Требования по ИБ в России и за рубежом: сравнение с GDPR (ЕС) и США
Чем требования по информационной безопасности и защите персональных данных в России отличаются от европейского GDPR и подхода США. Сравнительные таблицы по надзору, локализации данных, уведомлению об утечках и штрафам, разбор уникальности требований Роскомнадзора и ФСТЭК и того, где российский правовой режим строже, а где мягче.
Правовые режимы защиты информации в разных странах строятся по-разному: где-то — через детально предписанные технические требования и сертификацию, где-то — через риск-ориентированный подход и ответственность за результат. Сравним, что требуют по информационной безопасности и защите персональных данных в России, Европейском союзе (GDPR) и США, уникальны ли требования Роскомнадзора и ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. и в чём российский режим строже или мягче.
Три разных подхода
- Россия — предписывающий подход: закон и приказы регуляторов детально задают состав мер, обязательную сертификацию средств защиты и (для госсистем) аттестацию.
- Европейский союз — риск-ориентированный подход: GDPR задаёт принципы и цели, а конкретные меры оператор выбирает соразмерно риску.
- США — секторальный подход: единого федерального закона о персональных данных нет, действуют отраслевые законы и законы отдельных штатов, а также добровольные стандарты.
Персональные данные: 152-ФЗ, GDPR и США
| Параметр | Россия | ЕС (GDPR) | США |
|---|---|---|---|
| Основной акт | 152-ФЗ | Регламент (ЕС) 2016/679 (GDPR) | единого федерального закона нет; отраслевые (HIPAA, GLBA) и законы штатов (например, CCPA/CPRA в Калифорнии) |
| Надзорный орган | Роскомнадзор | национальные органы по защите данных, координация — Европейский совет по защите данных (EDPB) | Федеральная торговая комиссия (FTC) и генеральные прокуроры штатов |
| Уведомление регулятора об обработке | да, как правило до начала обработки | нет; вместо этого — ведение записей об обработке, при необходимости — назначение DPO | нет общего требования |
| Правовые основания | согласие — одно из оснований (ст. 6 152-ФЗ) | шесть оснований (ст. 6 GDPR) | зависит от сектора и штата |
| Локализация данных | да: запись, хранение и первичная обработка данных граждан РФ в базах на территории России (ч. 5 ст. 18) | требования локализации нет; свободное перемещение внутри ЕС, за пределы — по решению об адекватности или гарантиям | общего требования локализации нет |
| Уведомление об утечке | Роскомнадзор: в течение 24 часов (предварительно) и 72 часов (результаты расследования) | надзорному органу — в течение 72 часов (ст. 33 GDPR) | зависит от закона штата и сектора |
| Штрафы | с 2025 года — крупные, за повторную утечку — оборотные | до 20 млн евро или до 4% мирового годового оборота | зависит от закона (например, CCPA — за каждое нарушение) |
Подробнее о российских правилах — в статьях об уведомлении Роскомнадзора, трансграничной передаче и штрафах за нарушения с ПДн.
Техническая защита информационных систем
| Параметр | Россия | ЕС | США |
|---|---|---|---|
| Регулирование мер защиты | приказы ФСТЭК №21 (ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.) и №117 (ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК.); для КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ. — 187-ФЗ и подзаконные акты ФСТЭК | Директива NIS2 (для существенных и важных субъектов); ISO/IEC 27001 — добровольно | стандарты NIST (Cybersecurity Framework, SP 800-53), FISMA для госсистем; отраслевые требования |
| Сертификация средств защиты | сертифицированные СЗИСредство защиты информации — Техническое или программное средство, реализующее меры защиты; обычно требует сертификата ФСТЭК. обязательны в регулируемых режимах (ГИС, КИИ, отдельные классы и уровни); криптозащита — сертифицированными ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА. СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ. | обязательной нет; добровольные схемы сертификации (EUCC и др.) | общей обязательной нет; FIPS 140-3 для криптомодулей в госсекторе |
| Подтверждение соответствия | для ГИС — обязательная аттестация; с 2026 года по приказу №117 — ещё и показатели защищённости | обязательной аттестации нет; сертификация по ISO — добровольна | для госсистем — авторизация (ATO) по FISMA; для бизнеса — добровольно |
| Криптография | сертифицированные ФСБ СКЗИ (алгоритмы ГОСТ) | свободный выбор, стандарты де-факто | FIPS 140-3 в госсекторе, в остальном свободно |
| Подход к выбору мер | предписанный набор по уровню защищённости или классу | риск-ориентированный | риск-ориентированный (по фреймворкам) |
Как устроены российские требования к мерам — в статье об уровнях защищённости ПДн.
Уникальны ли требования Роскомнадзора и ФСТЭК
По сути — нет: защита персональных данных, организационные и технические меры, уведомление об утечках, назначение ответственного (аналог DPO) есть в большинстве развитых правопорядков. По форме — у России есть заметные особенности:
- локализация данных граждан РФ на территории России;
- обязательная сертификация средств защиты (ФСТЭК) и криптосредств (ФСБ, ГОСТ) в регулируемых режимах;
- обязательная аттестация государственных информационных систем;
- предварительное уведомление Роскомнадзора об обработке ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн).;
- детально предписанный набор мер по уровню защищённости или классу, а не только риск-ориентированный выбор.
Где российский режим строже, а где мягче
Строже: требование локализации данных; обязательная сертификация средств защиты и аттестация; предварительное уведомление регулятора; обязательная сертифицированная криптография; предписанный состав мер.
Мягче или иначе: нет прямого требования баннера согласия на cookie, как в европейской ePrivacy; согласие — лишь одно из оснований обработки (как и в GDPR), а не универсальное условие; до 2025 года штрафы были заметно ниже, чем в GDPR, — с введением крупных и оборотных штрафов разрыв сократился, хотя российский максимум за повторную утечку ниже, чем 4% мирового оборота в GDPR. При этом и 152-ФЗ, и GDPR имеют элементы экстерриториальности: оба распространяются на обработку данных своих граждан за пределами страны.
Главное
Требования по ИБИнформационная безопасность — Состояние защищённости информации и поддерживающей инфраструктуры от угроз. и защите ПДн в России не уникальны по целям, но отличаются формой: российский режим более предписывающий и опирается на локализацию данных, обязательную сертификацию средств защиты, аттестацию госсистем и сертифицированную криптографию. Европейский GDPR строится на риск-ориентированном подходе и высоких оборотных штрафах, а США используют секторальные и штатные законы без единого федерального акта. В части технических мер Россия детально предписывает состав защиты, тогда как ЕС и США чаще оставляют выбор мер на усмотрение оператора в зависимости от риска.