Журнал "Information Security/ Информационная безопасность" #2, 2026

В процессе проверки выясняется неприятная вещь: часть организацион- но-распорядительных документов уже устарела. Регламенты, утвержденные всего пару лет назад, не учитывают изменения законодательства, вступив- шие в силу с 1 сентября 2025 г. и серь- езно изменившие подходы к категори- рованию объектов КИИ. Параллельно начал действовать приказ ФСТЭК Рос- сии № 117, который потребовал пере- смотреть подходы к защите информации в государственных и муниципальных информационных системах. В итоге службе ИБ приходится в сроч- ном порядке пересматривать документы, сверять требования, собирать подтвер- ждения соответствия и готовить отчет- ность. Причем многое до сих пор дела- ется вручную: специалисты проверяют десятки документов и неделями соби- рают материалы для подтверждения соответствия 152-ФЗ. При этом руководство требует сокра- тить трудозатраты на комплаенс, сохра- нив юридическую чистоту и готовность к проверкам регуляторов. В такой ситуа- ции даже отсутствие одного сотрудника может затормозить весь процесс. Поэтому автоматизация регламентов и соответствия требованиям постепенно становится не просто удобным инстру- ментом, а необходимым условием нор- мальной работы. Автоматизация регламентов и соот- ветствия требованиям – это перевод рутинных процессов (от актуализации документов до сбора подтверждений соответствия) в частично или полностью автоматический режим. Речь не просто о замене ручного труда программой, а о выстраивании управляемого процесса, где специалисты ИБ контролируют результат, а система берет на себя повторяющиеся и трудоемкие операции. Сегодня для этого обычно используют два подхода: l специализированные SGRC-плат- формы; l большие языковые модели (LLM) и RAG-системы (Retrieval-Augmented Gen- eration), работающие с внутренней базой документов и нормативных требований. SGRC Специализированные платформы клас- са SGRC (Security Governance, Risk and Compliance), по задумке производителя, должны обеспечивать комплексную авто- матизацию процессов комплаенса. Эти системы предлагают непрерывный ком- плаенс-мониторинг, мощные рабочие про- странства, снабженные информацион- ными панелями (дашбордами) 1 , и гене- рацию готовых отчетов по шаблонам, в том числе на базе запросов регуляторов. Системы класса SGRC действительно позволяют выстроить многоуровневую систему контроля и существенно упро- стить работу с организационно-распо- рядительными документами. Однако внедрение таких платформ требует значительных инвестиций – от несколь- ких миллионов рублей только на лицен- зии программного обеспечения, плюс расходы на интеграцию, обучение пер- сонала и последующую поддержку. Круп- ные холдинги и субъекты критической информационной инфраструктуры, как правило, могут себе позволить внедре- ние SGRC-системы, однако для среднего сегмента это экономически нецелесо- образно. Кроме того, на своей практике автор сталкивался с тем, что даже в крупных организациях высокая стоимость вла- дения, сложность интеграции с суще- ствующими ИТ-активами и длительные сроки запуска (от 12 до 24 месяцев) далеко не всегда компенсировались реальной отдачей. Поэтому подробно останавливаться на системах класса SGRC не будем. Гораздо интереснее решения, которые уже сегодня доступны малому и средне- му бизнесу, быстро внедряются и позво- ляют автоматизировать процессы без многомиллионных затрат. LLM и RAG Именно здесь на первый план выходят решения на базе больших языковых моделей и технологии RAG, которые поз- воляют заметно сократить трудозатраты без серьезных капитальных вложений. Чтобы получить максимальную отдачу, в первую очередь можно и нужно авто- матизировать следующие процессы ИБ: l генерация и актуализация текстов организационно-распорядительных доку- ментов на основе актуальных требова- ний законодательства и/или регулято- ров – от доработки отдельных моментов до полной переработки; l сопоставление внутренних докумен- тов с изменениями законодательства, включая выявление конкретных расхож- дений; l анализ соответствия существующих организационно-распорядительных доку- ментов новым нормам, с автоматическим выделением рисковых зон и предложе- нием формулировок для устранения (своего рода документарный аудит); l формирование отчетов и доказатель- ной базы для внутренних комитетов (рабочих групп) по ИБ, внешних аудито- ров и регуляторов – включая сборку цепочки хранения доказательств (сви- детельств аудита). На практике создать совершенный про- цесс сразу невозможно. Поэтому внедре- ние автоматизации на базе LLM и RAG, можно осуществлять следующим обра- зом, позволяющим постепенно повышать эффективность без резких скачков: 1. Начальный уровень (подходит для бизнеса с 1–2 ИБ-специалистами или чтобы разобраться с подходом). Разовые запросы к модели через веб-интерфейс или простой чат-бот (который также достаточно легко можно создать во внешнем сервисе). Специалист форму- лирует промпт (запрос к LLM) без указа- ния специфики деятельности организа- ции и/или критической для нее инфор- мации, получает черновик организа- 72 • УПРАВЛЕНИЕ Автоматизация комплаенса с помощью LLM и RAG редставьте ситуацию, знакомую почти любому руководителю ИБ в организации среднего размера. В подразделении – три- четыре специалиста, на всю компанию – около 300–350 сотрудников. И вот приходит очередной запрос от регулятора или результаты внешнего аудита. П Константин Саматов, эксперт BISA, член ICSA, судебный эксперт Фото: Антон Косицын 1 https://cs.groteck.ru/IB_6_2025/28/