От локальных стандартов к единой системе ИБ-комплаенса

Аркадий Прокудин, коммерческий директор Compliance Control: «Нагрузка на отделы комплаенса растет как со стороны внешних требований, так и внутри компаний. Нужно не только соблюдать законы и правила, но и обеспечивать их выполнение на всех уровнях бизнеса. Одна из наших задач – обеспечение соответствия международным и локальным стандартам, а также автоматизация функции комплайенса».

Аркадий, добрый день! Вы коммерческий директор Compliance Control, работающей в сфере ИБ-комплаенса. Как развивается эта сфера в России и насколько ощутимо международное влияние?

Добрый день. Если говорить про ИБ-комплаенс, в России и соседних странах эта сфера развивается активно. Сегодня комплаенс уже не является узкой функцией внутри ИБ: на практике он затрагивает IT, управление рисками, внутренний контроль, финансы и операционную устойчивость. Исторически российский рынок опирался на локальное регулирование, но по мере цифровизации бизнеса и роста требований к защите данных он все плотнее соприкасается с международными подходами. Это особенно заметно в банковской сфере, финтехе, ритейле и на маркетплейсах.

В каких отраслях развивается ваш бизнес?

Уже 14 лет мы работаем в области аудита и оценки соответствия стандартам безопасности для организаций из разных стран и отраслей. Сегодня у нас более 2000 клиентов. В качестве ключевых направлений мы выбрали банковскую сферу, финтех, ритейл и маркетплейсы – те сегменты, где цена ошибок в вопросах безопасности и соответствия требованиям особенно высока. По итогам 2025 года Compliance Control заняла 4-е место в мире по количеству аудитов PCI DSS, а в регионе CEMEA – 1-е место среди аудиторских компаний.

С какими регионами вы работаете?

Мы работаем в 55 странах мира. Только за 2025 год нами были реализованы более 900 проектов. Для нас международное присутствие – это не только география бизнеса, но и обмен практикой между рынками. Головной офис группы находится в Москве, также у нас есть офисы в Казахстане, Узбекистане и ОАЭ.

Отмечу, что под «работой» с регионами мы имеем в виду не только реализацию проектов и постоянное сотрудничество, но и совместное проведение мероприятий, объединяющих экспертов из разных стран и сфер бизнеса. Одним из таких мероприятий является международная конференция «Финтех в безопасности», ежегодно проходящая в РФ, Казахстане, Узбекистане и Таджикистане.

Аркадий Прокудин на конференции «Финтех в безопасности 2025» в Казахстане

Учитывая географию ваших проектов, существует ли, на Ваш взгляд, взаимное влияние стандартов России и других стран?

Разумеется, существует. Один из самых наглядных примеров – сфера защиты персональных данных. В России действует собственный нормативный контур, включая требования 152-ФЗ, в Европейском союзе – GDPR, в странах Азии – PDPL и т.д. В разных регионах действуют свои режимы регулирования в области защиты данных, адаптированные под национальную специфику. Для бизнеса сложность состоит не только в количестве требований, но и в том, что они различаются по структуре и механике исполнения. Поэтому систематизация таких требований становится отдельной управленческой задачей.

С какими международными стандартами и режимами регулирования наиболее тесно связана деятельность вашей компании?

Одним из ключевых направлений нашей деятельности уже 14 лет остается PCI DSS – базовый международный стандарт в области защиты данных платежных карт.

Также я бы отметил SWIFT CSP и ISO 27001 и стандарты в области защиты данных, цифровой устойчивости и регулирования новых финансовых инструментов, включая GDPR, MiCA и DORA.

Как связаны ключевые направления вашего бизнеса – банковская сфера, финтех, ритейл, маркетплейсы?

В первую очередь, эти отрасли объединяет платежная инфраструктура, движение денежных средств и доверие к цифровым транзакциям. Многолетний опыт работы с компаниями этих сфер привёл нас к созданию так называемой «Вселенной безопасных платежей» – концепции, которая призвана отразить взаимосвязь между всеми упомянутыми игроками рынка.

Созданная нами концепция также позволяет наглядно представить огромное разнообразие стандартов и норм безопасности платёжных систем с учётом их национальной и отраслевой специфики.

Можно ли одновременно успешно выполнять российские и международные требования? Как вы помогаете упорядочивать их клиентам?

Сегодня это одна из приоритетных практических задач для бизнеса. Мы часто видим ситуацию, когда компании необходимо одновременно выполнять локальные нормативные акты, международные требования и отраслевые регламенты. Вручную управлять таким массивом становится все сложнее. Поэтому бизнес требует инструмент, который позволяет видеть картину целиком: где компания находится с точки зрения соответствия требованиям, какие подразделения вовлечены, где возникают просадки и что необходимо доработать до начала внешней проверки. Исходя из этой потребности, мы вывели на рынок Compliance App – решение, которое позволяет в реальном времени отслеживать уровень соответствия, видеть отклонения и вовремя на них реагировать.

Есть ли возможность автоматизировать или хотя бы систематизировать контроль за соблюдением требований? Или каждый раз приходится начинать подготовку заново?

Во многих компаниях аудит до сих пор воспринимается как разовая акция. Но сегодня все более востребован другой подход – continued compliance, то есть постоянное соответствие заявленным требованиям и непрерывный контроль за их исполнением. Это более зрелая модель, потому что она позволяет не готовиться к аудиту в авральном режиме, а поддерживать необходимый уровень соответствия. Именно под такую модель мы развиваем Compliance App: решение позволяет видеть статус выполнения требований, быстро обнаруживать отклонения и вовремя корректировать процессы.

Какие ключевые тренды вы сегодня видите в сфере финтеха?

Главный тренд – усложнение цифровой и платежной инфраструктуры бизнеса. У компаний становится больше цифровых сервисов, интеграций, точек обработки данных и, соответственно, больше требований, которые нужно соблюдать одновременно. На этом фоне особенно заметно растет запрос не на разовую проверку, а на постоянное управление соответствием стандартам.

Что подталкивает организации к прохождению аудитов ИБ? Только требования регулятора или что-то еще?

Регуляторный фактор важен. Но я бы не сводил смысл аудита только к получению сертификата. На мой взгляд, аудит – это прежде всего инструмент доверия. Он позволяет показать партнерам, клиентам и инвесторам, что организация выстроила процессы в соответствии с признанными требованиями безопасности. Кроме того, успешное прохождение аудита формирует для компании рыночное преимущество: это показатель зрелости управления, надежности инфраструктуры и серьезного отношения к безопасности.

Что происходит, если клиент не может с первого раза пройти проверку из-за несоответствия требованиям? Как эту проблему можно решить?

Сложные международные аудиты без подготовки, как правило, не проходят с первого раза. Обычно возможны два сценария. Первый – предварительный аудит, в рамках которого мы оцениваем, что уже соответствует требованиям, а что требует доработки. После этого клиент получает перечень несоответствий и может устранить их своими силами. Второй сценарий – сервисная модель, когда у клиента нет внутренних ресурсов или компетенций, чтобы закрыть все требования самостоятельно. В этом случае мы подключаем к проблемным направлениям в формате MSSP команду экспертов Rakasta, которая помогает довести систему безопасности до необходимого уровня.

Часто ли вы сталкиваетесь с проблемой выстраивания диалога между заказчиком и его руководством о том, что меры ИБ действительно необходимы и требуют вложений?

Да, такая проблема существует. Не все компании воспринимают ИБ как функцию, которая помогает бизнесу двигаться вперед. Нередко на нее смотрят как на обязательный «оброк». В таких условиях именно регуляторные требования, аудит или внешняя проверка становятся для команды безопасности инструментом разговора с руководством на языке рисков, последствий и обоснованных инвестиций.

Для материала, можете поделиться показательным кейсом?

Один из таких кейсов – проект с банком из соседней республики, который мы сопровождаем уже несколько лет. Клиент был заинтересован в получении сертификата, но долго не мог закрыть все необходимые требования. На одной из встреч руководитель направления кибербезопасности сказал нам: «Пожалуйста, не выдавайте нам сертификат, пока мы действительно все не сделаем». Для команды ИБ сам аудит стал аргументом в диалоге с руководством: появилась возможность объяснить, зачем нужны инвестиции, дополнительные специалисты и системные меры защиты. Это хороший пример того, как внешняя проверка становится внутренним драйвером зрелости.