Уволенный сотрудник, сгоревший сервер и проблемный облачный провайдер: новые стандарты IT-комплаенса

Что такое IT-комплаенс для бизнеса

IT-комплаенс — это система правил, по которым компания настраивает и использует свои цифровые системы. Его цель — гарантировать, что работа с данными, их безопасность, доступность и целостность соответствуют всем необходимым требованиям.

Эти требования могут исходить из нескольких источников:

— законодательства (например, законов о защите персональных данных);

— внутренних правил самой компании;

— договоров с клиентами и партнёрами.

При этом сами требования могут быть разного характера:

― конкретные предписания, которые чаще встречаются во внутренних документах и контрактах. Например: «резервное копирование должно проводиться ежедневно, данные хранятся пять лет»;

― принципиальные нормы, обычно закреплённые в законах и государственных стандартах. В этом случае регулятор формулирует цель, а компания самостоятельно определяет способы её достижения с учётом масштаба и специфики бизнеса.

Кому это нужно? Всем, но в разной степени. Чем крупнее и значимее компания, тем вероятнее, что для соблюдения принципов IT-комплаенса потребуется отдельный специалист или целый отдел.

Строже всего требования к компаниям критической инфраструктуры: финансы, энергетика, здравоохранение, транспорт, IT-сектор и прочие.

Для них комплаенс — обязательная часть лицензирования, что часто подразумевает регулярный аудит. Средний бизнес, особенно работающий с персональными данными или по госзаказу, тоже сталкивается с жёсткими отраслевыми требованиями. Соблюдать базовое законодательство обязан и малый бизнес — например, защищать данные клиентов от утечек.

Понятия IT-безопасности и IT-комплаенса часто смешивают, хотя их суть различна.

IT-безопасность — это практика защиты. Сюда относятся конкретные технологии, процессы и меры: межсетевые экраны, шифрование, системы обнаружения вторжений, политики управления доступом.

IT-комплаенс — это доказательство соответствия. То есть процесс соблюдения внешних и внутренних требований (стандартов, законов, контрактов) к указанным практикам безопасности. Он призван подтвердить, что ваша защита соответствует установленным нормам.

Комплаенс задаёт цель, чтобы данные были защищены от несанкционированного доступа, а безопасность — это инструменты её достижения.

Доступ к данным у уволенных сотрудников, резервные копии, сторонние сервисы: как будет работать IT-комплаенс в 2026-м

1. Управление доступами сотрудников

Основной источник рисков — неупорядоченные учётные записи. Компании должны выстроить прозрачный и контролируемый процесс:

― автоматическое отключение всех доступов в день увольнения;

― регулярный пересмотр прав действующих сотрудников с применением принципа минимальных привилегий;

― обязательная проверка действий: кто, когда и к каким системам обращался.

Задача комплаенса — исключить устаревшие доступы и избыточные права, которые могут привести к утечкам и внутренним инцидентам.

2. Подтверждённая отказоустойчивость

Резервное копирование перестаёт быть формальностью. Важно не просто делать бэкапы, а уметь их использовать:

― резервные копии должны создаваться по утверждённому графику;

― процедуры восстановления необходимо регулярно тестировать (например, раз в квартал) и фиксировать результаты;

― копии должны храниться изолированно и быть защищены от вирусов и несанкционированного доступа.

Компании должны уметь доказать, что восстановление данных реально работает, а не существует только на бумаге.

3. Контроль сторонних IT-рисков

Использование «облака» и решений по модели SaaS («ПО как услуга») не снимает ответственности с компании. В зоне внимания:

― полный реестр всех внешних сервисов;

― юридически оформленные гарантии со стороны провайдеров (соглашения SLA об уровне сервиса между заказчиком и исполнителем и DPA — о защите персональных данных);

― заранее подготовленный план миграции на альтернативное решение при сбое, изменении условий или росте цен.

При передаче данных или IT-функций подрядчику важно понимать:

― где физически хранятся данные;

― какое законодательство на них распространяется;

― есть ли у компании право проводить аудит поставщика.

Комплаенс становится непрерывным процессом демонстрации реального контроля, а не набором формальных отчётов.

IT-комплаенс в 2026 году — порядок в компании и снижение рисков

Если раньше акцент делался на соглашениях и политике конфиденциальности, то теперь ключевые вопросы другие: кто имеет доступ к критическим системам, что произойдёт при отказе сервера и как быстро бизнес сможет восстановиться. Безопасность всё чаще рассматривается через призму отказоустойчивости CRM (систем управления взаимоотношениями с клиентами), а также бухгалтерии и систем документооборота.

Основные угрозы и приоритетные меры

1. Хаос в доступах — прямой путь к утечкам

Устаревшие учётные записи и избыточные привилегии в доступах повышают риск внутренних инцидентов.

Что важно сделать:

― составить перечень всех используемых информационных систем;

― закрыть доступ уволенным сотрудникам;

― пересмотреть и сократить права текущего персонала по принципу «необходимого минимума».

Базовая мера: внедрение двухфакторной аутентификации для критически важных систем.

2. Непроверенные бэкапы — риск остановки бизнеса

Отсутствие рабочих резервных копий при атаке на оборудование или его поломке может привести к длительному простою.

На что обратить внимание:

― где именно хранятся копии (локальные носители — самый уязвимый вариант);

― как часто создаются бэкапы;

― проводится ли регулярное тестирование восстановления.

Базовая мера: назначение ответственного лица и утверждение понятного регламента резервного копирования с обязательной проверкой результатов.

3. Зависимость от внешних сервисов — скрытая угроза

Сбой или отключение стороннего сервиса может остановить критически важный бизнес-процесс.

Необходимо:

― зафиксировать все используемые внешние IT-сервисы;

― определить, какие из них критичны для бизнеса;

― проверить условия SLA-соглашений и ответственность провайдеров.

Для каждого ключевого для работы сервиса должен существовать план быстрого перехода на альтернативное решение.