэкономразвитияобъять необъятное впихнуть невпихуемое в один нормативный правовой акт (НПА), напомню, что принят он был во исполнение требований ч.4 ст.10 федерального закона от 9 февраля 2009 года № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», который исключительно про бюрократические процедуры, а не информационные технологии.
Тем не менее, Требования были единственным НПА, устанавливающим хоть какие-то формальные требования к безопасности сайтов ФОИВ: обязательная поддержка шифрования соединения (т.е. поддержка HTTPS) и запрет использования большинства системвеб-аналитики рекламного профилирования интернет-пользователей, сливающих данные о посетителях госсайтов своим хозяевам (всех иностранных и тех отечественных, кто не прошел хотя бы формальный «аудит», необходимый для включения в госреестр).
Спустя 13 лет Минэкономразвития решило актуализировать Требования и опубликовало в сентябре прошлого года для общественного обсуждения проект их «новой» редакции, которая отличалась от действовавшей на тот момент только 4 словами: «и подведомственных им организаций», добавленных к перечню субъектов регулирования. Еще этот проект оказался фальшивкой, поскольку настоящая новая редакция Требований, принятая в ноябре и вступившая в силу с 10 декабря, оказалась вдвое (!!!) короче своего «проекта».
Так из новой редакции пропал пункт 1в, согласно которому для доступа к сайтам ФОИВ мог требоваться только браузер, причем пункт 4а указывал, что это мог быть любой браузер, а не только «суверенный». Также новая редакция не запрещает требовать от посетителей сайтов ФОИВ регистрации, предоставления персональных данных или заключения каких-либо соглашений для доступа к ним.
Таким образом перед госсектором открылась дополнительная возможность для навязывания посетителям своих сайтов «суверенных» бразуеров (т.е. все той же продукции Google, перекрашенной в патриотические цвета) с вшитым корневым TLS-сертификатом неизвестного происхождения, обеспечивающим «защищенный» доступ к сайтам ФОИВ.
Впрочем, TLS-сертификат госсайтам по новым правилам вообще не требуется – из новой редакции Требований был исключен пункт 6е, который обязывал ФОИВ применять на своих сайтах шифрованные транспортные механизмы и сертификаты безопасности при передаче данных, обеспечивающих шифрование и защиту передаваемой информации. Мы уже отмечали, что согласно этой формулировке, SSL 2.0 – тоже шифрованный транспортный механизм, который правда не обеспечивает в 2022 году уже никакую защиту, но в 2023 году Минэкономразвития разрешило и вовсе использовать на госсайтах «чистый» HTTP.
Пункт 3е старой редакции разрешал использовать на сайтах ФОИВ только счетчики посещений, внесенные в единый реестр российских программ для ЭВМ и баз данных. Благодаря этому требованию и мерам, принятым по нашему обращению Генпрокуратурой, присутствие «аналитического» кода Google и подобного мусора на госсайтах в прошлом году удалось резко сократить, но теперь Минэкономразвития разрешило вернуть шпионский код из стран, объявленных «недружественными», на страницы госсайтов.
Под раздачу в новой редакции попали и люди с ограниченными возможностями, а также все, кто занимается машинной обработкой информации. Старые Требования (пункты 3, 4б и 4в) устанавливали, что сайты ФОИВ должны обеспечивать своим посетителям поиск по всей размещенной на них текстовой информации. В новой редакции требуется лишь наличие поисковой системы, к которой не предъявляется никаких требований, как не предъявляются больше требования и к формату размещаемой на сайтах ФОИВ информации: текст в виде графики теперь законен.
Зачем Минэкономразвития потребовалось выхолащивать и без того, кхм, небезупречные Требования и публиковать фальшивый проект их новой редакции? У меня только одна версия: чтобы прикрыть неприглядную историю с корневым сертификатом выдуманного Минцифрой «Национального удостоверяющего центра», использование которого на сайтах ФОИВ противоречило Требованиям. Правда эта версия не объясняет, почему из новой редакции убрали еще половину текста и зачем потребовалось публиковать на портале проектов НПА поддельный проект. Возможно, на эти вопросы найдут ответ Генпрокуратура и Минюст, куда мы обратились с соответствующим заявлением.
Минэкономразвития демонстрирует общественности проект НПА: легким движением руки 4 страницы превращаются… превращаются 4 страницы… всего в 2!
В 2009 году Минэкономразвития издало приказ № 470 «О Требованиях к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти», который устанавливал ряд требований к официальным сайтам федеральных органов исполнительной власти (ФОИВ).
Конь, лебедь, трепетная лань, рак и немного щуки в одном приказе
Требования к размещенной на сайте информации:
Требования к сайту:
Требования к веб-серверу и CMS:
- на русском языке (дополнительно допускается на иных языках);
- постоянная доступность;
- доступность для машинной обработки;
- бесплатность доступа;
- доступность при использовании только веб-браузера, причем любого;
- доступность без регистрации, предоставления ПД и заключения любых соглашений;
- отсутствие «иных ограничений»;
- текстовая информация размещается как минимум в виде гипертекста.
Требования к сайту:
- способен выдержать двукратную нагрузку от максимально зафиксированной за последние полгода;
- разрешена установка только счетчика посещений, включенного в единый реестр российских программ для ЭВМ и БД;
- публично раскрывается статистика посещений;
- обеспечивается минимальный уровень доступности для людей с ограниченными возможностями;
- соблюдаются базовые требования к навигации.
Требования к веб-серверу и CMS:
- поддерживается применение ЭП при работе с админкой;
- операции в админке журналируются;
- обеспечивается ежедневное резервное копирование;
- информация защищается от неправомерного доступа (на запись);
- поддерживается шифрование соединения с посетителями сайта.
Чтобы показать подлинные масштабы героической попытки Минэкономразвития
Тем не менее, Требования были единственным НПА, устанавливающим хоть какие-то формальные требования к безопасности сайтов ФОИВ: обязательная поддержка шифрования соединения (т.е. поддержка HTTPS) и запрет использования большинства систем
Спустя 13 лет Минэкономразвития решило актуализировать Требования и опубликовало в сентябре прошлого года для общественного обсуждения проект их «новой» редакции, которая отличалась от действовавшей на тот момент только 4 словами: «и подведомственных им организаций», добавленных к перечню субъектов регулирования. Еще этот проект оказался фальшивкой, поскольку настоящая новая редакция Требований, принятая в ноябре и вступившая в силу с 10 декабря, оказалась вдвое (!!!) короче своего «проекта».
Копыта, перья, клешни и вкус щуки в новой редакции
Требования к размещенной на сайте информации:
Требования к сайту:
Требования к веб-серверу и CMS:
- на русском языке (дополнительно допускается на иных языках);
- постоянная доступность;
доступность для машинной обработки;бесплатность доступа;- доступность при использовании
только веб-браузера, причем любогобесплатных программ; доступность без регистрации, предоставления ПД и заключения любых соглашений;отсутствие «иных ограничений»;текстовая информация размещается как минимум в виде гипертекста.
Требования к сайту:
- способен выдержать двукратную нагрузку от максимально зафиксированной за последние полгода;
разрешена установка только счетчика посещений, включенного в единый реестр российских программ для ЭВМ и БД;публично раскрывается статистика посещений;обеспечивается минимальный уровень доступности для людей с ограниченными возможностями;- соблюдаются базовые требования к навигации.
Требования к веб-серверу и CMS:
поддерживается применение ЭП при работе с админкой;- операции в админке журналируются;
- обеспечивается ежедневное резервное копирование;
информация защищается от неправомерного доступа (на запись);поддерживается шифрование соединения с посетителями сайта.
Так из новой редакции пропал пункт 1в, согласно которому для доступа к сайтам ФОИВ мог требоваться только браузер, причем пункт 4а указывал, что это мог быть любой браузер, а не только «суверенный». Также новая редакция не запрещает требовать от посетителей сайтов ФОИВ регистрации, предоставления персональных данных или заключения каких-либо соглашений для доступа к ним.
Таким образом перед госсектором открылась дополнительная возможность для навязывания посетителям своих сайтов «суверенных» бразуеров (т.е. все той же продукции Google, перекрашенной в патриотические цвета) с вшитым корневым TLS-сертификатом неизвестного происхождения, обеспечивающим «защищенный» доступ к сайтам ФОИВ.
Впрочем, TLS-сертификат госсайтам по новым правилам вообще не требуется – из новой редакции Требований был исключен пункт 6е, который обязывал ФОИВ применять на своих сайтах шифрованные транспортные механизмы и сертификаты безопасности при передаче данных, обеспечивающих шифрование и защиту передаваемой информации. Мы уже отмечали, что согласно этой формулировке, SSL 2.0 – тоже шифрованный транспортный механизм, который правда не обеспечивает в 2022 году уже никакую защиту, но в 2023 году Минэкономразвития разрешило и вовсе использовать на госсайтах «чистый» HTTP.
Пункт 3е старой редакции разрешал использовать на сайтах ФОИВ только счетчики посещений, внесенные в единый реестр российских программ для ЭВМ и баз данных. Благодаря этому требованию и мерам, принятым по нашему обращению Генпрокуратурой, присутствие «аналитического» кода Google и подобного мусора на госсайтах в прошлом году удалось резко сократить, но теперь Минэкономразвития разрешило вернуть шпионский код из стран, объявленных «недружественными», на страницы госсайтов.
Под раздачу в новой редакции попали и люди с ограниченными возможностями, а также все, кто занимается машинной обработкой информации. Старые Требования (пункты 3, 4б и 4в) устанавливали, что сайты ФОИВ должны обеспечивать своим посетителям поиск по всей размещенной на них текстовой информации. В новой редакции требуется лишь наличие поисковой системы, к которой не предъявляется никаких требований, как не предъявляются больше требования и к формату размещаемой на сайтах ФОИВ информации: текст в виде графики теперь законен.
Зачем Минэкономразвития потребовалось выхолащивать и без того, кхм, небезупречные Требования и публиковать фальшивый проект их новой редакции? У меня только одна версия: чтобы прикрыть неприглядную историю с корневым сертификатом выдуманного Минцифрой «Национального удостоверяющего центра», использование которого на сайтах ФОИВ противоречило Требованиям. Правда эта версия не объясняет, почему из новой редакции убрали еще половину текста и зачем потребовалось публиковать на портале проектов НПА поддельный проект. Возможно, на эти вопросы найдут ответ Генпрокуратура и Минюст, куда мы обратились с соответствующим заявлением.
