Аудит персональных данных: выявляем нарушения 152-ФЗ до того, как их найдёт Роскомнадзор.

Проверяем ваши информационные системы, документы и сайт по требованиям 152-ФЗ. Выдаём акт с планом устранения, а при необходимости приводим обработку в соответствие под ключ – по договору, с одной точкой ответственности.

Это не онлайн-виджет и не чек-лист для самостоятельного заполнения: аудит проводит инженер по защите информации из компании с лицензией ФСТЭК, а заключение можно представить при проверке РКН и в суде.

Лицензия ФСТЭКна техническую защиту конфиденциальной информации
Работаем по договору, 44-ФЗ/223-ФЗполный пакет закрывающих документов
На рынке с 1993 годаболее 30 лет в ИБ и ИТ

Кому нужен аудит персональных данных и когда его проводят

Аудит заказывают в конкретных ситуациях – когда растут риск нарушения и размер ответственности. Типовые поводы:

  • Готовитесь к проверке Роскомнадзора – плановой (график публикуется на год) или внезапной, по жалобе субъекта либо после публичного инцидента. Аудит, проведённый заранее, оставляет время устранить нарушения до визита инспектора.
  • Хотите оценить финансовые риски. Роскомнадзор усилил автоматический мониторинг, а ответственность операторов ужесточилась: за нарушения при обработке персональных данных установлена административная ответственность по ст. 13.11 КоАП РФ – по ряду составов штрафы для юрлиц достигают миллионов рублей, а за повторную утечку с 30.05.2025 действует оборотный штраф до 3 % годовой выручки.
  • Крупный контрагент или тендер требует подтверждения соответствия. Всё чаще в договорах и тендерной документации появляется пункт о соответствии 152-ФЗ, а служба безопасности заказчика запрашивает акт независимого аудита.
  • Произошёл или назревает инцидент – утечка данных. Ответственность не ограничивается штрафом для компании: за незаконный оборот персональных данных предусмотрена уголовная ответственность по ст. 272.1 УК РФ. Отвечает по ней не организация, а конкретный человек – сотрудник или руководитель, чьи действия привели к утечке. Аудит заранее выявляет возможные каналы утечки; по итогам вы получаете готовый регламент реагирования.
  • Внедрили новую систему – CRM, облачный сервис, HR-платформу – сменили ответственного за обработку или переехали на новый хостинг. Любое такое изменение может привести к нарушению требований 152-ФЗ.
  • Обрабатываете чувствительные данные – специальные категории (здоровье, судимости), биометрию, медицинские сведения. К таким данным требования защиты выше, а контроль регулятора строже.

Внутренний аудит и контроль обработки – не разовая формальность, а прямая обязанность оператора. Закон требует, чтобы оператор сам оценивал вред, который может быть причинён субъектам, и регулярно проверял соответствие обработки требованиям закона (152-ФЗ, ст. 18.1, ч. 1, пп. 4 и 5). Аудит – способ исполнить эту обязанность силами профильных специалистов.

Когда достаточно самопроверки. Для быстрой предварительной оценки сайта есть онлайн-инструменты – они дают приблизительный результат за несколько минут. Для регуляторных целей, сложных информационных систем и данных с высокой ценой ошибки нужен аудит с ручной юридической экспертизой и актом, который примет проверяющий.

Что входит в аудит обработки персональных данных

Обработку персональных данных проверяем по шести направлениям – от документов до фактических настроек систем.

Документарный анализ

Проверяем полноту и корректность организационно-распорядительной документации:

  • Политика обработки ПДн – есть ли она и опубликована ли. Закон обязывает оператора иметь такой документ и открыть к нему свободный доступ (152-ФЗ, ст. 18.1, ч. 2); состав разделов оператор определяет сам с учётом рекомендаций Роскомнадзора. Проверяем, покрывает ли политика реальные цели и процессы обработки, а не составлена формально.
  • Приказы о назначении ответственных – за организацию обработки (это обязанность каждого оператора-юрлица, 152-ФЗ, ст. 22.1) и за безопасность ПДн.
  • Согласия – по каждой цели отдельно. Согласие должно быть конкретным, предметным и информированным; единая «универсальная» галочка на все цели сразу закону не соответствует (152-ФЗ, ст. 9).
  • Уведомление в Роскомнадзор – подано ли, соответствует ли заявленное фактической обработке, есть ли вы в реестре операторов. Уведомление обязательно почти для всех операторов: с 1 сентября 2022 года (266-ФЗ) большинство прежних исключений части 2 ст. 22 отменено, работать без уведомления можно лишь в узких случаях – например, при обработке без средств автоматизации.
  • Журналы учёта, положение об обработке, обязательства сотрудников о неразглашении.

Инвентаризация информационных систем (ИСПДн)

Составляем перечень всех систем, где обрабатываются персональные данные: какие категории субъектов и данных затронуты, как устроены хранение и передача, определяем уровень защищённости – один из четырёх, от УЗ-4 до УЗ-1, по правилам Постановления Правительства РФ № 1119. Это ядро аудита ИСПДн: без полной инвентаризации проверка не даёт достоверного результата.

Технические меры защиты

Сопоставляем реально применённые средства защиты с требованиями регулятора: разграничение доступа, журналирование, антивирус, сертифицированные средства защиты информации. Их состав задаёт приказ ФСТЭК России от 18.02.2013 № 21 – в зависимости от уровня защищённости ИСПДн. Проверяем и то, есть ли на средства защиты действующие сертификаты ФСТЭК.

Аудит сайта на соответствие 152-ФЗ

Если нужна проверка только сайта, без аудита всей системы обработки, для этого есть отдельная услуга – аудит сайта на соответствие 152-ФЗ, самый быстрый формат. В составе полного аудита проверяем сайт как точку сбора данных:

  • чекбоксы согласия на всех формах, с рабочими ссылками на политику;
  • cookie-баннер с реальной возможностью отказа, а не одной кнопкой «ОК»;
  • зарубежные счётчики и трекеры, соблюдение локализации. С 1 сентября 2015 года (242-ФЗ) первичные операции с данными граждан РФ при сборе – запись, накопление, хранение, уточнение – оператор обязан вести в базах на территории России, а с 2025 года (23-ФЗ от 22.02.2025) те же операции в зарубежных базах прямо запрещены (152-ФЗ, ст. 18, ч. 5);
  • опубликована ли политика и доступна ли она с любой страницы.

Договорная база

Проверяем поручения на обработку с подрядчиками – хостингом, CRM, сервисом рассылок, колл-центром: есть ли договор и включает ли он обязательные условия – перечень данных и действий, цели, обязанность соблюдать конфиденциальность и обеспечивать безопасность (152-ФЗ, ст. 6, ч. 3). Отдельно – трансграничная передача, если вы отправляете данные за рубеж: её условия и порядок уведомления РКН заданы ст. 12 152-ФЗ.

Процессы и сотрудники

Проверяем, обучены ли сотрудники и есть ли регламент реагирования на инциденты с соблюдением сроков уведомления Роскомнадзора – 24 часа на сообщение о самой утечке и 72 часа на результаты внутреннего расследования (152-ФЗ, ст. 21, ч. 3.1, действует с 1 сентября 2022 года). Проверяем и то, налажен ли внутренний контроль обработки на регулярной основе (152-ФЗ, ст. 18.1, ч. 1).

Не уверены в соответствии 152-ФЗ? Начните с экспресс-диагностики.

Заказать аудит ПДн

Как проходит аудит персональных данных: этапы

Аудит ПДн – управляемый проект с фиксированными этапами, а не автоматическое сканирование.

Заявка и экспресс-диагностика

Короткий звонок, на котором определяем масштаб: сколько у вас информационных систем, рабочих мест, сайтов, есть ли специальные категории данных. По итогам оцениваем объём работ и предлагаем формат аудита. Этап не обязывает к заключению договора.

Договор, соглашение о конфиденциальности, план аудита

Фиксируем область проверки, приоритеты и порядок доступа к системам. Подписываем NDA: сведения об уязвимостях, выявленных в ходе аудита, остаются конфиденциальными. Вы заранее знаете, что, когда и как мы проверяем.

Сбор информации и обследование

Изучаем документы, проводим интервью с ответственным за ПДн, ИТ-службой и юристом, инвентаризируем информационные системы, проверяем настройки средств защиты и сайт. В зависимости от задачи – выезд инженера на площадку или удалённая работа по всей России.

Анализ и приоритизация

Сопоставляем факт с требованиями 152-ФЗ, Постановления Правительства РФ № 1119 и приказа ФСТЭК России от 18.02.2013 № 21. Каждое несоответствие оцениваем по матрице «вероятность нарушения × ущерб», чтобы вы понимали, что устранять в первую очередь.

Акт аудита и дорожная карта

Готовим полный пакет: резюме для руководства, технический отчёт с привязкой каждого несоответствия к статье закона, матрицу соответствия «требование → факт → статус» и приоритизированный план устранения. Критичные пробелы – на устранение в течение месяца, средние – 3–6 месяцев, долгосрочные – 6–12. Это и есть акт аудита ПДн – рабочий документ для устранения нарушений.

Приведение в соответствие под ключ (опция) и сопровождение

При необходимости устраняем выявленные нарушения – тем же составом, который вёл аудит. Подробнее – в следующем блоке.

Сроки. Документарный аудит небольшой компании – 1–2 недели; аудит на соответствие для среднего оператора – 3–6 недель; комплексный аудит крупной организации с несколькими ИСПДн – 2–4 месяца. Точный срок называем после экспресс-диагностики.

Чек-лист самопроверки обработки ПДн

Проверьте по пунктам, насколько вы готовы к требованиям 152-ФЗ. Пришлём ссылку на почту – без звонка.

Приведение в соответствие с 152-ФЗ под ключ

Аудит показывает, где у вас пробелы, но перечень нарушений сам по себе проблему не решает. Ключевое отличие Кредо-С от онлайн-сервисов и разовых аудиторов: найденные нарушения устраняем сами – своей командой, по одному договору.

Инженер по защите информации

Отвечает за информационные системы, уровни защищённости, средства защиты, при необходимости – за подготовку к аттестации ИСПДн.

Юрист по 152-ФЗ

Политика, согласия и формы, уведомление в Роскомнадзор, договоры поручения с подрядчиками, регламент реагирования на инциденты.

Специалист по веб и инфраструктуре

Правки сайта, локализация, замена зарубежных сервисов на российские аналоги.

Одна команда, один договор – вместо того чтобы искать и координировать трёх-четырёх подрядчиков с разными сроками и зонами ответственности.

Что входит в устранение:

  • разработка и актуализация организационно-распорядительной документации (политика, положения, приказы, модель угроз, акт определения уровня защищённости);
  • приведение в порядок согласий и форм сбора данных;
  • договоры поручения на обработку с контрагентами;
  • регламент реагирования на инциденты и утечки;
  • подготовка или корректировка уведомления в Роскомнадзор;
  • следующий шаг, если он нужен: построение системы защиты ПДн и аттестация ИСПДн – для систем, где она обязательна.

Гарантия и сопровождение. После сдачи проекта сопровождаем заказчика, в том числе при проверке регулятора.

На основе каких требований мы проверяем

В акте нет ссылок на «наш опыт»: у каждого несоответствия – норма, которую ваш юрист или инспектор может перепроверить. Основные документы, по которым идёт проверка:

  • 152-ФЗ «О персональных данных» – базовый закон. Ключевые статьи: правовые основания обработки – их одиннадцать, от согласия до исполнения договора и законного интереса (ст. 6, ч. 1); требования к согласию (ст. 9); обеспечение безопасности данных (ст. 19); локализация (ст. 18, ч. 5); внутренний контроль и политика (ст. 18.1); уведомление РКН (ст. 22); ответственный за обработку (ст. 22.1); срок ответа субъекту на обращение – 10 рабочих дней (ст. 20); трансграничная передача (ст. 12).
  • ПП РФ № 1119 – определяет уровни защищённости персональных данных при обработке в информационных системах.
  • Приказ ФСТЭК России от 18.02.2013 № 21 – состав мер защиты ПДн в ИСПДн, привязанный к уровню защищённости.
  • Приказы ФСТЭК России № 17 и № 117 – для государственных информационных систем. Приказ № 17 (от 11.02.2013) действует до 1 марта 2026 года, затем его заменяет приказ № 117 (от 11.04.2025). Для ГИС мы отдельно смотрим, какая редакция требований применяется на дату проверки.
  • КоАП РФ, ст. 13.11 – административная ответственность за нарушения при обработке ПДн; в акте мы прямо указываем, какой состав и какой размер санкции соответствует каждому нарушению. Санкции для юрлиц по ряду составов доходят до сотен тысяч и миллионов рублей, а самый тяжёлый состав – оборотный штраф за повторную утечку. Диапазоны по действующей редакции сведены в таблицу ниже. Поправки 2025 года изменили нумерацию частей статьи, поэтому точную часть и сумму приводим по редакции ст. 13.11 на дату проверки.
  • УК РФ, ст. 272.1 – уголовная ответственность за незаконный оборот и утечку персональных данных. Отвечает по ней физическое лицо – сотрудник или руководитель, а не компания.
  • Что изменилось в 2025-м. Федеральный закон от 30.11.2024 № 420-ФЗ (действует с 30.05.2025) переписал ст. 13.11 КоАП и ввёл оборотные штрафы за повторную утечку – от 1 до 3 % совокупной годовой выручки, но не менее 20 млн и не более 500 млн ₽ (ч. 15 ст. 13.11 КоАП).

Размеры штрафов по ст. 13.11 КоАП РФ – сводная таблица:

НарушениеНормаШтраф юрлицу
Обработка ПДн вне закона / несовместимо с заявленными целямич. 1 ст. 13.11150 000–300 000 ₽
Обработка спецкатегорий / иных ПДн без письменного согласияч. 2300 000–700 000 ₽
Не опубликована политика обработки ПДнч. 330 000–60 000 ₽
Не предоставлена субъекту информация об обработке его ПДнч. 440 000–80 000 ₽
Не выполнено требование субъекта об уточнении / удалении ПДнч. 550 000–90 000 ₽
Нарушение локализации баз ПДн граждан РФ (серверы вне РФ)ч. 8 (ст. 18, ч. 5)1 000 000–6 000 000 ₽
Повторное нарушение локализациич. 96 000 000–18 000 000 ₽
Неуведомление РКН о намерении обрабатывать ПДнч. 10100 000–300 000 ₽
Неуведомление РКН об утечке ПДнч. 111 000 000–3 000 000 ₽
Утечка ПДн 1 000–10 000 субъектовч. 123 000 000–5 000 000 ₽
Утечка 10 000–100 000 субъектовч. 135 000 000–10 000 000 ₽
Утечка более 100 000 субъектовч. 1410 000 000–15 000 000 ₽
Повторная утечка (оборотный штраф)ч. 151–3 % совокупной годовой выручки, от 20 до 500 млн ₽

Диапазоны приведены для юридических лиц по действующей редакции ст. 13.11 КоАП; конкретную часть и сумму по каждому найденному нарушению мы фиксируем в акте.

Оценку строим по матрице «требование НПА → реализация у вас → статус», опираясь в том числе на подходы ГОСТ Р ИСО/МЭК 27001 к оценке соответствия.

Разграничение: если вам нужна не узкая проверка по 152-ФЗ, а широкий аудит защищённости всего периметра – модель угроз, ГОСТ Р 57580, КИИ, коммерческая тайна – это комплексный аудит ИБ, другая наша услуга.

Что вы получите по итогам аудита

Аудит завершается пакетом документов, с которым можно принимать решения и подтверждать соответствие перед регулятором.

Резюме для руководства

2–3 страницы без технического жаргона: текущее состояние, критичные риски, что делать и в какой срок.

Технический отчёт

Детально по каждому несоответствию, с указанием статьи 152-ФЗ или иного НПА, которую оно нарушает.

Матрица соответствия

Таблица «требование → факт → статус» по всем проверенным пунктам. Показывает, какие требования выполнены, а какие нет.

Дорожная карта устранения

Приоритизированный план: первоочередные, краткосрочные и долгосрочные меры, с оценкой трудоёмкости.

Шаблоны недостающих документов

Чтобы вы могли начать устранение сразу, в том числе без заказа работ под ключ.

Презентация результатов

При необходимости защищаем итоги перед вашим руководством или службой безопасности заказчика.

Отдельная ценность акта – доказательственная. Акт независимого аудита от лицензиата ФСТЭК показывает, что вы как оператор действовали добросовестно и принимали меры. При проверке или споре это довод в пользу оператора: добросовестность и принятые меры прямо не названы в перечне смягчающих обстоятельств, но орган или суд вправе учесть их как смягчающие по ч. 2 ст. 4.2 КоАП РФ. Храните акт как минимум в пределах общего срока исковой давности – три года (ст. 196 ГК РФ); отдельного фиксированного срока хранения именно для акта аудита закон не устанавливает.

Сколько стоит аудит персональных данных

Фиксированной цены нет: стоимость аудита зависит от масштаба. Рассчитываем индивидуально – после экспресс-диагностики.

На цену влияют:

  • число информационных систем и рабочих мест;
  • количество сайтов и форм сбора данных;
  • наличие специальных или биометрических категорий данных;
  • срочность (перед назначенной проверкой РКН – ускоренный формат);
  • нужно ли не только проверить, но и устранить нарушения под ключ.

Коммерческие условия. Работаем по договору с ООО «КРЕДО-С», выдаём полный пакет закрывающих документов – акт выполненных работ, счёт-фактуру, УПД. Для государственных и бюджетных заказчиков возможна оплата по 44-ФЗ и 223-ФЗ.

Рассчитаем стоимость под ваш проект после короткого звонка – без обязательств.

Рассчитать стоимость аудита

Почему аудит ПДн заказывают у Кредо-С

Лицензия ФСТЭК России на ТЗКИ.

Мы не онлайн-сервис и не частный консультант, а компания с действующей лицензией на техническую защиту конфиденциальной информации. Сам аудит – экспертная работа, лицензия для него не требуется. Она обязательна для аттестационных испытаний и работ по технической защите информации (п. 5 ч. 1 ст. 12 99-ФЗ) – то есть для работ, которыми устраняются найденные нарушения. Лицензия у нас есть: на этапе устранения не потребуется искать подрядчика с допуском.

На рынке с 1993 года – более 30 лет в информационной безопасности и ИТ.

Работаем с законодательством о персональных данных с момента его появления и знаем не только требования, но и практику их применения.

ИБ и ИТ в одной команде.

Аудит, устранение нарушений, построение системы защиты и аттестация – в одних руках. Не нужно объяснять задачу трём подрядчикам и согласовывать их работу.

Офисы в Туле и Москве, работаем по всей России.

Выезд инженера на площадку или удалённый аудит по защищённому каналу.

Заключение подписывают конкретные специалисты.

За актом стоят инженер компании-лицензиата и юрист по 152-ФЗ. Договор и гарантия вместо самостоятельной проверки по чек-листу.

ФСТЭК
Лицензия ФСТЭК России на ТЗКИ № Л024-00107-00рег. № 00581724 · техническая защита конфиденциальной информации

Роскомнадзор давно смотрит не на то, есть ли у вас политика на сайте, а на то, как реально устроена обработка: кто отвечает, где журналы, чем закрыт каждый уровень защищённости. Аудит – это честный ответ на этот вопрос до того, как его задаст инспектор.

Типовые сценарии аудита

Три обезличенных сценария из практики. Без названий компаний: факт заказа аудита или проверки защищённости сам по себе относится к чувствительной информации, и мы его не раскрываем.

Розничный оператор, 50 рабочих мест, перед проверкой РКН

Компания сферы торговли получила уведомление о плановой проверке. При аудите нашли: политика опубликована, но не отражает часть целей обработки; согласия собраны одной «универсальной» галочкой; нет договоров поручения с сервисом рассылок и колл-центром. Устранили: переписали политику и согласия по целям, оформили поручения, привели в порядок приказы. К приходу инспектора у оператора был акт независимого аудита и закрытый план устранения.

Медицинский центр со специальными категориями и биометрией

Обработка данных о здоровье и биометрии – зона повышенного риска. Аудит выявил недооценённый уровень защищённости ИСПДн и нехватку технических мер под этот уровень, а также пробелы в регламенте реагирования на инциденты. Пересчитали уровень защищённости, составили перечень необходимых мер по приказу ФСТЭК № 21 и дорожную карту, часть мер закрыли сразу, часть передали во внедрение системы защиты.

IT-компания / SaaS с зарубежными сервисами и трансграничной передачей

Продукт с высоким трафиком, множеством форм и набором иностранных сервисов аналитики и инфраструктуры. Основные риски – локализация баз данных и трансграничная передача без должного оформления. По итогам: заменили часть зарубежных сервисов на российские аналоги, локализовали хранение данных граждан РФ, оформили трансграничную передачу и уведомление РКН там, где это требовалось.

Во всех случаях итог одинаковый по форме: акт с привязкой к нормам, приоритизированный план и – по желанию заказчика – устранение под ключ.

PDF-справочник

Выше на странице только ст. 13.11. В PDF собрали все составы КоАП по персональным данным и защите информации плюс уголовную ст. 272.1 УК, с суммами для граждан, должностных лиц и юрлиц.

  • 39 составов КоАП и ст. 272.1 УК в одном документе
  • Чеклист «5 обязанностей оператора»
  • Актуально на 09.07.2026, сверено с КоАП
Штрафы за нарушение 152-ФЗ: полная таблица, PDF-справочник

Заказать аудит персональных данных

Начните с экспресс-диагностики. За короткий звонок оценим масштаб, определим формат аудита и подготовим расчёт под ваш проект – без обязательств.

Заказать аудит ПДн

ООО «КРЕДО-С» · ИНН 7106014366 · ОГРН 1027100747596 · тел. Тула +7 (4872) 71-71-74, Москва +7 (495) 225-60-59 · credos@credos.ru · Лицензия ФСТЭК России на ТЗКИ · На рынке с 1993 года.

Часто задаваемые вопросы

Что такое аудит персональных данных и зачем он нужен?
Независимая проверка обработки персональных данных в организации – документы, ИСПДн, сайт, договоры с подрядчиками – на соответствие 152-ФЗ, ПП РФ № 1119 и приказам ФСТЭК. Итог – акт с перечнем несоответствий и планом их устранения. Аудит нужен, чтобы найти и устранить нарушения до проверки Роскомнадзора и документально подтвердить добросовестность оператора.
Чем аудит ПДн отличается от аудита ИБ?
Аудит персональных данных охватывает только сферу 152-ФЗ: требования Роскомнадзора и меры защиты ФСТЭК для информационных систем с ПДн. Аудит информационной безопасности шире: модель угроз, ГОСТ Р 57580, КИИ, коммерческая тайна, весь периметр. Для широкого охвата предназначен [комплексный аудит ИБ](/uslugi/informatsionnaya-bezopasnost/Audit_monitoring_IB/). Распространённая последовательность: сначала аудит ПДн, затем комплексный аудит ИБ.
Чем внутренний аудит отличается от внешнего и что выбрать?
Внутренний аудит ПДн оператор проводит своими силами и регулярно – это обязанность по закону (152-ФЗ, ст. 18.1, ч. 1). Внешний независимый аудит заказывают у профильной компании – как правило, раз в год, перед проверкой РКН или после инцидента. Внешний аудит объективнее: исполнитель не участвовал в проверяемых процессах и не заинтересован скрывать нарушения.
Нужна ли лицензия ФСТЭК, чтобы проводить аудит ПДн?
Для внутреннего аудита своими силами лицензия не нужна. Лицензия ФСТЭК на техническую защиту конфиденциальной информации обязательна для аттестации информационных систем и оказания услуг защиты информации третьим лицам. У Кредо-С такая лицензия есть : компания вправе проверять обработку, устранять нарушения и проводить аттестацию ИСПДн.
Сколько занимает и сколько стоит аудит?
Сроки зависят от масштаба: документарный аудит небольшой компании – 1–2 недели, аудит на соответствие среднего оператора – 3–6 недель, комплексный аудит крупной организации – 2–4 месяца. Стоимость рассчитываем индивидуально после экспресс-диагностики: фиксированной цены нет, она определяется объёмом работ. На стоимость влияют число ИСПДн и рабочих мест, количество сайтов, наличие специальных категорий данных и срочность.
Какие штрафы за нарушения 152-ФЗ выявляет аудит?
В акте по каждому нарушению указаны состав и санкция. Большинство нарушений подпадает под административную ответственность по ст. 13.11 КоАП РФ. При утечке возможна уголовная ответственность по ст. 272.1 УК РФ – для конкретного сотрудника или руководителя, не для компании. Отдельно оцениваем риск оборотного штрафа за повторную утечку – от 1 до 3 % совокупной годовой выручки, не менее 20 млн и не более 500 млн ₽ (ч. 15 ст. 13.11 КоАП).
Нужен ли аудит перед проверкой Роскомнадзора?
Да, подготовка к проверке – одна из самых частых причин обращения. Аудит выявляет нарушения до начала проверки и оставляет время на их устранение: документарный формат занимает от 1–2 недель. Акт независимого аудита подтверждает, что оператор принимал меры и действовал добросовестно, – орган или суд может учесть это как смягчающее обстоятельство (ч. 2 ст. 4.2 КоАП РФ).
Устраняете ли вы нарушения после аудита под ключ?
Да. Приведение в соответствие с 152-ФЗ выполняет та же команда, что проводила аудит: устранение технических нарушений, разработка документов, договоры поручения с подрядчиками, подготовка или корректировка уведомления в Роскомнадзор. Шаблоны недостающих документов заказчик получает вместе с актом. Критичные несоответствия устраняем в первый месяц, остальные – по дорожной карте. Все работы – по одному договору, ответственность – у одного исполнителя.
Вы проверяете только сайт?
Аудит можно ограничить сайтом – это отдельный формат «аудит сайта на соответствие 152-ФЗ»: формы и согласия, cookie-баннер, зарубежные трекеры, локализация, публикация политики. Онлайн-сервисы дают автоматический срез; у нас сайт вручную проверяют инженер и юрист. Такой аудит быстрее полного и часто становится первым шагом: его итоги показывают, нужна ли проверка остальной обработки.
Работаете ли с госорганами и по 44/223-ФЗ?
Да. Заключаем договор, выдаём полный пакет закрывающих документов, возможна оплата по 44-ФЗ и 223-ФЗ. Для государственных информационных систем аудит проводим по требованиям приказа ФСТЭК № 17 (с 1 марта 2026 года – заменяющего его приказа № 117), при необходимости – с последующей аттестацией. Формат работы: выезд инженера на площадку или удалённая работа по защищённому каналу.

Отправить заявку на сотрудничество

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных

Хочу получать новости и полезные материалы на email — необязательно

Условия сотрудничества

Закупки по 44-ФЗ и 223-ФЗПоставки и услуги для государственных и корпоративных заказчиков, участие в конкурсных процедурах.
ЭДО и постоплатаЭлектронный документооборот, закрывающие по этапам работ, отсрочка платежа по договору.
SLA с ответственностью исполнителяСроки, параметры сервиса и зоны ответственности закреплены договором, регулярная отчётность.
Лицензии ФСТЭК России и NDAРаботы по защите информации – легально: опыт с КИИ, ГИС и ИСПДн, соглашение о неразглашении.

ООО «КРЕДО-С» · ИНН 7106014366 · КПП 710601001 · ОГРН 1027100747596 · на рынке с 1993 года · 300034, г. Тула, ул. Демонстрации, 27 · офисы: Тула, Москва