Защита персональных данных под ключ: как пройти аудит, подготовить документы и пройти проверку Роскомнадзора — Контур.Эгида

Защита персональных данных под ключ: как пройти аудит, подготовить документы и пройти проверку Роскомнадзора

6 мая 2026

Документы по защите персональных данных, скачанные из интернета, не помогают пройти проверку Роскомнадзора и не защищают от утечки. Они только создают иллюзию соответствия 152-ФЗ. В статье разберем, как на практике выстроить защиту персональных данных под ключ — от аудита до сопровождения проверок.

Фотография Екатерина Рудая Екатерина Рудая Менеджер продукта

Кто обязан защищать персональные данные и почему формальных мер недостаточно

Если в компании есть база клиентов, сотрудники с трудовыми договорами или даже просто форма обратной связи на сайте — она уже становится оператором персональных данных. Это автоматически накладывает обязанности по 152-ФЗ: обеспечить безопасность сведений, ограничить доступ, зафиксировать правила обработки и уметь подтвердить это на проверке.

На практике защита персональных данных в организации всегда начинается с документов. Политика обработки персональных данных, согласия, приказы — все это действительно обязательно. Но проблема в том, что сами по себе документы не обеспечивают безопасность персональных данных.

Иногда ситуация выглядит так:

  • ответственные за обработку и защиту персональных данных не назначены;
  • политика обработки персональных данных есть, но не соответствует требованиям закона;
  • согласия собираются, но не учтены бизнес-процессы и третьи лица;
  • доступ к ИСПДн (информационной системе персональных данных) не задокументирован;
  • журналов учета и логирования нет или они не анализируются.

Формально требования выполнены, но фактически риски остаются. Любая утечка персональных данных в таком случае показывает: система защиты не работает, потому что она не была выстроена как система.

Чтобы это стало нагляднее, можно разложить отличие формального и реального подхода:

Формальная защита Реальная защита ПДн

Есть комплект документов

Документы связаны с реальными процессами

Требования описаны

Требования внедрены, их исполнение контролируются

Доступ выдан «по факту»

Доступ ограничен по ролям и задачам

Проверки не проводятся

Регулярно проводится аудит по 152-ФЗ

Реакция на инциденты отсутствует

Есть процедуры реагирования на утечки

Ключевая разница — в связке между документами, процессами и техническими мерами. Именно поэтому комплексная защита персональных данных всегда начинается с аудита самого процесса обработки персональных данных в организации: нужно понять, какие данные есть, где они хранятся, кто к ним имеет доступ и какие угрозы актуальны.

Без этого этапа разработка документов по защите персональных данных превращается в формальность, а такое же формальное соответствие требованиям 152-ФЗ — в риск, который проявится при первой же проверке или инциденте.

Какие риски закрывает соответствие 152-ФЗ

Несоблюдение требований 152-ФЗ — это не абстрактный риск, а вполне конкретные последствия для бизнеса: штрафы, блокировки процессов и репутационные потери после утечки персональных данных.

Во-первых, растет стоимость ошибки. В 2026 году усиливается ответственность за нарушения: штрафы за некорректную обработку или отсутствие необходимых мер могут достигать миллионов рублей. При серьезных инцидентах — например, при утечке базы клиентов — речь уже идет не только об административной, но и об уголовной ответственности.

Во-вторых, обязательства становятся более жесткими. Оператора персональных данных могут обязать:

  • устранить нарушения в очень короткий срок;
  • изменить процессы обработки данных;
  • приостановить отдельные операции или сервисы.

Для бизнеса это означает прямые потери: простой систем, срыв договорных обязательств, дополнительные расходы на срочное приведение процессов и систем в соответствие 152-ФЗ.

Отдельный риск — проверки со стороны регуляторов. Роскомнадзор — самый частый. ФСБ проверяет криптографию, но параллельно смотрит и обработку персональных данных. ФСТЭК появляется реже, однако тоже может прийти — тогда оценивает наличие и настройки средств защиты информации.

Они могут быть как плановыми, так и внеплановыми, например, после жалобы субъекта персональных данных или после инцидента. Проверка на соответствие 152-ФЗ почти всегда выявляет одни и те же проблемы: несоответствие документов реальным процессам, отсутствие контроля доступа, неактуальные модели угроз.

Коротко, какие риски закрывает защита ПДн в соответствии с 152-ФЗ:

  • штрафы за нарушение требований законодательства;
  • ответственность за утечку персональных данных;
  • предписания и ограничения со стороны регулятора;
  • сбои в бизнес-процессах из-за проверок;
  • репутационные потери после инцидентов.

Комплексная защита персональных данных позволяет эти риски управляемо снизить: не просто «подготовиться к проверке Роскомнадзора», а выстроить систему, которая выдерживает и проверку, и реальные атаки.

Как выглядит защита ПДн под ключ

На практике защита персональных данных под ключ — это не отдельная ИБ услуга, а последовательный процесс, где каждый этап опирается на предыдущий. Попытка «перепрыгнуть» шаги обычно заканчивается тем, что систему приходится переделывать.

Базовая логика выглядит так.

Аудит персональных данных. Проводится аудит обработки персональных данных в организации: какие сведения собираются, где хранятся, кто имеет доступ, какие угрозы актуальны. Это основа для всех следующих решений.

Разработка документации по защите ПДн. После аудита проектируется система защиты: разрабатываются модель угроз, технический проект, техническое задание, подбираются средства защиты информации. А уже на его основе формируется остальной пакет — политики, регламенты, согласия, приказы, инструкции.

Внедрение технических мер защиты. Настраиваются средства защиты информации: разграничение доступа, журналы событий, средства контроля и защиты ИСПДн в соответствии с требованиями ПП-1119 и приказа ФСТЭК 21.

Подготовка к проверкам. Проводится внутренняя проверка на соответствие 152-ФЗ, устраняются замечания, готовится компания к визиту регулятора.

Важно, что эти этапы не существуют отдельно друг от друга. Например, невозможно корректно определить уровень защищенности без аудита, а разработка политики обработки персональных данных без понимания процессов приводит к формальным и неработающим документам.

Именно поэтому услуги по защите персональных данных в формате «под ключ» — это не просто набор работ, а выстроенная система. Она позволяет бизнесу не возвращаться к одной и той же задаче каждый год и не реагировать на требования регулятора в авральном режиме, а изначально обеспечить устойчивую и проверяемую защиту персональных данных в организации.

Этап 1. Аудит персональных данных

Аудит персональных данных — это точка, с которой начинается приведение процессов в соответствие с 152-ФЗ. Без него невозможно корректно определить ни состав документов, ни уровень защищенности, ни набор технических мер.

Важно, что аудит проводится не только на соответствие 152-ФЗ, но и на выполнение требований подзаконных актов — ПП РФ №1119, Приказа ФСТЭК №21, Приказа ФСБ №378, а также нормативных требований Роскомнадзора. Это позволяет выявить не только формальные нарушения в документах, но и фактическое отсутствие обязательных технических и организационных мер защиты.

На этом этапе может выясниться, что часть процессов нигде не описана, а доступы выданы «по историческим причинам».

В рамках аудита по 152-ФЗ проверяются сразу три блока:

  1. Процессы и документы. Какие данные обрабатываются, есть ли политика обработки персональных данных, как оформлены согласия, соответствует ли документация реальной работе.
  2. Информационные системы (ИСПДн). Где находятся базы данных, какие системы используются, какие средства защиты уже внедрены и как они настроены.
  3. Готовность к проверке. Проводится внутренняя проверка на соответствие 152-ФЗ: можно ли подтвердить выполнение требований, есть ли журналы, регламенты, доказательная база.

Результат аудита — не просто список нарушений, а понятная карта:

  • где есть риски утечки персональных данных;
  • какие требования не выполнены;
  • какие меры нужно внедрить и в какой последовательности.

Это ключевой момент. Без такого аудита система защиты строится «вслепую»: документы не совпадают с процессами, а технические меры не закрывают реальные угрозы.

Этап 2. Документы по персональным данным

После аудита становится понятно, какие именно документы нужны и как они должны выглядеть. Разработка документов по персональным данным — это не шаблонная задача, а привязка требований закона к конкретным процессам компании.

Базовый пакет документов оператора персональных данных включает:

  • политику обработки персональных данных и политику конфиденциальности;
  • формы согласий на обработку персональных данных (с учетом актуальных требований, включая изменения 2025 года);
  • организационно-распорядительную документацию по ПДн — приказы, регламенты, инструкции для сотрудников;
  • модель угроз персональных данных и акт определения уровня защищенности;
  • уведомление в Роскомнадзор (обычное письмо) о том, что вы обрабатываете персональные данные, и изменения к нему, если вы что-то поменяли в процессах.

Важно понимать: сами по себе документы не являются защитой. Их задача — зафиксировать правила и обеспечить управляемость процессов.

Чтобы документы работали, они должны:

  • соответствовать реальным бизнес-процессам;
  • учитывать используемые ИСПДн и средства защиты;
  • быть понятными сотрудникам, которые с ними работают;
  • регулярно актуализироваться при изменениях в законодательстве, процессах или инфраструктуре.

На этом этапе может возникать разрыв: компания формально имеет комплект документации по защите ПДн, но он не связан с реальной работой. В результате при проверке Роскомнадзора это выявляется как несоответствие требованиям 152-ФЗ.

Корректно собранный пакет документов по персональным данным закрывает сразу две задачи: помогает пройти проверку и становится основой для внедрения технических мер защиты персональных данных.

Этап 3. Техническая защита ПДн

После аудита и разработки документов становится понятно, какие именно технические меры защиты персональных данных нужны. Это этап, где требования 152-ФЗ превращаются в конкретные настройки систем и средств защиты.

Ключевая задача — обеспечить фактическую защищенность ИСПДн, а не просто задекларировать ее в документах.

Базовая логика внедрения опирается на нормативные требования:

  • определяется уровень защищенности персональных данных по ПП-1119 — он зависит от категории данных и угроз;
  • под этот уровень подбирается набор мер в соответствии с приказом ФСТЭК №21;
  • при необходимости используются средства криптографической защиты по требованиям ФСБ;
  • для значимых систем проводится аттестация ИСПДн.

На практике это превращается в конкретные изменения в инфраструктуре:

  • разграничение доступа к данным по ролям и задачам;
  • настройка журналирования и контроля действий пользователей;
  • защита каналов передачи данных;
  • контроль работы с базами персональных данных;
  • внедрение средств обнаружения и предотвращения утечек.

Важно, что набор мер всегда зависит от результатов аудита. Например, если в системе нет контроля доступа, то даже наличие политики обработки персональных данных не снижает риск утечки.

Возможная ошибка на этом этапе — внедрение отдельных средств защиты без общей системы. В результате появляются разрозненные инструменты, которые не закрывают реальные угрозы и не помогают пройти проверку на соответствие 152-ФЗ.

Корректно выстроенная техническая защита связывает документы, процессы и ИСПДн в единую систему. Именно она позволяет не только формально соответствовать требованиям, но и реально снижать риски.

Этап 4. Проверки Роскомнадзора

Проверка Роскомнадзора — это момент, когда становится видно, насколько защита персональных данных в организации соответствует заявленным требованиям.

Регулятор оценивает не отдельные документы, а всю систему в целом:

  • есть ли полный и актуальный комплект документации по защите ПДн;
  • соответствуют ли документы реальным процессам обработки;
  • реализованы ли технические меры защиты персональных данных;
  • можно ли подтвердить выполнение требований (журналы, регламенты, доказательства).

Проверка может быть плановой или внеплановой — например, после жалобы или утечки персональных данных. Внеплановые проверки обычно проходят жестче и в более сжатые сроки.

Возможные нарушения, которые могут здесь выявить с большей вероятностью:

  • документы есть, но не применяются на практике;
  • отсутствует модель угроз или она не актуальна;
  • уровень защищенности определен формально;
  • нет контроля доступа к ИСПДн;
  • не ведется учет и анализ событий безопасности.

Сам процесс проверки включает несколько этапов: запрос документов, их анализ, выездная проверка (при необходимости), оформление акта и выдача предписаний. Если нарушения существенные, компанию могут обязать устранить их в установленный срок и привлечь к ответственности.

Именно поэтому подготовка к проверке Роскомнадзора — это не отдельная задача «перед визитом», а результат всей предыдущей работы. Такой подход позволяет пройти проверку без авральных доработок и минимизировать риски штрафов и предписаний.

Где чаще всего возникают риски при работе с ПДн

Риски утечки персональных данных редко возникают из-за «сложных атак». Чаще всего проблема в повседневных процессах: доступы не ограничены, данные копируются между системами, сотрудники работают с ними без контроля.

Можно выделить три зоны, где чаще всего возникают уязвимости.

Персональные данные сотрудников. Работодатель обрабатывает значительный объем сведений: паспортные данные, СНИЛС, банковские реквизиты и так далее. Эти данные хранятся в кадровых системах, бухгалтерии, файлах на сетевых ресурсах.

Возможные проблемы:

  • избыточные права доступа к кадровым данным;
  • передача файлов через незащищенные каналы;
  • отсутствие контроля действий сотрудников.

Персональные данные клиентов. Здесь основной риск — в распределенности данных: сайт, CRM, почта, маркетинговые сервисы.

Встречаются такие проблемы:

  • некорректно оформленные согласия на обработку персональных данных;
  • отсутствие правовых основании обработки персональных данных клиентов при продвижении товаров, работ и услуг
  • хранение данных без ограничения срока;
  • доступ к клиентским базам без разграничения прав;
  • отсутствие защиты веб-форм и API.

Информационные системы (ИСПДн). Даже при наличии документов и регламентов именно ИСПДн остаются ключевой точкой риска.

Проблемы, которые выявляет аудит системы защиты персональных данных:

  • неактуальная модель угроз персональных данных;
  • формально определенный уровень защищенности;
  • отсутствие журналирования и анализа событий;
  • не настроены средства защиты информации;
  • использование зарубежных сервисов с трансграничной передачей данных без соблюдения требований законодательства, а это риск получить большой штраф;
  • отсутствие в договорах с подрядчиками требовании по защите персональных данных, при этом ответственность за утечку у подрядчика ПДн несет оператор этих данных.

Общее для всех этих сценариев — разрыв между формальными требованиями и реальной работой. Данные обрабатываются, но контроль за ними не выстроен как система. Именно здесь возникает большинство инцидентов и последующих претензий со стороны регулятора.

Делать самостоятельно или передать на аутсорс

Теоретически обеспечить соответствие требованиям 152-ФЗ можно своими силами. На практике это требует компетенций сразу в нескольких областях: правовое регулирование, информационная безопасность, администрирование ИСПДн, работа с регуляторами.

Чаще всего бизнес сталкивается с тремя ограничениями:

  • нет экспертизы — сложно корректно провести аудит персональных данных и определить уровень защищенности;
  • нет ресурсов — сотрудники заняты основной работой, а задачи по ПДн откладываются;
  • нет системности — защита собирается по частям: сначала документы, потом отдельные средства защиты, без единой логики.

В результате процесс затягивается, а риски остаются.

Аутсорсинг защиты персональных данных решает эту проблему за счет комплексного подхода. В рамках услуги по защите персональных данных под ключ подрядчик:

  • проводит аудит обработки персональных данных в организации;
  • разрабатывает комплект документации по защите ПДн;
  • помогает внедрить технические меры защиты персональных данных;
  • готовит компанию к проверке Роскомнадзора и сопровождает ее.

Такой подход особенно актуален для бизнеса, где нет собственной ИБ-команды или требуется быстрое приведение в соответствие 152-ФЗ без остановки процессов.

Сколько стоит защита персональных данных

Стоимость защиты персональных данных под ключ всегда рассчитывается индивидуально. Цена зависит не от «пакета услуг», а от текущего состояния системы и объема работ, необходимых для приведения в соответствие с 152-ФЗ.

На итоговую стоимость влияют три ключевых фактора:

  1. Тип и масштаб ИСПДн. Сколько систем используется, где хранятся базы персональных данных, есть ли распределенная инфраструктура.
  2. Объем и категории данных. Работа с данными сотрудников, клиентов или специальными категориями напрямую влияет на уровень защищенности и комплекс мер защиты.
  3. Текущее состояние процессов. Есть ли уже документация по защите ПДн, проводился ли аудит персональных данных, внедрены ли технические средства защиты.

На практике разница может быть огромной: где-то достаточно актуализировать документы и провести внутренний аудит персональных данных, а где-то требуется выстраивать систему с нуля — от модели угроз до внедрения средств защиты и подготовки к проверке Роскомнадзора.

Важно учитывать и еще один момент: попытка сэкономить на отдельных этапах часто приводит к повторным работам. Например, разработка документов без аудита или внедрение технических мер без определения уровня защищенности в итоге увеличивают стоимость проекта.

Частые вопросы

Да, регистрация оператора персональных данных в Роскомнадзоре обязательна. Исключения ограничены и требуют отдельной проверки.

Зависит от масштаба. В среднем — от нескольких недель до нескольких месяцев: срок определяется количеством ИСПДн, объемом данных и текущим уровнем зрелости процессов.

Нет. Документация по защите ПДн — это основа, но без технических мер защиты персональных данных и контроля процессов она не снижает реальные риски.

Связку между документами и практикой: есть ли политика обработки персональных данных, как оформлены согласия, как ограничен доступ к данным и можно ли подтвердить выполнение требований.

Фотография Екатерина Рудая Екатерина Рудая Менеджер продукта
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться