«Стандарты безопасности пишут не в вакууме, а в конкретной инфраструктуре, под определённый тип атак и в ответ на чьи-то интересы. Единый глобальный стандарт, это попытка договориться, чья версия мира станет эталонной. В результате мы получаем стандарт, который может быть неэффективен в других условиях, либо используется как инструмент давления. Разные стандарты в разных странах — не ошибка планирования, а следствие различий в приоритетах, угрозах и возможностях. Вопрос не в том, должны ли они существовать, а в том, где проходит граница между обоснованной адаптацией и искусственным барьером.»
Почему стандарты не могут быть универсальными
Представление о том, что безопасность, это математически выверенная и абсолютная константа, глубоко ошибочно. Любой стандарт, это компромисс. Он строится на трёх основных опорах: модель угроз, доступная технологическая база и экономическая целесообразность. Все эти факторы фундаментально различаются от страны к стране.
Модель угроз в одном регионе может фокусироваться на промышленном шпионаже со стороны транснациональных корпораций, в другом — на активности организованных преступных групп, в третьем — на обеспечении устойчивости критической инфраструктуры к внешнему воздействию. Технологическая база определяет, какие средства защиты физически можно внедрить: в стране с развитой собственной микроэлектроникой требования к доверенной загрузке будут одни, а в стране, импортирующей всё оборудование, — принципиально другие, вынужденно компенсирующие этот риск на уровне процедур и ПО. Наконец, экономика диктует, что можно себе позволить: строгий стандарт, повышающий стоимость конечного продукта на 30%, может быть приемлем для оборонного сегмента, но убьёт массовый рынок потребительской электроники.
Единый глобальный стандарт, пытающийся учесть все модели угроз и технологические уровни, неизбежно становится либо слишком абстрактным и декларативным («рекомендуется применять средства защиты»), либо неоправданно тяжёлым для большинства участников. Он не решает проблему, а лишь переносит её на уровень интерпретаций и исключений.
Стандарт как политический инструмент
За фасадом технических требований часто скрывается политическая и экономическая повестка. Сертификация по стандарту, разработанному в конкретной стране или блоке стран, становится пропуском на их рынок. Отсутствие такой сертификации — формальным основанием для отказа. Таким образом, стандарт трансформируется из инструмента обеспечения безопасности в инструмент протекционизма, контроля над цепочками поставок и технологического влияния.
История с требованиями к «бэкдорам» или с передачей криптографических ключей регулирующим органам — яркий пример. Для одной страны это может быть законным инструментом следствия в рамках национального законодательства. Для другой — неприемлемым вмешательством, создающим единую точку отказа и угрозу для коммерческой тайны. Универсальный стандарт в такой ситуации потребовал бы от одной из сторон отказаться от своего законодательного подхода, что политически невозможно. В результате возникают параллельные системы стандартов, отражающие разные подходы к приватности, суверенитету данных и полномочиям государства.
Регуляторная адаптация: российский контекст (ФСТЭК, 152-ФЗ)
Российские стандарты в области информационной безопасности, прежде всего регулируемые ФСТЭК России и в рамках 152-ФЗ,, это не слепое копирование западных аналогов, а адаптация под специфические условия.
Фокус на критическую инфраструктуру (КИИ)
В отличие от многих зарубежных стандартов, имеющих более общий характер, российское регулирование исторически сфокусировано на защите объектов критической информационной инфраструктуры. Требования строятся вокруг обеспечения бесперебойности и устойчивости работы ключевых для государства и общества систем. Отсюда повышенное внимание не только к конфиденциальности, но и к целостности и доступности информации, к защите от деструктивных воздействий. Это прямое следствие национальной модели угроз.
>
Приоритет средств защиты отечественного производства
Требования ФСТЭК часто предписывают использование средств защиты информации, прошедших процедуру сертификации в установленной системе. Фактически это создаёт технологический суверенитет в области средств защиты и стимулирует внутренний рынок. С точки зрения стороннего наблюдателя это выглядит как барьер для импорта. С точки зрения национальной безопасности — как способ снизить зависимость от иностранных вендоров, в чьём ПО и аппаратуре могут быть на этапе разработки внедрены уязвимости или недокументированные возможности.
Ответ на санкционное давление
В условиях ограничения поставок зарубежного оборудования и софта российские стандарты и методики ФСТЭК стали практическим инструментом импортозамещения. Они задают «правила игры», под которые отечественным разработчикам приходится создавать совместимые и конкурентоспособные решения. Без таких чётких национальных требований процесс замещения был бы хаотичным и менее безопасным.
>
Проблемы и издержки разобщённости
Существование разных стандартов — не благо само по себе. Оно порождает значительные издержки.
- Стоимость выхода на рынок. Производителю, желающему продавать продукт в нескольких странах, приходится проходить multiple процедуры сертификации, что резко увеличивает затраты и время на вывод продукта на рынок. Эти издержки в конечном счёте ложатся на потребителя.
- Фрагментация технологического ландшафта. Разные требования к алгоритмам шифрования, протоколам обмена или архитектуре систем ведут к созданию несовместимых между собой экосистем. Это затрудняет международное сотрудничество, создание глобальных сервисов и повышает общую сложность управления ИТ-инфраструктурой транснациональных компаний.
- Риск «стандартов-пустышек». В погоне за формальным соответствием или под давлением местного лобби могут приниматься стандарты, не имеющие реального положительного эффекта для безопасности, но создающие бюрократические препоны. Их цель — не защита, а контроль рынка.
Возможен ли баланс: гармонизация вместо унификации
Полный отказ от национальных стандартов утопичен и небезопасен. Но и погружение в полную разобщённость контрпродуктивно. Практическим выходом видится не унификация, а гармонизация стандартов.
Это означает движение по нескольким направлениям:
- Признание эквивалентности. Заключение международных соглашений о взаимном признании сертификатов соответствия для определённых категорий продуктов, если базовые принципы защиты в стандартах схожи. Например, признание того, что российский сертификат ФСТЭК по определённому классу средств защиты подтверждает уровень безопасности, достаточный для работы в секторе КИИ другой страны, и наоборот.
- Развитие «модульных» стандартов. Создание ядра — набора базовых, общепризнанных требований (например, к стойкости криптоалгоритмов), и национальных профилей — надстроек, учитывающих специфические требования к защите КИИ, приватности данных или использованию отечественных технологий.
- Фокус на оценке результата, а не средства. Смещение акцента с предписания конкретных технологий («использовать средство защиты типа DMA») на требования к итоговому уровню безопасности системы («обеспечить изолированность процессов и контроль целостности»). Это даёт разработчику свободу выбора инструментов в рамках своей технологической базы, но требует от регулятора более высокой квалификации при аттестации.
Заключение
Разные стандарты безопасности для разных стран, это не патология, а естественное состояние мира, в котором национальные интересы, правовые системы и модели угроз различны. Они являются как инструментом обеспечения реальной безопасности в конкретных условиях, так и, зачастую, оружием в технологической и экономической конкуренции.
Российские стандарты (ФСТЭК, 152-ФЗ) — яркий пример адаптации, направленной на защиту критической инфраструктуры и укрепление технологического суверенитета в ответ на внешние вызовы. Задача на будущее — не стремиться к единому шаблону для всех, что невозможно и не нужно, а работать над гармонизацией: вычленять общее ядро, договариваться о взаимном признании и смещать фокус с бюрократии соответствия на реальную эффективность защиты. В конечном счёте, цель любого стандарта — не создать идеальный документ, а сделать информационные системы устойчивее. И эта цель может достигаться разными, иногда параллельными, путями.