Аудит персональных данных: выявляем нарушения 152-ФЗ до того, как их найдёт Роскомнадзор.
Проверяем ваши информационные системы, документы и сайт по требованиям 152-ФЗ. Выдаём акт с планом устранения, а при необходимости приводим обработку в соответствие под ключ – по договору, с одной точкой ответственности.
Это не онлайн-виджет и не чек-лист для самостоятельного заполнения: аудит проводит инженер по защите информации из компании с лицензией ФСТЭК, а заключение можно представить при проверке РКН и в суде.
Аудит заказывают в конкретных ситуациях – когда растут риск нарушения и размер ответственности. Типовые поводы:
Внутренний аудит и контроль обработки – не разовая формальность, а прямая обязанность оператора. Закон требует, чтобы оператор сам оценивал вред, который может быть причинён субъектам, и регулярно проверял соответствие обработки требованиям закона (152-ФЗ, ст. 18.1, ч. 1, пп. 4 и 5). Аудит – способ исполнить эту обязанность силами профильных специалистов.
Когда достаточно самопроверки. Для быстрой предварительной оценки сайта есть онлайн-инструменты – они дают приблизительный результат за несколько минут. Для регуляторных целей, сложных информационных систем и данных с высокой ценой ошибки нужен аудит с ручной юридической экспертизой и актом, который примет проверяющий.
Обработку персональных данных проверяем по шести направлениям – от документов до фактических настроек систем.
Проверяем полноту и корректность организационно-распорядительной документации:
Составляем перечень всех систем, где обрабатываются персональные данные: какие категории субъектов и данных затронуты, как устроены хранение и передача, определяем уровень защищённости – один из четырёх, от УЗ-4 до УЗ-1, по правилам Постановления Правительства РФ № 1119. Это ядро аудита ИСПДн: без полной инвентаризации проверка не даёт достоверного результата.
Сопоставляем реально применённые средства защиты с требованиями регулятора: разграничение доступа, журналирование, антивирус, сертифицированные средства защиты информации. Их состав задаёт приказ ФСТЭК России от 18.02.2013 № 21 – в зависимости от уровня защищённости ИСПДн. Проверяем и то, есть ли на средства защиты действующие сертификаты ФСТЭК.
Если нужна проверка только сайта, без аудита всей системы обработки, для этого есть отдельная услуга – аудит сайта на соответствие 152-ФЗ, самый быстрый формат. В составе полного аудита проверяем сайт как точку сбора данных:
Проверяем поручения на обработку с подрядчиками – хостингом, CRM, сервисом рассылок, колл-центром: есть ли договор и включает ли он обязательные условия – перечень данных и действий, цели, обязанность соблюдать конфиденциальность и обеспечивать безопасность (152-ФЗ, ст. 6, ч. 3). Отдельно – трансграничная передача, если вы отправляете данные за рубеж: её условия и порядок уведомления РКН заданы ст. 12 152-ФЗ.
Проверяем, обучены ли сотрудники и есть ли регламент реагирования на инциденты с соблюдением сроков уведомления Роскомнадзора – 24 часа на сообщение о самой утечке и 72 часа на результаты внутреннего расследования (152-ФЗ, ст. 21, ч. 3.1, действует с 1 сентября 2022 года). Проверяем и то, налажен ли внутренний контроль обработки на регулярной основе (152-ФЗ, ст. 18.1, ч. 1).
Не уверены в соответствии 152-ФЗ? Начните с экспресс-диагностики.
Заказать аудит ПДнАудит ПДн – управляемый проект с фиксированными этапами, а не автоматическое сканирование.
Короткий звонок, на котором определяем масштаб: сколько у вас информационных систем, рабочих мест, сайтов, есть ли специальные категории данных. По итогам оцениваем объём работ и предлагаем формат аудита. Этап не обязывает к заключению договора.
Фиксируем область проверки, приоритеты и порядок доступа к системам. Подписываем NDA: сведения об уязвимостях, выявленных в ходе аудита, остаются конфиденциальными. Вы заранее знаете, что, когда и как мы проверяем.
Изучаем документы, проводим интервью с ответственным за ПДн, ИТ-службой и юристом, инвентаризируем информационные системы, проверяем настройки средств защиты и сайт. В зависимости от задачи – выезд инженера на площадку или удалённая работа по всей России.
Сопоставляем факт с требованиями 152-ФЗ, Постановления Правительства РФ № 1119 и приказа ФСТЭК России от 18.02.2013 № 21. Каждое несоответствие оцениваем по матрице «вероятность нарушения × ущерб», чтобы вы понимали, что устранять в первую очередь.
Готовим полный пакет: резюме для руководства, технический отчёт с привязкой каждого несоответствия к статье закона, матрицу соответствия «требование → факт → статус» и приоритизированный план устранения. Критичные пробелы – на устранение в течение месяца, средние – 3–6 месяцев, долгосрочные – 6–12. Это и есть акт аудита ПДн – рабочий документ для устранения нарушений.
При необходимости устраняем выявленные нарушения – тем же составом, который вёл аудит. Подробнее – в следующем блоке.
Сроки. Документарный аудит небольшой компании – 1–2 недели; аудит на соответствие для среднего оператора – 3–6 недель; комплексный аудит крупной организации с несколькими ИСПДн – 2–4 месяца. Точный срок называем после экспресс-диагностики.
Проверьте по пунктам, насколько вы готовы к требованиям 152-ФЗ. Пришлём ссылку на почту – без звонка.
Аудит показывает, где у вас пробелы, но перечень нарушений сам по себе проблему не решает. Ключевое отличие Кредо-С от онлайн-сервисов и разовых аудиторов: найденные нарушения устраняем сами – своей командой, по одному договору.
Отвечает за информационные системы, уровни защищённости, средства защиты, при необходимости – за подготовку к аттестации ИСПДн.
Политика, согласия и формы, уведомление в Роскомнадзор, договоры поручения с подрядчиками, регламент реагирования на инциденты.
Правки сайта, локализация, замена зарубежных сервисов на российские аналоги.
Одна команда, один договор – вместо того чтобы искать и координировать трёх-четырёх подрядчиков с разными сроками и зонами ответственности.
Что входит в устранение:
Гарантия и сопровождение. После сдачи проекта сопровождаем заказчика, в том числе при проверке регулятора.
В акте нет ссылок на «наш опыт»: у каждого несоответствия – норма, которую ваш юрист или инспектор может перепроверить. Основные документы, по которым идёт проверка:
Размеры штрафов по ст. 13.11 КоАП РФ – сводная таблица:
| Нарушение | Норма | Штраф юрлицу |
|---|---|---|
| Обработка ПДн вне закона / несовместимо с заявленными целями | ч. 1 ст. 13.11 | 150 000–300 000 ₽ |
| Обработка спецкатегорий / иных ПДн без письменного согласия | ч. 2 | 300 000–700 000 ₽ |
| Не опубликована политика обработки ПДн | ч. 3 | 30 000–60 000 ₽ |
| Не предоставлена субъекту информация об обработке его ПДн | ч. 4 | 40 000–80 000 ₽ |
| Не выполнено требование субъекта об уточнении / удалении ПДн | ч. 5 | 50 000–90 000 ₽ |
| Нарушение локализации баз ПДн граждан РФ (серверы вне РФ) | ч. 8 (ст. 18, ч. 5) | 1 000 000–6 000 000 ₽ |
| Повторное нарушение локализации | ч. 9 | 6 000 000–18 000 000 ₽ |
| Неуведомление РКН о намерении обрабатывать ПДн | ч. 10 | 100 000–300 000 ₽ |
| Неуведомление РКН об утечке ПДн | ч. 11 | 1 000 000–3 000 000 ₽ |
| Утечка ПДн 1 000–10 000 субъектов | ч. 12 | 3 000 000–5 000 000 ₽ |
| Утечка 10 000–100 000 субъектов | ч. 13 | 5 000 000–10 000 000 ₽ |
| Утечка более 100 000 субъектов | ч. 14 | 10 000 000–15 000 000 ₽ |
| Повторная утечка (оборотный штраф) | ч. 15 | 1–3 % совокупной годовой выручки, от 20 до 500 млн ₽ |
Диапазоны приведены для юридических лиц по действующей редакции ст. 13.11 КоАП; конкретную часть и сумму по каждому найденному нарушению мы фиксируем в акте.
Оценку строим по матрице «требование НПА → реализация у вас → статус», опираясь в том числе на подходы ГОСТ Р ИСО/МЭК 27001 к оценке соответствия.
Разграничение: если вам нужна не узкая проверка по 152-ФЗ, а широкий аудит защищённости всего периметра – модель угроз, ГОСТ Р 57580, КИИ, коммерческая тайна – это комплексный аудит ИБ, другая наша услуга.
Аудит завершается пакетом документов, с которым можно принимать решения и подтверждать соответствие перед регулятором.
2–3 страницы без технического жаргона: текущее состояние, критичные риски, что делать и в какой срок.
Детально по каждому несоответствию, с указанием статьи 152-ФЗ или иного НПА, которую оно нарушает.
Таблица «требование → факт → статус» по всем проверенным пунктам. Показывает, какие требования выполнены, а какие нет.
Приоритизированный план: первоочередные, краткосрочные и долгосрочные меры, с оценкой трудоёмкости.
Чтобы вы могли начать устранение сразу, в том числе без заказа работ под ключ.
При необходимости защищаем итоги перед вашим руководством или службой безопасности заказчика.
Отдельная ценность акта – доказательственная. Акт независимого аудита от лицензиата ФСТЭК показывает, что вы как оператор действовали добросовестно и принимали меры. При проверке или споре это довод в пользу оператора: добросовестность и принятые меры прямо не названы в перечне смягчающих обстоятельств, но орган или суд вправе учесть их как смягчающие по ч. 2 ст. 4.2 КоАП РФ. Храните акт как минимум в пределах общего срока исковой давности – три года (ст. 196 ГК РФ); отдельного фиксированного срока хранения именно для акта аудита закон не устанавливает.
Фиксированной цены нет: стоимость аудита зависит от масштаба. Рассчитываем индивидуально – после экспресс-диагностики.
На цену влияют:
Коммерческие условия. Работаем по договору с ООО «КРЕДО-С», выдаём полный пакет закрывающих документов – акт выполненных работ, счёт-фактуру, УПД. Для государственных и бюджетных заказчиков возможна оплата по 44-ФЗ и 223-ФЗ.
Рассчитаем стоимость под ваш проект после короткого звонка – без обязательств.
Рассчитать стоимость аудитаМы не онлайн-сервис и не частный консультант, а компания с действующей лицензией на техническую защиту конфиденциальной информации. Сам аудит – экспертная работа, лицензия для него не требуется. Она обязательна для аттестационных испытаний и работ по технической защите информации (п. 5 ч. 1 ст. 12 99-ФЗ) – то есть для работ, которыми устраняются найденные нарушения. Лицензия у нас есть: на этапе устранения не потребуется искать подрядчика с допуском.
Работаем с законодательством о персональных данных с момента его появления и знаем не только требования, но и практику их применения.
Аудит, устранение нарушений, построение системы защиты и аттестация – в одних руках. Не нужно объяснять задачу трём подрядчикам и согласовывать их работу.
Выезд инженера на площадку или удалённый аудит по защищённому каналу.
За актом стоят инженер компании-лицензиата и юрист по 152-ФЗ. Договор и гарантия вместо самостоятельной проверки по чек-листу.
Роскомнадзор давно смотрит не на то, есть ли у вас политика на сайте, а на то, как реально устроена обработка: кто отвечает, где журналы, чем закрыт каждый уровень защищённости. Аудит – это честный ответ на этот вопрос до того, как его задаст инспектор.
Три обезличенных сценария из практики. Без названий компаний: факт заказа аудита или проверки защищённости сам по себе относится к чувствительной информации, и мы его не раскрываем.
Компания сферы торговли получила уведомление о плановой проверке. При аудите нашли: политика опубликована, но не отражает часть целей обработки; согласия собраны одной «универсальной» галочкой; нет договоров поручения с сервисом рассылок и колл-центром. Устранили: переписали политику и согласия по целям, оформили поручения, привели в порядок приказы. К приходу инспектора у оператора был акт независимого аудита и закрытый план устранения.
Обработка данных о здоровье и биометрии – зона повышенного риска. Аудит выявил недооценённый уровень защищённости ИСПДн и нехватку технических мер под этот уровень, а также пробелы в регламенте реагирования на инциденты. Пересчитали уровень защищённости, составили перечень необходимых мер по приказу ФСТЭК № 21 и дорожную карту, часть мер закрыли сразу, часть передали во внедрение системы защиты.
Продукт с высоким трафиком, множеством форм и набором иностранных сервисов аналитики и инфраструктуры. Основные риски – локализация баз данных и трансграничная передача без должного оформления. По итогам: заменили часть зарубежных сервисов на российские аналоги, локализовали хранение данных граждан РФ, оформили трансграничную передачу и уведомление РКН там, где это требовалось.
Во всех случаях итог одинаковый по форме: акт с привязкой к нормам, приоритизированный план и – по желанию заказчика – устранение под ключ.
PDF-справочник
Выше на странице только ст. 13.11. В PDF собрали все составы КоАП по персональным данным и защите информации плюс уголовную ст. 272.1 УК, с суммами для граждан, должностных лиц и юрлиц.

Начните с экспресс-диагностики. За короткий звонок оценим масштаб, определим формат аудита и подготовим расчёт под ваш проект – без обязательств.
Заказать аудит ПДнООО «КРЕДО-С» · ИНН 7106014366 · ОГРН 1027100747596 · тел. Тула +7 (4872) 71-71-74, Москва +7 (495) 225-60-59 · credos@credos.ru · Лицензия ФСТЭК России на ТЗКИ · На рынке с 1993 года.
Отправить заявку на сотрудничество
Я соглашаюсь на обработку персональных данных
Хочу получать новости и полезные материалы на email — необязательно
ООО «КРЕДО-С» · ИНН 7106014366 · КПП 710601001 · ОГРН 1027100747596 · на рынке с 1993 года · 300034, г. Тула, ул. Демонстрации, 27 · офисы: Тула, Москва
300034, г. Тула, ул. Демонстрации, 27
офисы: Тула, Москва
ООО «КРЕДО-С»ИНН 7106014366КПП 710601001ОГРН 1027100747596300034, г. Тула, ул. Демонстрации, 27офисы: Тула, Москвана рынке с 1993 года