“Norms — это не протоколы, которые можно скачать и установить. Это невидимые правила игры, которые формируются в процессе самой игры. Их нельзя прописать в ГОСТе, но без них любая система защиты превращается в симулякр. В России, где регуляторика часто пытается формализовать даже дыхание, понимание norms — это способ увидеть реальную безопасность за бумажными отчётами.”
## Что такое norms и почему они важнее формальных правил
Norms (нормы поведения) в киберпространстве — это неписаные, но общепризнанные правила, стандарты и ожидания, регулирующие действия государств и других субъектов. Они возникают не из директив ФСТЭК или статей 152-ФЗ, а из повторяющейся практики, прецедентов и молчаливого согласия сообщества.
Формальные требования, такие как приказы ФСТЭК или положения о защите персональных данных, задают нижнюю планку — технический минимум. Norms же определяют, как этот минимум применяется в реальных конфликтах и операциях. Например, требование о резервном копировании — это формальное правило. А норма — это ожидание, что даже в ходе кибератаки на критическую инфраструктуру противник не станет целенаправленно уничтожать медицинские базы данных, связанные с жизнеобеспечением. Это вопрос не соответствия, а сдерживания и предсказуемости.
В российском контексте, где регуляторный фокус часто смещён в сторону проверяемых чек-листов, упускается из виду, что настоящая устойчивость системы формируется именно на уровне этих неформальных договорённостей. Атаку можно технически отразить, но если нет понимания «правил игры», любой инцидент грозит эскалацией с непредсказуемыми последствиями.
## Как формируются norms: от практики к принципу
Norms не появляются по чьему-то указу. Их формирование — это медленный, итеративный процесс, который можно описать через несколько стадий.
1. **Инициация и действие.** Один или несколько ключевых игроков (государства, крупные корпорации, влиятельные группы) начинают последовательно придерживаться определённой линии поведения. Например, публичное объявление о том, что ответные кибероперации будут соразмерны и направлены только на инициатора атаки, а не на случайные объекты.
2. **Признание и подражание.** Другие участники начинают замечать эту практику, оценивать её выгоды (например, снижение риска тотальной эскалации) и постепенно перенимать. Поведение перестаёт быть эксклюзивным.
3. **Консолидация и ожидание.** Повторяющаяся практика превращается в общественное ожидание. Отклонение от неё начинает восприниматься как нарушение «правил», даже если эти правила нигде не записаны. На этой стадии могут появляться первые публичные заявления или резолюции международных организаций, фиксирующие сложившуюся практику.
4. **Институционализация (необязательный этап).** Норма может быть кодифицирована в виде международного договора, национального закона или отраслевого стандарта. Однако суть norms в том, что они работают и до этой формализации. Более того, после кодификации они часто теряют гибкость.
[ИЗОБРАЖЕНИЕ: Диаграмма, иллюстрирующая цикл формирования norms: «Действие → Подражание → Ожидание → (Возможная) Кодификация».]
## Эволюция norms: от невмешательства к активной обороне
За последние два десятилетия norms в киберпространстве прошли значительную эволюцию, которую можно проследить по ключевым этапам.
**Ранняя стадия (1990-е – начало 2000-х): «Дикий Запад».** Доминировала идея киберпространства как свободной и саморегулируемой среды. Нормы были минимальны и касались в основном технической кооперации (например, обмен информацией об уязвимостях между CERT). Государства лишь присматривались к новому домену.
**Стадия осознания (середина 2000-х – 2010-е): формирование базовых принципов.** После серии масштабных инцидентов (как DDoS-атаки на Эстонию в 2007 году) пришло понимание, что действия в киберпространстве могут иметь реальные политические последствия. Начался процесс переноса базовых принципов международного права (суверенитет, неприменение силы, соразмерность) в цифровую среду. Ключевой нормой стало признание применимости международного права к киберпространству.
**Современная стадия (2020-е – настоящее время): нормативная конкуренция и «красные линии».** Период, когда разные группы государств продвигают конкурирующие пакеты norms. Западный блок через ООН делает акцент на ограничении киберопераций, которые могут дестабилизировать критическую инфраструктуру. Другие игроки выступают за нормы, ограничивающие вмешательство во внутренние дела через цифровые технологии. Параллельно формируются тактические norms на уровне операторов: например, негласное правило не атаковать системы управления безопасностью полётов или объекты ядерной инфраструктуры.
Эволюция продолжается, и её вектор во многом зависит от того, какие инциденты станут прецедентными и как на них отреагирует международное сообщество.
## Ключевые нормы, о которых спорят сегодня
Не все norms универсально приняты. Некоторые являются предметом острых дискуссий.
| Норма (Принцип) | Содержание и поддержка | Контраргументы и критика |
| :— | :— | :— |
| **Защита критической инфраструктуры** | Государства не должны проводить или поощрять кибератаки на объекты, отказ которых угрожает жизни и здоровью населения (энергетика, водоснабжение, здравоохранение). Поддерживается резолюциями ООН. | Понятие «критическая инфраструктура» трактуется по-разному. В условиях гибридного конфликта такие объекты могут рассматриваться как законные цели для оказания давления. |
| **Неприкосновенность цепочек поставок** | Государства должны принимать меры, чтобы не нарушать безопасность коммерческих продуктов и услуг (например, не встраивать бэкдоры в экспортируемое ПО или оборудование). | Реализация почти невозможна для проверки. Многие государства рассматривают контроль над цепочками поставок как вопрос национальной безопасности. |
| **Ответственность государств** | Государство несёт ответственность за кибероперации, исходящие с его территории или проводимые под его контролем, и должно на них реагировать. | Сложность атрибуции делает эту норму труднореализуемой. Часто используется как предлог для предъявления претензий без доказательств. |
| **Гуманитарное ограничение** | Даже в ходе конфликта стороны должны избегать кибератак, которые могут причинить излишние страдания гражданскому населению или нанести долгосрочный ущерб гражданским объектам. | В киберпространстве сложно отделить военные и гражданские объекты из-за высокой степени интеграции сетей. |
## Norms и российская регуляторика: точка столкновения
Российская система регулирования информационной безопасности, сфокусированная на ФСТЭК и 152-ФЗ, по своей сути является системой жёстких, формализованных предписаний. Её задача — создать унифицируемый, проверяемый каркас. Norms же существуют в плоскости гибких, ситуативных договорённостей.
Это приводит к фундаментальному разрыву. Организация, идеально соответствующая всем требованиям ФСТЭК, может быть абсолютно уязвима в контексте norms, потому что её сотрудники и руководство не понимают неписаных правил поведения в отраслевом или международном сообществе. Например, можно иметь сертифицированные средства криптозащиты, но при этом регулярно и безнаказанно сливать через мессенджеры конфиденциальные данные, нарушая базовую норму конфиденциальности внутри профессионального цеха.
С другой стороны, понимание norms позволяет выстроить защиту более осмысленно. Вместо слепого следования чек-листу можно сконцентрировать ресурсы на защите тех активов и сценариев, которые действительно являются «красными линиями» в текущем нормативном поле. Это переход от безопасности «по бумаге» к безопасности «по ситуации».
## Как учитывать norms в практической работе
Для специалиста по ИБ в России работа с norms — это не про участие в дипломатических переговорах. Это про интеграцию их логики в ежедневные процессы.
1. **Анализ угроз через призму norms.** При оценке угроз задавайтесь не только вопросом «могут ли нас взломать?», но и «зачем это сделают?». Какие негласные правила могут быть нарушены? Каков вероятный ответный шаг отрасли или государства? Это помогает приоритизировать риски.
2. **Сценарии реагирования на инциденты.** Планы реагирования (IRP) должны включать не только технические шаги, но и политико-коммуникационную составляющую. Кого нужно уведомить в первую очередь внутри профессионального сообщества? Какое заявление сделать, чтобы действия были восприняты как соразмерные и соответствующие ожиданиям?
3. **Внутреннее обучение и культура.** Донесите до технических специалистов и руководства, что безопасность — это не только про compliance. Это также про репутацию и доверие внутри экосистемы. Нарушение отраслевых norms (например, замалчивание серьёзного инцидента, затрагивающего партнёров) может нанести больше ущерба, чем сам взлом.
4. **Мониторинг нормативного поля.** Следите не только за обновлениями в 152-ФЗ, но и за публичными отчётами крупных CERT, заявлениями регуляторов и отраслевых ассоциаций. Там часто формируется язык и контекст будущих norms.
## Будущее norms: больше правил или больше хаоса?
Тренд указывает на одновременное движение в двух направлениях. С одной стороны, идёт процесс фрагментации: формируются конкурирующие «нормативные пузыри» вокруг разных государственных блоков. То, что считается приемлемым в одном пузыре, может быть табу в другом. Это повышает риски недопонимания и эскалации.
С другой стороны, на оперативном уровне, среди технических специалистов и компаний, работающих в трансграничных цифровых экосистемах, стихийно рождаются прагматичные norms, связанные с быстрым обменом индикаторами компрометации или совместным противодействием бот-сетям. Эти bottom-up norms часто оказываются эффективнее громких политических деклараций.
Итог в том, что киберпространство не станет ни полностью регулируемым, ни абсолютно анархичным. Оно будет представлять собой многослойную структуру, где поверхностный слой формальных законов будет подпираться более глубоким и динамичным слоем неписаных norms. Умение ориентироваться в этом втором слое станет ключевым навыком для тех, кто отвечает за реальную, а не бумажную безопасность.