Экосистема 152-ФЗ + 187-ФЗ: Как построить сквозной ИБ-комплаенс в корпорациях и госсекторе и не сойти с ума

Российский кибербез последних лет напоминает слоеный пирог, где каждый слой — это новые требования, штрафы и регуляторные надстройки. Но если для небольшого коммерческого предприятия весь ИБ-комплаенс ограничивается базовым выполнением требований 152-ФЗ «О персональных данных», то для крупного бизнеса, промышленных гигантов, медицинских сетей и государственных ведомств ситуация выглядит принципиально иначе.

Они оказались в тисках межрегуляторного давления. С одной стороны — Роскомнадзор, который жестко контролирует оборот персональных данных (ПДн) и реагирует на любую потенциальную утечку. С другой стороны — ФСТЭК и ФСБ России, следящие за безопасностью объектов критической информационной инфраструктуры (КИИ) в рамках 187-ФЗ.

Когда эти две регуляторные вселенные сталкиваются на территории одной организации, ИБ-служба попадает в классический управленческий тупик. Требования пересекаются, дублируются, а классический «бумажный» подход к защите информации превращает повседневную работу департамента безопасности в бесконечный день сурка. Ситуация усугубляется, если у структуры есть сотни подведомственных учреждений или удаленных филиалов.

Как перестать плодить тонны разрозненных отчетов, объединить требования двух ключевых законов в единую работающую экосистему и при чем здесь автоматизация сквозных процессов? Давайте разбираться.

Часть 1. Перекресток регуляторов: почему классический подход больше не работает

Главная проблема современного комплаенса в крупных структурах — исторически сложившаяся лоскутность. Традиционно защитой персональных данных могли заниматься одни сотрудники (или даже юридический отдел совместно с ИТ), а категорированием и защитой объектов КИИ — исключительно управление ИБ.

В результате мы получаем две изолированные системы учета, которые обрабатывают, по сути, одну и ту же инфраструктуру.

Точки пересечения 152-ФЗ и 187-ФЗ

Давайте посмотрим на реальную ИТ-архитектуру любого регионального Министерства здравоохранения или крупного промышленного холдинга.

1. Медицинская информационная система (МИС) или система ERP предприятия. С точки зрения 152-ФЗ — это типичная информационная система персональных данных (ИСПДн), обрабатывающая специальные категории данных (сведения о здоровье) или субъектов (тысячи сотрудников и клиентов). С точки зрения 187-ФЗ — это объект КИИ, поскольку сбой в ее работе может привести к остановке оказания медицинской помощи или нарушению управленческих процессов на критическом объекте.

2. Средства защиты информации (СЗИ). Чтобы защитить ПДн третьего или второго уровня защищенности, нужны сертифицированные межсетевые экраны, антивирусы и СКЗИ. Чтобы защитить значимый объект КИИ, нужны... практически те же самые инструменты, но с учетом других классов защищенности и специфических требований по подключению к ГосСОПКА.

Когда ИБ-служба пытается вести этот учет параллельно, возникает неизбежный хаос. Создаются две разные модели угроз. Пишутся два разных пакета организационно-распорядительной документации (ОРД). В одних папках лежат акты категорирования КИИ, в других — акты определения уровней защищенности ПДн.

В результате мы получаем две изолированные системы учета, которые обрабатывают, по сути, одну и ту же инфраструктуру. Это запускает замкнутый круг бюрократии:

• Реальная ИТ-инфраструктура компании (серверы, базы данных, приложения)

  • попадает под Требования 152-ФЗ ➔ ведётся учёт ИСПДн и ПДн ➔ готовится пакет документов для Роскомнадзора.

  • одновременно попадает под Требования 187-ФЗ ➔ проводится категорирование КИИ ➔ готовится пакет документов для ФСТЭК.

  Итог: Две параллельные вселенные документов, хаос при малейшем изменении в ИТ и бесконечная рутина для ИБ-отдела.

Такой подход порождает колоссальную избыточность. Но самое опасное — он полностью отрывает «бумажную» безопасность от технической реальности. Как только в ИТ-контуре меняется хотя бы один сервер, ИБ-специалисту нужно вручную переписать десятки документов в обеих системах учета. Рано или за поздно человеческий фактор дает сбой.

Часть 2. Кошмар распределенных структур: масштаб как множитель рисков

Если в рамках одного офиса или одного завода управлять процессами вручную (пусть и с колоссальными трудозатратами) еще возможно, то в масштабах распределенных корпораций или органов исполнительной власти ручной комплаенс превращается в утопию.

Представьте себе региональное министерство — например, Минцифры, Минздрав или Минобразования. В его прямом подчинении находятся сотни подведомственных учреждений: больницы, поликлиники, школы, колледжи, МФЦ или территориальные управления. Каждое из этих учреждений является самостоятельным оператором персональных данных и, в большинстве случаев, субъектом КИИ.

С какими вызовами сталкивается головная организация?

Полная слепота руководства. Профильный департамент в министерстве или головном офисе холдинга физически не может контролировать, что происходит «на местах». Актуализированы ли приказы в условной районной больнице? Пройден ли аудит? Проведено ли плановое категорирование ИС? Ответы на эти вопросы собираются неделями через ручные запросы по электронной почте.

Кадровый голод на периферии. В удаленном филиале или сельской школе нет и никогда не будет квалифицированного ИБ-директора. В лучшем случае за информационную безопасность там отвечает приходящий ИТ-специалист или учитель информатики, совмещающий полставки. Он не знает тонкостей приказов ФСТЭК № 235 или № 239, не умеет работать с банком данных угроз (БДУ) и воспринимает требования регуляторов как досадную бюрократию.

Иллюзия благополучия. На бумаге (в отчетах, присылаемых раз в год) у всех подведов всё заполнено. Но первая же проверка Роскомнадзора или ФСТЭК выявляет, что документы скопированы из интернета, фамилии ответственных сотрудников не менялись пять лет, а реальные ИСПДн не имеют ничего общего с описанными в актах.

В итоге головная организация несет колоссальные репутационные и юридические риски. Если из-за халатности в одном удаленном филиале утечет база данных или вредоносное ПО парализует ИТ-систему, под удар попадет все ведомство или весь холдинг.

Часть 3. Анатомия человеческого фактора: цена одной забытой лицензии

В ИБ-среде принято много говорить о сложных целевых атаках (APT), фишинге и социальной инженерии. Однако на практике огромный процент инцидентов и регуляторных штрафов происходит по гораздо более прозаической причине — из-за банальной забывчивости и потери контроля над рутинными процессами.

В крупной организации эксплуатируются сотни средств защиты информации: межсетевые экраны, системы обнаружения вторжений, средства защиты от несанкционированного доступа (СЗИ от НСД), антивирусное ПО, криптопровайдеры (КриптоПро и др.), VIPNet-клиенты. У каждого из этих решений есть:

1. Срок действия лицензии на использование.

2. Срок технической поддержки производителя.

3. Срок действия сертификата соответствия (ФСТЭК/ФСБ).

Добавьте к этому учет ключевых документов, токенов, электронных подписей (ЭЦП) и журналы учета СКЗИ, которые по закону нужно вести чуть ли не поштучно.

Сценарий катастрофы из реальной жизни

Рассмотрим типовой кейс. В компании функционирует критически важный сервер, на котором развернута ИСПДн и который одновременно является значимым объектом КИИ. Для выполнения требований регулятора на нем установлена сертифицированная система защиты.

Шаг 1. Пропущенный дедлайн
Замотанный ИБ-специалист пропускает дату продления лицензии или сертификата СЗИ в удалённом филиале.

Шаг 2. Потеря защиты
Средство защиты перестает получать обновления сигнатур или формально теряет статус «сертифицированного».

Шаг 3. Точка входа для атаки
Появляется новая уязвимость. Хакеры мгновенно находят её сканерами и проникают в контур через незакрытую брешь.

Шаг 4. ЧП и утечка
Данные компании зашифрованы вымогателями, а база персональных данных клиентов и сотрудников улетает в сеть.

Шаг 5. Финал
Организация получает тотальную проверку всех регуляторов, огромные оборотные штрафы по 152-ФЗ и риск уголовной ответственности по 187-ФЗ.

Кто виноват? Формально — ИБ-специалист, который забыл. Но в реальности виновата система, которая заставляет человека держать тысячи критических дат в голове или в разрозненных Excel-таблицах, которые никто не обновляет.

Когда комплаенс ведется «на коленке», хаос нарастает лавинообразно. О каком сквозном контроле безопасности можно говорить, если организация тратит недели просто на то, чтобы собрать актуальный реестр используемых СКЗИ по всем своим объектам?

Часть 4. DocShell как экосистема сквозного комплаенса: соединяем бумагу и технологии

Чтобы разорвать этот замкнутый круг, бизнесу и госсектору необходим принципиально иной подход — переход от статичной «бумажной» безопасности к автоматизированной системе управления ИБ-процессами. Именно в этом качестве выступает платформа DocShell.

DocShell — это не просто конструктор документов для Роскомнадзора. Это комплексная цифровая среда (класс систем Security Compliance Automation), которая позволяет объединить требования 152-ФЗ и 187-ФЗ в рамках единого контура управления, автоматизировать рутину и полностью исключить человеческий фактор.

Интеграция процессов: как это работает внутри платформы

Вместо создания параллельных миров DocShell предлагает идти от реальной структуры организации. Вы один раз создаете цифровой профиль компании, и система начинает работать как сквозной аналитический центр.

1. Единый учет инфраструктуры, ИСПДн и КИИ

В платформе ведется сквозной реестр всех информационных систем, ИТ-активов и используемых средств защиты. Одно и то же приложение или сервер размечается тегами: система понимает, какие типы персональных данных здесь обрабатываются (определяя уровень защищенности по 152-ФЗ) и к какой сфере КИИ этот объект относится. Изменение параметров сервера в реестре автоматически влечет за собой пересчет требований во всех связанных модулях.

2. Автоматизированное моделирование угроз по базам ФСТЭК

Больше не нужно вручную сопоставлять данные с сайтом регулятора. DocShell интегрирован с актуальным Банком данных угроз безопасности информации (БДУ) ФСТЭК России. Система позволяет автоматизировать процесс определения актуальных угроз для конкретного объекта КИИ или ИСПДн, подтягивая релевантные уязвимости и предлагая компенсирующие меры защиты в зависимости от специфики 

вашей ИТ-архитектуры.

3. Тотальный контроль парка СЗИ и СКЗИ

Платформа берет на себя всю рутину по учету средств защиты и криптографии.

Автоматически формируются и ведутся журналы учета СКЗИ, требования к которым со стороны ФСБ традиционно очень строгие.

Система осуществляет непрерывный мониторинг жизненного цикла СЗИ: она заблаговременно (за 30, 60 или 90 дней) уведомляет ответственных лиц об истечении сроков действия лицензий, завершении техподдержки или окончании действия сертификатов соответствия ФСТЭК/ФСБ. Риск остаться с «нелегитимным» средством защиты сводится к нулю.

Часть 5. Ценность для холдингов и ведомств: ситуационный центр ИБ-комплаенса

Для крупных территориально распределенных организаций и органов исполнительной власти DocShell предлагает уникальный функционал — построение вертикально-интегрированной системы контроля.

В этой модели DocShell разворачивается как иерархическая структура. Головное ведомство (например, Министерство) получает права суперадминистратора и глобальный дашборд контроля, а каждое подведомственное учреждение или филиал — свой изолированный личный кабинет, адаптированный под его задачи.

• ГОЛОВНАЯ ОРГАНИЗАЦИЯ / МИНИСТЕРСТВО
  Обладает правами суперадминистратора и контролирует общую картину через Глобальный дашборд DocShell в режиме реального времени.

  • Сбор аналитики и сквозной контроль за секунды

  • Спуск единых мастер-шаблонов и политик безопасности

• ПОДВЕДОМСТВЕННЫЕ УЧРЕЖДЕНИЯ И ФИЛИАЛЫ
  Каждый филиал (Больница №1, Школа №2, Территориальное управление N) работает в своём Локальном кабинете ИБ.

  • Пошаговое заполнение данных без ИБ-экспертизы

  • Автоматическая генерация документов по готовым реквизитам

Преимущества вертикального управления в DocShell:

Управление по отклонениям (Dashboard Compliance). Руководитель службы ИБ холдинга или министр видит на экране не папки с бумагами, а живую аналитику в процентах: «Готовность к проверкам 152-ФЗ по ведомству — 92%», «Категорирование КИИ завершено на 87%». Если в каком-то удаленном филиале просрочена лицензия на СЗИ или не вовремя обновлен приказ о назначении ответственного, эта точка на карте мгновенно загорается красным.

Метод «готовых шаблонов» для подведов. Головная организация может разработать единую, юридически выверенную политику безопасности и спустить ее на все подчиненные узлы в виде мастер-шаблонов внутри DocShell. Ответственному сотруднику на месте (тому самому учителю или системному администратору) не нужно ничего придумывать — система сама проведет его по шагам, подставит локальные реквизиты и сгенерирует корректный пакет документов.

Мгновенный аудит и отчетность. Больше никаких сборов отчетов через email. Нужна статистика по готовности к проверкам Роскомнадзора для коллегии министерства? Нажмите одну кнопку — и DocShell сформирует сводную аналитическую записку по всем пятистам подведомственным объектам за пару секунд.

Заключение. От бумажного хаоса к управляемой безопасности

Попытки защититься от современных киберугроз и регуляторных рисков с помощью Excel-таблиц и ручного написания регламентов обречены на провал. В условиях, когда 152-ФЗ и 187-ФЗ требуют от бизнеса и госорганов мгновенной реакции на изменения инфраструктуры, комплаенс должен стать цифровым.

Переход на экосистему сквозного автоматизированного комплаенса позволяет крупным игрокам решить три стратегические задачи:

1. Сэкономить сотни человеко-часов высококвалифицированных ИБ-специалистов, избавив их от бумажной рутины и позволив сфокусироваться на реальной технической защите периметра.

2. Ликвидировать серые зоны в филиальных сетях и подведомственных структурах, получив полную прозрачность и контроль над состоянием ИБ «на местах».

3. Минимизировать риски штрафов, успешных хакерских атак и уголовной ответственности за счет непрерывного контроля жизненного цикла средств защиты информации и своевременной актуализации данных.

Интегрируя процессы управления соответствием в единой платформе, организация превращает комплаенс из постоянного источника стресса и хаоса в прозрачный, автоматизированный и понятный для бизнеса процесс. Безопасность больше не пишется на бумаге — она управляется из единого цифрового центра.