Экспресс-аудит кибербезопасности и регуляторных рисков

Политика обработки персональных данных

Политика описывает обработку данных из форм заявки, опросника, аналитики, CRM-интеграций и обращений пользователей.

Сайт показывает смысловые блоки, вопросы и маршруты даже при отключённом JavaScript. Интерактивный опросник, расчёт risk score и отправка заявки включаются в полной версии.

Начать проверку Быстрые ответы Sitemap

Документы и безопасность

Политика обработки персональных данных

Эта политика описывает, какие данные обрабатывает сайт КиберНорма, зачем они нужны и как пользователь может запросить уточнение или удаление данных.

1. Оператор и назначение сайта

Оператором персональных данных является владелец сайта kibernorma.ru. Запросы по обработке персональных данных можно направлять через форму обратной связи на сайте.

КиберНорма не является государственным органом и не выдаёт юридическое заключение. Сайт помогает пройти предварительную самооценку кибербезопасности и регуляторных рисков.

2. Какие данные могут обрабатываться

Через форму заявки пользователь может передать имя, рабочий email, телефон, компанию, должность, сайт компании, комментарий и результаты самооценки.

Для аналитики могут обрабатываться технические данные: страница входа, referrer, UTM-метки, тип устройства, примерный источник перехода, идентификатор сессии и события на сайте.

3. Цели обработки

Данные используются для ответа на заявку, подготовки предварительного gap-report, подбора профильного эксперта или партнёра, улучшения сайта и защиты форм от спама.

Сайт не запрашивает пароли, базы данных, документы ДСП, коммерческие тайны или иные чувствительные материалы.

4. Передача данных экспертам и партнёрам

Если пользователь оставляет заявку на консультацию, данные могут быть переданы профильному эксперту или партнёру только в объёме, необходимом для обработки обращения.

Передача данных не означает гарантии соответствия требованиям закона или результата аудита.

5. Аналитика, cookie и UTM-метки

Сайт использует first-party tracking для понимания посещаемости, конверсий и качества страниц. Идентификаторы хранятся в браузере пользователя и не предназначены для сбора лишних персональных данных.

Для веб-аналитики могут использоваться Яндекс.Метрика, Google Tag Manager и Google Analytics 4. В эти системы передаются технические события без содержимого заявок, паролей, документов и чувствительных данных.

При подключении внешних систем аналитики или общей CRM данные передаются только при наличии настроенной интеграции, правового основания и настроек приватности.

6. Сроки хранения и безопасность

Заявки и события хранятся столько, сколько нужно для обработки обращения, аналитики качества сайта и соблюдения законных интересов оператора.

В формах используется согласие на обработку персональных данных, honeypot-поле, базовая проверка спама, дедупликация и ограничение частоты заявок.

7. Права пользователя

Пользователь может запросить информацию об обработке своих данных, уточнение, ограничение обработки или удаление данных, если это применимо к конкретному обращению.

Для запроса достаточно указать контактные данные, по которым была оставлена заявка, и описать суть обращения.

8. Изменения политики

Политика может обновляться при изменении сайта, форм, аналитики, CRM-интеграций или требований к обработке персональных данных.

Интерактивный аудит

Вопросы экспресс-аудита видны без JavaScript

Если JavaScript отключён, пользователь всё равно видит структуру опросника, направления проверки и список данных, которые потребуются для gap-report. Интерактивный расчёт risk score включается в обычной версии сайта.

1. Компания

Профиль бизнеса нужен, чтобы не смешивать разные регуляторные сценарии.

Ваша отрасль
Размер компании
Регион работы
Ваша роль

2. Персональные данные

Проверяем 152-ФЗ, Роскомнадзор, локализацию баз и контур подрядчиков.

Собираете ли вы данные клиентов через сайт?
Есть ли CRM, 1С, call center, личный кабинет, мобильное приложение?
Обрабатываете ли вы данные сотрудников?
Есть ли специальные категории данных: медицинские, биометрия, данные детей, финансовые данные?
Подавали ли уведомление в Роскомнадзор?
Есть ли политика обработки ПДн на сайте?
Где физически хранятся базы данных?
Есть ли подрядчики, которые получают доступ к данным?

3. Утечки и инциденты

Смотрим, есть ли практический порядок действий, если что-то пошло не так.

Есть ли процедура реагирования на утечку?
Назначен ли ответственный за взаимодействие с Роскомнадзором?
Есть ли журнал инцидентов?
Есть ли план уведомления в течение 24/72 часов?
Были ли инциденты за последние 12 месяцев?
Проводилось ли расследование инцидентов?

4. КИИ и регулируемые отрасли

Предварительно определяем, нужен ли разговор о 187-ФЗ и ФСТЭК.

Работает ли компания в медицине, транспорте, связи, энергетике, промышленности, финансах или госсекторе?
Есть ли автоматизированные системы управления производством или критичными процессами?
Есть ли информационные системы, от которых зависит непрерывность важных услуг?
Проводилась ли предварительная оценка признаков КИИ?
Создана ли комиссия по категорированию?
Есть ли документы по модели угроз и мерам защиты?

5. Техническая безопасность

Оцениваем базовую киберустойчивость без доступа к вашим системам.

Используется ли MFA?
Есть ли резервные копии?
Проверялось ли восстановление из резервных копий?
Есть ли EDR/антивирус на рабочих станциях и серверах?
Проводился ли пентест за последние 12 месяцев?
Проводится ли сканирование уязвимостей?
Есть ли журналирование событий?
Есть ли SOC/MDR или внешний мониторинг?
Проходят ли сотрудники обучение по фишингу и социальной инженерии?

6. Зарубежные клиенты

Отдельно проверяем западные требования для экспортных и B2B-команд.

Есть ли клиенты или пользователи из ЕС?
Требуют ли клиенты ISO 27001, SOC 2 или security questionnaire?
Используются ли AI-системы для HR, скоринга, медицины, финансов, биометрии или принятия решений?
Нужна ли оценка GDPR/NIS2/DORA/AI Act?

Доверие и ограничения

Безопасная самооценка без лишних обещаний

Методология основана на открытых требованиях регуляторов и лучших практиках ИБ.
Результат не является юридическим заключением.
Мы не запрашиваем пароли, конфиденциальные документы или чувствительные данные.
Для точного заключения требуется полноценный аудит.

Не официальный сервис регулятора

Сайт не выдаёт себя за государственный ресурс и не обещает прохождение проверки.

Методология объяснима

Вопросы сгруппированы по понятным блокам: данные, инциденты, КИИ, техническая ИБ и зарубежные клиенты.

Минимизация данных

Для заявки собираются только контактные поля и комментарий, нужные для обратной связи.

КиберНорма не является государственным органом. Информация носит справочный характер и не заменяет юридическую консультацию или полноценный аудит информационной безопасности.

FAQ

Короткие ответы

Это юридическое заключение?

Нет. Это предварительная самооценка, которая помогает понять возможные зоны риска и подготовиться к разговору со специалистом.

Вы храните конфиденциальные данные?

Опросник не требует загрузки баз данных, паролей, документов ДСП или иной чувствительной информации.

Кому подойдёт проверка?

Компаниям, которые обрабатывают персональные данные, используют сайт/CRM, работают в регулируемых отраслях, проходят тендеры или хотят снизить риск инцидентов.

Можно ли проверить КИИ онлайн?

Онлайн можно провести только предварительную самооценку признаков. Окончательные выводы требуют анализа документов, систем и процессов.

Что происходит после заявки?

Вы получаете краткий gap-report и можете запросить консультацию профильного эксперта.