Кибероснова152-ФЗ

Аудит информационной безопасности в 2026: виды, этапы, документы, стоимость

Аудит информационной безопасности 2026: виды (внутренний, внешний, технический), 5 этапов, обязательные документы, стандарты ГОСТ Р 57580 и ISO 27001, стоимость.

28 мая 2026 г.13 мин. чтения

Что такое аудит информационной безопасности и зачем он нужен

Аудит информационной безопасности (аудит ИБ) — независимая оценка состояния системы защиты информации в организации с целью выявления уязвимостей, несоответствий требованиям регуляторов и подготовки плана устранения проблем. Это базовый инструмент для всех российских организаций, работающих с защищаемой информацией: персональными данными по 152-ФЗ, государственными информационными системами по Приказу ФСТЭК №117, объектами КИИ по 187-ФЗ, коммерческой тайной по 98-ФЗ.

Когда аудит ИБ необходим

  • Перед проверкой Роскомнадзора или ФСТЭК — оценить готовность и устранить нарушения заранее
  • После инцидента безопасности — установить причины, оценить ущерб, предотвратить повторение
  • Перед аттестацией — для государственных ИС, ИСПДн высокого уровня защищённости, значимых объектов КИИ
  • При смене руководства или CISO — независимая фиксация текущего состояния
  • Раз в год — регулярная процедура — требование 420-ФЗ от 30.11.2024 для получения смягчающих обстоятельств при штрафе
  • При изменениях в системе — внедрение новых систем, миграция в облако, реорганизация

Что даёт аудит ИБ

  • Карту реальных рисков — не «бумажную модель угроз», а фактическое состояние с приоритизацией
  • План устранения нарушений с конкретными мерами, ресурсами и сроками
  • Защиту от штрафов — при доказанном проведении аудита и устранении нарушений штрафы по 420-ФЗ снижаются в разы
  • Готовность к проверке регулятора — снижение риска предписаний и приостановления деятельности
  • Управленческие решения — обоснование бюджета на ИБ для финансового директора и совета директоров

Что грозит за отсутствие аудита

Прямой санкции «за отсутствие аудита» нет, но косвенные последствия серьёзные. По редакции 420-ФЗ от 30.11.2024 (вступила в силу 30.05.2025) одним из смягчающих обстоятельств при назначении оборотного штрафа считается соблюдение требований к расходам на ИБ — минимум 0,1% от выручки на протяжении 3 лет. Без аудита эти расходы невозможно обосновать. При отсутствии аудита и инциденте организация рискует получить максимальный штраф до 3% годовой выручки (минимум 15 млн ₽, максимум 500 млн ₽).

Виды аудита ИБ: внутренний, внешний, технический, документарный

Аудит ИБ классифицируется по нескольким критериям: кто проводит, на что направлен, по каким стандартам. На практике используют 6 основных видов, которые часто комбинируются в комплексный аудит.

1. Внутренний аудит

Проводят штатные специалисты по ИБ или отдел внутреннего контроля. Преимущества: знание специфики организации, низкая стоимость, регулярность (квартально или раз в полгода). Недостатки: возможна предвзятость, конфликт интересов, нехватка специальных компетенций для глубокой технической проверки.

2. Внешний аудит

Проводят независимые аудиторы — лицензированные организации ФСТЭК или сертифицированные аудиторы по ISO 27001. Преимущества: независимость, экспертиза, юридическая значимость отчёта. Недостатки: высокая стоимость (от 300 000 ₽), длительность (1-3 месяца).

3. Технический аудит (penetration testing, pentesting)

Проверка технической защищённости через моделирование атак. Включает: сканирование уязвимостей, тестирование на проникновение, анализ конфигураций СЗИ, аудит исходного кода для критичных приложений, OSINT и социальная инженерия (с разрешения заказчика). Результат — отчёт об уязвимостях с CVSS-оценками и сценариями эксплуатации.

4. Документарный аудит

Проверка наличия и качества организационно-распорядительной документации (ОРД): политика ИБ, положение о защите ПДн, модель угроз, регламенты, инструкции, приказы. Это первый этап аудита для соответствия 152-ФЗ — без правильной ОРД технические меры не имеют юридической силы.

5. Аудит соответствия (compliance audit)

Проверка соответствия требованиям конкретных нормативных актов: 152-ФЗ, ПП РФ №1119, Приказ ФСТЭК №21, Приказ ФСТЭК №117, Приказ №239 (КИИ), 98-ФЗ (коммерческая тайна). Используется matrix-подход: каждое требование сопоставляется с фактической реализацией.

6. Комплексный аудит ИБ

Сочетание 5 видов выше. Чаще всего проводится перед аттестацией ИСПДн/ГИС/объекта КИИ или в рамках сертификации по ISO 27001. Срок 2-4 месяца, стоимость от 500 000 до 3 000 000 ₽ для средней организации.

Сравнительная таблица видов

ВидКто проводитСрокСтоимостьПрименимость
ВнутреннийШтатные сотрудники1-4 неделиБесплатно (внутренние ресурсы)Регулярный, перед внешним аудитом
ВнешнийЛицензиат ФСТЭК / сертифицированный аудитор1-3 месяца300 000 – 1 500 000 ₽Перед проверкой, для отчётности перед советом директоров
Технический (pentest)Специализированные подрядчики2-6 недель200 000 – 1 000 000 ₽Для критичных систем, веб-приложений, мобильных приложений
ДокументарныйЮрист + ИБ-аналитик1-3 недели50 000 – 500 000 ₽Подготовка к проверке РКН, аттестации
Соответствия (compliance)Compliance-офицер + ИБ-аналитик2-4 недели150 000 – 800 000 ₽Перед проверкой регулятора, при изменениях НПА
КомплексныйКоманда (внешние + внутренние)2-4 месяца500 000 – 3 000 000 ₽Перед аттестацией, после серьёзного инцидента

5 этапов проведения аудита ИБ

Аудит ИБ — структурированная процедура с 5 чётко определёнными этапами. Игнорирование любого этапа снижает качество отчёта и может привести к пропуску критичных уязвимостей.

Этап 1. Подготовка и планирование (1-2 недели)

  • Определение целей аудита — соответствие 152-ФЗ, проверка перед инцидентом, подготовка к аттестации
  • Формирование команды аудиторов и согласование доступов
  • Сбор первичной информации: организационная структура, перечень систем, реестр обработки ПДн
  • Заключение договора с подрядчиком (для внешнего аудита) и определение объёма работ
  • Подписание NDA — особенно критично при доступе к коммерческой тайне
  • Подготовка плана аудита с приоритизацией областей проверки

Этап 2. Сбор информации и обследование (2-4 недели)

  • Изучение текущей документации: политики, регламенты, приказы, инструкции, модели угроз
  • Интервью с владельцами процессов, ИТ-специалистами, руководством
  • Инвентаризация активов: серверы, рабочие места, сетевое оборудование, СЗИ
  • Анализ конфигураций: межсетевых экранов, антивирусов, систем разграничения доступа
  • Изучение журналов событий безопасности за последние 3-6 месяцев
  • Анализ архитектуры информационных систем: потоки данных, интеграции, точки уязвимости

Этап 3. Технический анализ (2-6 недель)

  • Сканирование уязвимостей (Nessus, OpenVAS, MaxPatrol, Сканер-ВС)
  • Тестирование на проникновение (pentest) — внешний и внутренний
  • Анализ веб-приложений (OWASP Top 10, OWASP API Top 10)
  • Тестирование социальной инженерии (фишинг, vishing) — с разрешения заказчика
  • OSINT — что о вашей организации можно узнать из открытых источников
  • Аудит конфигурации СЗИ — соответствие настроек требованиям и best practices

Этап 4. Анализ и оценка результатов (1-2 недели)

  • Сопоставление найденных проблем с требованиями нормативных актов
  • Оценка рисков по матрице «вероятность × ущерб»
  • Приоритизация проблем: критические, высокие, средние, низкие
  • Разработка рекомендаций с конкретными мерами устранения
  • Оценка стоимости и сроков устранения каждой проблемы

Этап 5. Отчёт и презентация (1-2 недели)

  • Технический отчёт для ИБ-специалистов — подробное описание уязвимостей с CVSS-оценками, методиками эксплуатации, рекомендациями устранения
  • Управленческий отчёт для руководства — резюме рисков, приоритеты, бюджеты, сроки
  • Дорожная карта — план устранения с этапами и ресурсами
  • Презентация результатов совету директоров и/или внешним стейкхолдерам
  • Согласование плана действий с ответственными лицами

Общий срок комплексного аудита — 2-4 месяца. Для срочных задач можно проводить экспресс-аудит за 2-3 недели, но он покрывает только основные риски без глубокой технической проверки.

Стандарты и требования к аудиту ИБ в России

Российский аудит ИБ проводится по нескольким параллельным стандартам. Выбор стандарта зависит от отрасли, типа защищаемой информации и целей аудита.

ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018

Стандарты Банка России по защите информации в банковской сфере. Обязательны для всех кредитных организаций. Аудит по ним проводят аккредитованные Банком России организации. Включает 4 уровня защиты с прогрессивными требованиями.

ISO/IEC 27001:2022

Международный стандарт системы менеджмента ИБ. В России есть прямой аналог — ГОСТ Р ИСО/МЭК 27001-2021. Используется коммерческими организациями для сертификации, демонстрации зрелости ИБ-процессов перед клиентами и инвесторами. Аудит — лицензированные органы по сертификации.

Приказ ФСТЭК России №21 от 18.02.2013

«Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Аудит соответствия — по 14 группам мер с учётом уровня защищённости ИСПДн (УЗ-1..УЗ-4).

Приказ ФСТЭК России №117 от 14.12.2023

Заменил Приказ №17 с 01.10.2024. Регулирует защиту государственных информационных систем (ГИС). Аудит проводится с учётом показателя КЗИ и 16 критериев классификации. Подробнее — в нашей статье.

Приказ ФСТЭК России №239 от 25.12.2017

Защита значимых объектов КИИ. Аудит — по требованиям к подсистемам безопасности, организационным мерам, инженерно-техническим решениям. Связан с категорированием объектов КИИ.

Приказ ФСТЭК России №31 от 14.03.2014

Защита АСУ ТП в значимых отраслях. Включает специфику промышленных систем. Подробнее — гайд по Приказу №31.

NIST Cybersecurity Framework (CSF)

Американский стандарт, не имеет юридической силы в РФ, но активно используется как методология. Особенно у дочерних компаний международных групп. 5 функций: Identify, Protect, Detect, Respond, Recover.

СТО БР ИББС-1.0-2014

Стандарт Банка России по обеспечению ИБ. Заменён ГОСТ Р 57580, но всё ещё используется как референс некоторыми организациями.

Сравнение применимости стандартов

СтандартКому обязателенКому рекомендуется
Приказ ФСТЭК №21Все операторы ПДн (через 152-ФЗ)
Приказ ФСТЭК №117Государственные ИС, муниципальные ИСКоммерческие ИС высокого уровня
Приказ ФСТЭК №239Объекты КИИ К1, К2 (по 187-ФЗ)Объекты К3 как best practice
ГОСТ Р 57580Банки, кредитные организацииФинтех
ISO 27001Коммерческие организации, IT-компании

Какие документы готовит аудитор и что должно быть в отчёте

Качественный аудит ИБ всегда сопровождается полным пакетом документов — это юридическое подтверждение проделанной работы и основа для дальнейших действий.

Документы перед аудитом

  • Договор на проведение аудита с указанием объёма работ, сроков, стоимости
  • NDA (соглашение о конфиденциальности) — обязательно при доступе к КТ и ПДн
  • Регламент взаимодействия — точки контакта, расписание, эскалация
  • План аудита с приоритизацией областей и этапов
  • Перечень запрашиваемых документов и доступов

Документы по ходу аудита

  • Опросные листы и протоколы интервью с ответственными
  • Реестр выявленных проблем — журнал находок с категоризацией
  • Технические отчёты сканеров — Nessus, OpenVAS, MaxPatrol, Burp Suite
  • Pentest-отчёты — подробное описание уязвимостей с PoC
  • Промежуточные статус-отчёты — раз в 1-2 недели

Финальный отчёт об аудите — 4 части

  1. Резюме для руководства (Executive Summary) — 2-3 страницы. Основные риски, приоритеты, рекомендации, бюджет. На языке бизнеса, без технических деталей.
  2. Технический отчёт — 20-100 страниц в зависимости от объёма системы. Детальное описание каждой найденной уязвимости с: классификацией по CVSS 3.1, описанием воздействия, методикой эксплуатации, рекомендациями устранения.
  3. Дорожная карта устранения — приоритизированный план с этапами, ответственными, сроками, ресурсами. Обычно структурирована по принципу «Quick wins (1 мес) / Краткосрочные (3-6 мес) / Долгосрочные (6-12 мес)».
  4. Приложения — необработанные данные сканеров, скриншоты, схемы архитектуры, перечни активов, оценочные матрицы.

Состав отчёта по ФСТЭК-аудиту

Если аудит проводится для подтверждения соответствия Приказам ФСТЭК (для аттестации), отчёт дополнительно содержит:

  • Акт оценки соответствия — формальный документ с заключением о соответствии или несоответствии каждому требованию приказа
  • Матрица соответствия — таблица «требование приказа → фактическая реализация → статус соответствия»
  • План корректирующих действий — если выявлены несоответствия, обязателен план их устранения с сроками
  • Протокол испытаний — для технических мер защиты, проверяемых через тестирование

Что делать с отчётом дальше

  • Согласовать с руководством и утвердить приказом о принятии к исполнению
  • Назначить ответственных за каждый пункт дорожной карты
  • Запланировать бюджет на устранение в годовом IT-бюджете и бюджете ИБ
  • Организовать регулярный контроль выполнения дорожной карты — раз в месяц или квартал
  • Провести повторный аудит через 6-12 месяцев для подтверждения устранения проблем

Сколько стоит аудит ИБ и от чего зависит цена

Стоимость аудита ИБ варьируется от 50 000 ₽ за документарный аудит небольшой компании до 5 000 000 ₽ за комплексный аудит крупной IT-инфраструктуры. Цена формируется из 5 факторов.

Фактор 1. Размер и сложность инфраструктуры

  • До 30 рабочих мест + 1-2 сервера: 50 000 – 200 000 ₽
  • 30-100 рабочих мест + 5-10 серверов: 200 000 – 600 000 ₽
  • 100-500 рабочих мест + распределённая инфраструктура: 600 000 – 2 000 000 ₽
  • Свыше 500 рабочих мест + облако + ЦОДы: 2 000 000 – 5 000 000 ₽

Фактор 2. Объём работ

  • Только документарный аудит: -50% от базы
  • Документарный + compliance check: -30% от базы
  • Без pentest, только сканирование уязвимостей: -20% от базы
  • Полный комплексный аудит с pentest: базовая цена
  • Дополнительные сертификации (ISO 27001): +50-100% от базы

Фактор 3. Срочность

  • Стандартные сроки (1-3 месяца): базовая цена
  • Срочный аудит (2-4 недели): +30-50%
  • Экспресс-аудит (1 неделя): +100-200% или невозможно для полного комплекса

Фактор 4. Лицензии и сертификации аудитора

  • Аудиторы без лицензий: дешевле, но отчёт не имеет юридической силы для регуляторных целей
  • Лицензированные ФСТЭК организации: +20-40% за бренд, но юридически валидный отчёт
  • Сертифицированные органы ISO 27001: +30-60% за международный статус

Фактор 5. География

  • Москва и Санкт-Петербург: базовая цена
  • Регионы: -10-30%
  • Удалённый аудит (без выезда): -20-40%

Реальные расценки 2025-2026 для типичных кейсов

КейсСтоимостьСрок
Документарный аудит ИСПДн ИП/малое ООО50 000 – 150 000 ₽1-2 недели
Compliance-аудит средней компании (50-100 раб. мест)200 000 – 500 000 ₽3-6 недель
Pentest веб-приложения150 000 – 500 000 ₽2-4 недели
Аудит ИСПДн перед аттестацией УЗ-2300 000 – 1 000 000 ₽1-2 месяца
Комплексный аудит крупной IT-компании1 000 000 – 5 000 000 ₽2-4 месяца
Аудит ГИС или объекта КИИ К1/К21 500 000 – 5 000 000 ₽3-6 месяцев

Как Кибероснова помогает с аудитом и устранением проблем

Кибероснова Документы предлагает 4 уровня услуг — от бесплатного автоматического сканера до комплексного аудита «под ключ» с устранением. Это закрывает все потребности — от малого бизнеса до крупных холдингов.

Уровень 1. Бесплатный сканер /audit

Автоматический аудит сайта на 152-ФЗ за 15 секунд. Проверяет 25+ типов нарушений: политика обработки ПДн, чекбоксы согласия, cookie-баннер, трекеры (Google Analytics, Meta Pixel, reCAPTCHA), регистрацию в реестре операторов РКН, локализацию серверов, шрифты. Бесплатно, без регистрации. Подходит для первичной оценки масштаба проблем.

Уровень 2. Аудит ПДн через конструктор Кибероснова

Документарный аудит и compliance-чек: проверка соответствия документов 152-ФЗ, ПП №1119, Приказам ФСТЭК. Включает: ревизию всех ОРД по 12 пунктам ст. 18.1, проверку модели угроз на соответствие методике ФСТЭК 2021, оценку договоров поручения с обработчиками, рекомендации по доработке. От 80 000 ₽, срок 2-3 недели.

Уровень 3. Аудит «Под ключ» с устранением

Команда ИБ-аналитика, юриста и разработчика приводит сайт и документацию в полное соответствие 152-ФЗ за 14 рабочих дней. Включает: полный аудит, разработку всех документов, технические правки сайта (cookie-баннер, замена зарубежных трекеров, локализация шрифтов), подачу обновлённого уведомления в РКН, сопровождение проверки РКН в течение гарантии 6 месяцев. Стоимость — индивидуальное коммерческое предложение по результатам бесплатного сканера. Подходит для среднего и крупного бизнеса.

Уровень 4. Аудит ИСПДн/ГИС/КИИ через партнёров-лицензиатов

Для аудитов с юридически значимым отчётом для регуляторов (перед аттестацией ИСПДн уровня УЗ-1/УЗ-2, аттестацией ГИС, категорированием КИИ) привлекаем партнёров-лицензиатов ФСТЭК. Кибероснова координирует процесс и предоставляет полный пакет ОРД, лицензиат — проводит юридически валидный аудит с актом оценки соответствия.

Чем отличаемся от классических аудиторов

ПараметрКлассический аудиторКибероснова
Скорость первичной оценки3-7 дней на договор + 2-4 недели на аудит15 секунд через автоматический сканер
Подготовка документов после аудитаОтдельный счёт 200 000 – 800 000 ₽Включено в конструктор бесплатно или в «Под ключ»
Покрытие фреймворковПлатно за каждый6 в одной подписке: 152-ФЗ + ФСТЭК-21/117/239/31 + ПП-1119 + 187-ФЗ
Multi-org для холдинговПлатно за каждое юрлицоОдин аккаунт = много юрлиц
Обновления при изменениях НПАПлатный апгрейдАвтоматически в SaaS
Гарантия и сопровождение проверкиОбычно не предусмотрено6 месяцев в «Под ключ»

Начните с бесплатного сканера сайта на 152-ФЗ — за 15 секунд получите первый срез нарушений и оценку масштаба работ.

Типичные ошибки при проведении аудита ИБ

По нашему опыту работы с компаниями в 2024-2025 годах, 7 ошибок встречаются чаще всего. Их можно избежать при правильной подготовке.

Ошибка 1. Аудит без чётких целей

«Просто посмотреть, как у нас с безопасностью» — самая бесполезная формулировка. Цели должны быть конкретны: подготовка к проверке РКН, оценка готовности к ISO 27001, расследование инцидента, обоснование бюджета на ИБ. От целей зависит объём, методология и стоимость.

Ошибка 2. Экономия на pentest

Документарный и compliance-аудит без технического pentest не покажет реальные уязвимости. Бумаги могут быть в порядке, но 10 критичных уязвимостей в веб-приложении — потенциальная утечка с оборотным штрафом до 3% выручки.

Ошибка 3. Отказ от внешнего аудита

Внутренний аудит — необходимая регулярная практика, но не заменяет внешний. У внутренних аудиторов всегда есть «слепые зоны»: они привыкли к существующей конфигурации и не замечают накопленных проблем.

Ошибка 4. Игнорирование отчёта

Аудит проведён, отчёт получен — и положен в архив. Без выполнения рекомендаций аудит — потеря денег. По нашим наблюдениям, 40-60% компаний так и поступают. Дорожная карта устранения должна быть утверждена приказом и контролироваться.

Ошибка 5. Аудит без NDA

Аудиторы получают доступ к коммерческой тайне и персональным данным. Без NDA вы не сможете привлечь их к ответственности за утечку. Любой договор на аудит без NDA — серьёзный риск.

Ошибка 6. Выбор аудитора без проверки лицензий

Если аудит нужен для регуляторных целей (перед аттестацией, для подачи в ФСТЭК или Банк России), отчёт от нелицензированной организации юридически недействителен. Проверьте лицензию в реестре ФСТЭК перед подписанием договора.

Ошибка 7. Отсутствие повторного аудита

Аудит — снимок состояния на конкретный момент. Через 6-12 месяцев ситуация существенно меняется: новые сотрудники, новые системы, обновления, инциденты. Без регулярного повторного аудита (раз в год минимум) накапливаются нерешённые проблемы.

Как избежать ошибок

  • Сформулируйте конкретные цели до начала аудита
  • Включите pentest в объём работ для критичных систем
  • Чередуйте внутренний и внешний аудит — внутренний квартально, внешний раз в год
  • Утвердите дорожную карту устранения приказом руководителя
  • Подпишите NDA с аудиторами обязательно
  • Проверьте лицензию ФСТЭК в реестре fstec.ru
  • Запланируйте бюджет на повторный аудит в годовом плане
Мишина Анна

Мишина Анна

Эксперт Киберосновы

Специалист по техническим мерам защиты персональных данных. Опыт внедрения средств защиты информации и подготовки документов для аттестации ИСПДн. Эксперт по требованиям ФСТЭК.

техническая защитаФСТЭКИСПДншифрование

Часто задаваемые вопросы

Аудит информационной безопасности — независимая оценка состояния системы защиты информации в организации для выявления уязвимостей, несоответствий требованиям регуляторов и подготовки плана устранения проблем. Бывает 6 видов: внутренний (штатные сотрудники), внешний (лицензированные аудиторы), технический (pentest), документарный (проверка ОРД), соответствия (compliance с НПА), комплексный (сочетание всех). Применяется для подготовки к проверке РКН/ФСТЭК, аттестации, после инцидентов, для обоснования бюджета на ИБ перед руководством. Срок 2-4 месяца, стоимость 50 000 – 5 000 000 ₽.
Шесть основных видов: внутренний (силами штатных специалистов, регулярно, бесплатно), внешний (лицензированные аудиторы, юридически значимый отчёт, 300 000-1 500 000 ₽), технический pentest (моделирование атак, 2-6 недель), документарный (проверка ОРД на соответствие 152-ФЗ, 1-3 недели), соответствия (compliance с конкретными НПА), комплексный (сочетание 5 видов, перед аттестацией). На практике используются в комбинации — например, внутренний раз в квартал + внешний раз в год + pentest перед запуском новых критичных систем.
Пять этапов: подготовка и планирование (1-2 недели — цели, команда, договор, NDA, план), сбор информации и обследование (2-4 недели — документация, интервью, инвентаризация, журналы событий), технический анализ (2-6 недель — сканирование уязвимостей, pentest, OSINT, аудит конфигураций СЗИ), анализ и оценка результатов (1-2 недели — приоритизация рисков, рекомендации, оценка стоимости устранения), отчёт и презентация (1-2 недели — технический отчёт для ИБ-специалистов + управленческий для руководства + дорожная карта + презентация). Общий срок комплексного аудита 2-4 месяца.
Зависит от размера организации и объёма работ. Документарный аудит ИП/малое ООО — 50 000-150 000 ₽ за 1-2 недели. Compliance-аудит средней компании (50-100 рабочих мест) — 200 000-500 000 ₽ за 3-6 недель. Pentest веб-приложения — 150 000-500 000 ₽ за 2-4 недели. Аудит ИСПДн перед аттестацией УЗ-2 — 300 000-1 000 000 ₽ за 1-2 месяца. Комплексный аудит крупной IT-компании — 1 000 000-5 000 000 ₽ за 2-4 месяца. Аудит ГИС или объекта КИИ К1/К2 — 1 500 000-5 000 000 ₽ за 3-6 месяцев. Альтернатива — бесплатный <a href='/audit/'>сканер сайта</a> для первичной оценки или <a href='/services/audit-personalnyh-dannyh/'>конструктор Кибероснова</a> от 80 000 ₽.
Зависит от отрасли и типа защищаемой информации. Для всех операторов ПДн — Приказ ФСТЭК №21. Для государственных ИС — Приказ ФСТЭК №117 (заменил №17 с 01.10.2024). Для объектов КИИ — Приказ ФСТЭК №239. Для АСУ ТП — Приказ ФСТЭК №31. Для банков — ГОСТ Р 57580.1-2017 и 57580.2-2018. Для коммерческих организаций популярны ISO 27001:2022 и его российский аналог ГОСТ Р ИСО/МЭК 27001-2021. Стандарт NIST CSF не имеет юридической силы в РФ, но используется как методология международными группами. На практике для соответствия 152-ФЗ комбинируются Приказ №21 + положения ПП РФ №1119.
Четыре обязательные части. (1) Резюме для руководства (Executive Summary) — 2-3 страницы на языке бизнеса с основными рисками, приоритетами, бюджетом. (2) Технический отчёт — 20-100 страниц с описанием каждой уязвимости по CVSS 3.1, описанием воздействия, методикой эксплуатации, рекомендациями устранения. (3) Дорожная карта устранения — приоритизированный план «Quick wins (1 мес) / Краткосрочные (3-6 мес) / Долгосрочные (6-12 мес)». (4) Приложения с данными сканеров, схемами, перечнями активов. Для ФСТЭК-аудита дополнительно: акт оценки соответствия, матрица соответствия требованиям приказа, план корректирующих действий, протокол испытаний.
Минимум раз в год для регулярного контроля. По редакции 420-ФЗ от 30.11.2024 регулярные расходы на ИБ (минимум 0,1% выручки на протяжении 3 лет) — смягчающее обстоятельство при назначении оборотного штрафа за утечку, и аудит — главная статья таких расходов. Дополнительно проводить внеочередной аудит после каждого инцидента безопасности, при смене руководства или CISO, при внедрении новых критичных систем, перед проверкой регулятора, при изменении требований НПА. Внутренний аудит рекомендуется квартально, внешний — раз в год. Pentest — перед запуском новых веб-приложений и раз в 1-2 года для критичных систем.

Связанные материалы

Аудит персональных данных — услуга КиберосноваДокументарный аудит + compliance-чек по 152-ФЗ, Приказам ФСТЭК — от 80 000 ₽, срок 2-3 неделиБесплатный сканер сайта на 152-ФЗАвтоматический аудит за 15 секунд — 25+ типов нарушений, без регистрацииАудит «Под ключ» — команда исправит все нарушенияПолный цикл: аудит → исправление документов и сайта → подача в РКН → гарантия 6 месяцевПолитика информационной безопасности — образец 2026Главный документ ИБ — обязательный для аудита и аттестацииВнутренний контроль обработки ПДн (ст. 18.1 ч. 2)Регулярная процедура — основа документарного аудитаКак проверить сайт на 152-ФЗ — пошаговая инструкция30 проверок для самостоятельного аудита сайта на соответствие 152-ФЗКак провести аудит по 152-ФЗ — гайд для оператораДокументарный аудит ПДн: 12 разделов проверки, типичные ошибки, чек-листБот Роскомнадзора 2026 — автоматический мониторингЧто и как проверяет автомониторинг РКН и как избежать предписанийПодготовка к проверке РоскомнадзораКак подготовиться к плановой проверке РКН и пройти без замечанийРазработка модели угроз по методике ФСТЭК 2021Главный документ для аудита соответствия Приказам ФСТЭК

Нужен полный пакет документов по 152-ФЗ?

Подготовим комплект под ключ с адаптацией под ваш бизнес. Можно собрать самостоятельно.

Собрать самостоятельно