«Глобализация данных противоречит суверенному праву государств контролировать их. Регулирование в сфере ИБ, это не просто свод технических требований, это инструмент управления технологическим укладом и защиты национального экономического контура. Попытки гармонизации правил часто оборачиваются либо тотальным доминированием одной модели (например, американской через CFIUS или европейской через GDPR), либо созданием видимости диалога при сохранении барьеров. Найти путь, где формальные требования сопоставимы, а суверенные подходы к защите данных и критической инфраструктуры остаются неприкосновенными,, это задача не для дипломатов, а для инженеров и юристов, говорящих на одном языке архитектурных принципов. Речь не о стандартизации, а о создании интероперабельности национальных ИБ-режимов»
.
Откуда возникает идея гармонизации и почему она проблемна
Глобальные цепочки поставок, международные платёжные системы, трансграничные облачные сервисы — все они упираются в национализированные системы регулирования кибербезопасности. Каждый новый транза asian проходит через фильтры как минимум двух юрисдикций, что повышает стоимость и снижает скорость. Бизнес, особенно крупный технологический, выступает основным лоббистом унификации правил: ему нужны предсказуемые и единые условия на всех рынках.
Но за этим запросом стоит более глубокая коллизия. Унификация, в её классическом понимании, предполагает сведение к единому знаменателю. В сфере ИБ этот знаменатель исторически определялся либо Вашингтоном (через контроль над корневыми серверами DNS, стандарты NIST и влияние на ISO), либо Брюсселем (через механизм адекватности защиты данных по GDPR). Принятие этих моделей другими странами часто означает не только импорт технических стандартов, но и скрытую юрисдикционную зависимость — данные, соответствующие GDPR, де-факто подпадают под надзор европейских регуляторов.
Поэтому для многих государств, включая Россию, вопрос стоит не об упрощении процедур, а о сохранении технологического суверенитета. Суверенитет здесь, это не просто политический лозунг, а практическая способность самостоятельно определять архитектуру безопасности критической информационной инфраструктуры (КИИ), иметь собственную сертификацию средств защиты информации (СЗИ) и контролировать трансграничные потоки данных, относящихся к гражданам и стратегическим отраслям.
Попытки слепого копирования зарубежных регуляторных рамок (например, европейского GDPR в виде российского 152-ФЗ о персональных данных) привели не к гармонизации, а к созданию параллельного, часто более громоздкого, регуляторного поля. Формально цели схожи — защита прав субъектов ПДн, но механизмы (например, явное согласие, уведомление регулятора) и философия (акцент на локализацию баз данных в РФ) радикально отличаются. Это и есть иллюзия гармонизации: совпадают названия разделов, но расходятся процедурная логика и конечные приоритеты.
Архитектурные принципы вместо копирования правил
Настоящая гармонизация начинается не на уровне конкретных директив («требуется шифрование AES-256»), а на уровне архитектурных принципов и моделей угроз. Если две страны признают, что для защиты государственных информационных систем критичен контроль целостности программного обеспечения на всех этапах жизненного цикла, они могут прийти к взаимному признанию сертификатов, основанных на этом принципе, даже если процедуры аттестации отличаются.
Ключевые принципы, которые могут лечь в основу такой интероперабельности:
- Принцип неделимости ответственности. Оператор КИИ или владелец информационной системы несёт полную ответственность за её безопасность независимо от того, где физически расположены серверы или кто является поставщиком услуг. Это противоречит модели, где ответственность делегируется облачному провайдеру по умолчанию, как это часто бывает в западных практиках.
- Принцип локализации критичных данных и процессов. Не обязательно всех данных, а именно тех, утрата контроля над которыми создаёт прямые угрозы национальной безопасности или суверенитету. Речь о метаданных трафика КИИ, биометрических базах, геоданных стратегических объектов. Этот принцип допускает использование иностранных технологий, но требует национального контроля над «цифровым исходником».
- Принцип верифицируемой безопасности. Требования должны быть проверяемыми как национальным регулятором (ФСТЭК России), так, в рамках соглашений, — партнёром. Это подразумевает не просто предоставление отчёта по аудиту, а возможность проведения инспекции или повторной верификации методик оценки. Отсюда растёт важность отечественных методик аттестации и испытательных лабораторий.
Технические мосты: где возможна реальная стыковка
Даже при разных регуляторных философиях есть технические плоскости, где сотрудничество не только возможно, но и необходимо для функционирования глобального интернета. Это области, где суверенитет проявляется не в изоляции, а в способности безопасно взаимодействовать.
Протоколы и форматы обмена инцидентами
Когда российский CERT и, например, азиатская CERT-команда обмениваются информацией о новой уязвимости в межсетевых экранах, им нужен общий язык. Стандарты вроде STIX (Structured Threat Information Expression) и TAXII, это технические протоколы, а не политические документы. Их адаптация и использование не требуют отказа от национальных подходов к классификации инцидентов. Россия может развивать свои форматы (например, в рамках ГосСОПКА), но обеспечить их трансляцию в общепринятые машиночитаемые форматы, это и есть практическая гармонизация на оперативном уровне.
Криптография и интероперабельность средств защиты
Здесь лежит самый болезненный нерв. Национальные стандарты шифрования (ГОСТ 34.12-2018 «Кузнечик», ГОСТ Р 34.11-2012 «Стрибог») являются краеугольным камнем суверенитета. Их гармонизация с миром AES и SHA-3 невозможна на уровне замены. Но возможна на уровне интероперабельности: создание шлюзов, криптографических прокси или поддержка нескольких алгоритмов в протоколах связи для взаимодействия с зарубежными контрагентами. Требование для критической инфраструктуры — использовать отечественную криптографию. Требование для совместного проекта с иностранным партнёром — обеспечить совместимый режим работы. Это не компромисс, а архитектурная задача.
Сертификация аппаратного и программного обеспечения
Модель взаимного признания сертификатов безопасности существует в рамках таких объединений, как ЕАЭС. Российский сертификат ФСТЭК на средство защиты информации может быть признан в Беларуси или Казахстане. Расширение этой модели на других партнёров требует не унификации требований ФСТЭК и, например, китайского регулятора, а создания системы «сопоставления соответствия». Если китайский стандарт безопасности для промышленных систем управления (например, GB/T 30976) и российский набор требований к АСУ ТП защищают от одного и того же класса индустриальных угроз (несанкционированные команды, целостность данных), их можно сопоставить. Результатом станет не единый сертификат, а двустороннее соглашение, что продукт, сертифицированный в одной стране, допускается к использованию в другой после выполнения дополнительных, чисто национальных процедур (например, анализа исходного кода в аккредитованном центре).
Роль негосударственных игроков и отраслевых стандартов
Государственные регуляторы всегда отстают от технологической реальности. Пока ФСТЭК разрабатывает и утверждает требования к контейнеризации или сервис-мешам, индустрия уже вовсю их использует. Поэтому значимая часть гармонизации происходит на уровне отраслевых консорциумов и организаций по стандартизации.
Российские ИТ-компании, работающие на международных рынках, вынуждены одновременно соответствовать 152-ФЗ, PCI DSS (если речь о платежах), и, возможно, гипотетическим требованиям новых партнёров. Они становятся живыми лабораториями по совмещению регуляторных режимов. Их наработки — внутренние стандарты, процедуры, архитектурные шаблоны — де-факто создают те самые «мосты», о которых говорят политики. Государству здесь не нужно изобретать велосипед, а нужно научиться аккумулировать и формализовать этот практический опыт, превращая его в официальные методические рекомендации для отрасли.
Крайне перспективна модель так называемых «регуляторных песочниц». На определённой территории или для определённых проектов (например, международный логистический хаб) временно устанавливается особый правовой режим. В нём действует сводный набор ключевых, взаимно признанных требований от каждой из стран-участниц. Это позволяет в реальных условиях отработать процедуры контроля, инцидент-менеджмента и аудита, а затем, на основе полученного опыта, принять решение о расширении таких практик.
Суверенитет как возможность диалога, а не барьер
Парадокс в том, что сильный, отлаженный и технически обоснованный национальный режим кибербезопасности, это лучшая основа для гармонизации. Когда у страны есть чёткие, проверяемые и глубоко проработанные требования (как система защиты информации ФСТЭК), ей есть что предложить партнёрам для сопоставления. Слабая, аморфная или чисто имитационная система регулирования не представляет интереса для диалога — её просто игнорируют или вынуждают принять чужие правила.
путь не в отказе от суверенных подходов ради «глобальных стандартов», а в их укреплении и детальной проработке до такого уровня, когда они становятся самодостаточной и уважаемой системой координат. Только из этой позиции можно вести переговоры о взаимном признании, создании интероперабельных протоколов и разделении зон ответственности. Гармонизация в таком ключе, это не общее регулирование, а набор точно выверенных технических и процедурных интерфейсов между независимыми, сильными национальными системами безопасности. В конечном счёте, это повышает устойчивость не только каждого отдельного государства, но и всей глобальной цифровой экосистемы, превращая её из монолита, уязвимого для системных сбоев, в сеть устойчивых, способных к автономной работе, но при этом связанных узлов.