Аудит по 152‑ФЗ: как проверить соответствие и подготовиться к проверке Роскомнадзора — Контур.Эгида

В этой статье

Аудит по 152‑ФЗ: как проверить соответствие и подготовиться к проверке Роскомнадзора

25 мая 2026

Формальное соответствие 152-ФЗ не защищает от штрафов: Роскомнадзор проверяет не наличие документов, а то, как в организации реально выстроена обработка и защита персональных данных. Ошибки чаще всего выявляются уже после инцидента или жалобы — когда исправление нарушений становится дорогим и срочным. В статье разберем, как на практике проводят аудит персональных данных по 152-ФЗ эксперты Контур.Эгиды, что именно проверяется в компании, какую роль играют ИСПДн и как подготовиться к проверке Роскомнадзора без авральных доработок.

Фотография Татьяна Панарина Татьяна Панарина Старший инженер

Почему аудит по 152-ФЗ стал необходимостью

За последние два года подход к контролю персональных данных заметно изменился. Если раньше проверка на соответствие 152-ФЗ часто ограничивалась анализом документов, то сейчас оценивают фактическое выполнение требований законодательства: как организованы процессы, кто имеет доступ к данным, какие меры защиты реализованы в информационных системах.

При этом требования определяются не только Федеральным законом № 152-ФЗ «О персональных данных», но и подзаконными актами, регулирующими организационные и технические меры защиты:

  • Постановлением Правительства РФ № 1119;
  • Постановлением Правительства РФ № 687;
  • Приказом ФСТЭК России № 21;
  • Приказом ФСБ России № 378;
  • Приказом ФАПСИ № 152 (в части применения СКЗИ);
  • актуальными приказами Роскомнадзора.

На практике большинство проблем возникает не из-за отсутствия документов, а из-за разрыва между реальными процессами и тем, как они описаны в локальных актах. Например:

  • не назначены ответственные за обработку и защиту ПДн;
  • выбрано ненадлежащее правовое основание обработки ПДн;
  • политика обработки персональных данных формально есть, но не отражает реальные процессы;
  • уведомление Роскомнадзора не соответствует фактической обработке;
  • компания использует сторонние сервисы с трансграничной передачей данных;
  • доступ к ИСПДн не ограничен по ролям;
  • отсутствуют регламенты уничтожения персональных данных;
  • технические меры защиты формально заявлены, но фактически не реализованы.

В результате компания может считать, что соответствует требованиям законодательства, хотя при проверке будут выявлены существенные нарушения.

Именно поэтому аудит персональных данных сегодня — это не формальная процедура «перед проверкой», а инструмент, который позволяет:

  • объективно оценить текущее состояние процессов обработки ПДн;
  • выявить реальные риски утечки данных;
  • определить применимые требования законодательства;
  • подготовиться к проверке Роскомнадзора;
  • выстроить понятную и управляемую систему защиты персональных данных.

Как проходит аудит

Аудит обычно начинается не с интервью и не с проверки документов, а с необходимости понять, как у компании вообще устроена работа с персональными данными. На практике почти всегда оказывается, что часть процессов нигде не описана, а сотрудники разных отделов по-разному представляют, какие данные и зачем они используют.

1. Сбор и анализ исходной информации

Например, эксперты Контур.Эгиды сначала запрашивают базовую информацию о компании и текущих процессах обработки ПДн. Обычно это:

  • структура организации или штатное расписание;
  • имеющиеся документы по персональным данным;
  • сведения об информационных системах;
  • данные о средствах защиты информации;
  • договоры с подрядчиками, которые участвуют в обработке ПДн.

Параллельно смотрим открытые источники: сайт компании, формы сбора данных, приложения, сведения из Контур.Фокуса.

Отдельно направляем опросные листы сотрудникам ключевых подразделений. Это помогает заранее понять, как реально устроены процессы в компании и на что стоит обратить внимание во время интервью.

2. Подготовка плана интервью

После анализа исходной информации формируется план интервьюирования: определяется перечень сотрудников для опроса, процессы, требующие уточнения, а также документы и информационные системы, которые необходимо дополнительно проверить.

Это позволяет точнее сформулировать вопросы для интервью и охватить все ключевые процессы обработки ПДн.

3. Интервью и обследование процессов обработки ПДн 

Дальше начинается основной этап — интервьюирование сотрудников. Обычно специалисты Эгиды отдельно общаются с кадровыми подразделениями, бухгалтерией, юристами, IT- и ИБ-специалистами, сотрудниками, которые работают с клиентскими данными.

Во время интервью определяем:

  • процессы обработки персональных данных;
  • цели обработки ПДн;
  • категории субъектов;
  • состав обрабатываемых персональных данных;
  • правовые основания обработки;
  • сроки хранения данных;
  • порядок передачи и уничтожения ПДн.

Одновременно выявляем:

  • подрядчиков и третьих лиц, участвующих в обработке;
  • случаи трансграничной передачи данных;
  • внутренние сервисы и ресурсы, используемые для хранения и передачи данных;
  • внешние сервисы и платформы, через которые проходят персональные данные.

Очень часто именно на этом этапе всплывают документы и процессы, о которых раньше никто не говорил: Excel-файлы с клиентскими базами, передача документов через мессенджеры, облачные сервисы, неучтенные формы на сайте и так далее.

Если после интервью появляются новые вопросы, дополнительно запрашиваем документы или просим сотрудников уточнить отдельные моменты в опросных листах.

Чаще всего дополнительно анализируем:

  • договоры с подрядчиками;
  • анкеты соискателей;
  • формы согласий;
  • кадровые документы;
  • документы по работе с клиентами.

Если аудит проходит дистанционно, интервью проводим в Контур.Толк. Записи встреч помогают потом спокойно вернуться к деталям процессов, а не возвращаться к сотрудникам с повторными вопросами. 

4. Обследование ИСПДн и технических мер защиты 

Отдельно проводим обследование ИСПДн и проверяем, как защита персональных данных реализована технически.

Проверяем:

  • собственные и сторонние ИСПДн;
  • SaaS-сервисы;
  • CRM;
  • кадровые системы;
  • электронную почту;
  • файловые хранилища;
  • внутренние порталы;
  • сайты и формы сбора данных.

На этом этапе определяем:

  • в каких системах обрабатываются ПДн;
  • где физически расположены базы данных;
  • как организован доступ сотрудников и подрядчиков;
  • какие меры защиты информации реализованы;
  • используется ли СКЗИ;
  • есть ли трансграничная передача данных.

Проверяем соответствие требованиям 152-ФЗ, ПП РФ № 1119, Приказа ФСТЭК № 21, Приказа ФАПСИ № 152, Приказа ФСБ № 378 и требованиям Роскомнадзора.

Именно на этом этапе нередко выясняется, что часть ИСПДн не учтена, сотрудники используют сторонние сервисы без согласования, а реальные технические меры защиты отличаются от того, что указано в документации. 

5. Проверка документов и правовых оснований 

После интервью сопоставляем документы с тем, как процессы устроены в реальности. На этом этапе проверяем:

  • политику обработки ПДн;
  • согласия субъектов;
  • уведомление Роскомнадзора;
  • договоры с подрядчиками;
  • локальные нормативные акты;
  • наличие модели угроз и документов по определению уровня защищенности.

Смотрим:

  • есть ли правовые основания обработки;
  • корректно ли оформлена передача ПДн третьим лицам;
  • используется ли трансграничная передача данных;
  • соответствуют ли документы фактическим процессам.

На практике часто оказывается, что документы формально есть, но они давно не обновлялись и уже не отражают реальную работу компании.

6. Подготовка отчета

По итогам аудита готовим отчет с описанием процессов обработки ПДн, перечнем выявленных несоответствий и результатами проверки организационных и технических мер защиты.

В отчете фиксируем:

  • выявленные процессы обработки ПДн;
  • перечень ИСПДн;
  • категории субъектов и состав обрабатываемых ПДн;
  • выявленные несоответствия требованиям законодательства;
  • результаты проверки организационных и технических мер защиты;
  • рекомендации по устранению нарушений.

При необходимости отдельно обсуждаем отчет с заказчиком и отвечаем на вопросы по выявленным несоответствиям и дальнейшим шагам.

Какие нарушения выявляем чаще всего

На практике в ходе аудита чаще всего выявляем, что:

  • нет назначенных ответственных за обработку и защиту ПДн;
  • нет правовых оснований для передачи ПДн подрядчикам;
  • компания использует зарубежные сервисы с трансграничной передачей данных;
  • уведомление Роскомнадзора не соответствует фактическим процессам;
  • нет регламентов уничтожения ПДн;
  • модели угроз неактуальны;
  • уровень защищенности определен формально;
  • нет контроля доступа к системам обработки ПДн;
  • нет журналирования и анализа событий безопасности.

Общее для всех этих нарушений — разрыв между документами и реальной работой компании.

Как проходит проверка Роскомнадзора и к чему готовиться

Проверка Роскомнадзора оценивает всю цепочку обработки персональных данных — от момента сбора до уничтожения. Регулятор сопоставляет:

  1. уведомление Роскомнадзора;
  2. внутренние документы;
  3. реальные процессы обработки;
  4. технические меры защиты.

Такая проверка может быть плановой, внеплановой или инициированной после жалобы или инцидента. Регулятор уделяет особое внимание:

  • соответствию документов фактическим процессам;
  • выполнению организационных мер;
  • реализации технических мер защиты;
  • соблюдению сроков реагирования на инциденты.

Именно поэтому подготовка к проверке Роскомнадзора должна начинаться с комплексного аудита процессов обработки ПДн.

Что получает заказчик по итогам аудита

В итоговый пакет документов  входят:

  • отчет об обследовании процессов обработки ПДн;
  • описание процессов обработки ПДн; 
  • перечень выявленных информационных систем;
  • категории субъектов и состав обрабатываемых ПДн; 
  • описание процессов обработки персональных данных;
  • выявленные несоответствия требованиям законодательства;
  • результаты проверки организационных и технических мер;
  • рекомендации по устранению выявленных нарушений.

При необходимости дополнительно выполняются:

  • разработка организационно-распорядительной документации;
  • актуализация уведомления Роскомнадзора;
  • сопровождение при внедрении рекомендаций;
  • консультационная поддержка по вопросам обработки ПДн.

Как снизить риски и избежать штрафов 

Чтобы снизить риски, важно выстроить защиту персональных данных как систему, а не как набор документов. На практике это означает:

  • регулярно пересматривать процессы обработки ПДн;
  • актуализировать документы при изменении процессов;
  • контролировать передачу данных третьим лицам;
  • ограничивать доступ к данным по ролям;
  • внедрять организационные и технические меры защиты;
  • своевременно актуализировать уведомление Роскомнадзора;
  • регулярно проводить аудит персональных данных.

Ключевая задача — обеспечить соответствие между процессами, документами и технической реализацией защиты. Именно их рассинхронизация чаще всего становится причиной штрафов и претензий регуляторов.

Заключение

Аудит персональных данных по 152-ФЗ — это комплексная проверка процессов обработки ПДн, документов и реализованных мер защиты. Он позволяет заранее выявить несоответствия, снизить риски утечек и подготовиться к проверке Роскомнадзора без аврала.

Эффективная защита персональных данных строится не вокруг отдельных документов или технических решений, а вокруг всей системы обработки данных в организации — от бизнес-процессов до организационных и технических мер защиты.

Фотография Татьяна Панарина Татьяна Панарина Старший инженер
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться