Комплаенс (от англ. compliance — соответствие) как концепция довольно прочно прижилась в сфере российского бизнеса. Пионерами внедрения комплаенса в 90-х годах стали представители банковской сферы из-за необходимости соответствия требованиям международных партнеров.
Активное развитие концепция получила в 2010-х годах из-за громких международных коррупционных скандалов против крупных корпораций (например, Siemens). Существуют разные виды комплаенса (антикоррупционный, финансовый, экологический, этический и др.) и все они, по сути, направлены на выполнение правил, законов, стандартов и политик, и соответствие им. Однако сегодня в условиях цифровизации комплаенс обретает новое измерение — в первую очередь в сфере информационной безопасности (ИБ). О том, что же переживает комплаенс в ИБ в пределах России сегодня порассуждаем с Владимиром Русиным, заместителем руководителя продуктовой команды САКУРА.
Что говорят цифры?
1. Только 30% компаний соответствуют установленным регулятором требованиям одного из ключевых нормативных актов - Федеральному закону от 27.07.2006 №152-ФЗ «О персональных данных». Опрос проводился в 2025 году среди более чем 120 представителей средних и крупных российских компаний.
2. Согласно исследованию 2026 года уровень зрелости ИБ в российских компаниях составил около 40%. Эксперты оценивают эту цифру как минимально допустимый порог (комплаенс в среднем реализован на 45%). Опрос проводился среди крупных, средних и небольших компаний по уровню выручки и направлений деятельности, таких как ИТ- и ИБ-отрасли, промышленность, строительство, финансовый сектор и проч.
3. В рамках исследования уровня информационной безопасности в российских компаниях за 2025 год больше половины опрошенных отметили, что сталкивались с утечками персональных данных. Причем инциденты в большинстве случаев (66%) происходят по вине сотрудников из-за халатности к правилам кибергигиены, ошибок, социальной инженерии.
Приведенные данные свидетельствуют о том, что в текущих условиях комплаенс зачастую существует лишь номинально: есть набор требований, но их обязательность и реальная глубина внедрения остается на усмотрение компаний. Почему так происходит и, главное, чем это опасно для бизнеса в условиях жесткого регулирования и новых рисков? Попробуем разобраться с прагматичной точки зрения управления компанией.
Что говорят сами компании?
Ниже приведены топ‑3 причины, которые представители частных и государственных компаний называют в качестве барьеров для соблюдения российского ИБ-законодательства и комплаенса.
1. Высокая стоимость аналогов зарубежных ИБ-решений наряду с отсутствием полноценных замен. Компании жалуются, что с 2025 года на объектах КИИ запрещено использовать иностранные СЗИ, но российские решения часто не обладают необходимой зрелостью. Стоимость перехода на отечественное ПО и «железо» оказывается выше планируемых бюджетов в несколько раз.
2. Скорость законодательных изменений и отсутствие достаточных переходных периодов. За последнее время вышло более десятка новых нормативных актов, при этом компании отмечают, что на внедрение дается недостаточный срок, тогда как закупка оборудования по № 44‑ФЗ занимает полгода. При этом предприятия отмечают отсутствие выделенного финансирования.
3. Бумажная нагрузка и формальный подход со стороны контролирующих органов. И частные, и государственные компании отмечают, что требования к объёму документации зачастую избыточны. На малых предприятиях и в регионах попросту нет штата, способного готовить такой объём. При этом в ходе проверок регуляторы ориентируются именно на наличие документов, а не на реальный уровень защищённости, что, по мнению компаний, создаёт ложный стимул заниматься «бумажной» работой в ущерб реальной безопасности.
Таким образом, компании указывают на экономические, организационные и кадровые факторы, а также на дефекты самого регулирования. При этом большинство признаёт, что требования сами по себе объективно необходимы, но текущий механизм их внедрения оторван от реальности бизнеса и не учитывает ресурсные ограничения исполнителей. Поэтому комплаенс-функция часто отсутствует или существует номинально. В приоритете не то, «как поступать правильно», а то, «как не попасться».
Точка зрения государства и регуляторов
В ответ государство и регуляторы выдвигают несколько ключевых контраргументов. Их позиция строится вокруг тезиса о приоритете национальной безопасности, достаточности переходных периодов и объективной измеримости угроз.
1. У бизнеса было достаточно времени на подготовку. Регуляторы подчеркивают, что ключевые изменения не были внезапными. Проекты документов проходили длительное общественное обсуждение, а их вступление в силу откладывалось для адаптации рынка. Государство настаивает, что "эффект внезапности" — это следствие слабого мониторинга регуляторной среды со стороны самого бизнеса, а не скорости принятия законов.
2. Безопасность страны важнее удобства бизнеса. Государство переводит дискуссию из плоскости "административной нагрузки" в плоскость "суверенитета и выживаемости инфраструктуры". Статистика инцидентов используется как главное обоснование для ужесточения контроля.
3. Ужесточается ответственность за игнорирование проблем. Если раньше оплату штрафов за нарушения часто списывали на административные издержки, то сейчас идет переход к уголовной ответственности за факт самого нарушения, а не только за последствия. Государство сигнализирует, что эпоха "формального подхода" заканчивается. Если компания не соблюдает требования по защите, ответственные лица рискуют получить не штраф, а реальный срок.
В поисках баланса
Было бы ошибкой возлагать ответственность за сложившуюся ситуацию исключительно на бизнес или исключительно на государство. С одной стороны компании действительно столкнулись с объективными трудностями, с другой стороны, регуляторы действуют в логике нарастающих киберугроз и государственных интересов, где безопасность инфраструктуры не может ждать. Однако, если каждая из сторон замкнется в своей правоте, комплаенс продолжит оставаться формальностью. Выход из этого тупика лежит в признании того, что соблюдение требований информационной безопасности — это общая зона ответственности. Только такой подход — без перекладывания вины, но с взаимными встречными шагами — способен превратить комплаенс из набора бумажных требований в работающий механизм.
Главные принципы построения реальной системы комплаенса
Если признать, что комплаенс — это зона общей ответственности, то логичным следующим шагом становится вопрос: как именно бизнесу реализовать свою часть этой ответственности на практике. Реальная система соответствия сегодня в первую очередь строится на автоматизированном контроле, встроенном в повседневные процессы. Это снимает нагрузку с профильных специалистов, позволяя им сосредоточиться на стратегических задачах, а бизнесу быть уверенным, что соблюдение норм обеспечено в реальности.
Первый принцип: контроль важнее инструкций. Современный комплаенс требует инструментов, которые в реальном времени видят, где и как работает сотрудник, соответствует ли его рабочее место утвержденным политикам безопасности. Это позволяет не фиксировать нарушение постфактум, а просто его не допускать.
Второй принцип: предупреждение инцидентов. Выше мы уже обсуждали, что большинство утечек происходит из-за человеческой ошибки или халатности и это подтверждают исследования. Система, способная сигнализировать о нарушении в момент его возникновения, а также исключать нарушителя из доверенного контура, переводит комплаенс из разряда формальности в инструмент реальной защиты.
Третий принцип: адаптация к изменяющимся условиям. Удаленная и гибридная занятость стали нормой. Но классические средства контроля, завязанные на периметр офиса, здесь бессильны. Чтобы требования законодательства исполнялись вне зависимости от места работы сотрудника, нужны решения, которые работают на каждом устройстве, в любой сети, без создания дополнительной бюрократической нагрузки.
Четвёртый принцип: гибкость без сложности. Чтобы автоматизация не превратилась в еще одну бюрократическую нагрузку, система должна давать возможность настройки под специфику компании, но без необходимости сложной разработки. Например, механизм скриптов в САКУРА позволяет задавать практически любые проверки поведения рабочих мест, но при этом не требует от специалиста глубоких навыков программирования — скрипты пишутся один раз и тиражируются. Кроме того, у нас есть уже готовый набор наиболее часто используемых скриптов.
Пятый принцип: управляемая масштабируемость. Когда в компании десятки или сотни тысяч рабочих мест с разными задачами и уровнями доступа, администрирование может стать хаотичным. В программном комплексе САКУРА принцип управляемости реализован через профилирование рабочих мест: вместо контроля за каждым устройством по отдельности администратор задаёт типовые профили безопасности, которые автоматически применяются к группам сотрудников. И это уже не путаница, а прозрачность и единообразие.
Заключение
Подводя итог, можно сказать, что комплаенс в сфере информационной безопасности в России сегодня оказался в критической точке. И в этом конфликте позиций легко упустить главное: и бизнес, и регуляторы в конечном счёте заинтересованы в одном — в реальной защищённости данных и инфраструктуры.
Проблема сегодняшнего комплаенса не в том, что законы слишком строги, а бизнес нерадив. Дело в том, что сам механизм соблюдения требований зачастую остаётся оторванным от реальных процессов. Компании тратят ресурсы на подготовку документов, но не на контроль. Регуляторы измеряют наличие бумаг, но не уровень защищённости. Выход из этого тупика — в переходе от документного комплаенса к инструментальному, когда соблюдение норм автоматически встроено в повседневную работу сотрудников, где бы они ни находились.
Комплаенс, построенный на таких принципах, перестаёт быть «галочкой» для регулятора или обременительной формальностью. Он становится работающим механизмом, который защищает репутацию, сохраняет данные и позволяет бизнесу сосредоточиться на развитии. И в этом — не только ответ на вызовы сегодняшнего дня, но и основа для устойчивого роста в будущем.
Подписывайтесь на наши каналы в telegram и MAX
