Статья Compliance-менеджер ИБ: карьера для нетехнарей

Это GRC. Это комплаенс.

Сейчас, когда на календаре 2026 год, нас с вами накрыло просто цунами из регуляторов. Мало нам было 152-ФЗ и персональных данных, так теперь еще цифровой рубль подтянулся, требования к КИИ (критическая информационная инфраструктура) ужесточились, штрафы выросли до таких сумм, что у любого гендира глаза на лоб полезут. Бизнес в панике ищет людей, которые переведут для них требования закона с бюрократического на человеческий, составят бумажки так, чтоб проверка ФСТЭК не закончилась статьей, и при этом не остановят работу производства.

Спрос на комплаенс-специалистов в РФ только за последний год вырос на 40%, по скромным подсчетам. А хороших специалистов - кот наплакал. Потому что технари, как правило, терпеть не могут писать политики и объяснять юристам, что такое межсетевой экран. А юристы боятся лезть в техногенную среду.

Глава 1. Роль Compliance в экосистеме ИБ: Почему без «писаря» бизнес сдохнет, и это не шутка​

Давайте сразу: информационная безопасность - это не только про взлом и защиту периметра. Это не про то, как круто ты закрыл shell-доступ или настроил SIEM так, что он ловит даже чих администратора. Это, мать его, про управление рисками. А риски - штука сложная. Если вы думаете, что безопасность заканчивается на настройке файрвола и отражении DDoS-атак, вы глубоко заблуждаетесь. Вы просто не сталкивались с проверкой Роскомнадзора, когда инспектор с каменным лицом просит предоставить «Политику обработки персональных данных», а у вас её нет, потому что «мы ж всё по-честному храним, зачем бумажки плодить».

Вот представьте ситуацию. Есть компания - динамично развивающийся финтех-стартап. Крутые сисадмины настроили всё по уму: фаерволы на границе, IDS/IPS, сегментация сети, двухфакторка, логи централизованно собираются. Админы Linux пишут свои модули ядра для производительности, сетевые инженеры проложили оптику так, что она даже в ядерную зиму не порвется. Все счастливы. Деньги капают, пользователи довольны.

Но тут приходит проверка. Не хакеры (тьфу-тьфу), а те, кто страшнее любого хакера - государственные регуляторы (Роскомнадзор, ФСТЭК, ФСБ). Они приходят не со сканерами уязвимостей, а с вопросами. И что спрашивает регулятор?

• Покажите нам, ребята, вашу Политику обработки персональных данных.
• А где приказ о назначении ответственного за организацию обработки ПДн?
• А кто у вас проходит инструктаж по работе с конфиденциальной информацией?
• Покажите акт классификации информационной системы, где у вас лежат данные клиентов.
• А где у вас документ, подтверждающий, что вы провели анализ рисков и приняли остаточные риски?
• А почему у вас в договорах с контрагентами нет условий о конфиденциальности?

И вот тут оказывается, что вся крутая техническая защита ровным счётом ничего не значит, если это не зафиксировано на бумаге и не соответствует букве закона. Потому что штраф выпишут не за то, что у вас теоретически дырявый сервер, а за то, что у вас нет документа, подтверждающего, что вы этот сервер проверяли. Или за то, что вы не уведомили Роскомнадзор о начале обработки персданных, хотя обязаны были. Или за то, что в Политике конфиденциальности на сайте не прописаны все цели сбора данных, как того требует 152-ФЗ.

И вот тут на сцену, под софиты, выходим мы - комплаенс-инженеры человеческих душ. Люди, которые превращают хаос в порядок, а технический жаргон - в понятные бизнесу риски.

1.1. Чем занимается compliance-менеджер: Ты просто переводчик с языка кода на язык денег и обратно​

Если отбросить всю шелуху и высокопарные фразы из должностных инструкций, то compliance-менеджер в ИБ - это переводчик и дипломат в одном флаконе. А ещё немного психолог, немного юрист, немного аудитор и капельку технарь, чтобы не выглядеть полным профаном в глазах сисадминов.

С одной стороны, у нас есть Технарь. Он говорит:

- Слышь, мы тут обновили ядро, пропатчили уязвимость CVE-2026-12345, закрыли 22-й порт для внешнего мира, внедрили IDS на 10 гигабит, и SIEM теперь у нас жрёт логи со скоростью света. Всё чики-пуки, можно расслабиться.

С другой стороны, у нас есть Бизнес. Он говорит:

- Мне плевать на ваши патчи и порты, я хочу, чтобы клиенты не утекли к конкурентам, чтобы налоговая не задушила штрафами, и чтобы акционеры спали спокойно. Сколько это стоит и почему так долго? Мы теряем деньги, пока вы там ковыряетесь в настройках.

Есть ещё Юрист. Он добавляет:

- В статье 13.11 КоАП теперь новый штраф - до 500 тысяч за повторное нарушение. И формулировка «трансграничная передача» изменилась - теперь даже передача данных в Белоруссию считается трансграничной. Срочно переписывайте все согласия на обработку и договоры с контрагентами!

Технарь и Юрист говорят на разных языках. Технарь не понимает, почему нельзя хранить базу где удобно (например, на дешёвом облаке в Казахстане), ведь это же быстро и дёшево. Юрист не понимает, почему нельзя просто «нажать кнопку "защитить всё"» и забыть. Бизнес вообще не понимает, почему они оба не могут просто работать и не мешать зарабатывать деньги.

И вот тут приходишь ты. Ты садишься и начинаешь переводить:

Технарям:
- Слушайте, пацаны, я понимаю, что вам удобно держать базу в облаке DigitalOcean во Франкфурте - там и скорость, и цена хорошая. Но по нашему законодательству персональные данные россиян должны храниться на территории РФ. Если мы этого не сделаем, Роскомнадзор имеет право заблокировать наш сайт и выписать штраф гендиру. Давайте искать компромисс: либо поднимаем серверы в России, либо разделяем базы так, чтобы данные россиян хранились здесь. Да, это дольше и дороже, но это дешевле, чем потерять бизнес.

Юристам:
- Уважаемые, я понимаю, что вы хотите идеального соответствия закону, но технически невозможно мгновенно разделить базу данных и переехать на российские серверы без остановки сервиса на три дня. Клиенты этого не простят. Давайте составим дорожную карту перехода на полгода, а пока подпишем у гендира приказ о признании рисков и плане их снижения. Так мы формально зафиксируем, что мы знаем о проблеме и работаем над ней, а не игнорируем.

Бизнесу:
- Господа, у нас есть риск получить штраф до 500 тысяч и блокировку сайта за несоответствие законодательству. Чтобы этого избежать, нам нужно вложить 2 миллиона в аренду серверов в РФ и перенос данных. Если мы этого не сделаем, вероятность наступления риска - 70%, а стоимость потерь оценивается минимум в 10 миллионов (штрафы + потеря клиентов + репутация). Значит, ожидаемый убыток - 7 миллионов. Вложения в 2 миллиона выглядят вполне оправданно, не так ли?

Вот это и есть рутина комплаенс-менеджера. Ты - мост между мирами. Ты делаешь так, чтобы бизнес не нарушал закон, но при этом продолжал работать и зарабатывать деньги. Потому что если безопасность мешает бизнесу - хорошую безопасность выгонят взашей и наймут того, кто будет «удобным», закрывающим глаза на нарушения. Твоя задача - быть удобным, но в рамках закона. Находить решения, которые и бизнес не тормозят, и регулятора удовлетворяют.

Что конкретно входит в зону ответственности?​

1. Нормотворчество. Ты пишешь локальные нормативные акты компании: политики, положения, регламенты, инструкции. Не просто копируешь из интернета, а адаптируешь под специфику бизнеса. Например, если компания занимается онлайн-торговлей, у тебя будет Политика обработки персональных данных клиентов, Политика использования cookie, Инструкция по работе с базой клиентов для операторов. Если компания промышленная, добавляются документы по КИИ.
2. Аудит и контроль. Ты регулярно проверяешь, как соблюдаются эти политики. Не просто для галочки, а с выводами и отчётами. Можешь инициировать внутренние проверки подразделений, запрашивать логи, доступы, смотреть, как реально работают люди. Всё это документируешь, чтобы потом предъявить регулятору: «Мы контролируем, мы всё видим».
3. Риск-менеджмент. Ты выявляешь риски, связанные с обработкой информации, оцениваешь их критичность, предлагаешь меры по снижению. Это не просто абстрактные «риски утечки», а конкретные сценарии: утечка базы клиентов через недовольного сотрудника, сбой в работе системы из-за отсутствия резервного копирования, штраф за неверное оформление согласий. Ты считаешь вероятность и размер ущерба в деньгах.
4. Обучение и повышение осведомлённости. Ты проводишь тренинги для сотрудников, пишешь памятки, рассылаешь предупреждения о фишинге. Потому что самый слабый элемент любой системы - человек. И твоя задача - сделать так, чтобы люди не подставляли компанию по глупости.
5. Взаимодействие с регуляторами и внешними аудиторами. Ты готовишь пакеты документов по запросам, сопровождаешь проверки, отвечаешь на требования, ведёшь переписку. Здесь нужны стальные нервы и идеальное знание своих документов.
6. Интеграция безопасности в бизнес-процессы. Ты участвуешь в запуске новых продуктов или услуг с самой ранней стадии. Например, разрабатывается новое мобильное приложение. Ты должен посмотреть: а как там будут обрабатываться персданные? какое согласие будем показывать пользователю? куда поедут логи? надо ли уведомлять РКН? Это называется Privacy by Design - проектирование с учётом требований приватности.

Каждая из этих задач - это не просто «сделал и забыл». Это постоянный цикл: оценил, внедрил, проверил, улучшил. PDCA по-научному.

А что по инструментам?​

• Офисный пакет - Excel для реестров и таблиц рисков, Word для документов, PowerPoint для презентаций руководству.
• Confluence / Notion / корпоративная вики - чтобы хранить документацию в порядке и доступе для всех, кому надо.
• Специализированные GRC-платформы - например, SimpleOne GRC, или западные RSA Archer, MetricStream. Они помогают автоматизировать сбор данных, вести реестры рисков, контролировать выполнение планов. Но на старте, скорее всего, ты будешь работать в Excel.
• Средства для сбора подписей и согласований - КЭДО, СЭД типа Directum или 1С:Документооборот.
• Средства коммуникации - почта, Slack, Telegram, где ты будешь дёргать людей и собирать информацию.

1.2. Взаимодействие с IT, юристами, бизнесом: Кого придётся уговаривать и строить​

Работа комплаенса - это вечные переговоры и пояснения. Ты будешь общаться со всеми. Буквально. И с каждым - свой язык, свои подходы. Давай пройдёмся по основным группам, с которыми ты столкнёшься.

С ИТ-департаментом (сисадмины, разработка, DevOps)​

Это твои лучшие друзья и главные оппоненты одновременно. Они тебя будут ненавидеть, когда ты придешь с требованием: «Ребята, нам нужно провести инвентаризацию всех серверов и установить, где лежат персональные данные». Потому что инвентаризация - это рутина, которую они откладывают последние три года. У них серверов - сотни, виртуалок - тысячи, и каждый админ свято уверен, что у него всё под контролем, но документации нет, потому что «зачем, я же помню».

Конфликт интересов:

• ИТ хочет гибкости, скорости разработки, минимального бюрократического тормоза.
• Ты хочешь порядка, документов, соблюдения политик.

Как с ними договариваться:
Твоя задача - объяснить, что ты не хочешь их загрузить, а хочешь прикрыть их тылы. Если что-то случится (например, произойдёт утечка), спросят не с абстрактной компании, а с конкретного админа или руководителя ИТ-направления. Хорошая документация - это их алиби.

- Слушай, Петрович, я понимаю, что вести реестр серверов - это геморрой. Но представь: приходит проверка ФСТЭК и спрашивает: «Где у вас находится сервер с бухгалтерской базой?». Ты скажешь: «Я не знаю, может, в 42-й стойке, может, в облаке, я не помню». И тебя же и оштрафуют как должностное лицо. Давай вместе составим простую табличку в Excel, я тебе помогу. Это займёт день, зато потом спишь спокойно.

Покажи, что ты понимаешь их боль, не лезешь в технические детали, а предлагаешь помощь именно в том, что они ненавидят - в документировании. Предложи готовые шаблоны, чек-листы. Стань для них не надзирателем, а помощником.

Пример успешного взаимодействия:
ИТ-отдел планирует закупить новое облачное решение для разработчиков. Они приходят к тебе за согласованием. Ты не просто ставишь штамп, а задаёшь вопросы:

• Где физически находятся сервера провайдера?
• Есть ли у провайдера аттестация по требованиям безопасности?
• Будет ли у нас доступ к логам?
• Как обеспечивается разделение данных между клиентами?

Если провайдер «левый», ты можешь подсветить риски: «Ребята, если данные клиентов утекут из-за этого облака, отвечать нам. Может, выберем другого, с российскими серверами и лицензией ФСТЭК?». ИТ может и не знать про такие нюансы. Ты становишься полезным.

С Юридическим отделом​

Если ты пришёл из юриспруденции, это твоя родная стихия. Но тут есть подвох. Юристы часто мыслят категориями «разрешено/запрещено» и «исключительно по инструкции». Они хотят идеального соблюдения всех норм, без исключений. А в ИБ есть понятие «риск-ориентированный подход». То есть мы понимаем, что нарушаем (или не полностью соответствуем), но риск настолько мал, а затраты на его устранение настолько велики, что мы сознательно идём на это нарушение, фиксируя его как принятый риск.

Конфликт интересов:

• Юрист говорит: «Это не по закону! Надо срочно исправить, иначе штраф!»
• Ты говоришь: «Исправить можно, но это стоит 10 миллионов и остановит работу отдела продаж на месяц. Может, лучше подпишем у гендира, что мы этот риск осознаём и временно оставляем как есть?»

Как договариваться:
Нужно объяснить юристам, что жизнь сложнее, чем Гражданский кодекс. Иногда подписать риск проще, чем останавливать завод. Но для этого ты должен уметь аргументировать, почему риск приемлем. Например:

- Смотри, статья 13.11 предусматривает штраф до 100 тысяч за отсутствие согласия на обработку ПДн. Мы сейчас не берём согласия в явном виде при регистрации, а используем «конклюдентные действия» (флажок «Я согласен»). Это риск. Но если мы внедрим отдельное окно с согласием, нам нужно переписывать весь интерфейс, это месяц работы программистов и потеря конверсии на регистрации примерно 10%. Мы оценили, что за месяц мы потеряем около 2 миллионов прибыли. Вероятность проверки РКН в этом году - 5%. Ожидаемый ущерб от риска: 100 тыс * 5% = 5 тыс рублей. Потери от внедрения - 2 млн. Не выгодно. Давайте подпишем риск и будем мониторить ситуацию.

Юристы ценят логику и цифры. Если ты приносишь расчёты, они с большей вероятностью согласятся.

С Бизнесом (финансисты, коммерческий отдел, закупки, руководство)​

Это алтарь, перед которым ты будешь отчитываться. Бизнес говорит на языке денег и репутации. Когда ты приходишь и говоришь: «Нам нужно купить DLP-систему за 5 миллионов», бизнес спросит: «А что будет, если мы не купим?». И ответ «будет небезопасно» не прокатит.

Конфликт интересов:

• Бизнес хочет тратить деньги только на то, что приносит прибыль или снижает явные издержки.
• Безопасность - это затратная история, выгода от которой неочевидна (пока не случится инцидент).

Как договариваться:
Ты должен уметь посчитать риск в деньгах. Не просто «украдут базу данных», а:

• Штраф Роскомнадзора за утечку (по новым нормам - до 500 тысяч на юрлицо, а если повторно - до 1 млн).
• Иски от клиентов, чьи данные утекли (средняя сумма иска - 50 тысяч, умножаем на количество клиентов).
• Затраты на уведомление всех пострадавших (почтовая рассылка, колл-центр).
• Потеря клиентов из-за падения репутации (по статистике, после крупной утечки компания теряет 5-10% клиентов).
• Падение капитализации (для публичных компаний).

Суммируешь - получаешь, например, 20 миллионов потенциальных потерь. Вероятность реализации риска без DLP - 30%. Значит, ожидаемые потери - 6 миллионов. DLP стоит 5 миллионов. Уже не кажется лишней тратой, правда?

Или можно привести пример конкурента, который попал на штраф и потерял клиентов. Бизнес любит конкретные кейсы.

- Помните, в прошлом году у конкурента «Ромашка» утекли паспортные данные клиентов? Их оштрафовали на 300 тысяч, но главное - после этого 15% клиентов ушли к другим. Они до сих пор не восстановились. Мы хотим того же?

С Внешними аудиторами и регуляторами​

Это отдельная каста людей. Тут нужна стальная выдержка и дипломатичность. Аудитор приходит и начинает копаться в твоих документах, задавать неудобные вопросы, искать несоответствия. Твоя задача - не дать ему лишнего повода придраться, но и не врать в глаза (потому что за вранье наказывают строже, чем за само нарушение).

Правила поведения при проверке:

1. Подготовка. Задолго до проверки ты должен перебрать все документы, закрыть очевидные дыры, подготовить пояснительные записки.
2. Встреча. Встречаешь аудитора приветливо, но без панибратства. Проводишь в переговорную, обеспечиваешь кофе и доступ к материалам (только к тем, которые запрошены, не давай лишнего!).
3. Ответы на вопросы. Отвечаешь чётко по делу. Если не знаешь ответа, не выдумывай, скажи: «Я уточню у коллег и предоставлю информацию позже». Если вопрос выходит за рамки запроса, вежливо уточни: «Это относится к области проверки? Можем ли мы это обсудить в рамках основного аудита?».
4. Фиксация несоответствий. Если аудитор находит проблему, не спорь и не оправдывайся. Скажи: «Да, видим это несоответствие. Мы уже работаем над его устранением, можем предоставить план мероприятий». Это показывает, что вы контролируете ситуацию.

Хороший комплаенс-менеджер умеет «держать удар» во время проверки, направляя внимание аудитора на те зоны, где у компании всё хорошо, и аккуратно обходя «узкие места», показывая план их исправления. Это искусство.

С HR и отделом кадров​

Тоже важные союзники. HR отвечает за приём и увольнение сотрудников, а значит, за доступы к системам, за подписание согласий на обработку ПДн сотрудников, за проведение вводных инструктажей. Ты должен наладить с ними процесс: чтобы каждый новый сотрудник подписывал нужные бумаги, проходил обучение, получал доступ только после твоего одобрения (или после выполнения требований).

- Девушки, пожалуйста, без подписанного согласия на обработку ПДн и обязательства о неразглашении не допускайте новичка до работы. Иначе потом, если что, он скажет, что не знал правил, и мы не докажем.

С отделами закупок и снабжения​

Ты будешь согласовывать договоры с поставщиками, особенно если они связаны с передачей данных или доступом к информационным системам. В договоре должны быть пункты о конфиденциальности, соответствии законодательству, ответственности за утечки. Иначе поставщик сольёт данные и скажет: «А мы не обязаны были их защищать, в договоре не прописано».

2. Обязанности и задачи: День сурка, который может приносить удовольствие​

Давай разберем типовые задачи по косточкам.

2.1. Внутренние аудиты: Как проверить своих, чтобы не подставили​

Внутренний аудит - это не карательная экспедиция. Это профилактика. Твоя задача - регулярно (раз в квартал, полгода или год) проверять, как сотрудники и департаменты соблюдают установленные политики безопасности.

Как это выглядит на практике:
Ты приходишь в отдел продаж. У них есть CRM с персональными данными клиентов. Ты смотришь:

• Все ли сотрудники подписали согласие на обработку ПДн?
• Не висят ли на столах стикеры с паролями?
• Закрывают ли они экраны ноутбуков, когда уходят с рабочего места?
• Не сливают ли базу клиентов в открытые мессенджеры для "удобства работы"?

Самый жесткий момент - аудит у разработчиков. Там ты уже не просто смотришь на бумажки, а запрашиваешь доступ в репозиторий и проверяешь, не хранятся ли ключи доступа и пароли прямо в коде (хардкод), а это классическая детская болезнь.

Для внутреннего аудита тебе понадобятся чек-листы. Ты должен заранее составить список вопросов по каждому направлению. Например, для отдела кадров одни вопросы, для IT - другие.

2.2. GAP-анализ и дорожная карта: Где мы, где хотим быть и как не сдохнуть в пути​

GAP-анализ (анализ разрывов) - это, пожалуй, самая интеллектуальная часть работы.

Представь: есть требование закона 152-ФЗ (идеал). Есть текущее состояние дел в компании (реальность). Разрыв между ними - это GAP. Твоя задача - найти все эти разрывы.

Допустим, закон говорит: "Оператор обязан опубликовать политику обработки ПДн на сайте". У компании сайт есть, но политики нет. GAP найден.
Далее, закон требует назначать ответственного за организацию обработки ПДн. В компании такого приказа нет. Еще один GAP.

После того как ты насобирал список несоответствий, ты составляешь дорожную карту (Roadmap). Это план действий на ближайшее будущее.

Типичная дорожная карта выглядит так:

• 1-й месяц: Разработать и утвердить Политику ПДн, повесить на сайт. Назначить ответственного приказом.
• 2-й месяц: Провести инвентаризацию всех баз данных, где лежат ПДн.
• 3-й месяц: Подготовить документы для уведомления Роскомнадзора (если мы еще не уведомили о намерении обрабатывать ПДн).
• 4-6 месяц: Внедрить средства защиты информации (СЗИ) на серверах с ПДн.

И тут начинается самое интересное. Ты должен не просто составить план, а согласовать его с IT-директором (смогут ли они технически это сделать) и с финансистами (дадут ли они денег на закупку СЗИ). Это, блин, высший пилотаж менеджмента.

2.3. Документация и политики: Твое полотно, на котором ты рисуешь безопасность​

Самая нудная, но самая важная часть. Документы - это фундамент.

Многие технари считают, что бумажки - это зло. Что достаточно настроить всё железками. Но я вам скажу так: если у вас нет документов, у вас нет системы безопасности. Есть просто набор случайных мер.

В комплаенсе есть целая иерархия документов (пирамидка):

1. Политики (верхний уровень). Это конституция компании в области ИБ. Кратко, ёмко: "Мы защищаем данные, потому что мы их уважаем и боимся штрафов". Утверждается генеральным директором. Обычно 5-10 страниц.
2. Стандарты и процедуры (средний уровень). Здесь уже конкретнее. "Пароль должен быть длиной не менее 8 символов, содержать цифры и заглавные буквы, менять раз в 90 дней". "Порядок предоставления доступа новым сотрудникам: заявка в Service Desk, согласование с руководителем, выдача прав в течение 2 часов".
3. Инструкции и регламенты (нижний уровень). Пошаговые гайды для админов и пользователей. "Как настроить VPN-клиент на ноутбуке", "Как правильно удалить данные с жесткого диска перед утилизацией".

Твоя задача - написать это всё человеческим языком, чтобы это не вызывало отторжения. Чтобы сотрудник не зевал, читая Политику, а понимал, что это написано для его же спокойствия.

2.4. Обучение персонала: Не надоедать, а втолковывать​

Это, наверное, самая неблагодарная, но необходимая задача. Ты будешь проводить вводные инструктажи для новичков и периодические обучения для старичков.

Тема: "Социальная инженерия и фишинг", "Правила работы с ПДн", "Что нельзя делать в интернете с рабочего ноутбука".

Здесь важно не быть занудой. Если ты будешь читать лекцию монотонным голосом, народ просто вырубится через 5 минут. Используй кейсы, реальные истории (разумеется, обезличенные) о том, как уволили Петю за то, что он перешел по ссылке из письма "Служба безопасности просит обновить пароль" и положил всю сеть.

Инструменты: Курсы в LMS (системах дистанционного обучения), короткие видео, инфографика, внутренние рассылки с "фейковыми фишинговыми письмами" для проверки бдительности.

3. Необходимые знания: Чем набить голову, чтобы не опозориться​

3.1. Российское законодательство: Наша Библия и Уголовный кодекс​

Это база. Если ты работаешь в РФ и не знаешь российских законов - ты не специалист, ты прохожий.

152-ФЗ "О персональных данных"
Это твой настольный документ. Ты должен знать его практически наизусть или, по крайней мере, быстро находить нужные статьи.

• Что такое ПДн? (спойлер: это не только паспортные данные, но и телефон, email, геолокация, иногда даже cookie).
• Категории ПДн (специальные, биометрические, общедоступные).
• Обязанности оператора (того, кто собирает данные).
• Согласие на обработку: каким оно должно быть.
• Трансграничная передача.
• Уведомление Роскомнадзора.

187-ФЗ "О безопасности критической информационной инфраструктуры РФ"
Если ты попадешь в компанию из списка КИИ (энергетика, финансы, транспорт, связь, наука, здравоохранение и т.д.), этот закон станет твоей головной болью.

• Категорирование объектов КИИ.
• Создание систем безопасности.
• Взаимодействие с ФСТЭК и ФСБ.
• Запрет на использование иностранного софта (импортозамещение).

Приказы ФСТЭК, ФСБ, Роскомнадзора
Это подзаконные акты, где прописаны технические детали. Например, Приказ ФСТЭК №21 (состав и содержание организационных и технических мер по обеспечению безопасности ПДн) - это просто кирпич, но знать его структуру обязан каждый комплаенс-менеджер.

КоАП РФ и УК РФ
Чтобы понимать последствия. Статья 13.11 КоАП (нарушения в области ПДн) - штрафы. Статья 274 УК РФ (нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации) - уже уголовка.

3.2. Международные стандарты: Ламповый опыт для наших реалий​

Да, сейчас импортозамещение, но стандарты ISO - это база, на которой построены все российские ГОСТы. И если ты хочешь работать в крупной компании, которая выходит на международные рынки или сотрудничает с иностранцами, или просто хочешь думать системно, это must have.

ISO/IEC 27001:2022
Это "золотой стандарт" управления информационной безопасностью. Он описывает, как построить СУИБ (Систему управления информационной безопасностью).

• Контекст организации.
• Лидерство.
• Планирование (риски и возможности).
• Средства поддержки (компетенции, осведомленность, документированная информация).
• Операционная деятельность (оценка рисков, обработка рисков).
• Оценка результатов деятельности (мониторинг, аудит).
• Улучшения.

Сертификация по ISO 27001 - это как получить Оскар для комплаенс-специалиста.

PCI DSS (Payment Card Industry Data Security Standard)
Если компания работает с платежными картами (Visa, Mastercard, Мир), то PCI DSS - это закон. Там очень жесткие технические и организационные требования. Шифрование, контроль доступа, мониторинг сетей. Даже если ты не будешь настраивать шифрование, ты должен понимать, как это проверить и описать.

SOC 2 (Service Organization Control)
Американский стандарт для сервис-провайдеров (SaaS-компании, облачные провайдеры). Доказывает клиентам, что ты надежно хранишь их данные. Всё больше российских компаний, работающих с западным рынком (или готовящихся к IPO), стремятся получить этот отчет.

3.3. Методологии оценки рисков​

Комплаенс без рисков - это просто бюрократия. Ты должен уметь оценивать риски.

• Качественная оценка: Высокий/Средний/Низкий.
• Количественная оценка: В деньгах. "Вероятность утечки 10%, потери составят 1 млн рублей, значит, риск = 100 000 рублей".
  Популярные методики: OCTAVE, NIST SP 800-30, методология CRISC.

4. Сертификации: Корочки, которые реально что-то значат​

Сертификации - это дорого. Сдать экзамен стоит от 300 до 800 долларов, не считая подготовки. Но это окупается очень быстро.

4.1. CISM (Certified Information Security Manager)​

Это сертификация номер один для менеджеров в ИБ. Дается ISACA (международная ассоциация).
Для кого: Для тех, кто уже дорос до уровня менеджера или руководителя.
О чем: Управление информационной безопасностью, управление рисками, управление программами, инцидентами. Это про стратегию, а не про галочки.
Нужен ли джуну? Вряд ли. Но если ты его получишь, ты сразу перескочишь пару ступенек. Обычно CISM берут, когда уже есть 3-5 лет опыта.

4.2. CRISC (Certified in Risk and Information Systems Control)​

Тоже от ISACA.
Для кого: Для специалистов по рискам и контролю.
О чем: Идентификация рисков ИТ, оценка, реагирование, мониторинг. Это то, чем ты будешь заниматься каждый день в комплаенсе - оценивать, насколько всё плохо и что с этим делать.
CRISC очень хорошо заходит в финансах и аудите.

4.3. ISO/IEC 27001 Lead Auditor (Lead Implementer)​

Это, пожалуй, самая практичная сертификация для старта.
Для кого: Для аудиторов, комплаенс-менеджеров, внедренцев.
О чем: Тебя учат, как проводить аудит по стандарту ISO 27001: как планировать, как задавать вопросы, как собирать доказательства, как писать отчеты о несоответствиях.
Почему это круто: Ты на практике осваиваешь процесс аудита, учишься мыслить как проверяющий. Это помогает потом строить систему защиты так, чтобы она проходила любые проверки.
Такие курсы есть у многих провайдеров, в том числе и в Codeby Academy - они дают реальную основу и официальный сертификат, который котируется на рынке.

4.4. CIPP/E (Certified Information Privacy Professional/Europe) и отечественные аналоги​

Если ты глубоко уходишь в ПДн, то знание GDPR (европейского закона о данных) может быть плюсом. Но сейчас, в 2026, актуальнее российские программы. Например, от Роскомнадзора или профильных учебных центров есть свои программы повышения квалификации по 152-ФЗ.

Честный совет: Не гонись за кучей сертификатов сразу. Для старта хватит ISO 27001 LA. Он дает структуру и понимание процесса. А потом, через год-два, можно идти на CRISC или CISM.

5. Карьерный рост и зарплаты: Сколько можно заработать на бумажках​

Уровень 1: Junior Compliance Specialist / Ассистент

• Кто это: Вчерашний юрист, стажер или менеджер, который прошел курсы и пришел в отдел.
• Что делает: Помогает собирать документы для аудита, заполняет чек-листы, рассылает уведомления, ведет реестры, помогает старшим коллегам таскать "бумажки".
• Зарплата (Москва, 2026): от 90 000 до 140 000 рублей.
• Требования: Понимание базы 152-ФЗ, уверенный Excel, желание учиться.

Уровень 2: Compliance Manager / GRC Specialist

• Кто это: Самостоятельная единица. Ведет свое направление (например, только ПДн или только КИИ).
• Что делает: Пишет политики, проводит внутренние аудиты, участвует в согласовании проектов со стороны безопасности, общается с аудиторами, ведет документацию.
• Зарплата: от 140 000 до 220 000 рублей.
• Требования: Знание 152-ФЗ, ISO 27001, опыт проведения аудитов (хотя бы внутренних), умение аргументировать свою позицию перед IT и бизнесом. Наличие сертификата ISO 27001 LA будет жирным плюсом.

Уровень 3: Senior GRC Manager / Head of Compliance

• Кто это: Руководитель направления или всего отдела. Стратег.
• Что делает: Разрабатывает стратегию развития комплаенса в компании, взаимодействует с топ-менеджментом и регуляторами на уровне "руководитель-руководитель", утверждает бюджеты, выбирает инструменты (GRC-платформы), решает конфликты интересов.
• Зарплата: от 220 000 до 350 000+ рублей (в некоторых случаях, особенно в крупных банках или ритейле, может быть и выше, с бонусами).
• Требования: Опыт управления командой, знание всех аспектов (152-ФЗ, 187-ФЗ, ISO, PCI DSS), сертификаты CISM/CRISC, опыт успешного прохождения внешних проверок.

Уровень 4: CISO (Chief Information Security Officer)

• Кто это: Директор по информационной безопасности. Вершина карьеры.
• Что делает: Отвечает за всё. И за технику, и за комплаенс, и за людей. Именно люди с GRC-бэкграундом часто становятся лучшими CISO, потому что умеют разговаривать с бизнесом и понимают риски, не закапываясь в технические детали.
• Зарплата: от 350 000 до 600 000+ (вплоть до бесконечности, зависит от компании).
  
  
  
  

6. Первые шаги и обучение: Как залезть в этот поезд​

Шаг 1. Самообразование (бесплатно или условно бесплатно)​

Не плати деньги, пока не поймешь, твое это или нет.

• Читай законы: Открой 152-ФЗ и просто прочитай его. Не надо учить наизусть, просто пойми логику. Потом почитай комментарии к нему в интернете.
• ISO 27001: Найди в интернете текст стандарта (или хотя бы его краткое изложение). Пойми, из каких разделов он состоит (Приложение А - это вообще кладезь мер контроля).
• Подпишись на Telegram-каналы: Там, где обсуждают комплаенс. Смотри, какие проблемы обсуждают профессионалы, что их беспокоит, какие у них кейсы. Часто эта тема поднимается в нашем телеграмм-канале.
• Ходи на бесплатные вебинары: Codeby и другие компании часто проводят открытые вебинары. Послушай спикеров, посмотри, как они мыслят.

Шаг 2. Выбор специализации (на старте)​

Пойми, что тебе ближе:

• Data Privacy (ПДн): Если ты юрист по образованию, тебе сюда. Тут много юридической экзотики.
• КИИ: Если хочешь поработать с промышленностью, гостайной (нужен допуск) и реально жесткими требованиями.
• Стандарты и аудит (ISO, PCI): Если у тебя аналитический склад ума и любишь систематизировать.

Шаг 3. Курсы (платные, но эффективные)​

Теория теорией, но работодатель хочет видеть "корочку" или хотя бы подтверждение того, что ты прошел профессиональную подготовку.

Акцентируй внимание на ключевых терминологиях:

• Профессия Compliance менеджер (GRC).
• ISO/IEC.
• Защита персональных данных (152-ФЗ).

Что важно на курсах: наличие обратной связи от практиков, разбор реальных кейсов, помощь в составлении резюме.

Шаг 4. Стажировка или смена должности внутри компании​

Самый сложный шаг. Как получить первый опыт, если опыта нет?

1. Внутренний трансфер: Если ты уже работаешь в какой-то компании (юристом, кадровиком, менеджером), предложи свою помощь отделу ИБ. Скажи: "Я могу бесплатно (или за символическую оплату) помочь вам с документацией по ПДн, привести в порядок реестры". Это лучший способ получить реальный опыт.
2. Аутсорсинг/Консалтинг: Можно устроиться в компанию, которая оказывает услуги по внедрению комплаенса другим фирмам. Там быстро наберешься опыта, потому что увидишь много разных бардаков.
3. Junior-позиции: Не стесняйся откликаться на вакансии "Помощник специалиста по ИБ" или "Младший комплаенс-менеджер". Даже если зарплата чуть ниже твоей текущей, это инвестиция в будущее.

Шаг 5. Резюме и собеседование​

Твое резюме должно кричать о том, что ты не просто теоретик. Если ты прошел курсы, напиши, какие именно. Если делал дипломный проект (разрабатывал пакет документов для вымышленной компании), обязательно укажи это. Скинь ссылку на свой проект на GitHub или в облаке.

На собеседовании будь честен. Говори: "Да, я пока не работал в ИБ, но я прошел обучение, знаю структуру 152-ФЗ, понимаю цикл PDCA по ISO 27001, и я очень хочу учиться и приносить пользу. Моя суперсила - я умею общаться с людьми и переводить сложное на простой язык".

Наше дело​

Комплаенс - это не просто "работа с бумажками". Это системная инженерия безопасности на уровне управления. Это возможность реально влиять на компанию, защищая её не только от хакеров, но и от штрафов, тюрьмы и репутационного краха.

Для вас, нетехнарей, это реальный шанс войти в ИБ. Не надо учить Python до потери пульса, не надо разбираться в тонкостях работы сетевых протоколов. Достаточно иметь аналитический ум, желание разбираться в законах и стандартах, и, что самое главное, - уметь договариваться с людьми.

Внедряйте осознанный комплаенс, не будьте бюрократами, будьте инженерами безопасности. И тогда бизнес скажет вам спасибо. А регулятор оставит в покое. По крайней мере, до следующей проверки.