Гладиаторы - меню

Напишите нам
info@glabit.ru

Главная

→

Услуги

→

Услуги аудита защиты персональных данных

Аудит защиты и обработки персональных данных по 152-ФЗ

В современном бизнесе обработка персональных данных стала неотъемлемой частью работы с клиентами, партнерами и сотрудниками. Однако несоблюдение требований законодательства, в частности Федерального закона №152-ФЗ «О персональных данных», может привести к штрафам, утечкам информации и потере доверия клиентов. Чтобы минимизировать риски и обеспечить соответствие требованиям законодательства, проводится аудит защиты персональных данных. Это комплексная проверка, выявляющая уязвимости и несоответствия в системе обработки и хранения персональных данных.

Заказать услугу Бесплатная консультация

Что такое персональные данные

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) в соответствии с Федеральный закон № 152-ФЗ «О персональных данных».

Иными словами, если по совокупности сведений можно установить личность человека — такие сведения признаются персональными данными.

К персональным данным относятся:

фамилия, имя, отчество;
паспортные данные;
СНИЛС, ИНН;
адрес проживания;
номер телефона, e-mail;
сведения о месте работы и должности;
данные о зарплате;
IP-адрес, cookie и иные онлайн-идентификаторы (если позволяют идентифицировать человека);
биометрические данные (фотографии, отпечатки пальцев, голос).

Важно понимать, что даже минимальный набор информации может считаться персональными данными, если он позволяет идентифицировать конкретного человека.

Организация, которая собирает, хранит, использует или иным образом обрабатывает такие сведения, автоматически становится оператором персональных данных и обязана обеспечить их защиту в соответствии с требованиями законодательства РФ.

Что такое аудит персональных данных в организации

Аудит информационных систем персональных данных (ИСПДн) — это комплексная проверка процессов обработки, хранения и защиты персональной информации сотрудников, клиентов и партнеров.

Его цель — определить, насколько деятельность компании соответствует требованиям Федерального закона №152-ФЗ «О персональных данных», а также выявить риски, которые могут привести к утечке данных, штрафам или проверке Роскомнадзора.

Проведение аудита по защите персональных данных позволяет компании укрепить систему безопасности, повысить доверие клиентов и избежать претензий со стороны контролирующих органов.

Что требует закон о защите персональных данных

Основные требования к обработке и защите персональных данных установлены Федеральный закон № 152-ФЗ «О персональных данных». Закон распространяется на все организации и индивидуальных предпринимателей, которые осуществляют сбор, хранение, использование, передачу или иные действия с персональными данными физических лиц.

Важно понимать: оператором персональных данных признаётся любая организация, которая самостоятельно или совместно с другими лицами организует обработку ПДн и определяет цели такой обработки. Даже ведение кадрового учёта уже подпадает под действие закона.

Ниже приведены ключевые требования законодательства с практическими пояснениями.

1. Законность и наличие оснований для обработки

Согласно статье 6 152-ФЗ, обработка персональных данных допускается только при наличии законных оснований. Наиболее распространённое основание — согласие субъекта персональных данных.

Согласие должно:

быть конкретным, информированным и сознательным;
определять цели обработки;
указывать перечень обрабатываемых данных;
фиксироваться в письменной или электронной форме (в зависимости от ситуации).

При этом закон предусматривает и иные основания обработки (например, исполнение договора, выполнение требований закона, защита жизни и здоровья).

Отсутствие корректно оформленного согласия — одно из самых распространённых нарушений.

2. Определение целей и минимизация объёма обработки

Статья 5 152-ФЗ устанавливает принцип целевого ограничения и минимизации. Это означает:

персональные данные должны обрабатываться только для заранее определённых, законных целей;
нельзя собирать избыточные данные;
объём и содержание ПДн должны соответствовать заявленным целям.

Например, если организация собирает данные для заключения договора, она не вправе запрашивать сведения, не связанные с его исполнением.

3. Локализация баз данных на территории РФ

В соответствии со статьёй 18 152-ФЗ, при сборе персональных данных граждан Российской Федерации оператор обязан обеспечивать их первичную запись, систематизацию, накопление и хранение с использованием баз данных, расположенных на территории РФ (исключением является только возможность и необходимость трансграничной передачи данных, о чем необходимо дополнительно уведомлять субъектов, регулятора и принимать особые меры защиты для безопасности подобной передачи).

Это требование особенно важно для компаний, использующих зарубежные облачные сервисы. Например, всем известны случаи предъявления претензий Регуляторами к зарубежным мессенджерам, которые хранят и обрабатывают личные данные и переписки граждан РФ на серверах, находящимся за пределами страны.

4. Обеспечение безопасности персональных данных

Статья 19 152-ФЗ обязывает оператора принимать необходимые правовые, организационные и технические меры для защиты персональных данных от:

неправомерного доступа;
уничтожения;
изменения;
блокирования;
копирования;
распространения.

Конкретизация мер безопасности осуществляется, в том числе, на основании Постановление Правительства РФ № 1119 и Приказ ФСТЭК России № 21 (№17 для ГИС - государственных информационных систем).

В зависимости от уровня защищённости информационной системы персональных данных (ИСПДн) организация обязана внедрять определённый набор организационных и технических мер, включая:

идентификация и аутентификация субъектов доступа и объектов доступа;
разграничение доступа:

- управление доступом субъектов доступа к объектам доступа;
- обеспечение доступности персональных данных;

защита устройств обработки:

- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
- антивирусная защита;
- ограничение программной среды;

защита среды обработки:

- обеспечение целостности информационной системы и персональных данных;
- защита среды виртуализации;
- обнаружение (предотвращение) вторжений;
- защита информационной системы, ее средств, систем связи и передачи данных;

регистрация событий безопасности;

- выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;

контроль (анализ) защищенности персональных данных;

- управление конфигурацией информационной системы и системы защиты персональных данных.

5. Назначение ответственного за организацию обработки ПДн

Статья 22.1 152-ФЗ требует назначить лицо, ответственное за организацию обработки персональных данных. В его обязанности входят:

контроль соблюдения законодательства;
информирование сотрудников о требованиях закона;
взаимодействие с надзорными органами;
контроль актуальности документации.

Отсутствие назначенного ответственного лица рассматривается как нарушение требований закона.

6. Разработка локальных нормативных актов

Оператор обязан утвердить внутренние документы, определяющие политику в отношении обработки ПДн и процедуры их защиты. Как минимум должны быть:

политика обработки персональных данных;
приказ о назначении ответственного (уже упоминался выше);
положение о защите ПДн;
регламент реагирования на инциденты;
инструкции для сотрудников;
журналы учета обращений и носителей информации при работе (доступе) сотрудников к ПДн;
модель угроз (при наличии ИСПДн).

Технические и дополнительные документы:

Акт определения уровня защищенности (УЗ) информационных систем (ИСПДн);
Инструкция по парольной защите и антивирусному контролю (и другим средствам защиты).

Документация должна быть актуальной и соответствовать фактическим процессам.

7. Проведение оценки соответствия и аттестации ИСПДн

Если организация использует информационные системы персональных данных (ИСПДн), необходимо определить уровень их защищённости и реализовать соответствующие меры безопасности.

В ряде случаев проводится оценка соответствия или аттестация ИСПДн на соответствие требованиям безопасности.

Практика показывает, что многие компании формально внедряют средства защиты, но не подтверждают корректность их настройки и соответствие установленным требованиям. Здесь есть риск получить штрафы от регулятора (как минимум Роскомнадзора, а еще могут быть от ФСТЭК и ФСБ - но это для ГИС и КИИ), а также прямой и косвенный ущерб при реализации инцидента безопасности, связанного с утечкой ПДн.

9. Уведомление Роскомнадзора

В соответствии со статьей 22 152-ФЗ оператор обязан уведомить уполномоченный орган (Роскомнадзор) о намерении осуществлять обработку персональных данных, за исключением предусмотренных законом случаев.

Неподача уведомления может повлечь административную ответственность. При этом с 30 мая 2025г. были введены новые штрафы - значительно увеличена ответственность за нарушение 152-ФЗ, в том числе за неуведомление РКН: до 50 000 руб. для ИП/должностных лиц, до 300 000 руб. для компаний.

Также отметим, что обновлять уведомление нужно каждый раз при изменениях - например, юр.адреса, а не только когда меняется сам состав обрабатываемых данных.

10. Регулярный аудит и актуализация мер защиты

Хотя закон прямо не употребляет термин «аудит», обязанность поддерживать актуальность мер защиты подразумевает регулярную проверку соответствия требованиям.

Организация должна:

периодически пересматривать модель угроз;
актуализировать перечень ИСПДн;
проверять корректность настроек средств защиты;
обновлять внутренние документы;
анализировать инциденты и внедрять корректирующие меры.

Чем грозит несоответствие по 152-ФЗ?

В 2025 году несоблюдение закона может обернуться серьезными последствиями:

штрафами до 1,500 000 рублей за обработку данных без согласия или с нарушениями;
блокировкой деятельности и проверками Роскомнадзора;
утечками конфиденциальных данных, штрафами до 20 млн рублей (до 3% от оборота за повторную утечку) и даже уголовной ответственностью за крупный ущерб (утечки) или преднамеренных нарушениях;
потерей клиентов и репутации;
судебными исками от субъектов ПДн.

Своевременный аудит соответствия обработки персональных данных помогает не только избежать санкций, но и системно выстроить защиту персональных данных в организации.

Виды аудита персональных данных

Аудит ПДн делится на два основных вида — внутренний и внешний. Оба варианта допустимы и могут быть закреплены в локальных нормативных актах предприятия.

Внутренний аудит

Внутренний аудит проводится силами самой организации.
Компания самостоятельно определяет цели, сроки и порядок проверки, назначает комиссию, которая:

формирует перечень проверяемой документации;
оценивает полноту и корректность локальных актов;
проверяет работу ответственного за обработку ПДн;
анализирует защищённость ИСПДн;
готовит внутреннее заключение о состоянии системы защиты.

Такой подход подходит крупным организациям с развитым отделом информационной безопасности и юридической поддержкой.

Внешний аудит

Внешний аудит проводится при участии независимых специалистов или лицензированной компании.
Он позволяет получить объективную оценку состояния защиты ПДн и подготовиться к проверкам регуляторов.

В ходе внешнего аудита специалисты проводят:

анализ организационной документации, разработанной в соответствии со статьями 18.1 и 19 Федерального закона №152-ФЗ;
техническую экспертизу ИСПДн — оценку уровня защищённости информационных систем персональных данных;
предпроверочную подготовку по чек-листу Роскомнадзора (приказ №253 от 24.12.2021);
проверку по типовым нарушениям - например, отсутствия согласия на сайте или ссылки на политику обработки ПДн.

Важно: технический аудит ИСПДн вправе проводить только организации, имеющие лицензию ФСТЭК России на деятельность в области технической защиты конфиденциальной информации.

Компания «Гладиаторы ИБ» имеет все необходимые разрешения и штат квалифицированных экспертов, что позволяет нам проводить аудит персональных данных в полном соответствии с требованиями законодательства.

После успешного прохождения внешнего аудита организация получает экспертное заключение и готовность к аттестации ИСПДн по требованиям 152-ФЗ.

Этапы проведения аудита

Аудит защиты персональных данных включает несколько последовательных этапов:

1. Подготовка и планирование

Определение целей аудита и перечня проверяемых систем.
Сбор сведений о процессах обработки персональных данных.
Подписание соглашения о конфиденциальности.

2. Анализ документации

Проверка наличия и актуальности локальных актов (политики, положения, приказы, инструкции).
Анализ договоров с контрагентами и операторами ПДн.
Проверка полномочий ответственного лица за защиту данных.

3. Техническая проверка ИСПДн

Оценка уровня защищённости информационных систем.
Проверка работы СЗИ, антивирусов, систем резервного копирования.
Анализ уязвимостей и рисков.

4. Сравнение с требованиями 152-ФЗ

Сопоставление фактического состояния с нормами законодательства.
Определение несоответствий и оценка их критичности.

5. Формирование отчёта и рекомендаций

Разработка детального отчёта с перечнем нарушений.
Подготовка практического плана устранения несоответствий.

6. Консультации и сопровождение

Представление итогов аудита заказчику.
Ответы на вопросы и сопровождение при внедрении корректирующих мер.

Оставьте контакт и наш менеджер свяжется и проконсультирует Вас по этому вопросу:

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности

От чего зависит стоимость аудита

Фактор	Влияние на стоимость
Масштаб организации	Чем больше филиалов и сотрудников, тем выше объём проверки
Количество ИСПДн	Проверка нескольких систем требует дополнительных ресурсов
Уровень защищённости данных	Чем выше уровень (К1–К4), тем сложнее и дороже аудит
Объём документации	Проверка и разработка внутренней документации увеличивает трудозатраты
Наличие аттестации	Включение этапа аттестации по 152-ФЗ влияет на итоговую цену
Срочность работ	Срочные проекты требуют расширенной команды специалистов

Что клиент получает по итогам аудита

По завершении аудита вы получаете:

Официальный отчёт о соответствии требованиям 152-ФЗ;
Экспертное заключение с выявленными нарушениями и мерами их устранения;
Обновленный пакет организационно-распорядительной документации;
Техническое заключение по ИСПДн — с оценкой уровня защищенности;
Рекомендации по приведению системы защиты в соответствие закону;
Консультацию экспертов по подготовке к проверке Роскомнадзора;
Сертификат о проведении аудита персональных данных (при необходимости);
Повышение общей устойчивости компании к инцидентам информационной безопасности.

Наши кейсы

Цель

Усилить защиту распределённой инфраструктуры.
Обеспечить безопасный удалённый доступ (2FA).
Снизить нагрузку на ИТ/ИБ.
Объединить сегменты инфраструктуры и централизовать защиту 5 ЦОД.

Решение

Разработана единая архитектура сетевой безопасности.
Внедрены безопасный доступ, 2FA, централизованные политики.
Автоматизировано администрирование, настроен мониторинг и реагирование.
Интеграция со всеми ключевыми системами.

Результат

Полный охват потоков данных единой системой.
Нагрузка на ИТ/ИБ снижена на 70%.
Повышена устойчивость к атакам.
Удобный и безопасный удалённый доступ.
Проект: 8 месяцев, 5 ЦОД.

Сверхэффект

Система стала инструментом управленческих решений и основой для дальнейшего масштабирования безопасности.

Внедрение единой унифицированной системы сетевой безопасности для группы компаний

Цель

Обеспечить безопасный единый доступ сотрудников к ресурсам.
Централизовать управление 5000+ учётными записями.
Масштабировать решение для 50+ филиалов.
Снизить риски несанкционированного доступа и упростить администрирование.

Решение

Создана отказоустойчивая архитектура централизованной аутентификации.
Внедрены MFA и централизованное управление ролями.
Проведена поэтапная интеграция с корпоративными системами.
Организовано обучение ИТ-персонала и передача экспертизы.

Результат

Единая точка входа для всех сотрудников.
Сокращение времени администрирования и поддержки.
Повышенная безопасность за счёт строгой верификации.
Масштабируемая инфраструктура, готовая к подключению новых систем.
Проект реализован за 3 месяца.

Сверхэффект

Компания получила самодостаточное решение, которое можно развивать без зависимости от внешних подрядчиков.

Проектирование и внедрение системы аутентификации для страховой компании

Цель: оценить защиту своих ресурсов, найти максимально уязвимые места и сфокусировать ресурсы на них
Результат:

понятные меры по улучшению защиты как снаружи, так и внутри компании (по итогам анализа найденных векторов)
конкретные рекомендации по изменению настроек средств защиты и ключевых систем компании

Сверхэффект:

дорожная карта модернизации системы безопасности и приоритеты внедрения решений по защите на основании результатов аудита.

Аудит безопасности инфраструктуры

Проведение аудита экспертами «Гладиаторы ИБ»

Компания «Гладиаторы ИБ» — экспертный интегратор в области информационной безопасности.

Мы выполняем проведение аудита по защите персональных данных под ключ: от анализа документации и проверки ИСПДн до разработки корректирующих мер и сопровождения проверок.

Наши преимущества:

наличие сертифицированных специалистов;
более 10 лет практики в области защиты информации;
комплексный подход — от организационных до технических решений;
помощь при аттестации ИСПДн и взаимодействии с Роскомнадзором;
прозрачная стоимость и чёткие сроки выполнения работ.

Надежный и ответственный интегратор

Если вы работаете с нами, то мы уверены, что решение вам подходит, можем даже отговорить от покупки, если это соответствует целям и задачам

Мы экспертно подходим к задачам обеспечения безопасности

Это не самая простая ниша, есть много продуктов, нюансов, тонкостей интеграции, поэтому с нами вы можете положиться на наш опыт и возможности с полной уверенностью!

Мы знаем боль компаний изнутри, так как сами используем те же самые подходы и проблемы роста

Мы понимаем, как строить защиту, что нужно защищать, а на какую боль можно не обращать внимание. Мы свои.

Мы экономим нервы и время (силы / ресурсы)

даем решение для проблемы под ключ, вам не требуется тратить время на подбор, изучение, внедрение - мы это сделаем за вас. Сэкономим 3 месяца вашей жизни!

Сотрудничая с нами, вы получаете не просто отчёт, а готовое решение по защите персональных данных и уверенность в безопасности вашего бизнеса.

Закажите аудит персональных данных прямо сейчас — наши эксперты свяжутся с вами и помогут определить оптимальный формат проверки.

Часто задаваемые вопросы

Как часто нужно проводить аудит персональных данных?
Рекомендуется проводить аудит не реже одного раза в год и перед проверкой Роскомнадзора.

Можно ли пройти аудит дистанционно?
Да, часть процедур выполняется онлайн — анализ документов и консультации.

Обязательно ли проводить внешний аудит?
Да, если у компании нет квалифицированных специалистов с опытом работы в области 152-ФЗ и лицензии ФСТЭК.

Вы помогаете устранить нарушения после аудита?
Да, мы предоставляем детальные рекомендации и помогаем внедрить корректирующие меры.

Что такое ИСПДн и зачем её проверять?
Это информационная система персональных данных. Проверка её защищённости обязательна для подтверждения соответствия закону.