Журнал "Information Security/ Информационная безопасность" #2, 2026

Ручной подход больше не работает Во многих организациях обеспечение соответствия требованиям до сих пор строится на локальных регламентах, элек- тронных таблицах, почтовых переписках и ручном контроле сроков. Пока систем немного, а регуляторная нагрузка невы- сока, такой подход может оставаться приемлемым, однако он перестает рабо- тать по мере роста бизнеса. Увеличива- ется число требований, усложняется рас- пределение ответственности между под- разделениями, а подготовка к проверкам превращается в срочный сбор документов из десятков разрозненных источников. В результате организация теряет целост- ную картину: какие требования уже испол- нены, где есть отклонения, какие про- цессы требуют пересмотра и кто отвечает за их выполнение. Дополнительную сложность создает комплексная и распределенная законо- дательная база. Российское регулиро- вание в области ИБ охватывает разные направления: от обработки персональ- ных данных, регламентируемой Феде- ральным законом № 152-ФЗ, до обес- печения безопасности критической информационной инфраструктуры в рамках исполнения Федерального зако- на № 187-ФЗ. Для отдельных отраслей действуют специальные требования: например, в финансовом секторе при- меняется ГОСТ Р 57580. На практике это означает, что одна и та же система может одновременно попадать под дей- ствие нескольких регуляторных режи- мов. Соответственно, компании прихо- дится не только учитывать разные груп- пы требований, но и сопоставлять их между собой, интерпретировать и под- тверждать их исполнение. В результате ручной подход стано- вится не просто неудобным и неэффек- тивным, а плохо масштабируемым. Чем больше в компании систем, данных, подрядчиков и внутренних процессов, тем дороже, трудозатратнее и менее управляемым становится комплаенс. Отклонения выявляются не в момент их возникновения, а тогда, когда уже начи- нается проверка, аудит или расследова- ние инцидента. Практический смысл автоматизации Автоматизация регламентов и ком- плаенс-процессов подразумевает не перенос бумажных процедур в элек- тронный вид и внедрение еще одной платформы. Ее задача – превратить нормативные требования в управляемые процессы с владельцами, сроками, конт- рольными точками и цифровыми следа- ми исполнения. По сути, речь идет о переходе к SGRC-подходу (Security Gov- ernance, Risk and Compliance), где тре- бования, риски, меры защиты, конт- рольные процедуры и подтверждающие артефакты рассматриваются как единая управляемая система, а не как набор разрозненных документов и проверок. Пока требование существует только как пункт закона, стандарта или внут- реннего регламента, оно не работает. Для реальной автоматизации каждое требование должно быть связано с кон- кретным действием, ответственным лицом, сроком или периодичностью исполнения, способом контроля и набо- ром подтверждающих артефактов. Толь- ко в этом случае можно говорить не о формальном наличии документов, а о работающей системе соответствия. Это особенно важно потому, что законода- тельство требует не только наличия орга- низационных и технических мер, но и возможности подтвердить их фактиче- скую реализацию. Следовательно, зре- лая система автоматизации должна обес- печивать воспроизводимые механизмы исполнения требований, контроля резуль- татов и накопления доказательной базы. С чего начинать? Одна из распространенных ошибок – начинать автоматизацию с выбора тех- нологической платформы. Часто это приводит не к повышению управляемо- сти и упорядочиванию процессов, а лишь к цифровизации уже существующего хаоса. Если в компании нет понимания, какие информационные системы исполь- зуются, какие категории данных в них обрабатываются, кто отвечает за эти системы и какие меры защиты к ним применимы, никакой инструмент сам по себе не сделает комплаенс управляе- мым. Практическая работа должна начи- наться с инвентаризации и выстраивания процесса. На этом этапе необходимо сформировать реестр активов, описать потоки данных, определить владельцев систем и процессов, зафиксировать мат- рицу ролей и полномочий, учесть под- рядчиков и внешние сервисы. Только после этого появляется возможность корректно определить применимые пра- вовые требования и связать их с орга- низационными и техническими мерами. Следующий этап – определение регу- ляторного ландшафта. Необходимо понять, какие законы, подзаконные акты, нормативные и методические документы относятся к деятельности организации, к каким системам и процессам они при- менимы и какие обязанности возникают 70 • УПРАВЛЕНИЕ Автоматизация регламентов и соответствия требованиям ы сталкиваемся одновременно с усложнением технологиче- ского ландшафта и усилением требований к информационной безопасности: растет число информационных систем, серви- сов и интеграций, увеличивается объем и разнообразие обра- батываемых данных, ужесточается контроль со стороны регуляторов, заказчиков и партнеров. В этих условиях соот- ветствие требованиям безопасности перестает быть задачей исключительно ИТ- и ИБ-подразделений – оно становится сквозной функцией, затрагивающей бизнес-процессы, кадро- вый контур, договорную работу и другие аспекты деятельно- сти компании. М Анастасия Петлякова, руководитель группы комплексной автоматизации ИБ АМТ-ГРУП Фото: АМТ-ГРУП