Кому нужен двойной compliance

Двойной compliance возникает у компаний, которые одновременно работают на двух «рынках регулирования»:

Таких компаний в России к 2026 году становится больше — часть международных клиентов российских B2B-сервисов запрашивают SOC 2 в качестве baseline, а SOC 2-сертифицированные решения на международном рынке стоят дороже.

Эта статья — для CISO и ИТ-директоров, которые выстраивают систему соответствия в условиях, когда РКН, ФСТЭК, аудитор SOC 2 и иногда ISO-аудитор смотрят на одну и ту же инфраструктуру с разных сторон.

Что такое SOC 2 Type II и ФЗ-152

SOC 2 Type II

Это отчёт аудиторской компании (по AICPA Trust Services Criteria), подтверждающий, что система внутреннего контроля организации эффективно работала в течение периода — обычно 6–12 месяцев. Аудит могут проводить Big4 (Deloitte, KPMG, EY, PwC) или mid-tier компании. Сертификата «как у ISO» нет — есть отчёт.

Критерии TSC включают 5 категорий: Security, Availability, Processing Integrity, Confidentiality, Privacy. Для IT-сервисов обычно проверяют Security и Availability, остальные — по желанию.

ФЗ-152

Федеральный закон № 152-ФЗ «О персональных данных» (1999 года, с поправками 2006, 2011, 2014, 2023, 2025). Регулирует обработку ПДн в России. Конкретные требования по реализации — в приказах ФСТЭК (№ 17, № 21, № 239), постановлениях Правительства (№ 1119 — уровни защищённости ИСПДн).

Сертификата тоже нет, есть «аттестат соответствия» ИСПДн (выдаёт аккредитованная ФСТЭК лаборатория) и проверки Роскомнадзора.

Пересечение контролей: что совпадает

По опыту работы с компаниями, которые проходят обе регуляторики, реальное пересечение — 60–70% контролей. Ниже — таблица соответствия по основным направлениям.

КонтрольSOC 2 TSCФЗ-152 / ФСТЭКПересечение
Журнал аудита доступаCC7.2 — LoggingПриказ ФСТЭК №239, п. 16~95%
Контроль доступа (RBAC, принцип минимума привилегий)CC6.1, CC6.3Приказ ФСТЭК №17, п. 12~90%
Шифрование канала связиCC6.6Приказ ФСТЭК №17, п. 14~85%
Управление инцидентамиCC7.3–CC7.5Приказ ФСТЭК №17, п. 26~80%
Оценка рисков и поставщиковCC3.1, CC9.2Приказ ФСТЭК №17, п. 7~75%
Управление изменениями (change management)CC8.1Приказ ФСТЭК №17, п. 22~70%
Резервное копирование и восстановлениеCC7.5, A1.2Приказ ФСТЭК №17, п. 19~70%
Обучение персонала (security awareness)CC1.4Приказ ФСТЭК №17, п. 31~75%

Оценка: цифры «процента пересечения» — экспертная оценка авторов, основанная на наблюдениях по проектам 2024–2026 годов. Для каждой конкретной компании могут отличаться.

Уникальные требования каждой регуляторики

Оставшиеся 30–40% — это различия. Их важно понимать, чтобы аудит обеих регуляторик не оказался сюрпризом.

Уникально для SOC 2 Type II

Уникально для ФЗ-152 / ФСТЭК

Кейс: компания N с трафиком в ЕС и РФ

Названия, цифры и отрасль изменены. Источник — публичное выступление CISO компании N на SOC Forum 2025.

Компания N — российский разработчик B2B SaaS для логистики, ~180 сотрудников, офисы в Москве и Алматы, клиенты в СНГ и ЕС.

Исходная ситуация (2024 год):

Решение:

Результат (2025 год, по словам CISO компании N): контракт с европейскими клиентами сохранён, регуляторика ФЗ-152 закрыта, штат ИБ-команды вырос на 2 человека, операционные расходы на compliance выросли на 18–22%.

«Главный урок, — цитирует CISO, — нужно было начинать обе регуляторики параллельно с самого старта, а не готовить их одна за другой. Каждый аудит SOC 2 цикл — 6–12 месяцев, и за это время требования ФСТЭК уже успевают обновиться».

Чек-лист двойного соответствия для VPN

  1. Карта данных. Какие категории данных обрабатываются, где хранятся, через какие VPN-контуры идут.
  2. Локализация. Серверы для российских ПДн — в РФ. Журнал аудита — в РФ.
  3. Шифрование. AES-256-GCM или ChaCha20 для трафика + TLS 1.3 для управляющих каналов.
  4. Журнал аудита с экспортом в SIEM. SOC 2 требует 6+ месяцев истории; ФЗ-152 — минимум 30 дней.
  5. RBAC и принцип минимума привилегий. Документировано в System Description (SOC 2) и в модели угроз (ФСТЭК).
  6. MFA на вход в VPN. Через IdP (TOTP, WebAuthn).
  7. Управление инцидентами. Процедура documented, с конкретными SLA и эскалацией.
  8. Оценка поставщиков. Subcontractor list для SOC 2 + оценка соответствия поставщика ПДн требованиям ФЗ-152 для российских регуляторов.
  9. Согласия субъектов — для российских ПДн. Для зарубежных — DPA, Standard Contractual Clauses (если ЕС).
  10. Обучение персонала — ежегодное, с тестом по итогам. Подходит под обе регуляторики.
  11. Периодический аудит — раз в год (или чаще) — внутренний, плюс ежегодный внешний от внешнего аудитора.
  12. Change management — все изменения в production через заявку + ревью + post-mortem.

Дорожная карта двойного соответствия на 12 месяцев

Реалистичный план для команд среднего размера (50–500 человек).

Месяцы 1–3: разведка и подготовка

Месяцы 4–6: внедрение технических мер

Месяцы 7–9: организационные меры

Месяцы 10–12: аудиты

Ключевая ошибка — начинать с аудита. Аудит проверяет, что уже работает. Сначала — система, потом — её проверка. Без этой последовательности компании обычно получают «не готовы, вернёмся через год».

Инструменты, которые помогают вести двойной compliance

FAQ

Можно ли пройти SOC 2 Type II и соответствовать ФЗ-152 одновременно?
Да, в большинстве случаев. SOC 2 и ФЗ-152 пересекаются примерно на 60–70% контролей: журнал аудита, контроль доступа, шифрование, оценка поставщиков. Оставшиеся 30–40% — уникальные требования (локализация данных в РФ для ФЗ-152, формальные Trust Services Criteria для SOC 2). Практика показывает, что аудитор SOC 2 почти никогда не спрашивает данные о российских регуляторах, а РКН не имеет полномочий на SOC 2 — но обе регуляторики успешно живут в одной ИСПДн.
Что дороже — SOC 2 Type II или аттестация по ФЗ-152?
По оценкам рынка в 2026 году: SOC 2 Type II аудит — $50 000–150 000 (включая работу аудиторской компании Big4 или mid-tier), плюс 6–12 месяцев подготовки. Аттестация по ФЗ-152 (через ФСТЭК или аккредитованную лабораторию) — ₽ 500 000–2 000 000 + 3–6 месяцев. Прямое сравнение затруднительно — форматы разные, но для большинства компаний SOC 2 ощутимо дороже.
Нужен ли GDPR если есть ФЗ-152?
Зависит от того, кого вы обрабатываете. Если только российские субъекты — ФЗ-152 достаточно. Если у вас есть клиенты или сотрудники в ЕС и вы мониторите их поведение, предлагаете товар/услугу — GDPR тоже применяется. На практике международные российские компании ведут обе регуляторики параллельно, что создаёт двойной compliance.