Экспресс-аудит кибербезопасности и регуляторных рисков
Гайды по 152-ФЗ, КИИ и кибербезопасности
Хаб материалов КиберНормы помогает подготовиться к проверке 152-ФЗ, реагированию на утечки, предварительной оценке КИИ и B2B security questionnaire.
Сайт показывает смысловые блоки, вопросы и маршруты даже при отключённом JavaScript. Интерактивный опросник, расчёт risk score и отправка заявки включаются в полной версии.
Начать проверку
Быстрые ответы
Sitemap
Материалы
Гайды по 152-ФЗ, КИИ и кибербезопасности
Короткие практические материалы для собственника, IT-директора, юриста и руководителя малого или среднего бизнеса. Это не юридическое заключение, а подготовка к разговору со специалистом.
С чего начать
Если компания собирает заявки через сайт, ведёт CRM, хранит данные сотрудников или работает с подрядчиками, стоит начать с проверки 152-ФЗ и базовых документов по персональным данным.
Если есть признаки регулируемой отрасли, критичные процессы или B2B-клиенты с требованиями к безопасности, отдельно проверьте КИИ, техническую ИБ и security questionnaire.
Как пользоваться материалами
Каждый гайд помогает быстро собрать вопросы для внутренней проверки и понять, к какому эксперту лучше обратиться: юристу по ПДн, ИБ-аудитору, специалисту по КИИ, пентест-команде или консультанту по ISO/GDPR/SOC 2.
Для точных выводов нужны документы, описание систем, процессы и полноценный аудит. Онлайн-материалы не заменяют профессиональное заключение.
Интерактивный аудит
Вопросы экспресс-аудита видны без JavaScript
Если JavaScript отключён, пользователь всё равно видит структуру опросника, направления проверки и список данных, которые потребуются для gap-report. Интерактивный расчёт risk score включается в обычной версии сайта.
1. Компания
Профиль бизнеса нужен, чтобы не смешивать разные регуляторные сценарии.
- Ваша отрасль
- Размер компании
- Регион работы
- Ваша роль
2. Персональные данные
Проверяем 152-ФЗ, Роскомнадзор, локализацию баз и контур подрядчиков.
- Собираете ли вы данные клиентов через сайт?
- Есть ли CRM, 1С, call center, личный кабинет, мобильное приложение?
- Обрабатываете ли вы данные сотрудников?
- Есть ли специальные категории данных: медицинские, биометрия, данные детей, финансовые данные?
- Подавали ли уведомление в Роскомнадзор?
- Есть ли политика обработки ПДн на сайте?
- Где физически хранятся базы данных?
- Есть ли подрядчики, которые получают доступ к данным?
3. Утечки и инциденты
Смотрим, есть ли практический порядок действий, если что-то пошло не так.
- Есть ли процедура реагирования на утечку?
- Назначен ли ответственный за взаимодействие с Роскомнадзором?
- Есть ли журнал инцидентов?
- Есть ли план уведомления в течение 24/72 часов?
- Были ли инциденты за последние 12 месяцев?
- Проводилось ли расследование инцидентов?
4. КИИ и регулируемые отрасли
Предварительно определяем, нужен ли разговор о 187-ФЗ и ФСТЭК.
- Работает ли компания в медицине, транспорте, связи, энергетике, промышленности, финансах или госсекторе?
- Есть ли автоматизированные системы управления производством или критичными процессами?
- Есть ли информационные системы, от которых зависит непрерывность важных услуг?
- Проводилась ли предварительная оценка признаков КИИ?
- Создана ли комиссия по категорированию?
- Есть ли документы по модели угроз и мерам защиты?
5. Техническая безопасность
Оцениваем базовую киберустойчивость без доступа к вашим системам.
- Используется ли MFA?
- Есть ли резервные копии?
- Проверялось ли восстановление из резервных копий?
- Есть ли EDR/антивирус на рабочих станциях и серверах?
- Проводился ли пентест за последние 12 месяцев?
- Проводится ли сканирование уязвимостей?
- Есть ли журналирование событий?
- Есть ли SOC/MDR или внешний мониторинг?
- Проходят ли сотрудники обучение по фишингу и социальной инженерии?
6. Зарубежные клиенты
Отдельно проверяем западные требования для экспортных и B2B-команд.
- Есть ли клиенты или пользователи из ЕС?
- Требуют ли клиенты ISO 27001, SOC 2 или security questionnaire?
- Используются ли AI-системы для HR, скоринга, медицины, финансов, биометрии или принятия решений?
- Нужна ли оценка GDPR/NIS2/DORA/AI Act?
Доверие и ограничения
Безопасная самооценка без лишних обещаний
- Методология основана на открытых требованиях регуляторов и лучших практиках ИБ.
- Результат не является юридическим заключением.
- Мы не запрашиваем пароли, конфиденциальные документы или чувствительные данные.
- Для точного заключения требуется полноценный аудит.
Не официальный сервис регулятора
Сайт не выдаёт себя за государственный ресурс и не обещает прохождение проверки.
Методология объяснима
Вопросы сгруппированы по понятным блокам: данные, инциденты, КИИ, техническая ИБ и зарубежные клиенты.
Минимизация данных
Для заявки собираются только контактные поля и комментарий, нужные для обратной связи.
КиберНорма не является государственным органом. Информация носит справочный характер и не заменяет юридическую консультацию или полноценный аудит информационной безопасности.
FAQ
Короткие ответы
Это юридическое заключение?
Нет. Это предварительная самооценка, которая помогает понять возможные зоны риска и подготовиться к разговору со специалистом.
Вы храните конфиденциальные данные?
Опросник не требует загрузки баз данных, паролей, документов ДСП или иной чувствительной информации.
Кому подойдёт проверка?
Компаниям, которые обрабатывают персональные данные, используют сайт/CRM, работают в регулируемых отраслях, проходят тендеры или хотят снизить риск инцидентов.
Можно ли проверить КИИ онлайн?
Онлайн можно провести только предварительную самооценку признаков. Окончательные выводы требуют анализа документов, систем и процессов.
Что происходит после заявки?
Вы получаете краткий gap-report и можете запросить консультацию профильного эксперта.