«Кибернормы — это не договоры, которые подписывают чиновники за столом. Это эволюция неписаных правил игры, которая происходит в ходе атак и утечек. Сегодня главная задача — не придумать идеальный документ ООН, а обеспечить, чтобы внутренние регуляторные системы разных стран не противоречили друг другу до состояния войны, создавая прецеденты и точки соприкосновения. Российские ФСТЭК и 152-ФЗ — не изоляция, а один из языков этого диалога. Будущее норм строится не в дипломатических залах, а в серверных, где архитектура и политика определяют, что можно сделать технически, а значит, и юридически.»
## От дипломатических деклараций к регуляторной реальности
Идея «устойчивых кибернорм» в международных отношениях долгое время существовала в плоскости дипломатии и политологии. Группы правительственных экспертов ООН, различные международные инициативы выпускали отчёты, формулировали принципы ответственного поведения государств в киберпространстве. Однако разрыв между этими декларациями и реальной практикой глобального противостояния оставался огромным.
Сейчас фокус смещается. Кибернормы перестают быть абстрактным дипломатическим конструктом и всё больше формируются через национальные регуляторные системы, технические стандарты и корпоративные политики. Именно на этом уровне определяется реальная «цена входа» для действий, границы допустимого и механизмы ответа. Российская система защиты информации, с её акцентом на ФСТЭК и 152-ФЗ, является полноценным и влиятельным участником этого процесса, предлагая свою модель регулирования цифрового суверенитета.
## Архитектура как политика: почему технические стандарты формируют нормы
Кибернормы не возникают на пустом месте. Их фундамент закладывается технической архитектурой информационных систем и протоколами. Если протокол не предусматривает аутентификацию источника трафика, это делает технически сложным и юридически спорным установление ответственности за кибератаку. Если архитектура облака построена так, что данные физически находятся только в одной юрисдикции, это автоматически накладывает ограничения на действия спецслужб других государств.
Таким образом, выбор стандартов шифрования, систем контроля целостности (например, отечественных СЗИ, аттестованных ФСТЭК), протоколов взаимодействия — это не просто технические решения. Это предопределение будущих политических и правовых возможностей. Регуляторные требования 152-ФЗ к локализации данных и использованию средств защиты, сертифицированных в России, создают технологическую среду, в которой одни действия становятся естественными и осуществимыми, а другие — технически трудными или экономически невыгодными. Это и есть формирование норм через технологический дизайн.
[ИЗОБРАЖЕНИЕ: Схема, показывающая, как национальные регуляторные требования (например, 152-ФЗ, GDPR, CCPA) формируют техническую архитектуру систем, которая, в свою очередь, определяет возможные действия в киберпространстве и лежащие в их основе неформальные нормы.]
## Роль национального регулирования: 152-ФЗ и ФСТЭК как инструмент нормотворчества
Российское законодательство в области защиты информации часто воспринимается исключительно как внутренний набор обязывающих правил. Однако в контексте международных кибернорм оно выполняет более широкую функцию.
Во-первых, оно задаёт чёткие рамки «цифрового суверенитета». Требования о локализации персональных данных, об использовании отечественного ПО в критической информационной инфраструктуре (КИИ), об обязательной аттестации объектов КИИ — это публичное заявление о границах допустимого иностранного вмешательства. Для международных компаний и партнёров соблюдение этих правил становится не просто юридической формальностью, а признанием данной модели регулирования.
Во-вторых, система сертификации ФСТЭК создаёт прецедент. Требования к средствам защиты информации (СЗИ), методики оценки соответствия формируют конкретные, проверяемые технические стандарты. Эти стандарты становятся точкой отсчёта для диалога, сравнения и, возможно, конвергенции с подходами других стран. Например, обсуждение взаимного признания сертификатов безопасности для оборудования в рамках интеграционных объединений — это уже шаг к формированию общей нормативной базы.
## Прецеденты и эскалация: как инциденты кристаллизуют неписаные правила
Кибернормы часто проясняются не в мирное время, а в ходе кризисов и инцидентов. Ответ на масштабную кибератаку — его форма, интенсивность, выбранные цели (государственные системы, критическая инфраструктура, коммерческие структуры) — становится мощным сигналом, который закрепляет или меняет представления о «правилах игры».
Здесь важна предсказуемость, которая обеспечивается внутренним законодательством. Чётко определённые в национальных законах понятия «критическая информационная инфраструктура», «компьютерная атака», «ответные меры» создают для внешних наблюдателей понимание «красных линий» конкретного государства. Когда страна действует в ответ на инцидент, ссылаясь на свои внутренние правовые нормы, она легитимизирует эти нормы как часть международной практики.
## Будущее: конвергенция, фрагментация или сосуществование?
Сценарии развития международных кибернорм связаны с эволюцией национальных регуляторных режимов.
1. **Фрагментация (кибер-суверенитеты).** Усиление разнонаправленных требований (как в случае с российским 152-ФЗ, китайским Cybersecurity Law, европейским GDPR), ведущее к технологической и правовой изоляции блоков. Нормы формируются внутри закрытых экосистем.
2. **Прагматичная конвергенция.** Возникновение «мостов» и зон взаимного признания на уровне технических стандартов для трансграничного бизнеса, особенно в отраслях вроде финансов или логистики. Нормы вырабатываются для решения конкретных практических проблем.
3. **Сосуществование режимов.** Отсутствие единых глобальных норм при наличии неписаных правил сдерживания, основанных на взаимном понимании возможностей ответных мер (по аналогии с ядерным сдерживанием). Роль национальных регуляторов (ФСТЭК, NSA, etc.) остаётся ключевой в определении потенциала и ограничений.
Наиболее вероятен гибридный сценарий: фрагментация на уровне идеологии и суверенитета данных при островках прагматичной конвергенции в отдельных отраслях и технологиях. Российский регуляторный подход, с его сильным акцентом на защиту КИИ и суверенитет, будет оставаться одним из полюсов в этой многополярной системе, активно участвуя в формировании норм через свои технические требования и реагирование на инциденты.
## Вывод
Устойчивые кибернормы в международных отношениях сегодня строятся не сверху вниз, через дипломатические соглашения, а снизу вверх — через имплементацию национальных регуляторных систем, техническую архитектуру и анализ прецедентов. Российская практика в лице 152-ФЗ и ФСТЭК является активным «нормотворцем», задавая чёткие технологические и правовые рамки, которые влияют на поведение всех акторов, работающих на этом цифровом пространстве. Будущее норм — это не унификация, а сложное взаимодействие и баланс между такими национальными системами, где каждая определяет свои «красные линии» через внутреннее законодательство и технические возможности.