Экспресс-аудит кибербезопасности и регуляторных рисков
Проверьте риски по 152-ФЗ, КИИ и кибербезопасности за 10 минут
КиберНорма — интерактивный экспресс-аудит кибербезопасности и регуляторных рисков для российского бизнеса.
Сайт помогает предварительно оценить требования 152-ФЗ, КИИ 187-ФЗ, ФСТЭК, готовность к утечкам, пентесту, SOC/MDR и зарубежным compliance-запросам.
Сайт показывает смысловые блоки, вопросы и маршруты даже при отключённом JavaScript. Интерактивный опросник, расчёт risk score и отправка заявки включаются в полной версии.
Начать проверку
Быстрые ответы
Sitemap
Карта проверки
Что проверяет КиберНорма
152-ФЗ и персональные данные
Проверка 152-ФЗ, аудит персональных данных, формы согласий, политика обработки ПДн, локализация баз и статус оператора.
Роскомнадзор · ПДн · локализация
Утечки и готовность к реагированию
Порядок действий при утечке персональных данных, роли, журнал инцидентов, уведомления и внутреннее расследование.
incident response · 24/72 часа · разбор инцидента
КИИ 187-ФЗ и ФСТЭК
Предварительная самооценка признаков КИИ, непрерывность важных услуг, категорирование КИИ и базовые документы по защите.
КИИ 187-ФЗ · ФСТЭК · категорирование
Финансовый сектор и Банк России
Сигналы, которые могут указывать на требования к управлению рисками ИБ, устойчивости и защите инфраструктуры финансовых организаций.
финансы · киберустойчивость · регуляторика
Пентест, SOC/MDR и резервное копирование
Практические меры защиты: MFA, EDR, восстановление из бэкапов, сканирование уязвимостей, пентест для бизнеса и мониторинг.
аудит ИБ · SOC · пентест
GDPR, ISO 27001, SOC 2 и EU compliance
Отдельный модуль для экспортных компаний: security questionnaire, требования клиентов, GDPR, NIS2, DORA и AI Act.
GDPR · SOC 2 · AI Act
Понятно с первого экрана
Для кого сервис, что он даёт и где границы результата
Сразу понятно, для кого
Для собственника, IT-директора, юриста, ИБ-команды и руководителя, которому нужно быстро понять зону риска.
10 минут до первого вывода
Опросник не просит документы и помогает получить предварительный risk score без долгой подготовки.
Конкретный результат
На выходе: применимые направления, главные пробелы, приоритетные действия и тип профильного эксперта.
Без чувствительных данных
Не нужно загружать базы, пароли, договоры, документы ДСП или внутренние схемы инфраструктуры.
Быстрые ответы
Карта быстрых ответов для пользователя и поискового робота
Что такое КиберНорма?
КиберНорма — интерактивная самооценка кибербезопасности и регуляторных рисков для российского бизнеса. Сервис помогает предварительно понять, какие направления стоит проверить: 152-ФЗ, персональные данные, КИИ, утечки, техническая ИБ, пентест, SOC/MDR и зарубежные требования.
Какие требования проверяются?
Опросник покрывает 152-ФЗ, уведомления Роскомнадзора, локализацию баз персональных данных, готовность к утечкам, КИИ 187-ФЗ, ФСТЭК, требования Банка России, пентест, резервное копирование, SOC/MDR, vendor security review и отдельный EU compliance-модуль.
Кому полезна проверка?
Проверка полезна интернет-магазинам, SaaS и IT-компаниям, клиникам, онлайн-школам, промышленным компаниям, финансовым организациям, B2B-командам с тендерами и компаниям после инцидента или подозрения на утечку.
Что получает пользователь после опроса?
Пользователь получает предварительный risk score, карту применимых направлений, список вероятных пробелов, приоритетные действия и подсказку, к какому эксперту лучше обратиться: юристу по ПДн, ИБ-аудитору, специалисту по КИИ, пентест-команде или SOC/MDR-провайдеру.
Это юридическое заключение?
Нет. Результат является предварительной самооценкой и не заменяет юридическое заключение, категорирование КИИ или полноценный аудит информационной безопасности.
Какие страницы нужно отправлять на переобход?
Для переобхода стоит отправлять главную страницу, пять тематических лендингов, раздел гайдов, четыре гайда, страницу быстрых ответов и политику обработки персональных данных. Все они входят в sitemap.xml.
Открыть отдельную страницу быстрых ответов
Как это работает
Путь от ответов к gap-report
- Выберите отрасль и размер компании
Сервис уточнит базовый профиль риска и регуляторные зоны. - Укажите данные и системы
Сайт, CRM, 1С, личные кабинеты, приложения, сотрудники, подрядчики. - Ответьте о мерах защиты
MFA, резервные копии, EDR, пентест, журналы, SOC/MDR и обучение. - Получите gap-report
Краткая карта требований, пробелов и приоритетных следующих шагов. - Запишитесь к профильному эксперту
Юрист, ИБ-аудитор, специалист по КИИ, пентест-команда или SOC/MDR.
Кому полезно
Типовые сценарии бизнеса
- интернет-магазинам
- SaaS и IT-компаниям
- клиникам и медицинским сервисам
- онлайн-школам
- промышленным компаниям
- финансовым организациям
- компаниям с B2B-клиентами и тендерами
- компаниям после инцидента или подозрения на утечку
Что будет в отчёте
Применимые направления, пробелы и следующие шаги
- применимые требования
- уровень риска
- пробелы
- приоритетные действия
- подбор профильного эксперта
Оценка риска и карта требований
Один экран показывает общий уровень риска и направления, которые стоит разобрать в первую очередь.
Матрица пробелов
Пробелы группируются по ПДн, инцидентам, КИИ, технической ИБ и зарубежным требованиям.
Очередь действий
Рекомендации расставлены по приоритету: что закрыть сейчас, что вынести в аудит, что мониторить.
Маршрут к эксперту
Сервис подсказывает, нужен ли юрист по ПДн, ИБ-аудитор, КИИ-специалист, пентест или SOC/MDR.
Карта направлений результата
- 152-ФЗ / персональные данные
- Роскомнадзор / уведомления
- утечки / incident response
- КИИ 187-ФЗ
- ФСТЭК
- Банк России
- техническая ИБ
- vendor security review
- зарубежные требования
К кому лучше обратиться
Юрист по персональным данным
Уведомления, политики, согласия, договоры с подрядчиками, ответы регулятору.
ИБ-аудитор
Организационные и технические меры, gap-report, дорожная карта защиты.
Специалист по КИИ
Признаки КИИ, категорирование, модель угроз, документы и меры защиты.
Пентест-команда
Проверка внешнего периметра, веб-приложений, инфраструктуры и отчёт по уязвимостям.
SOC/MDR-провайдер
Мониторинг событий, реагирование, правила корреляции и сопровождение инцидентов.
Интегратор средств защиты
MFA, EDR, резервное копирование, SIEM, сканеры уязвимостей и hardening.
Консультант по ISO 27001/SOC 2/GDPR
Подготовка к требованиям зарубежных клиентов, security questionnaire и EU compliance.
Интерактивный аудит
Вопросы экспресс-аудита видны без JavaScript
Если JavaScript отключён, пользователь всё равно видит структуру опросника, направления проверки и список данных, которые потребуются для gap-report. Интерактивный расчёт risk score включается в обычной версии сайта.
1. Компания
Профиль бизнеса нужен, чтобы не смешивать разные регуляторные сценарии.
- Ваша отрасль
- Размер компании
- Регион работы
- Ваша роль
2. Персональные данные
Проверяем 152-ФЗ, Роскомнадзор, локализацию баз и контур подрядчиков.
- Собираете ли вы данные клиентов через сайт?
- Есть ли CRM, 1С, call center, личный кабинет, мобильное приложение?
- Обрабатываете ли вы данные сотрудников?
- Есть ли специальные категории данных: медицинские, биометрия, данные детей, финансовые данные?
- Подавали ли уведомление в Роскомнадзор?
- Есть ли политика обработки ПДн на сайте?
- Где физически хранятся базы данных?
- Есть ли подрядчики, которые получают доступ к данным?
3. Утечки и инциденты
Смотрим, есть ли практический порядок действий, если что-то пошло не так.
- Есть ли процедура реагирования на утечку?
- Назначен ли ответственный за взаимодействие с Роскомнадзором?
- Есть ли журнал инцидентов?
- Есть ли план уведомления в течение 24/72 часов?
- Были ли инциденты за последние 12 месяцев?
- Проводилось ли расследование инцидентов?
4. КИИ и регулируемые отрасли
Предварительно определяем, нужен ли разговор о 187-ФЗ и ФСТЭК.
- Работает ли компания в медицине, транспорте, связи, энергетике, промышленности, финансах или госсекторе?
- Есть ли автоматизированные системы управления производством или критичными процессами?
- Есть ли информационные системы, от которых зависит непрерывность важных услуг?
- Проводилась ли предварительная оценка признаков КИИ?
- Создана ли комиссия по категорированию?
- Есть ли документы по модели угроз и мерам защиты?
5. Техническая безопасность
Оцениваем базовую киберустойчивость без доступа к вашим системам.
- Используется ли MFA?
- Есть ли резервные копии?
- Проверялось ли восстановление из резервных копий?
- Есть ли EDR/антивирус на рабочих станциях и серверах?
- Проводился ли пентест за последние 12 месяцев?
- Проводится ли сканирование уязвимостей?
- Есть ли журналирование событий?
- Есть ли SOC/MDR или внешний мониторинг?
- Проходят ли сотрудники обучение по фишингу и социальной инженерии?
6. Зарубежные клиенты
Отдельно проверяем западные требования для экспортных и B2B-команд.
- Есть ли клиенты или пользователи из ЕС?
- Требуют ли клиенты ISO 27001, SOC 2 или security questionnaire?
- Используются ли AI-системы для HR, скоринга, медицины, финансов, биометрии или принятия решений?
- Нужна ли оценка GDPR/NIS2/DORA/AI Act?
Доверие и ограничения
Безопасная самооценка без лишних обещаний
- Методология основана на открытых требованиях регуляторов и лучших практиках ИБ.
- Результат не является юридическим заключением.
- Мы не запрашиваем пароли, конфиденциальные документы или чувствительные данные.
- Для точного заключения требуется полноценный аудит.
Не официальный сервис регулятора
Сайт не выдаёт себя за государственный ресурс и не обещает прохождение проверки.
Методология объяснима
Вопросы сгруппированы по понятным блокам: данные, инциденты, КИИ, техническая ИБ и зарубежные клиенты.
Минимизация данных
Для заявки собираются только контактные поля и комментарий, нужные для обратной связи.
КиберНорма не является государственным органом. Информация носит справочный характер и не заменяет юридическую консультацию или полноценный аудит информационной безопасности.
FAQ
Короткие ответы
Это юридическое заключение?
Нет. Это предварительная самооценка, которая помогает понять возможные зоны риска и подготовиться к разговору со специалистом.
Вы храните конфиденциальные данные?
Опросник не требует загрузки баз данных, паролей, документов ДСП или иной чувствительной информации.
Кому подойдёт проверка?
Компаниям, которые обрабатывают персональные данные, используют сайт/CRM, работают в регулируемых отраслях, проходят тендеры или хотят снизить риск инцидентов.
Можно ли проверить КИИ онлайн?
Онлайн можно провести только предварительную самооценку признаков. Окончательные выводы требуют анализа документов, систем и процессов.
Что происходит после заявки?
Вы получаете краткий gap-report и можете запросить консультацию профильного эксперта.