Комплаенс: соответствие требованиям регуляторов
Что такое комплаенс в информационной безопасности
Комплаенс в ИБ — это обеспечение соответствия организации требованиям регуляторов и стандартов в области информационной безопасности. ФСТЭК, ФСБ, ЦБ, Роскомнадзор — каждый регулятор предъявляет свои требования к мерам защиты информации.
Без автоматизации комплаенс превращается в бесконечные Excel-таблицы: матрица соответствия устаревает сразу после заполнения, изменения в НПА приходится отслеживать вручную, а GAP-анализ — проводить заново при каждом аудите.
Возможности модуля комплаенса
Автоматический контроль соответствия требованиям всех ключевых регуляторов
Матрица соответствия
Единая матрица: требования регулятора → реализованные меры → статус выполнения. Для каждого НПА: ФСТЭК, ФСБ, ЦБ, Роскомнадзор.
Автоматическая оценка
Расчёт уровня соответствия в реальном времени: по каждому стандарту, по каждому разделу. Dashboard с динамикой.
GAP-анализ
Автоматическое выявление пробелов: какие требования не закрыты, какие меры не реализованы. Приоритизация по критичности.
Мониторинг изменений
Отслеживание изменений в законодательстве. Уведомления при обновлении требований, план адаптации мер защиты.
Узнайте, как КиберОснова закрывает требования ФСТЭК, ЦБ и Роскомнадзора в единой матрице комплаенса
Поддерживаемые регуляторы и стандарты
- ФСТЭК России — Приказы №17, 21, 31, 239. Методика оценки угроз 2021
- ФСБ России — Приказ №378 (СКЗИ). Требования к средствам криптозащиты
- ЦБ РФ — ГОСТ 57580.1-2017, Положения 683-П, 719-П, 757-П
- Роскомнадзор — 152-ФЗ «О персональных данных». Уведомления, проверки
- Минцифры — Реестр российского ПО. Требования импортозамещения
Требования регуляторов: конкретика по каждому НПА
Каждый регулятор устанавливает свои меры, сроки и санкции. Незнание требований не освобождает от ответственности — штрафы за несоответствие начисляются независимо от причины нарушения.
| Регулятор / НПА | Число мер | Срок выполнения | Санкции при нарушении |
|---|---|---|---|
| ФСТЭК №239 (КИИ 1 кат.) | 239 мер | 1 год с момента присвоения категории | Ст. 274.1 УК РФ — до 10 лет |
| ФСТЭК №21 (ИСПДн УЗ-1) | 18 базовых мер + компенсирующие | До начала обработки ПДн | 152-ФЗ — оборотный штраф до 500 млн ₽ |
| ФСТЭК №17 (ГИС 1 класса) | 200+ мер (приложение) | До ввода ГИС в эксплуатацию | КоАП 13.12 — до 100 000 ₽ (юрлица, ч.2, 104-ФЗ 2025) |
| ЦБ ГОСТ 57580.1 | 8 направлений, 3 уровня | Ежегодная оценка соответствия | Предписание ЦБ, ограничение деятельности |
| 152-ФЗ (оператор ПДн) | Уведомление РКН, 7 обязанностей | Непрерывно | До 500 млн ₽ за утечку (с 2024) |
Одна мера защиты может перекрывать требования сразу нескольких НПА. Модуль аудита КиберОснова отображает перекрёстное соответствие: выполнили требование по приказу №239 — видите, как оно закрывает пункты 152-ФЗ.
Как строится автоматизированный комплаенс
- Загрузка требований. В базе КиберОснова — актуальные редакции приказов ФСТЭК №17, 21, 239, 152-ФЗ, ISO 27001. Требования обновляются при изменении НПА.
- Привязка к активам. Каждое требование соотносится с конкретными ИС, активами и ответственными — не абстрактно «закрыто», а с доказательствами.
- GAP-анализ. Система показывает, какие из требований не закрыты, какие закрыты частично. Приоритизация по критичности нарушения.
- План устранения. На каждый GAP — автоматически создаётся задача с ответственным, сроком и контролем выполнения.
- Отчёт для регулятора. Выгрузка в структурированном формате: матрица соответствия, доказательства выполнения мер, история изменений.
Связанные разделы
- Аудит ИБ
- Документы ИБ
- Защита ПДн по 152-ФЗ
- Категорирование КИИ
- Что такое СУИБ
- Модуль учёта СКЗИ — требования ФАПСИ №152
- БДУ ФСТЭК — контроль уязвимостей
- Автоматизация выполнения приказов ФСТЭК №17, 21, 239
- Электронный учёт СКЗИ: переход от журналов к автоматизации
- Управление уязвимостями: RACI, SLA, требования ФСТЭК
Автоматизируйте комплаенс ИБ
Матрица соответствия, GAP-анализ, мониторинг изменений НПА — в единой SGRC-платформе.