Как подготовиться к проверкам Роскомнадзора, ФСБ и ФСТЭК — Контур.Эльба
Экосистема продуктов для бизнеса
Электронный документооборот
Учет и отчетность
Участие в закупках
Торговля и ритейл
Автоматизация бизнеса
Управление HR‑процессами
Проверка контрагентов
Обучение
Коммуникации
Сделки с недвижимостью
Банковские услуги
Продажи и маркетинг
Информационная безопасность
Для ритейла и поставщиков
Для нового бизнеса
Крупному бизнесу
Работа с госсистемами
Импортозамещение
Маркировка товаров
Все продукты и решения
  1. Главная
  2. Статьи
  3. Правила бизнеса

Как подготовиться к проверкам Роскомнадзора, ФСБ и ФСТЭК

22 августа 2025

Проверки Роскомнадзора, ФСБ и ФСТЭК пугают многих. Но на деле это способ убедиться, что бизнес соблюдает требования к информационной безопасности. В статье рассказываем, что и как проверяют, какие ошибки допускают компании и как их избежать.

Фотография Надежда Запольских Надежда Запольских Менеджер продукта Контур.Безопасность

Задача регуляторов — убедиться, что бизнес знает, как защищать данные сотрудников и клиентов. Пугаться стоит не самой проверки, а формального подхода внутри компании. Когда документы давно не проверяли, ответственных не назначили, а процессы есть только на бумаге — визит инспекции закончится предписанием или штрафом. Но если организация разбирается в своих процессах и соблюдает требования регуляторов, проверка пройдет спокойно.

Новым ИП – год Эльбы в подарок

Год онлайн-бухгалтерии на тарифе Премиум для ИП младше 3 месяцев

Попробовать бесплатно

Что проверяют регуляторы

Проверки Роскомнадзора (РКН), ФСБ и ФСТЭК различаются по подходу:

РКН проверяет, как у бизнеса организована работа с персональными данными (ПД): назначены ли ответственные за обработку, есть ли политика в отношении ПД, правильно ли оформлены согласия, не забыли ли уведомить РКН о начале обработки данных. Например, могут попросить показать, где хранятся личные дела сотрудников: если в открытом ящике или на столе — это нарушение.

ФСБ интересует, как организована техническая защита: использует ли бизнес сертифицированные средства криптографической защиты информации (СКЗИ), есть ли лицензии на их применение, как ведут журналы учёта, у кого есть доступ к технике. Например, если сервер с СКЗИ стоит без пломбы или опечатывания и к нему может подойти кто угодно — это повод для предписания.

ФСТЭК тоже следит за технической защитой данных, особенно если бизнес работает с государственными информационными системами или критической инфраструктурой. Регулятора интересует, какие средства защиты информации (СЗИ) использует компания, сертифицированы ли они, а также разработана ли модель угроз с учётом требований ФСБ. Например, если криптосредство закупили, но не используют — это повод для претензий.

Все три регулятора вправе проверить другие требования. Например, РКН может запросить модель угроз — документ, в котором описано, какие риски есть для информации и как организация собирается их снижать.

Проверки бывают плановыми — их проводят по утверждённому графику — и внеплановыми. В 2025 году плановых проверок нет, проводят только внеплановые — при утечке данных, более десяти жалоб в год, недостоверных ответах на запросы или неустранённых нарушениях.

Какие ещё есть проверки:

  • Профилактический визит — разъяснение требований без санкций.
  • Инспекционный визит — краткая выездная проверка текущего состояния.
  • Документарная проверка — запрос и анализ полного пакета документации без выезда.
  • Выездная проверка — очная проверка с посещением объектов и систем.

Заранее определите тип проверки — это поможет правильно организовать взаимодействие с регуляторами и сэкономить ресурсы на подготовку.

Проверка Роскомнадзора

Проверки РКН касаются большинства компаний, так как практически любой бизнес работает с персональными данными и считается оператором ПД.

Оператор персональных данных: обязанности в 2025 году

Типичные поводы для проверки: жалоба клиента или конкурента, инцидент с данными. Например, клиент пожаловался, что у него просили скинуть копию паспорта в мессенджере без согласия, или конкурент — на то, что на сайте нет политики обработки ПД. В случаях с жалобами подключаются прокуратура и ФСБ.

Что проверяют Возможные нарушения

Регистрация в реестре РКН

Компания забыла подать уведомление об обработке ПД или отправила его по устаревшей форме

Приказы о назначении ответственных, обучение сотрудников
  • Нет списка лиц, ответственных за организацию обработки ПД.
  • Сотрудников не ознакомили с правилами работы с ПД или не обучили таким правилам, обучение не зафиксировали документально

Политика обработки ПД

Политики нет в открытом доступе — например, документа нет на сайте или он есть, но его сложно найти

Согласия на обработку ПД

Согласие не оформили или составили с нарушениями — нет обязательных реквизитов, указанных в п. 4 ст. 9 152-ФЗ

Сайт компании: форма обратной связи, уведомления о cookie

При входе на сайт нет cookie-баннера

Обработка и сбор данных: какие категории собирают и обрабатывают, для каких целей
  • Компания собирает лишние данные «на всякий случай».
  • Данные кандидатов на вакансию хранятся годами без необходимости

Реагирование на жалобы и запросы субъектов ПД

Пользователь просит удалить данные, но компания этого не делает

Как хранятся личные дела, закрыт ли доступ к ним, есть ли доступ у третьих лиц

Место хранения данных не указали в документах

За нарушения организация получит предписание и месяц на исправление. Сотрудники РКН обычно настроены на диалог и повышение правовой грамотности, а не на штрафы. Но формальный подход к защите ПД регулятор выявляет быстро — организацию могут оштрафовать на сумму от 30 000 ₽ по статье 13.11 КоАП РФ, а при повторных нарушениях и выше.

Уведомление в Роскомнадзор об обработке персональных данных в 2025 году

Проверка ФСБ

ФСБ предупреждает о проверке максимум за один-два дня, а может приехать и без предварительного уведомления — особенно при инциденте. Проверяют документы, технику, настройки, доступы. Инспекция оценивает как общий уровень защиты информации, так и конкретные рабочие станции, сервера и каналы связи.

Что проверяют Возможные нарушения

Действующие сертификаты на СКЗИ

Компания использует несертифицированные криптосредства

Криптосредства соответствуют назначению, соблюдаются алгоритмы

Средства защиты установлены, но их применяют неправильно или частично — например, шифрование настроено не на все передаваемые данные

Модель нарушителя и модель угроз с учётом требований ФСБ

Нет модели угроз или её неправильно оформили

Реализация организационных мер по Приказу ФСБ № 378
  • Нет списка лиц, которых допустили к работе с СКЗИ.
  • Компания не ведёт аудит информационной безопасности (ИБ), не анализирует журналы регистрации событий

Поэкземплярный учёт СКЗИ и ключевых документов
  • СКЗИ формально учтены, но не ведётся поэкземплярный контроль: неизвестно, где конкретные устройства, кто их использует, где ключи.
  • Нет журналов, актов, инструкций или они не соответствуют требованиям

Как хранятся СКЗИ и носители
  • Оборудование с СКЗИ не защищено: можно незаметно вскрыть системный блок, нет пломб и опечатывания.
  • Ключевые документы и оборудование хранятся в незапертом шкафу или на общем складе

За нарушения выпишут предписание об их устранении и назначат штраф от 100 000 ₽ и выше. Например, при нарушении порядка защиты информации и требований к использованию СКЗИ оштрафуют по ст. 13.12 КоАП РФ.

Уменьшайте налог в один клик

Эльба займется налогами и ЕНС, а вы развитием бизнеса. Для новых ИП — 1 год Эльбы бесплатно

Попробовать бесплатно

Проверка ФСТЭК

Хотя проверки ФСТЭК встречаются реже, их не стоит исключать — особенно если организация попадает под требования 187-ФЗ или использует государственные информационные системы.

Что проверяют Возможные нарушения

Применение СЗИ

СЗИ закупили, но не используют или они работают в режиме по умолчанию

Действующие сертификаты СЗИ

Применяют устаревшие или несертифицированные версии либо срок действия сертификатов истёк

Модель угроз и нарушителя с учётом требований ФСБ

Нет модели угроз или её неправильно оформили

Реализация организационных мер по Приказу ФСБ № 378
  • Ответственные сотрудники не знают требований, не проходили обучение.
  • Компания не проводит мероприятий по обеспечению информационной безопасности

Поэкземплярный учёт СКЗИ и ключевых документов

Ответственный потерял или не оформил формуляры и сопроводительную документацию

Как хранятся СКЗИ и ключевая документация

Нет защищённого шкафа или сейфа

За нарушения ФСТЭК также выписывает предписание, где указывает срок на их устранение. При нарушении правил защиты информации организацию оштрафуют на сумму от 50 000 ₽ по ст. 13.12 КоАП РФ, при повторных нарушениях штрафы выше. Если нарушение связано с использованием несертифицированных средств защиты, ответственность может наступить и по другим статьям КоАП.

Как подготовиться к проверке

Нельзя подготовиться к проверке за один вечер, особенно если речь идёт о внеплановой проверке. Но можно встроить готовность к проверкам в повседневную работу:

Назначьте не менее двух ответственных. Один — разрабатывает и обновляет документы, взаимодействует с регуляторами и готовит ответы на их запросы. Второй — обеспечивает техническую защиту: контролирует работу СКЗИ, ведёт журналы учёта, следит за безопасностью серверов и рабочих станций.

Организуйте взаимодействие службы ИБ с другими отделами. Обязанности можно распределить так: юристы помогают корректно оформить согласия и договоры, кадровики контролируют работу с ПД и информируют сотрудников, инженеры внедряют и поддерживают технические меры защиты, а служба ИБ объединяет всё это в единую систему и следит, чтобы процессы соответствовали требованиям регуляторов.

Подготовьте документы. Проверьте, чтобы они были понятны и соответствовали реальным бизнес-процессам. Сотрудники должны знать, что и зачем подписывали, какие обязательства на себя взяли, как это отражается на их повседневной работе.

Проверьте процессы. Все процессы обновляются минимум раз в год или если меняется законодательство, а также после инцидентов и по итогам внутренних проверок.

Обучите сотрудников. Работники должны понимать, что они работают с персональной информацией и несут за это ответственность. Проверить это можно через регулярные тестирования после обучения, контрольные опросы, внутренние аудиты и моделирование инцидентов — например, фишинговые тренировки.

Информационная безопасность бизнеса

Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.

Оставить заявку

Реклама 16+.
Фотография Надежда Запольских Надежда Запольских Менеджер продукта Контур.Безопасность
Написать комментарий
Два раза в месяц отправляем рассылку с новостями о законах и налогахПодпишитесь на дайджест налоговых новостей
Подписаться

Другие статьи

Как считать разные виды прибыли
Разберём различные виды прибыли и формулы для их расчёта. Важно разбираться в этом вопросе, чтобы принимать верные финансовые решения.
Тайный покупатель: кто это и как им стать в 2025 году

Магазины, кафе, рестораны и другие сервисы постоянно ищут новые способы улучшить качество обслуживания. Одна из популярных методик в этой сфере — использование тайных покупателей. Разберём, что это за работа и как её получить в 2025 году.

Протокол общего собрания участников ООО 2025: образец, оформление, требования

Общее собрание участников — важная часть управления ООО. В статье объясняем, зачем нужен протокол, в каких случаях он обязателен, как проходит собрание в 2025 году и что должно быть в документе, чтобы его не оспорили.

Депремирование сотрудника в 2025 году: основания, порядок оформления, образцы документов

Если вы платите сотрудникам премии, важно понимать, в каких случаях можно их лишить, а в каких нет. В статье разберём, что такое депремирование, когда его можно применять, как правильно оформить и что грозит за ошибки.

1
Все статьи
<
Написать комментарий