Комплаенс-аудит информационной безопасности: соответствие требованиям регуляторов

Это принципиально разные вещи, хотя они и связаны. Проведем аналогию с автомобилем:

• Технический аудит — это проверка технического состояния: работают ли тормоза, не течет ли масло, не стучат ли подвеска. Это про безопасность движения.

• Комплаенс-аудит — это проверка документов: есть ли у вас права, пройден ли техосмотр, застрахована ли ответственность, не просрочена ли регистрация. Это про законность нахождения на дороге.

Можно иметь идеально исправный автомобиль, но ездить без прав — и получить штраф (или даже конфискацию). А можно иметь все документы в порядке, но ездить на машине с отказавшими тормозами — и разбиться.

Вывод: безопасность (технический аудит) и законность (комплаенс-аудит) — две стороны одной медали. Они не заменяют, а дополняют друг друга.

Это распространенное, но опасное заблуждение. Вот почему комплаенс нужен даже при отсутствии проверок:

1. Проверка может прийти в любой момент. У Роскомнадзора, прокуратуры и других органов есть планы проверок. Ваша компания может попасть в них случайно или по жалобе клиента/конкурента. Готовиться нужно заранее.

2. Штрафы растут. За последние годы штрафы за нарушение 152-ФЗ выросли в десятки раз. Максимальный штраф для юрлиц — до 18 млн рублей. Для некоторых нарушений введена уголовная ответственность.

3. Утечки случаются неожиданно. Если произойдет утечка данных (а это может случиться с любой компанией), регулятор начнет расследование. Отсутствие документов и процедур будет отягчающим обстоятельством.

4. Бизнес-партнеры требуют. Крупные заказчики, банки, инвесторы все чаще запрашивают подтверждение compliance-статуса перед заключением договоров.

5. Стоимость профилактики ниже. Устранить нарушения до проверки в разы дешевле, чем платить штрафы и судиться после.

Аналогия: страховка нужна не потому, что вы планируете аварию, а потому что она может случиться. Комплаенс — это ваша страховка от регуляторных рисков.

Штрафы вполне реальны. Вот только некоторые цифры по 152-ФЗ:

С 2023 года действуют оборотные штрафы за утечки:

• До 3% годовой выручки (но не менее 1 млн ₽ и не более 15 млн ₽) — за первую утечку
• До 3% годовой выручки (но не менее 2 млн ₽ и не более 20 млн ₽) — за повторную

Другие регуляторы:

• ФСТЭК может приостановить действие лицензий
• ЦБ РФ — ограничить операции, отозвать лицензию у банка
• Прокуратура — административное приостановление деятельности до 90 суток

Это не абстрактные угрозы — мы видим такие штрафы в судебной практике регулярно.

И да, и нет. Требования масштабируются:

Что применимо к любой компании, работающей с ПДн:

• Наличие политики обработки персональных данных (опубликованной на сайте)
• Получение согласий на обработку ПДн (правильной формы)
• Назначение ответственного за обработку ПДн
• Принятие мер по защите ПДн (организационных и технических)
• Уведомление РКН о начале обработки ПДн

Что зависит от объема и типа данных:

• Уровень защищенности ИСПДн (УЗ-1, УЗ-2, УЗ-3, УЗ-4) — определяется по Постановлению №1119
• Необходимость аттестации или лицензирования
• Требования к криптографии (для определенных категорий данных)

Хорошая новость: для небольших компаний требования адекватны масштабу. Мы поможем определить именно ваш уровень и не требовать лишнего. Главное — не игнорировать требования совсем, а выполнить их в той мере, которая соответствует вашему бизнесу.

Частое заблуждение. Давайте проверим, есть ли у вас ПДн:

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (гражданину).

Проверьте себя:

• У вас есть база контактов сотрудников контрагентов? (ФИО, телефоны, email — это ПДн)
• Вы общаетесь с ИП? (Индивидуальный предприниматель — это физическое лицо)
• В вашей CRM хранятся контакты физлиц? (даже потенциальных клиентов)
• У вас есть сотрудники? (их данные — тоже ПДн)
• Вы используете файлы cookie на сайте? (мнение регулятора — это тоже работа с ПДн)

Скорее всего, ПДн есть у 99% компаний. Другое дело, что масштаб обработки может быть небольшим. Но полностью избежать 152-ФЗ удается единицам (например, компаниям, работающим исключительно с юрлицами по договорам, не содержащим данных физлиц, и не имеющим сотрудников).

Сроки зависят от размера компании и сложности нормативной базы:

В эти сроки входит:

1. Сбор и анализ документов
2. Интервью с ключевыми сотрудниками
3. GAP-анализ
4. Подготовка отчета и карты соответствия
5. Разработка проектов недостающих документов
6. Презентация результатов руководству

При необходимости можем провести экспресс-аудит (быстрая оценка за 5-7 дней), но он даст только поверхностную картину.

Комплаенс-аудит требует взаимодействия с разными подразделениями:

Мы не просто “приходим к айтишникам”, а проводим комплексное интервьюирование всех причастных. Это единственный способ увидеть полную картину.

Итоговый отчет по комплаенс-аудиту содержит:

1. Заключение о соответствии — общая оценка по каждому регулятору (зеленый/желтый/красный)

2. Карта соответствия (GAP-анализ) — таблица с детализацией:

   • Требование регулятора (со ссылкой на нормативный акт)
   • Что должно быть (идеальное состояние)
   • Что есть сейчас (реальное состояние)
   • Расхождение
   • Критичность (высокая/средняя/низкая)
   • Рекомендация по устранению

3. Реестр рисков — какие последствия могут наступить, если не исправить

4. Пакет проектов недостающих документов — мы не просто говорим “у вас нет политики”, а даем готовый проект:

   • Политики (обработки ПДн, информационной безопасности)
   • Положения (о защите ПДн, о коммерческой тайне)
   • Приказы (о назначении ответственных)
   • Формы согласий
   • Инструкции для сотрудников

5. Дорожная карта — пошаговый план приведения в соответствие с указанием:

   • Что сделать
   • Кто должен сделать (юрист, IT, HR, руководитель)
   • Срок
   • Приоритет

Да, этого достаточно, чтобы ваши специалисты (юрист, HR, IT) самостоятельно устранили нарушения. Если нужна помощь — мы можем взять внедрение на себя.

Мы работаем как с российскими, так и с ключевыми международными требованиями:

Российские регуляторы:

• Роскомнадзор (152-ФЗ, приказы)
• ФСТЭК (приказы №17, №21, №31, №239, 187-ФЗ)
• ФСБ (требования к криптографии)
• ЦБ РФ (положения 683-П, 757-П, стандарты СТО БР ИББС)
• Минцифры (приказы)

Международные стандарты:

• GDPR (для компаний с данными граждан ЕС)
• PCI DSS (для работающих с платежными картами)
• ISO 27001 (международный стандарт управления ИБ)
• SOC 2 (для SaaS-провайдеров)
• HIPAA (для медицинских данных, если работаете с США)

Если у вас специфические отраслевые требования — уточните, скорее всего, у нас есть экспертиза.

КИИ (критическая информационная инфраструктура) — это объекты, воздействие на которые может привести к катастрофическим последствиям для страны, региона или отрасли.

Попадают под 187-ФЗ, если ваша компания работает в сферах:

• Здравоохранение
• Наука, транспорт, связь
• Энергетика, атомная энергия
• Банковская деятельность
• Топливно-энергетический комплекс
• Оборонная промышленность
• Металлургическая, химическая промышленность
• И другие (полный список в ст. 7 187-ФЗ)

Категорирование — это процедура определения значимости объектов КИИ (1, 2 или 3 категория). Если вы попали под 187-ФЗ, категорирование обязательно.

В рамках комплаенс-аудита мы:

• Определяем, попадаете ли вы под действие 187-ФЗ
• Помогаем выделить объекты КИИ
• Проводим категорирование по методике ФСТЭК
• Готовим документы для направления во ФСТЭК

Штрафы за неисполнение требований к КИИ — до 1 млн рублей, а приостановка деятельности — до 90 суток.

Рекомендуемая периодичность:

Почему нельзя сделать один раз и забыть:

• Законы меняются (152-ФЗ правили уже 20+ раз)
• Бизнес меняется (новые процессы, новые данные)
• Регуляторы меняют требования (новые приказы, разъяснения)
• Штрафы растут (нужно быть в курсе)

Комплаенс — это не проект, а процесс.

Стоимость зависит от объема работ и сложности нормативной базы:

Факторы, влияющие на цену:

• Количество регуляторов (только 152-ФЗ или ФСТЭК+ЦБ+PCI DSS)
• Размер компании (количество сотрудников, процессов)
• Сложность организационной структуры (холдинг, филиалы)
• Текущее состояние (с нуля или актуализация)

Примерные ориентиры:

• Аудит по 152-ФЗ (базовый, до 100 сотрудников): от 250 000 ₽
• Аудит по 152-ФЗ (сложный, 100-500 сотрудников): от 400 000 ₽
• Аудит по требованиям ФСТЭК (КИИ, ГИС): от 500 000 ₽
• Аудит по требованиям ЦБ РФ: от 600 000 ₽
• Комплексный аудит (все регуляторы): от 800 000 ₽
• Разработка пакета документов под ключ: от 400 000 ₽

Точную стоимость называем после первичной консультации и понимания объема работ. Мы всегда предлагаем оптимальный, а не “максимальный” вариант.

Можно заказать только аудиторскую часть без разработки документов. В этом случае вы получите:

• Карту соответствия (GAP-анализ) — что не так и что нужно сделать
• Реестр рисков — чем грозит неисполнение
• Дорожную карту — план действий

Но без разработки документов вы получите только диагноз, но не лекарство. Дальше ваши специалисты должны будут:

• Сами писать все недостающие документы (политики, положения, приказы)
• Разбираться в формулировках, которые требуют регуляторы
• Рисковать, что документы будут составлены неверно

Мы рекомендуем комплексный подход: аудит + разработка документов. Это дешевле, чем заказывать отдельно, и гарантирует, что документы будут правильными.

Хороший юрист — это база. Но у внешнего аудита есть преимущества:

1. Узкая специализация. Ваш юрист занимается всеми вопросами (договоры, суды, кадры). Мы занимаемся только ИБ-комплаенсом и знаем все нюансы 152-ФЗ, приказов ФСТЭК, требований ЦБ.

2. Опыт разных компаний. Мы видим, как решают проблемы в разных отраслях, и приносим лучшие практики. Ваш юрист видит только вашу компанию.

3. Независимость. Внешний аудитор может указать на проблемы, которые внутренний юрист может не замечать или бояться озвучить руководству.

4. Техническая часть. Чисто юридическое образование часто не позволяет оценить технические меры защиты. Мы понимаем и юридическую, и техническую стороны.

5. Экономия времени. Ваш юрист может быть загружен текучкой. Мы берем на себя весь объем работ по комплаенс-аудиту, предоставляя готовые решения.

Лучший сценарий: ваш юрист работает с нами в связке — мы делаем аудит и проекты документов, он их адаптирует под специфику компании и утверждает.

Мы не можем гарантировать, что вас не оштрафуют — это зависело бы от нас, а не от регулятора. Но мы гарантируем:

1. Полноту анализа — мы проверим все применимые требования и не пропустим значимых нарушений

2. Качество рекомендаций — наши рекомендации основаны на реальной практике регуляторов и проверены в десятках проектов

3. Актуальность — мы отслеживаем изменения в законодательстве и учитываем их в работе

4. Честность — мы не скроем найденные нарушения и не преуменьшим их серьезность

Что мы советуем клиентам:

• Выполните все рекомендации из дорожной карты (особенно с высоким приоритетом)
• Документируйте процесс исправления (приказы, акты, отчеты)
• При проверке предъявляйте не только документы, но и доказательства их исполнения

При таком подходе риск серьезных штрафов минимален. Даже если регулятор найдет какие-то недочеты, наличие системы комплаенса и добросовестных усилий по ее поддержанию будет смягчающим обстоятельством.