ГрамотаИБ ГрамотаИБ

Требования по ИБ в России и за рубежом: сравнение с GDPR (ЕС) и США

Редакция ГрамотаИБ · Опубликовано 03.07.2026

Чем требования по информационной безопасности и защите персональных данных в России отличаются от европейского GDPR и подхода США. Сравнительные таблицы по надзору, локализации данных, уведомлению об утечках и штрафам, разбор уникальности требований Роскомнадзора и ФСТЭК и того, где российский правовой режим строже, а где мягче.

Правовые режимы защиты информации в разных странах строятся по-разному: где-то — через детально предписанные технические требования и сертификацию, где-то — через риск-ориентированный подход и ответственность за результат. Сравним, что требуют по информационной безопасности и защите персональных данных в России, Европейском союзе (GDPR) и США, уникальны ли требования Роскомнадзора и ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. и в чём российский режим строже или мягче.

Три разных подхода

  • Россия — предписывающий подход: закон и приказы регуляторов детально задают состав мер, обязательную сертификацию средств защиты и (для госсистем) аттестацию.
  • Европейский союз — риск-ориентированный подход: GDPR задаёт принципы и цели, а конкретные меры оператор выбирает соразмерно риску.
  • США — секторальный подход: единого федерального закона о персональных данных нет, действуют отраслевые законы и законы отдельных штатов, а также добровольные стандарты.

Персональные данные: 152-ФЗ, GDPR и США

ПараметрРоссияЕС (GDPR)США
Основной акт152-ФЗРегламент (ЕС) 2016/679 (GDPR)единого федерального закона нет; отраслевые (HIPAA, GLBA) и законы штатов (например, CCPA/CPRA в Калифорнии)
Надзорный органРоскомнадзорнациональные органы по защите данных, координация — Европейский совет по защите данных (EDPB)Федеральная торговая комиссия (FTC) и генеральные прокуроры штатов
Уведомление регулятора об обработкеда, как правило до начала обработкинет; вместо этого — ведение записей об обработке, при необходимости — назначение DPOнет общего требования
Правовые основаниясогласие — одно из оснований (ст. 6 152-ФЗ)шесть оснований (ст. 6 GDPR)зависит от сектора и штата
Локализация данныхда: запись, хранение и первичная обработка данных граждан РФ в базах на территории России (ч. 5 ст. 18)требования локализации нет; свободное перемещение внутри ЕС, за пределы — по решению об адекватности или гарантиямобщего требования локализации нет
Уведомление об утечкеРоскомнадзор: в течение 24 часов (предварительно) и 72 часов (результаты расследования)надзорному органу — в течение 72 часов (ст. 33 GDPR)зависит от закона штата и сектора
Штрафыс 2025 года — крупные, за повторную утечку — оборотныедо 20 млн евро или до 4% мирового годового оборотазависит от закона (например, CCPA — за каждое нарушение)

Подробнее о российских правилах — в статьях об уведомлении Роскомнадзора, трансграничной передаче и штрафах за нарушения с ПДн.

Техническая защита информационных систем

ПараметрРоссияЕССША
Регулирование мер защитыприказы ФСТЭК №21 (ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.) и №117 (ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК.); для КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ. — 187-ФЗ и подзаконные акты ФСТЭКДиректива NIS2 (для существенных и важных субъектов); ISO/IEC 27001 — добровольностандарты NIST (Cybersecurity Framework, SP 800-53), FISMA для госсистем; отраслевые требования
Сертификация средств защитысертифицированные СЗИСредство защиты информации — Техническое или программное средство, реализующее меры защиты; обычно требует сертификата ФСТЭК. обязательны в регулируемых режимах (ГИС, КИИ, отдельные классы и уровни); криптозащита — сертифицированными ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА. СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ.обязательной нет; добровольные схемы сертификации (EUCC и др.)общей обязательной нет; FIPS 140-3 для криптомодулей в госсекторе
Подтверждение соответствиядля ГИС — обязательная аттестация; с 2026 года по приказу №117 — ещё и показатели защищённостиобязательной аттестации нет; сертификация по ISO — добровольнадля госсистем — авторизация (ATO) по FISMA; для бизнеса — добровольно
Криптографиясертифицированные ФСБ СКЗИ (алгоритмы ГОСТ)свободный выбор, стандарты де-фактоFIPS 140-3 в госсекторе, в остальном свободно
Подход к выбору мерпредписанный набор по уровню защищённости или классуриск-ориентированныйриск-ориентированный (по фреймворкам)

Как устроены российские требования к мерам — в статье об уровнях защищённости ПДн.

Уникальны ли требования Роскомнадзора и ФСТЭК

По сути — нет: защита персональных данных, организационные и технические меры, уведомление об утечках, назначение ответственного (аналог DPO) есть в большинстве развитых правопорядков. По форме — у России есть заметные особенности:

  • локализация данных граждан РФ на территории России;
  • обязательная сертификация средств защиты (ФСТЭК) и криптосредств (ФСБ, ГОСТ) в регулируемых режимах;
  • обязательная аттестация государственных информационных систем;
  • предварительное уведомление Роскомнадзора об обработке ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн).;
  • детально предписанный набор мер по уровню защищённости или классу, а не только риск-ориентированный выбор.

Где российский режим строже, а где мягче

Строже: требование локализации данных; обязательная сертификация средств защиты и аттестация; предварительное уведомление регулятора; обязательная сертифицированная криптография; предписанный состав мер.

Мягче или иначе: нет прямого требования баннера согласия на cookie, как в европейской ePrivacy; согласие — лишь одно из оснований обработки (как и в GDPR), а не универсальное условие; до 2025 года штрафы были заметно ниже, чем в GDPR, — с введением крупных и оборотных штрафов разрыв сократился, хотя российский максимум за повторную утечку ниже, чем 4% мирового оборота в GDPR. При этом и 152-ФЗ, и GDPR имеют элементы экстерриториальности: оба распространяются на обработку данных своих граждан за пределами страны.

Главное

Требования по ИБИнформационная безопасность — Состояние защищённости информации и поддерживающей инфраструктуры от угроз. и защите ПДн в России не уникальны по целям, но отличаются формой: российский режим более предписывающий и опирается на локализацию данных, обязательную сертификацию средств защиты, аттестацию госсистем и сертифицированную криптографию. Европейский GDPR строится на риск-ориентированном подходе и высоких оборотных штрафах, а США используют секторальные и штатные законы без единого федерального акта. В части технических мер Россия детально предписывает состав защиты, тогда как ЕС и США чаще оставляют выбор мер на усмотрение оператора в зависимости от риска.

Частые вопросы

Чем 152-ФЗ отличается от GDPR?

152-ФЗ более предписывающий: он требует уведомлять Роскомнадзор об обработке, локализовать данные граждан РФ в России и применять сертифицированные средства защиты. GDPR — риск-ориентированный: он задаёт принципы и высокие оборотные штрафы (до 4% мирового оборота или 20 млн евро), а конкретные меры оператор выбирает сам. При этом оба закона имеют элементы экстерриториальности и близки по срокам уведомления об утечке (в ЕС — 72 часа, в России — 24 и 72 часа).

Есть ли за рубежом требование локализации данных, как в России?

Общего требования локализации, как в части 5 статьи 18 152-ФЗ, в GDPR и в законодательстве США нет. В ЕС данные свободно перемещаются внутри союза, а передача за его пределы допускается по решению об адекватности или при наличии гарантий. Локализация данных граждан РФ на территории России — одна из характерных особенностей российского режима.

Уникальны ли требования ФСТЭК и Роскомнадзора?

По целям — нет: защита данных, меры безопасности и уведомление об утечках есть в большинстве стран. Особенности российского режима — в форме: обязательная сертификация средств защиты (ФСТЭК) и криптосредств (ФСБ, ГОСТ), обязательная аттестация государственных систем, предварительное уведомление Роскомнадзора и детально предписанный набор мер по уровню защищённости или классу.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Домашняя лаборатория для обучения информационной безопасности

Как собрать домашнюю лабораторию для безопасной и легальной практики по ИБ: зачем она нужна, какие требования к железу, из каких компонентов состоит (атакующая машина, уязвимые учебные цели, средства защиты и мониторинга), как изолировать лабораторию от домашней сети, что отрабатывать и какие бесплатные ресурсы использовать. Тренироваться можно только на своих системах — чужие тестировать нельзя.

План самостоятельного изучения нормативной базы по ИБ

Программа самостоятельного изучения нормативки по информационной безопасности в логичном порядке: от базовых понятий (триада CIA) к персональным данным (152-ФЗ, ПП-1119), модели угроз и мерам (приказ ФСТЭК №21), затем по применимости — ГИС (приказ №117), СКЗИ (ФАПСИ №152, ФСБ №378) и КИИ (187-ФЗ, приказы №235 и №239, Указ №250), и наконец организация, документы и контроль. Со ссылками на разборы и первоисточники.

Как стать пентестером (специалистом по тестированию на проникновение)

Как войти в профессию пентестера: что такое тестирование на проникновение и почему оно законно только с разрешения, какой минимальный набор знаний нужен (сети, Linux, Windows, веб, скрипты), какие инструменты и направления бывают, где практиковаться легально (CTF, киберполигоны, багбаунти), какие сертификации и переподготовку пройти и как пентест встроен в российские требования по защите информации.

Как перейти в информационную безопасность из другой ИТ-специальности

Как войти в информационную безопасность из смежной ИТ-области (администрирование, разработка, сети, DevOps): какой минимальный набор знаний нужен, какие направления ИБ выбрать под свой бэкграунд, какое переобучение и переподготовку пройти (ДПО и программы, согласованные с ФСТЭК) и какие основные требования предъявляют к специалистам по ИБ — профстандарты, приказ ФСТЭК №235, Указ №250, лицензионные требования.