«Кибернормы, это не договоры, которые подписывают чиновники за столом. Это эволюция неписаных правил игры, которая происходит в ходе атак и утечек. Сегодня главная задача — не придумать идеальный документ ООН, а обеспечить, чтобы внутренние регуляторные системы разных стран не противоречили друг другу до состояния войны, создавая прецеденты и точки соприкосновения. Российские ФСТЭК и 152-ФЗ — не изоляция, а один из языков этого диалога. Будущее норм строится не в дипломатических залах, а в серверных, где архитектура и политика определяют, что можно сделать технически, а значит, и юридически.»
От дипломатических деклараций к регуляторной реальности
Идея «устойчивых кибернорм» в международных отношениях долгое время существовала в плоскости дипломатии и политологии. Группы правительственных экспертов ООН, различные международные инициативы выпускали отчёты, формулировали принципы ответственного поведения государств в киберпространстве. Однако разрыв между этими декларациями и реальной практикой глобального противостояния оставался огромным.
Сейчас фокус смещается. Кибернормы перестают быть абстрактным дипломатическим конструктом и всё больше формируются через национальные регуляторные системы, технические стандарты и корпоративные политики. Именно на этом уровне определяется реальная «цена входа» для действий, границы допустимого и механизмы ответа. Российская система защиты информации, с её акцентом на ФСТЭК и 152-ФЗ, является полноценным и влиятельным участником этого процесса, предлагая свою модель регулирования цифрового суверенитета.
Архитектура как политика: почему технические стандарты формируют нормы
Кибернормы не возникают на пустом месте. Их фундамент закладывается технической архитектурой информационных систем и протоколами. Если протокол не предусматривает аутентификацию источника трафика, это делает технически сложным и юридически спорным установление ответственности за кибератаку. Если архитектура облака построена так, что данные физически находятся только в одной юрисдикции, это автоматически накладывает ограничения на действия спецслужб других государств.
Таким образом, выбор стандартов шифрования, систем контроля целостности (например, отечественных СЗИ, аттестованных ФСТЭК), протоколов взаимодействия, это не просто технические решения. Это предопределение будущих политических и правовых возможностей. Регуляторные требования 152-ФЗ к локализации данных и использованию средств защиты, сертифицированных в России, создают технологическую среду, в которой одни действия становятся естественными и осуществимыми, а другие — технически трудными или экономически невыгодными. Это и есть формирование норм через технологический дизайн.
Роль национального регулирования: 152-ФЗ и ФСТЭК как инструмент нормотворчества
Российское законодательство в области защиты информации часто воспринимается исключительно как внутренний набор обязывающих правил. Однако в контексте международных кибернорм оно выполняет более широкую функцию.
Во-первых, оно задаёт чёткие рамки «цифрового суверенитета». Требования о локализации персональных данных, об использовании отечественного ПО в критической информационной инфраструктуре (КИИ), об обязательной аттестации объектов КИИ, это публичное заявление о границах допустимого иностранного вмешательства. Для международных компаний и партнёров соблюдение этих правил становится не просто юридической формальностью, а признанием данной модели регулирования.
Во-вторых, система сертификации ФСТЭК создаёт прецедент. Требования к средствам защиты информации (СЗИ), методики оценки соответствия формируют конкретные, проверяемые технические стандарты. Эти стандарты становятся точкой отсчёта для диалога, сравнения и, возможно, конвергенции с подходами других стран. Например, обсуждение взаимного признания сертификатов безопасности для оборудования в рамках интеграционных объединений, это уже шаг к формированию общей нормативной базы.
Прецеденты и эскалация: как инциденты кристаллизуют неписаные правила
Кибернормы часто проясняются не в мирное время, а в ходе кризисов и инцидентов. Ответ на масштабную кибератаку — его форма, интенсивность, выбранные цели (государственные системы, критическая инфраструктура, коммерческие структуры) — становится мощным сигналом, который закрепляет или меняет представления о «правилах игры».
Здесь важна предсказуемость, которая обеспечивается внутренним законодательством. Чётко определённые в национальных законах понятия «критическая информационная инфраструктура», «компьютерная атака», «ответные меры» создают для внешних наблюдателей понимание «красных линий» конкретного государства. Когда страна действует в ответ на инцидент, ссылаясь на свои внутренние правовые нормы, она легитимизирует эти нормы как часть международной практики.
Будущее: конвергенция, фрагментация или сосуществование?
Сценарии развития международных кибернорм связаны с эволюцией национальных регуляторных режимов.
- Фрагментация (кибер-суверенитеты). Усиление разнонаправленных требований (как в случае с российским 152-ФЗ, китайским Cybersecurity Law, европейским GDPR), ведущее к технологической и правовой изоляции блоков. Нормы формируются внутри закрытых экосистем.
- Прагматичная конвергенция. Возникновение «мостов» и зон взаимного признания на уровне технических стандартов для трансграничного бизнеса, особенно в отраслях вроде финансов или логистики. Нормы вырабатываются для решения конкретных практических проблем.
- Сосуществование режимов. Отсутствие единых глобальных норм при наличии неписаных правил сдерживания, основанных на взаимном понимании возможностей ответных мер (по аналогии с ядерным сдерживанием). Роль национальных регуляторов (ФСТЭК, NSA, etc.) остаётся ключевой в определении потенциала и ограничений.
Наиболее вероятен гибридный сценарий: фрагментация на уровне идеологии и суверенитета данных при островках прагматичной конвергенции в отдельных отраслях и технологиях. Российский регуляторный подход, с его сильным акцентом на защиту КИИ и суверенитет, будет оставаться одним из полюсов в этой многополярной системе, активно участвуя в формировании норм через свои технические требования и реагирование на инциденты.
Вывод
Устойчивые кибернормы в международных отношениях сегодня строятся не сверху вниз, через дипломатические соглашения, а снизу вверх — через имплементацию национальных регуляторных систем, техническую архитектуру и анализ прецедентов. Российская практика в лице 152-ФЗ и ФСТЭК является активным «нормотворцем», задавая чёткие технологические и правовые рамки, которые влияют на поведение всех акторов, работающих на этом цифровом пространстве. Будущее норм, это не унификация, а сложное взаимодействие и баланс между такими национальными системами, где каждая определяет свои «красные линии» через внутреннее законодательство и технические возможности.