«Информационная безопасность часто представляется сугубо национальным делом — наши регуляторы, наши законы, наши сертификаты. Это заблуждение, которое может стоить дорого. Цифровая инфраструктура не знает границ, а требования для выхода на глобальный рынок формируются в Женеве, Сингапуре и Брюсселе. Игнорировать это — значит сознательно ограничивать свой бизнес и технические возможности.»
Внешний контур: глобальные игроки и стандарты
Вне зависимости от того, производит компания железо, ПО или предоставляет облачные услуги, её продукт будет оцениваться не только по национальным стандартам. Существует экосистема международных организаций и соглашений, которая формирует общие «правила игры». Эти правила не всегда имеют прямую юридическую силу в конкретной стране, но их игнорирование закрывает двери на ключевые рынки и лишает доверия международных партнёров.
Можно выделить несколько ключевых направлений, где международное регулирование накладывается на российские требования 152-ФЗ и приказы ФСТЭК.
Отраслевые стандарты и организации
Некоторые стандарты де-факто стали обязательными для выхода на международный уровень в определённых секторах.
- ISO/IEC 27001 (системы менеджмента информационной безопасности) — наиболее признанная в мире модель для построения СМИБ. Несмотря на наличие национального аналога ГОСТ Р ИСО/МЭК 27001, сертификат, выданный аккредитованным международным органом, часто является обязательным требованием в тендерах зарубежных заказчиков и для работы с крупными иностранными поставщиками.
- Стандарты платёжных систем (PCI DSS) — любой, кто обрабатывает, хранит или передаёт данные карт международных платёжных систем (Visa, Mastercard), обязан соответствовать этому стандарту. Это требование существует параллельно с российским законом о национальной платёжной системе и ФЗ-152. Несоответствие ведёт не только к штрафам, но и к отзыву лицензии на проведение операций.
- Облачная безопасность (ISO/IEC 27017, 27018) — стандарты, специфичные для облачных сервисов. Для российских облачных провайдеров, которые хотят обслуживать зарубежные филиалы отечественных компаний или выходить на рынки стран СНГ, соответствие этим стандартам является весомым конкурентным преимуществом и часто — обязательным условием контракта.
Технические и протокольные альянсы
Информационная безопасность, это не только документы, но и технологии. Многие базовые протоколы и спецификации шифрования, аутентификации, безопасной передачи данных разрабатываются международными техническими консорциумами.
Например, консорциум IETF (Internet Engineering Task Force) разрабатывает и принимает стандарты, которые лежат в основе интернета: TLS для защищённого соединения, OAuth для авторизации, DKIM для защиты почты. Использование устаревших или нестандартных криптографических алгоритмов, не прошедших международную экспертизу, может стать причиной уязвимости, которая затронет и внутренние системы.
Аналогично, организация FIRST (Forum of Incident Response and Security Teams) объединяет центры реагирования на компьютерные инциденты (CERT/CSIRT) по всему миру, включая российские. Членство в таких альянсах обеспечивает доступ к оперативной информации об угрозах, скоординированное реагирование на трансграничные атаки и обмен лучшими практиками.
Внутренний контур: как глобальное влияет на локальное регулирование
Международные аспекты проникают в национальное регулирование не только как дополнительные требования, но и как фундамент для собственных правил. Регуляторы, в том числе ФСТЭК России, часто учитывают международный опыт при разработке и актуализации своих требований.
Адаптация и имплементация
Многие российские нормативные документы являются адаптированными версиями международных стандартов. Это делается не просто так. Такой подход:
- Снижает барьеры для отечественных производителей, желающих экспортировать свою продукцию. Если продукт изначально разработан с учётом требований, близких к международным, его сертификация за рубежом проходит быстрее и дешевле.
- Повышает общий уровень безопасности за счёт внедрения уже апробированных мировым сообществом методик и контролей.
- Облегчает взаимодействие при расследовании киберинцидентов с иностранным элементом, так как используемая терминология и подходы оказываются схожими.
Конфликт требований: основная проблема на стыке юрисдикций
Наиболее сложная ситуация возникает, когда требования разных юрисдикций вступают в прямой конфликт. Яркий пример — законодательство о локализации данных.
Российский 242-ФЗ (закон о локализации данных персональных данных) обязывает операторов хранить и обрабатывать базы данных граждан РФ на территории России. Однако аналогичные законы существуют и в других странах (например, в некоторых штатах Индии, в Китае). Компания, работающая на нескольких таких рынках, оказывается перед дилеммой: как построить архитектуру, чтобы данные гражданина страны А хранились только в стране А, данные гражданина страны Б — только в стране Б, при этом обеспечивая единый уровень сервиса и безопасности?
Другой классический конфликт — экспортный контроль. Средства криптографической защиты информации (СКЗИ), разработанные в России и сертифицированные ФСБ, подпадают под действие законодательства об экспортном контроле. Их передача иностранному партнёру, даже для внутреннего использования в его российском филиале, требует получения лицензии. При этом иностранные аналоги таких средств, ввезённые в Россию, должны пройти процедуру сертификации ФСБ для легального использования. Это создаёт сложности для международных ИТ-проектов и совместных разработок.
Практические последствия для архитекторов и инженеров
Для специалиста, проектирующего или обслуживающего инфраструктуру, международные аспекты перестают быть абстракцией, когда:
- Выбирается поставщик облачных услуг. Если часть нагрузки планируется разместить за рубежом (например, для обслуживания иностранных пользователей), нужно сразу оценить: позволяет ли это законодательство страны размещения? Соответствует ли ЦОД зарубежного провайдера требованиям, эквивалентным приказу ФСТЭК № 235/239? Как будет организована защита каналов связи между российским и иностранным сегментами?
- Внедряется ПО иностранного производства. Необходимо проверить, поддерживает ли оно необходимые криптографические алгоритмы, одобренные в России (например, ГОСТ 34.10-2012, 34.11-2012). Есть ли у вендора механизм для оперативного получения и установки обновлений безопасности, если его серверы обновлений географически недоступны в момент санкций или иных ограничений?
- Проектируется система для международной компании. Требуется разработать политики информационной безопасности, которые будут едиными по сути (например, правила создания сложных паролей, реагирования на инциденты), но учитывающими локальные особенности в приложениях (например, специфику закона о персональных данных конкретной страны).
Стратегия: от реагирования к управлению
Вместо того чтобы воспринимать международные требования как набор разрозненных препятствий, эффективнее выстроить системный подход.
- Картирование требований. Создать матрицу, в которой отражены ключевые требования всех юрисдикций, в которых работает компания (Россия, страны ЕАЭС, другие целевые рынки), а также отраслевые стандарты (PCI DSS, ISO 27001). Это позволяет наглядно увидеть зоны пересечения и конфликта.
- Выбор «базового» стандарта. Часто в качестве основы для внутренней СМИБ выбирается ISO 27001. Его структура и набор контролей достаточно универсальны. На этот каркас затем «навешиваются» специфические требования 152-ФЗ, ФСТЭК, PCI DSS. Это эффективнее, чем пытаться поддерживать несколько независимых систем.
- Архитектурная сегментация. Для минимизации рисков, связанных с конфликтующими законами (например, о локализации данных), архитектура системы изначально проектируется как сегментированная. Данные и сервисы для разных географических регионов изолируются на логическом, а часто и на физическом уровне. Используются гео-шлюзы и распределённые точки входа.
- Мониторинг и адаптация. Международная регуляторная среда динамична. В стратегию безопасности должен быть заложен процесс регулярного мониторинга изменений в ключевых для бизнеса юрисдикциях и оценки их влияния на текущие процессы и архитектуру.
Игнорировать международный контекст в информационной безопасности сегодня — значит работать с неполной картиной угроз и возможностей. Понимание этого контекста позволяет не только избегать штрафов и санкций, но и строить более устойчивые, гибкие и конкурентоспособные ИТ-системы, готовые к работе в условиях множественности правил — новой цифровой реальности.