Документы по защите персональных данных, скачанные из интернета, не помогают пройти проверку Роскомнадзора и не защищают от утечки. Они только создают иллюзию соответствия 152-ФЗ. В статье разберем, как на практике выстроить защиту персональных данных под ключ — от аудита до сопровождения проверок.
В этой статье:
- Кто обязан защищать персональные данные и почему формальных мер недостаточно
- Какие риски закрывает соответствие 152-ФЗ
- Как выглядит защита ПДн под ключ
- Этап 1. Аудит персональных данных
- Этап 2. Документы по персональным данным
- Этап 3. Техническая защита ПДн
- Этап 4. Проверки Роскомнадзора
- Где чаще всего возникают риски при работе с ПДн
- Делать самостоятельно или передать на аутсорс
- Сколько стоит защита персональных данных
- Частые вопросы
Кто обязан защищать персональные данные и почему формальных мер недостаточно
Если в компании есть база клиентов, сотрудники с трудовыми договорами или даже просто форма обратной связи на сайте — она уже становится оператором персональных данных. Это автоматически накладывает обязанности по 152-ФЗ: обеспечить безопасность сведений, ограничить доступ, зафиксировать правила обработки и уметь подтвердить это на проверке.
На практике защита персональных данных в организации всегда начинается с документов. Политика обработки персональных данных, согласия, приказы — все это действительно обязательно. Но проблема в том, что сами по себе документы не обеспечивают безопасность персональных данных.
Иногда ситуация выглядит так:
- ответственные за обработку и защиту персональных данных не назначены;
- политика обработки персональных данных есть, но не соответствует требованиям закона;
- согласия собираются, но не учтены бизнес-процессы и третьи лица;
- доступ к ИСПДн (информационной системе персональных данных) не задокументирован;
- журналов учета и логирования нет или они не анализируются.
Формально требования выполнены, но фактически риски остаются. Любая утечка персональных данных в таком случае показывает: система защиты не работает, потому что она не была выстроена как система.
Чтобы это стало нагляднее, можно разложить отличие формального и реального подхода:
| Формальная защита | Реальная защита ПДн |
|---|---|
|
Есть комплект документов |
Документы связаны с реальными процессами |
|
Требования описаны |
Требования внедрены, их исполнение контролируются |
|
Доступ выдан «по факту» |
Доступ ограничен по ролям и задачам |
|
Проверки не проводятся |
Регулярно проводится аудит по 152-ФЗ |
|
Реакция на инциденты отсутствует |
Есть процедуры реагирования на утечки |
Ключевая разница — в связке между документами, процессами и техническими мерами. Именно поэтому комплексная защита персональных данных всегда начинается с аудита самого процесса обработки персональных данных в организации: нужно понять, какие данные есть, где они хранятся, кто к ним имеет доступ и какие угрозы актуальны.
Без этого этапа разработка документов по защите персональных данных превращается в формальность, а такое же формальное соответствие требованиям 152-ФЗ — в риск, который проявится при первой же проверке или инциденте.
Подготовим систему защиты персональных данных
Оценка эффективности реализованных мер по защите ПДн, подготовка необходимой документации, разработка модели угроз и дорожной карты внедрения технических мер защиты.
Какие риски закрывает соответствие 152-ФЗ
Несоблюдение требований 152-ФЗ — это не абстрактный риск, а вполне конкретные последствия для бизнеса: штрафы, блокировки процессов и репутационные потери после утечки персональных данных.
Во-первых, растет стоимость ошибки. В 2026 году усиливается ответственность за нарушения: штрафы за некорректную обработку или отсутствие необходимых мер могут достигать миллионов рублей. При серьезных инцидентах — например, при утечке базы клиентов — речь уже идет не только об административной, но и об уголовной ответственности.
Во-вторых, обязательства становятся более жесткими. Оператора персональных данных могут обязать:
- устранить нарушения в очень короткий срок;
- изменить процессы обработки данных;
- приостановить отдельные операции или сервисы.
Для бизнеса это означает прямые потери: простой систем, срыв договорных обязательств, дополнительные расходы на срочное приведение процессов и систем в соответствие 152-ФЗ.
Отдельный риск — проверки со стороны регуляторов. Роскомнадзор — самый частый. ФСБ проверяет криптографию, но параллельно смотрит и обработку персональных данных. ФСТЭК появляется реже, однако тоже может прийти — тогда оценивает наличие и настройки средств защиты информации.
Они могут быть как плановыми, так и внеплановыми, например, после жалобы субъекта персональных данных или после инцидента. Проверка на соответствие 152-ФЗ почти всегда выявляет одни и те же проблемы: несоответствие документов реальным процессам, отсутствие контроля доступа, неактуальные модели угроз.
Коротко, какие риски закрывает защита ПДн в соответствии с 152-ФЗ:
- штрафы за нарушение требований законодательства;
- ответственность за утечку персональных данных;
- предписания и ограничения со стороны регулятора;
- сбои в бизнес-процессах из-за проверок;
- репутационные потери после инцидентов.
Комплексная защита персональных данных позволяет эти риски управляемо снизить: не просто «подготовиться к проверке Роскомнадзора», а выстроить систему, которая выдерживает и проверку, и реальные атаки.
Как выглядит защита ПДн под ключ
На практике защита персональных данных под ключ — это не отдельная ИБ услуга, а последовательный процесс, где каждый этап опирается на предыдущий. Попытка «перепрыгнуть» шаги обычно заканчивается тем, что систему приходится переделывать.
Базовая логика выглядит так.
Аудит персональных данных. Проводится аудит обработки персональных данных в организации: какие сведения собираются, где хранятся, кто имеет доступ, какие угрозы актуальны. Это основа для всех следующих решений.
Разработка документации по защите ПДн. После аудита проектируется система защиты: разрабатываются модель угроз, технический проект, техническое задание, подбираются средства защиты информации. А уже на его основе формируется остальной пакет — политики, регламенты, согласия, приказы, инструкции.
Внедрение технических мер защиты. Настраиваются средства защиты информации: разграничение доступа, журналы событий, средства контроля и защиты ИСПДн в соответствии с требованиями ПП-1119 и приказа ФСТЭК 21.
Подготовка к проверкам. Проводится внутренняя проверка на соответствие 152-ФЗ, устраняются замечания, готовится компания к визиту регулятора.
Важно, что эти этапы не существуют отдельно друг от друга. Например, невозможно корректно определить уровень защищенности без аудита, а разработка политики обработки персональных данных без понимания процессов приводит к формальным и неработающим документам.
Именно поэтому услуги по защите персональных данных в формате «под ключ» — это не просто набор работ, а выстроенная система. Она позволяет бизнесу не возвращаться к одной и той же задаче каждый год и не реагировать на требования регулятора в авральном режиме, а изначально обеспечить устойчивую и проверяемую защиту персональных данных в организации.
Этап 1. Аудит персональных данных
Аудит персональных данных — это точка, с которой начинается приведение процессов в соответствие с 152-ФЗ. Без него невозможно корректно определить ни состав документов, ни уровень защищенности, ни набор технических мер.
Важно, что аудит проводится не только на соответствие 152-ФЗ, но и на выполнение требований подзаконных актов — ПП РФ №1119, Приказа ФСТЭК №21, Приказа ФСБ №378, а также нормативных требований Роскомнадзора. Это позволяет выявить не только формальные нарушения в документах, но и фактическое отсутствие обязательных технических и организационных мер защиты.
На этом этапе может выясниться, что часть процессов нигде не описана, а доступы выданы «по историческим причинам».
В рамках аудита по 152-ФЗ проверяются сразу три блока:
- Процессы и документы. Какие данные обрабатываются, есть ли политика обработки персональных данных, как оформлены согласия, соответствует ли документация реальной работе.
- Информационные системы (ИСПДн). Где находятся базы данных, какие системы используются, какие средства защиты уже внедрены и как они настроены.
- Готовность к проверке. Проводится внутренняя проверка на соответствие 152-ФЗ: можно ли подтвердить выполнение требований, есть ли журналы, регламенты, доказательная база.
Результат аудита — не просто список нарушений, а понятная карта:
- где есть риски утечки персональных данных;
- какие требования не выполнены;
- какие меры нужно внедрить и в какой последовательности.
Это ключевой момент. Без такого аудита система защиты строится «вслепую»: документы не совпадают с процессами, а технические меры не закрывают реальные угрозы.
Этап 2. Документы по персональным данным
После аудита становится понятно, какие именно документы нужны и как они должны выглядеть. Разработка документов по персональным данным — это не шаблонная задача, а привязка требований закона к конкретным процессам компании.
Базовый пакет документов оператора персональных данных включает:
- политику обработки персональных данных и политику конфиденциальности;
- формы согласий на обработку персональных данных (с учетом актуальных требований, включая изменения 2025 года);
- организационно-распорядительную документацию по ПДн — приказы, регламенты, инструкции для сотрудников;
- модель угроз персональных данных и акт определения уровня защищенности;
- уведомление в Роскомнадзор (обычное письмо) о том, что вы обрабатываете персональные данные, и изменения к нему, если вы что-то поменяли в процессах.
Важно понимать: сами по себе документы не являются защитой. Их задача — зафиксировать правила и обеспечить управляемость процессов.
Чтобы документы работали, они должны:
- соответствовать реальным бизнес-процессам;
- учитывать используемые ИСПДн и средства защиты;
- быть понятными сотрудникам, которые с ними работают;
- регулярно актуализироваться при изменениях в законодательстве, процессах или инфраструктуре.
На этом этапе может возникать разрыв: компания формально имеет комплект документации по защите ПДн, но он не связан с реальной работой. В результате при проверке Роскомнадзора это выявляется как несоответствие требованиям 152-ФЗ.
Корректно собранный пакет документов по персональным данным закрывает сразу две задачи: помогает пройти проверку и становится основой для внедрения технических мер защиты персональных данных.
Этап 3. Техническая защита ПДн
После аудита и разработки документов становится понятно, какие именно технические меры защиты персональных данных нужны. Это этап, где требования 152-ФЗ превращаются в конкретные настройки систем и средств защиты.
Ключевая задача — обеспечить фактическую защищенность ИСПДн, а не просто задекларировать ее в документах.
Базовая логика внедрения опирается на нормативные требования:
- определяется уровень защищенности персональных данных по ПП-1119 — он зависит от категории данных и угроз;
- под этот уровень подбирается набор мер в соответствии с приказом ФСТЭК №21;
- при необходимости используются средства криптографической защиты по требованиям ФСБ;
- для значимых систем проводится аттестация ИСПДн.
На практике это превращается в конкретные изменения в инфраструктуре:
- разграничение доступа к данным по ролям и задачам;
- настройка журналирования и контроля действий пользователей;
- защита каналов передачи данных;
- контроль работы с базами персональных данных;
- внедрение средств обнаружения и предотвращения утечек.
Важно, что набор мер всегда зависит от результатов аудита. Например, если в системе нет контроля доступа, то даже наличие политики обработки персональных данных не снижает риск утечки.
Возможная ошибка на этом этапе — внедрение отдельных средств защиты без общей системы. В результате появляются разрозненные инструменты, которые не закрывают реальные угрозы и не помогают пройти проверку на соответствие 152-ФЗ.
Корректно выстроенная техническая защита связывает документы, процессы и ИСПДн в единую систему. Именно она позволяет не только формально соответствовать требованиям, но и реально снижать риски.
Этап 4. Проверки Роскомнадзора
Проверка Роскомнадзора — это момент, когда становится видно, насколько защита персональных данных в организации соответствует заявленным требованиям.
Регулятор оценивает не отдельные документы, а всю систему в целом:
- есть ли полный и актуальный комплект документации по защите ПДн;
- соответствуют ли документы реальным процессам обработки;
- реализованы ли технические меры защиты персональных данных;
- можно ли подтвердить выполнение требований (журналы, регламенты, доказательства).
Проверка может быть плановой или внеплановой — например, после жалобы или утечки персональных данных. Внеплановые проверки обычно проходят жестче и в более сжатые сроки.
Возможные нарушения, которые могут здесь выявить с большей вероятностью:
- документы есть, но не применяются на практике;
- отсутствует модель угроз или она не актуальна;
- уровень защищенности определен формально;
- нет контроля доступа к ИСПДн;
- не ведется учет и анализ событий безопасности.
Сам процесс проверки включает несколько этапов: запрос документов, их анализ, выездная проверка (при необходимости), оформление акта и выдача предписаний. Если нарушения существенные, компанию могут обязать устранить их в установленный срок и привлечь к ответственности.
Именно поэтому подготовка к проверке Роскомнадзора — это не отдельная задача «перед визитом», а результат всей предыдущей работы. Такой подход позволяет пройти проверку без авральных доработок и минимизировать риски штрафов и предписаний.
Где чаще всего возникают риски при работе с ПДн
Риски утечки персональных данных редко возникают из-за «сложных атак». Чаще всего проблема в повседневных процессах: доступы не ограничены, данные копируются между системами, сотрудники работают с ними без контроля.
Можно выделить три зоны, где чаще всего возникают уязвимости.
Персональные данные сотрудников. Работодатель обрабатывает значительный объем сведений: паспортные данные, СНИЛС, банковские реквизиты и так далее. Эти данные хранятся в кадровых системах, бухгалтерии, файлах на сетевых ресурсах.
Возможные проблемы:
- избыточные права доступа к кадровым данным;
- передача файлов через незащищенные каналы;
- отсутствие контроля действий сотрудников.
Персональные данные клиентов. Здесь основной риск — в распределенности данных: сайт, CRM, почта, маркетинговые сервисы.
Встречаются такие проблемы:
- некорректно оформленные согласия на обработку персональных данных;
- отсутствие правовых основании обработки персональных данных клиентов при продвижении товаров, работ и услуг
- хранение данных без ограничения срока;
- доступ к клиентским базам без разграничения прав;
- отсутствие защиты веб-форм и API.
Информационные системы (ИСПДн). Даже при наличии документов и регламентов именно ИСПДн остаются ключевой точкой риска.
Проблемы, которые выявляет аудит системы защиты персональных данных:
- неактуальная модель угроз персональных данных;
- формально определенный уровень защищенности;
- отсутствие журналирования и анализа событий;
- не настроены средства защиты информации;
- использование зарубежных сервисов с трансграничной передачей данных без соблюдения требований законодательства, а это риск получить большой штраф;
- отсутствие в договорах с подрядчиками требовании по защите персональных данных, при этом ответственность за утечку у подрядчика ПДн несет оператор этих данных.
Общее для всех этих сценариев — разрыв между формальными требованиями и реальной работой. Данные обрабатываются, но контроль за ними не выстроен как система. Именно здесь возникает большинство инцидентов и последующих претензий со стороны регулятора.
Делать самостоятельно или передать на аутсорс
Теоретически обеспечить соответствие требованиям 152-ФЗ можно своими силами. На практике это требует компетенций сразу в нескольких областях: правовое регулирование, информационная безопасность, администрирование ИСПДн, работа с регуляторами.
Чаще всего бизнес сталкивается с тремя ограничениями:
- нет экспертизы — сложно корректно провести аудит персональных данных и определить уровень защищенности;
- нет ресурсов — сотрудники заняты основной работой, а задачи по ПДн откладываются;
- нет системности — защита собирается по частям: сначала документы, потом отдельные средства защиты, без единой логики.
В результате процесс затягивается, а риски остаются.
Аутсорсинг защиты персональных данных решает эту проблему за счет комплексного подхода. В рамках услуги по защите персональных данных под ключ подрядчик:
- проводит аудит обработки персональных данных в организации;
- разрабатывает комплект документации по защите ПДн;
- помогает внедрить технические меры защиты персональных данных;
- готовит компанию к проверке Роскомнадзора и сопровождает ее.
Такой подход особенно актуален для бизнеса, где нет собственной ИБ-команды или требуется быстрое приведение в соответствие 152-ФЗ без остановки процессов.
Сколько стоит защита персональных данных
Стоимость защиты персональных данных под ключ всегда рассчитывается индивидуально. Цена зависит не от «пакета услуг», а от текущего состояния системы и объема работ, необходимых для приведения в соответствие с 152-ФЗ.
На итоговую стоимость влияют три ключевых фактора:
- Тип и масштаб ИСПДн. Сколько систем используется, где хранятся базы персональных данных, есть ли распределенная инфраструктура.
- Объем и категории данных. Работа с данными сотрудников, клиентов или специальными категориями напрямую влияет на уровень защищенности и комплекс мер защиты.
- Текущее состояние процессов. Есть ли уже документация по защите ПДн, проводился ли аудит персональных данных, внедрены ли технические средства защиты.
На практике разница может быть огромной: где-то достаточно актуализировать документы и провести внутренний аудит персональных данных, а где-то требуется выстраивать систему с нуля — от модели угроз до внедрения средств защиты и подготовки к проверке Роскомнадзора.
Важно учитывать и еще один момент: попытка сэкономить на отдельных этапах часто приводит к повторным работам. Например, разработка документов без аудита или внедрение технических мер без определения уровня защищенности в итоге увеличивают стоимость проекта.
Частые вопросы
Да, регистрация оператора персональных данных в Роскомнадзоре обязательна. Исключения ограничены и требуют отдельной проверки.
Зависит от масштаба. В среднем — от нескольких недель до нескольких месяцев: срок определяется количеством ИСПДн, объемом данных и текущим уровнем зрелости процессов.
Нет. Документация по защите ПДн — это основа, но без технических мер защиты персональных данных и контроля процессов она не снижает реальные риски.
Связку между документами и практикой: есть ли политика обработки персональных данных, как оформлены согласия, как ограничен доступ к данным и можно ли подтвердить выполнение требований.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.