Россия ввела "практический тест" на передачу данных пользователей за рубеж

В России принят закон, усиливающий контроль за передачей персональных данных за рубеж. Теперь безопасность страны будет оцениваться не по наличию международных договоров, а по механизмам защиты информации. Так, критерии оценки надежности защиты информации становятся жестче. При анализе безопасности иностранных государств проверяется не столько юрисдикция, сколько реальная работа их систем защиты на практике.

Россия ввела "практический тест" на передачу данных пользователей за рубеж
© Российская Газета

В пресс-службе "Ассоциации больших данных" объяснили, что если ранее компании одновременно ориентировались на Конвенцию Совета Европы номер 108 и приказ Роскомнадзора с перечнем государств, обеспечивающих адекватную защиту персональных данных с точки зрения России, то сейчас основным ориентиром остается только приказ.

"АБД участвовала в обсуждении законопроекта еще на этапе его рассмотрения в Госдуме. Одним из ключевых вопросов тогда было отсутствие Китая в перечне РКН, что могло создать существенные сложности для электронной коммерции, поскольку Китай является одним из основных торговых партнеров России. Впоследствии необходимые изменения в документ были внесены, - рассказали в пресс-службе организации. - В дальнейшем важно, как и насколько оперативно РКН сможет актуализировать перечень стран с учетом потребностей бизнеса. Практика показывает, что регулятор открыт к диалогу, поэтому рассчитываем, что новый порядок не вызовет проблем с реализацией".

Также в АБД добавили, что наиболее чувствительными к изменениям останутся электронная коммерция и финансовый сектор. При этом новые нормы вряд ли станут стимулом для перехода компаний на российские облачные и IT-решения, поскольку требования по локализации персональных данных уже действуют и исполнены участниками рынка, а изменения касаются именно порядка трансграничной передачи данных.

Член IT-комитета Госдумы Антон Немкин рассказал, что теперь оцениваться будет не только наличие международных обязательств, но и то, насколько государство действительно обеспечивает безопасность персональных данных на своей территории.

"Для нас принципиально важно, чтобы данные граждан России не становились инструментом мошенничества, давления, шантажа или дискриминации. Сегодня персональные данные - это такой же стратегический ресурс, как финансовая информация или критическая инфраструктура. Их защита - это уже не просто вопрос цифрового регулирования, а один из элементов национальной безопасности и цифрового суверенитета страны", - подчеркивает депутат.

По его словам, принятые поправки делают систему гораздо более объективной. Так, Россия переходит от формального доверия к реальной оценке уровня защиты данных, что отвечает современным вызовам и позволяет эффективнее защищать права россиян в цифровой среде.

Важно, что в некоторых странах, даже ратифицировавших конвенцию ранее, фиксируются систематические утечки данных российских граждан, их публикация в открытом доступе и использование для давления и мошенничества. Кандидат технических наук, доцент кафедры геоинформационных систем РТУ МИРЭА Алексей Двилянский рассказал, что новый закон предлагает оценивать не бумаги, а реальные механизмы защиты, которые работают на практике.

"Это переход от формального подхода к содержательному, и с точки зрения безопасности это гораздо эффективнее. Формальные признаки легко подделать или обойти, а реальные меры защиты - это то, что можно проверить и оценить", - указывает эксперт.

Он уточнил, что технические меры действительно работают при передаче данных за рубеж. Прежде всего это шифрование данных как при передаче, так и при хранении. Важный элемент - управление доступом: кто, когда и зачем может получить доступ к данным. Также важны логирование и аудит всех операций с данными, чтобы любое подозрительное действие было зафиксировано и могло быть расследовано.

Еще критически важна локализация данных на серверах в России, что полностью снимает риски, связанные с иностранной юрисдикцией. Если данные хранятся и обрабатываются внутри страны, они защищены российским законодательством и не подпадают под юрисдикцию недружественных государств. Это снижает количество точек входа для злоумышленников и уменьшает шансы на несанкционированный доступ.

"Сам по себе закон не остановит утечки, если операторы продолжат игнорировать рекомендации и передавать данные в недостаточно защищенные юрисдикции. Закон создает правильную правовую и регуляторную среду, но реализация требует ресурсов и контроля. Новый подход создает стимулы для бизнеса переходить на отечественную инфраструктуру, что в долгосрочной перспективе снизит риски. Также важно, что сами компании будут вынуждены больше инвестировать во внутреннюю безопасность данных, проводить аудиты и усиливать контроль", - отметил Двилянский.

При этом за последние несколько лет большинство крупных российских компаний уже пересмотрели подходы к трансграничной передаче персональных данных. Происходит постепенный переход на российские платформы, начавшийся с локализации данных, наиболее чувствительных к последовательному переносу связанных с ними процессов и нагрузок.

"За последние годы российские провайдеры заметно расширили не только вычислительные мощности, но и набор платформенных сервисов, средств информационной безопасности и инструментов управления. При этом рост спроса предъявляет дополнительные требования к базовой инфраструктуре. Поэтому дальнейшая готовность рынка будет зависеть и от качества облачных платформ, и от темпов ввода физической инфраструктуры", - заключил основатель и генеральный директор Cloud X Денис Хлебородов.