Россия ввела "практический тест" на передачу данных пользователей за рубеж

В России принят закон, усиливающий контроль за передачей персональных данных за рубеж. Теперь безопасность страны будет оцениваться не по наличию международных договоров, а по механизмам защиты информации. Так, критерии оценки надежности защиты информации становятся жестче. При анализе безопасности иностранных государств проверяется не столько юрисдикция, сколько реальная работа их систем защиты на практике.

В пресс-службе "Ассоциации больших данных" объяснили, что если ранее компании одновременно ориентировались на Конвенцию Совета Европы номер 108 и приказ Роскомнадзора с перечнем государств, обеспечивающих адекватную защиту персональных данных с точки зрения России, то сейчас основным ориентиром остается только приказ.

"АБД участвовала в обсуждении законопроекта еще на этапе его рассмотрения в Госдуме. Одним из ключевых вопросов тогда было отсутствие Китая в перечне РКН, что могло создать существенные сложности для электронной коммерции, поскольку Китай является одним из основных торговых партнеров России. Впоследствии необходимые изменения в документ были внесены, - рассказали в пресс-службе организации. - В дальнейшем важно, как и насколько оперативно РКН сможет актуализировать перечень стран с учетом потребностей бизнеса. Практика показывает, что регулятор открыт к диалогу, поэтому рассчитываем, что новый порядок не вызовет проблем с реализацией".

Также в АБД добавили, что наиболее чувствительными к изменениям останутся электронная коммерция и финансовый сектор. При этом новые нормы вряд ли станут стимулом для перехода компаний на российские облачные и IT-решения, поскольку требования по локализации персональных данных уже действуют и исполнены участниками рынка, а изменения касаются именно порядка трансграничной передачи данных.

Член IT-комитета Госдумы Антон Немкин рассказал, что теперь оцениваться будет не только наличие международных обязательств, но и то, насколько государство действительно обеспечивает безопасность персональных данных на своей территории.

"Для нас принципиально важно, чтобы данные граждан России не становились инструментом мошенничества, давления, шантажа или дискриминации. Сегодня персональные данные - это такой же стратегический ресурс, как финансовая информация или критическая инфраструктура. Их защита - это уже не просто вопрос цифрового регулирования, а один из элементов национальной безопасности и цифрового суверенитета страны", - подчеркивает депутат.

По его словам, принятые поправки делают систему гораздо более объективной. Так, Россия переходит от формального доверия к реальной оценке уровня защиты данных, что отвечает современным вызовам и позволяет эффективнее защищать права россиян в цифровой среде.

Важно, что в некоторых странах, даже ратифицировавших конвенцию ранее, фиксируются систематические утечки данных российских граждан, их публикация в открытом доступе и использование для давления и мошенничества. Кандидат технических наук, доцент кафедры геоинформационных систем РТУ МИРЭА Алексей Двилянский рассказал, что новый закон предлагает оценивать не бумаги, а реальные механизмы защиты, которые работают на практике.

"Это переход от формального подхода к содержательному, и с точки зрения безопасности это гораздо эффективнее. Формальные признаки легко подделать или обойти, а реальные меры защиты - это то, что можно проверить и оценить", - указывает эксперт.

Он уточнил, что технические меры действительно работают при передаче данных за рубеж. Прежде всего это шифрование данных как при передаче, так и при хранении. Важный элемент - управление доступом: кто, когда и зачем может получить доступ к данным. Также важны логирование и аудит всех операций с данными, чтобы любое подозрительное действие было зафиксировано и могло быть расследовано.

Еще критически важна локализация данных на серверах в России, что полностью снимает риски, связанные с иностранной юрисдикцией. Если данные хранятся и обрабатываются внутри страны, они защищены российским законодательством и не подпадают под юрисдикцию недружественных государств. Это снижает количество точек входа для злоумышленников и уменьшает шансы на несанкционированный доступ.

"Сам по себе закон не остановит утечки, если операторы продолжат игнорировать рекомендации и передавать данные в недостаточно защищенные юрисдикции. Закон создает правильную правовую и регуляторную среду, но реализация требует ресурсов и контроля. Новый подход создает стимулы для бизнеса переходить на отечественную инфраструктуру, что в долгосрочной перспективе снизит риски. Также важно, что сами компании будут вынуждены больше инвестировать во внутреннюю безопасность данных, проводить аудиты и усиливать контроль", - отметил Двилянский.

При этом за последние несколько лет большинство крупных российских компаний уже пересмотрели подходы к трансграничной передаче персональных данных. Происходит постепенный переход на российские платформы, начавшийся с локализации данных, наиболее чувствительных к последовательному переносу связанных с ними процессов и нагрузок.

"За последние годы российские провайдеры заметно расширили не только вычислительные мощности, но и набор платформенных сервисов, средств информационной безопасности и инструментов управления. При этом рост спроса предъявляет дополнительные требования к базовой инфраструктуре. Поэтому дальнейшая готовность рынка будет зависеть и от качества облачных платформ, и от темпов ввода физической инфраструктуры", - заключил основатель и генеральный директор Cloud X Денис Хлебородов.