В XXI веке, с учетом роста процесса цифровизации, человечество сталкивается с ростом киберугроз, оказывающих серьезное влияние как на частную жизнь, так и на бизнес-среду. По мере того, как цифровая трансформация охватывает все большее число компаний, увеличиваются юридические риски и усложняется процесс интеграции новых технологий. С учетом таких условий бизнес-структурам необходима система мер и требований, соблюдение которой обеспечило бы защиту информации и данных от различных угроз и рисков; которая включала бы в себя набор стандартов, стратегий и процедур, направленных на соблюдение законодательства и нормативных актов.

В последние годы она расширилась на несколько подвидов: антикоррупционный, антимонопольный, экологический, налоговый комплаенс [1, с.7–18]. Комплаенс имеет определенную специфику, связанную с соблюдением законов и норм, касающихся защиты информации и обеспечения безопасного функционирования информационных систем [3]. Во-первых — необходимость соответствия законодательным и нормативным требованиям. Для компаний существует перечень нормативно-правовых актов: Международный стандарт ISO 27001 [6], законодательство о защите персональных данных, закон о государственной тайне, закон о безопасности критической информационной инфраструктуры (КИИ). Во-вторых, имеет значение специализированная подготовка сотрудников, включающая тренинги по кибербезопасности, что поможет повысить уровень осведомленности о потенциальных угрозах — фишинге и социальной инженерии. И наконец, важным аспектом можно считать аудит и мониторинг. Они позволяют обеспечить соблюдение норм и выявить недостатки в системе безопасности.

Защита инфраструктуры компании не является компетенцией комплаенса, так как специалисты по ИБ-комплаенсу создают НПА, регулирующие процессы предотвращения утечки информации [2]. Однако непосредственной защитой данных от киберугроз занимаются аналитики и пентестеры [4]. Комплаенс не сразу внедряется в бизнес-структуры, так как существует алгоритм его адаптации к бизнес-механизмам.

Лавренко Е. А. выделяет 6 этапов: “создание отдела комплаенс-группы, подчинение функций директору, открытый доступ ко всем информационным данным, распределение функций комплаенса в группе по направлениям деятельности, взаимодействие группы комплаенса с руководством, минимизация рисков группы комплаенса”. Согласно SWOT-анализу, все эти этапы поспособствуют созданию имиджа компании, повысят уровень корпоративной культуры, рентабельность и финансовую устойчивость.

Рассматривая обязательства бизнес-структур в сфере кибербезопасности, стоит начать с рассмотрения их типов в контексте кибербезопасности.

Линейная структура: тривиальная и притом классическая, содержит четкую иерархию принятия решений сверху вниз. Говоря о кибербезопасности, данную систему отличают четкость, последовательность в принятии решений, ясность в распределении и делегировании полномочий.

В функциональной системе структура представляет собой блоки: маркетинг, финансовый менеджмент, т. е. происходит распределение направлений исходя из функций. Для кибербезопасности хороша тем, что узконаправленная специализация повысит качество работ и уровень информационной безопасности; плюсом является отсутствие копирования работ и повышенная ответственность за определенный блок работ.

Матричную модель отличает сложное комбинированное устройство, при котором сотрудники подчиняются нескольким руководителям разных уровней. Ее благотворность в том, что поддержание будет возложено на опытного руководителя, обладающего высокой профессиональной компетенцией. Для кибербезопасности хороша скоростью координации действий и согласовании управленческих решений.

Каждая компания обязана: создать систему обработки, записи и хранения персональных данных в соответствии со всеми необходимыми требованиями законодательства, обеспечить и поддержать проведение стратегии, регулирующей обработку персональных данных, систематизировать всю документацию, включающую обработку, запись и хранение персональных данных в соответствии с законом № 152-ФЗ “О персональных данных” [7]. Штрафы за нарушения при обработке персональных данных предусмотрены ст. 13.11 КоАП: “на юридических лиц — от шестидесяти тысяч до ста тысяч рублей” [8]. Нарушение законодательства Российской Федерации в области персональных данных. Данный вопрос регулируется ФЗ № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [9]. Согласно данному НПА требования по обеспечению КИИ включают:

1. планирование, разработку, совершенствование и осуществление внедрения мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры;
2. принятие организационных и технических мер для обеспечения безопасности значимых объектов критической информационной инфраструктуры;
3. установление параметров и характеристик программных и программно-аппаратных средств, применяемых для обеспечения безопасности значимых объектов КИИ”.

Что касается ответственности, то в ст.14 ФЗ указано, что нарушение требований настоящего Федерального закона влечет за собой ответственность в соответствии с законодательством РФ. Помимо этого, к компаниям предъявляются требования к разработке и внедрению политик кибербезопасности:

1. Компания должна дать оценку своей инфраструктуру на предмет уязвимости и принять необходимые меры.
2. Необходимо создание методических материалов и инструкций, устанавливающих регламент работы с информацией.
3. Важно внедрить инструменты защиты данных, которые компания еще не использовала и ознакомить весь штат сотрудников с правовой базой и новоутвержденными положениями. При внедрении и разработке политики кибербезопасности важен постоянный аудит, т. к. он позволит соответствовать необходимым стандартам и нормативам, выявить все недостатки и уязвимости, снизить риски и помочь компании быстро адаптироваться к изменениям. В последнее время приобретают популярность такие средства для мониторинга и аудита, как DLP-системы и Solar Dozor [5]. Они формируют документарные архивы, компилируют досье сотрудников, блокируют передачу вредоносной информации и осуществляют мониторинг конфиденциальной информации. Ответственность за нарушение требований предусмотрена ст.17 ФЗ от 27.07.2006 N 149-ФЗ (ред. от 23.11.2024) «Об информации, информационных технологиях и о защите информации» [10], согласно которому нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность.

В заключение, можно утверждать, что комплаенс в сфере кибербезопасности является не просто набором формальных требований, но и одним из важнейших элементов устойчивости и успешного функционирования бизнес-структур в современном мире, где царят процессы цифровизации. Нарушение комплаенса влечет за собой серьезные правовые и финансовые последствия, которые могут нанести непоправимый ущерб компании. Поэтому бизнес-структурам необходимо заблаговременно разрабатывать и внедрять эффективные системы защиты информации, способные обеспечивать как выполнение обязательств, так и устойчивость в условиях возрастающей киберугрозы.

Литература:

1. Бросалина А. А.: Комплаенс как инструмент управления правовыми рисками// Актуальные проблемы государства и права. 2022. Т.6. № 1. С.7–18.

2. К. Д. Плохута Управление рисками информационной безопасности и комплаенс // Компетентность. 2025. № 5. URL: https://cyberleninka.ru/article/n/upravlenie-riskami-informatsionnoy-bezopasnosti-i-komplaens (дата обращения: 05.10.2025).

3. Комплаенс в информационной безопасности: что это такое [Электронный ресурс] // SkillFactory. — URL: https://blog.skillfactory.ru/komplaens-v-informatsionnoy-bezopasnosti/ (дата обращения: 03.12.2024).

4. Лопатова Н. Кибербезопасность как фактор роста бизнеса // Наука и инновации. 2021. № 3. С 38–41.

5. Сибагатуллина, Р. Э. Построение системы комплаенс-контроля в области персональных данных и конфиденциальной информации на примере IT-компании / Р. Э. Сибагатуллина // Вестник евразийской науки. — 2023 — Т. 15 — № 1 — URL: https://esj.today/PDF/44ECVN123.pdf

6. ГОСТ Р ИСО/МЭК 27001–2022 Информационная безопасность, кибербезопасность и защита приватности. Системы менеджмента информационной безопасности. Требования. — Введ. 2023–03–01. — М.: Стандартинформ, 2022. — 25 с.

7. О персональных данных [Электронный ресурс]: федер. закон от 27.07.2006 № 152-ФЗ (ред. от 14.07.2022) // КонсультантПлюс: справоч. правовая система. — URL: http://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения: 05.12.2024).

8. КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных. — Электронные данные — Режим доступа: «КонсультантПлюс» — законодательство РФ: кодексы, законы, указы, постановления Правительства Российской Федерации, нормативные акты

9. Федеральный закон от 26.07.2017 N 187-ФЗ (ред. от 10.07.2023) «О безопасности критической информационной инфраструктуры Российской Федерации» — Электронные ресурсы — Режим доступа: «КонсультантПлюс» — законодательство РФ: кодексы, законы, указы, постановления Правительства Российской Федерации, нормативные акты

10. Об информации, информационных технологиях и о защите информации [Электронный ресурс]: федер. закон от 27.07.2006 № 149-ФЗ (ред. от 24.06.2025) // КонсультантПлюс: справоч. правовая система. — URL: http://www.consultant.ru/document/cons_doc_LAW_61798/ (дата обращения: 05.12.2024).