Кому нужен двойной compliance
Двойной compliance возникает у компаний, которые одновременно работают на двух «рынках регулирования»:
- Российские клиенты и сотрудники → нужно соблюдать ФЗ-152, приказы ФСТЭК, иногда — требования отраслевого регулятора (банки — ЦБ, операторы связи — Роскомнадзор).
- Зарубежные клиенты, контрагенты или партнёры → часто требуют SOC 2 Type II (американский стандарт) или ISO 27001 (международный).
Таких компаний в России к 2026 году становится больше — часть международных клиентов российских B2B-сервисов запрашивают SOC 2 в качестве baseline, а SOC 2-сертифицированные решения на международном рынке стоят дороже.
Эта статья — для CISO и ИТ-директоров, которые выстраивают систему соответствия в условиях, когда РКН, ФСТЭК, аудитор SOC 2 и иногда ISO-аудитор смотрят на одну и ту же инфраструктуру с разных сторон.
Что такое SOC 2 Type II и ФЗ-152
SOC 2 Type II
Это отчёт аудиторской компании (по AICPA Trust Services Criteria), подтверждающий, что система внутреннего контроля организации эффективно работала в течение периода — обычно 6–12 месяцев. Аудит могут проводить Big4 (Deloitte, KPMG, EY, PwC) или mid-tier компании. Сертификата «как у ISO» нет — есть отчёт.
Критерии TSC включают 5 категорий: Security, Availability, Processing Integrity, Confidentiality, Privacy. Для IT-сервисов обычно проверяют Security и Availability, остальные — по желанию.
ФЗ-152
Федеральный закон № 152-ФЗ «О персональных данных» (1999 года, с поправками 2006, 2011, 2014, 2023, 2025). Регулирует обработку ПДн в России. Конкретные требования по реализации — в приказах ФСТЭК (№ 17, № 21, № 239), постановлениях Правительства (№ 1119 — уровни защищённости ИСПДн).
Сертификата тоже нет, есть «аттестат соответствия» ИСПДн (выдаёт аккредитованная ФСТЭК лаборатория) и проверки Роскомнадзора.
Пересечение контролей: что совпадает
По опыту работы с компаниями, которые проходят обе регуляторики, реальное пересечение — 60–70% контролей. Ниже — таблица соответствия по основным направлениям.
| Контроль | SOC 2 TSC | ФЗ-152 / ФСТЭК | Пересечение |
|---|---|---|---|
| Журнал аудита доступа | CC7.2 — Logging | Приказ ФСТЭК №239, п. 16 | ~95% |
| Контроль доступа (RBAC, принцип минимума привилегий) | CC6.1, CC6.3 | Приказ ФСТЭК №17, п. 12 | ~90% |
| Шифрование канала связи | CC6.6 | Приказ ФСТЭК №17, п. 14 | ~85% |
| Управление инцидентами | CC7.3–CC7.5 | Приказ ФСТЭК №17, п. 26 | ~80% |
| Оценка рисков и поставщиков | CC3.1, CC9.2 | Приказ ФСТЭК №17, п. 7 | ~75% |
| Управление изменениями (change management) | CC8.1 | Приказ ФСТЭК №17, п. 22 | ~70% |
| Резервное копирование и восстановление | CC7.5, A1.2 | Приказ ФСТЭК №17, п. 19 | ~70% |
| Обучение персонала (security awareness) | CC1.4 | Приказ ФСТЭК №17, п. 31 | ~75% |
Оценка: цифры «процента пересечения» — экспертная оценка авторов, основанная на наблюдениях по проектам 2024–2026 годов. Для каждой конкретной компании могут отличаться.
Уникальные требования каждой регуляторики
Оставшиеся 30–40% — это различия. Их важно понимать, чтобы аудит обеих регуляторик не оказался сюрпризом.
Уникально для SOC 2 Type II
- Период наблюдения 6–12 месяцев. Аудитор смотрит не на политику, а на то, что политика реально работала. Без журнала за период отчёт не примут.
- System Description. Подробное описание системы: какие компоненты, какие данные, какие поставщики, какой периметр. Документ на 30–80 страниц.
- Subservice organizations. Если задействованы подрядчики (например, AWS / Google Cloud), их SOC 2 нужно либо прикладывать как carve-out, либо описывать как complementary controls.
- Trust Services Criteria формализованы. 5 критериев, 100+ контрольных точек — есть чёткий список, что именно проверяется.
Уникально для ФЗ-152 / ФСТЭК
- Локализация данных. Серверы должны физически располагаться в РФ (ст. 18 ч. 5). Аудитор SOC 2 об этом не спрашивает, РКН и ФСТЭК — основной вопрос.
- Уведомление Роскомнадзора. Оператор ПДн подаёт уведомление в РКН до начала обработки.
- Согласие субъекта. В большинстве случаев обработка требует письменного согласия, форма которого определена законом.
- Аттестат соответствия ИСПДн. Необходим для систем, обрабатывающих специальные категории ПДн или биометрию.
- Классификация ИСПДн по уровням (УЗ-1..УЗ-4) определяет набор технических мер.
Кейс: компания N с трафиком в ЕС и РФ
Названия, цифры и отрасль изменены. Источник — публичное выступление CISO компании N на SOC Forum 2025.
Компания N — российский разработчик B2B SaaS для логистики, ~180 сотрудников, офисы в Москве и Алматы, клиенты в СНГ и ЕС.
Исходная ситуация (2024 год):
- Зарубежный VPN (NordLayer), корпоративные данные в AWS Frankfurt.
- Из ЕС клиенты в 2024 году запросили SOC 2 Type II — без него не продлили контракт.
- Параллельно ФСТЭК предупредил, что компания попадает под обновлённые требования к ИСПДн уровня УЗ-2 (обработка данных представителей клиентов).
Решение:
- Перенесли критичные ПДн на российский ЦОД (Москва) — соответствие ФЗ-152.
- Перенесли часть инфраструктуры (dev/staging) в российский регион Yandex Cloud.
- Подняли отдельный VPN-контур с серверами в РФ для обработки российских ПДн.
- Для международной части трафика оставили VPN с серверами в ЕС.
- Зафиксировали архитектуру в System Description, прошли SOC 2 Type II за 8 месяцев.
Результат (2025 год, по словам CISO компании N): контракт с европейскими клиентами сохранён, регуляторика ФЗ-152 закрыта, штат ИБ-команды вырос на 2 человека, операционные расходы на compliance выросли на 18–22%.
«Главный урок, — цитирует CISO, — нужно было начинать обе регуляторики параллельно с самого старта, а не готовить их одна за другой. Каждый аудит SOC 2 цикл — 6–12 месяцев, и за это время требования ФСТЭК уже успевают обновиться».
Чек-лист двойного соответствия для VPN
- Карта данных. Какие категории данных обрабатываются, где хранятся, через какие VPN-контуры идут.
- Локализация. Серверы для российских ПДн — в РФ. Журнал аудита — в РФ.
- Шифрование. AES-256-GCM или ChaCha20 для трафика + TLS 1.3 для управляющих каналов.
- Журнал аудита с экспортом в SIEM. SOC 2 требует 6+ месяцев истории; ФЗ-152 — минимум 30 дней.
- RBAC и принцип минимума привилегий. Документировано в System Description (SOC 2) и в модели угроз (ФСТЭК).
- MFA на вход в VPN. Через IdP (TOTP, WebAuthn).
- Управление инцидентами. Процедура documented, с конкретными SLA и эскалацией.
- Оценка поставщиков. Subcontractor list для SOC 2 + оценка соответствия поставщика ПДн требованиям ФЗ-152 для российских регуляторов.
- Согласия субъектов — для российских ПДн. Для зарубежных — DPA, Standard Contractual Clauses (если ЕС).
- Обучение персонала — ежегодное, с тестом по итогам. Подходит под обе регуляторики.
- Периодический аудит — раз в год (или чаще) — внутренний, плюс ежегодный внешний от внешнего аудитора.
- Change management — все изменения в production через заявку + ревью + post-mortem.
Дорожная карта двойного соответствия на 12 месяцев
Реалистичный план для команд среднего размера (50–500 человек).
Месяцы 1–3: разведка и подготовка
- Назначить владельца процесса (часто — CISO, реже — Risk Manager).
- Описать периметр: какие системы, какие данные, какие юрисдикции.
- Зафиксировать список контролей, которые покрывают обе регуляторики.
- Заключить договор с SOC 2-аудитором (Big4 или mid-tier) и с лабораторией ФСТЭК.
Месяцы 4–6: внедрение технических мер
- Локализация данных в РФ для критичных систем.
- Журнал аудита с экспортом в SIEM.
- RBAC и принцип минимума привилегий.
- Шифрование данных в покое и при передаче.
Месяцы 7–9: организационные меры
- Обучение персонала (security awareness).
- Регламент реагирования на инциденты.
- Уведомление Роскомнадзора (если не подано).
- Согласия субъектов ПДн.
Месяцы 10–12: аудиты
- SOC 2 Type II — наблюдательный период, сбор доказательств аудитором.
- Аттестация ИСПДн (если уровень УЗ-1/УЗ-2).
- Подготовка отчёта SOC 2 и аттестата соответствия.
Ключевая ошибка — начинать с аудита. Аудит проверяет, что уже работает. Сначала — система, потом — её проверка. Без этой последовательности компании обычно получают «не готовы, вернёмся через год».
Инструменты, которые помогают вести двойной compliance
- Drata, Vanta, Tugboat Logic — платформы автоматизации SOC 2, поддерживают и часть российских контролей.
- Tenable, Qualys — управление уязвимостями, нужны обеим регуляторикам.
- KUMA, MaxPatrol SIEM, Splunk, ELK — SIEM для журнала аудита и реагирования на инциденты.
- SNow (ServiceNow GRC), Naumen, BPM — для российских компаний: процессы ИБ и риск-менеджмента.