Кибероснова152-ФЗ
Комплексный аудит

Аудит персональных данных — комплексная проверка организации

Проверим все процессы обработки ПДн в организации: документы, ИСПДн, подрядчиков, сайт. Gap-анализ соответствия 152-ФЗ с подробным отчётом и планом устранения.
Скачать образцы документов

Почему важно действовать сейчас

Риски растут с каждым месяцем промедления

01

420-ФЗ: штрафы до 6 млн руб. за первичное нарушение, до 18 млн за повторное — без аудита вы не знаете свои риски

02

Оборотные штрафы до 3% от выручки за утечку персональных данных — последствия могут исчисляться сотнями миллионов

03

РКН усиливает проверки: в 2025–2026 годах план расширен, внеплановые проверки по жалобам граждан без предупреждения

04

Подрядчики и партнёры требуют подтверждение compliance — без аудита вы теряете контракты и тендеры

0
штрафов у клиентов после подготовки
80%+
снижение рисков по итогам аудита
5 дней
подготовка ответа на запрос РКН
90+
пунктов чек-листа аудита

Что такое аудит персональных данных и чем он отличается от аудита сайта

Аудит персональных данных — это комплексная проверка ВСЕЙ организации на соответствие требованиям 152-ФЗ. В отличие от аудита сайта, мы анализируем не только веб-ресурс, но и внутренние процессы: кадровый учёт, бухгалтерию, работу с клиентами, подрядчиками и контрагентами.

Ключевой элемент — gap-анализ: сравнение текущего состояния с требованиями закона. Мы выявляем все разрывы (gaps) между тем, «как есть» и «как должно быть», и формируем конкретный план устранения с приоритетами и сроками. Матрица соответствия строится на основе 152-ФЗ, ПП-1119, Приказов ФСТЭК 21 и 117, рекомендаций Роскомнадзора.

Аудит необходим перед проверкой РКН, после утечки данных, при смене ответственного за организацию обработки ПДн (DPO) или при существенных изменениях в бизнес-процессах. Это точка отсчёта для построения системы защиты ПДн.

После принятия 420-ФЗ аудит стал не просто рекомендацией, а необходимостью: оборотные штрафы за утечку делают неподготовленность критически дорогой. Своевременный аудит позволяет выявить и устранить нарушения до того, как их обнаружит инспектор.

Есть вопросы? Получите бесплатную консультацию эксперта

Что входит в аудит персональных данных

01

Инвентаризация процессов

Выявление всех процессов обработки ПДн: кадры, клиенты, маркетинг, сайт, видеонаблюдение, СКУД — формируем реестр обработок.

02

Проверка документов

Анализ полноты и актуальности ЛНА: политика, приказы, согласия, инструкции, журналы — по чек-листу из 90+ пунктов.

03

Анализ ИСПДн

Обследование информационных систем: архитектура, доступы, средства защиты, уровень защищённости, соответствие Приказу 21.

04

Проверка подрядчиков

Анализ договоров с обработчиками ПДн (поручения): облачные сервисы, хостинг, CRM, рассылки, аутсорсинг бухгалтерии.

05

Gap-анализ

Сопоставление текущего состояния с требованиями 152-ФЗ, ПП-1119, Приказов 21/117. Матрица соответствия с оценкой рисков.

06

Отчёт и план

Подробный отчёт с описанием нарушений, ссылками на НПА и планом устранения: критичные, важные, рекомендуемые меры.

С Кибероснова и без

Без подготовки
С Кибероснова
Нарушения обнаруживаются при проверке РКН
Нарушения находим и устраняем ДО проверки
Документы не соответствуют реальным процессам
Документы актуализированы под реальную обработку
Нет понимания зон риска
Gap-анализ с приоритизацией: критичные → важные → рекомендуемые
Штрафы до 18 млн руб при проверке
Готовность к проверке РКН с первого дня

Не уверены, что именно нужно?

Проведём бесплатный экспресс-разбор за 30 минут: оценим текущее состояние, определим риски и подскажем оптимальный формат работы.

Смотреть все услуги

Кому нужен аудит персональных данных

1
Любые операторы ПДн — от малого бизнеса до корпораций (обработка ПДн есть у всех)
2
Организации перед плановой или внеплановой проверкой Роскомнадзора
3
Компании после инцидента — утечки данных, жалобы субъекта, запроса от РКН
4
При назначении нового ответственного за организацию обработки ПДн (DPO)
5
При существенных изменениях: новые ИС, переход в облако, выход на новые рынки

Есть вопросы? Получите бесплатную консультацию эксперта

Как мы работаем

Прозрачный процесс с фиксированными этапами и результатами

1

Сбор информации

Интервью с ключевыми сотрудниками, запрос документов, анализ ИТ-инфраструктуры и бизнес-процессов организации.

2

Обследование

Инвентаризация процессов обработки ПДн, проверка документов, анализ ИСПДн и договоров с подрядчиками.

3

Gap-анализ

Формирование матрицы соответствия 152-ФЗ. Оценка рисков и приоритизация выявленных нарушений.

4

Отчёт

Передача подробного отчёта с планом устранения. Презентация результатов руководству, ответы на вопросы.

Почему выбирают Кибероснова

90+ шаблонов документов

Полная библиотека шаблонов по 152-ФЗ: политики, приказы, согласия, журналы, акты — всё актуально и проверено экспертами.

Конструктор бесплатно

Генерируйте документы прямо на сайте — конструктор с 90 шаблонами доступен бесплатно для всех клиентов.

Экспертиза НПА

Глубокое знание 152-ФЗ, ПП-1119, Приказов ФСТЭК 21/117, 420-ФЗ — аудит на основе актуальных нормативных требований.

Сопровождение до соответствия

Не оставляем с отчётом — помогаем устранить все нарушения и готовим организацию к проверке РКН.

Инструменты без регистрации

Бесплатные калькуляторы и образцы — для самостоятельной работы

Вопросы и ответы

Аудит персональных данных — независимая проверка соответствия обработки ПДн в организации требованиям Федерального закона № 152-ФЗ, Постановления Правительства РФ № 1119, Приказов ФСТЭК России №21 и №117. Аудит охватывает: инвентаризацию информационных систем ПДн (ИСПДн), оценку организационных мер (политика, регламенты, согласия), проверку технических мер защиты, анализ договоров с обработчиками, оценку сайта и форм. По итогам — отчёт с конкретным планом устранения нарушений. Подробнее об аудите информационной безопасности.
Аудит ПДн фокусируется на соблюдении 152-ФЗ и связанных подзаконных актов — это узкая правовая зона. Аудит ИБ — это шире: модель угроз, технические меры, регламенты, реагирование на инциденты, защита коммерческой тайны и КИИ. На практике для оператора ПДн оптимально проводить аудит ПДн (специализированный по 152-ФЗ) с расширением до ключевых элементов аудита ИБ — это покрывает регуляторные риски от Роскомнадзора + ФСТЭК. Аудит ИБ — 6 видов, 5 этапов, стандарты ГОСТ Р 57580 и ISO 27001.
Стандартные сроки. Документарный аудит ИП или малой компании (до 30 рабочих мест) — 1-2 недели. Compliance-аудит средней компании (50-100 рабочих мест) — 3-6 недель. Комплексный аудит крупной IT-компании с распределённой инфраструктурой — 2-4 месяца. Экспресс-аудит «по верхам» за 3-5 дней возможен, но пропускает критические нюансы — для регуляторных целей не подходит. 5 этапов проведения аудита 152-ФЗ.
Оптимальный подход — оба, но в разные моменты. Внутренний аудит силами штатного администратора безопасности или ответственного за ПДн — регулярно (раз в полгода или квартал) для текущего контроля. Внешний независимый аудит — раз в год для объективной оценки + перед плановой проверкой РКН + после крупных инцидентов. Внутренние аудиторы знают специфику, но имеют «слепые зоны»; внешние находят то, что внутренние упустили. Разница 6 видов аудита.
Стандартный комплект: (1) Резюме для руководства — 2-3 страницы с основными рисками и приоритетами; (2) Технический отчёт — 20-100 страниц с описанием каждого нарушения, его рисков и рекомендаций; (3) Дорожная карта устранения — приоритизированный план «Quick wins (1 мес) / Краткосрочные (3-6 мес) / Долгосрочные (6-12 мес)» с оценкой ресурсов и сроков; (4) Приложения — данные сканеров, скриншоты, перечень активов, оценочные матрицы. Документы хранить минимум 5 лет — могут потребоваться при проверке РКН.
Крайне рекомендуется. По редакции 420-ФЗ от 30.11.2024 регулярные расходы на ИБ — смягчающее обстоятельство при назначении штрафа. Аудит позволяет: устранить нарушения ДО прихода РКН (а не пытаться устранить во время проверки), получить «упреждающую» аргументацию для регулятора (показать, что есть план устранения), выявить документарные пробелы (нет приказа о назначении ответственного, устаревшая модель угроз). Без аудита подготовка к проверке РКН — лотерея. Пошаговая подготовка к проверке РКН.
Алгоритм. Шаг 1: руководитель утверждает дорожную карту устранения приказом — это юридически обязывает выполнение. Шаг 2: назначаются ответственные за каждый пункт с конкретными сроками. Шаг 3: для критических нарушений — устранение в 1 месяц, для средних — 3 месяца, для низких — 6-12 месяцев. Шаг 4: ежемесячный контроль выполнения. Шаг 5: повторный аудит через 6-12 месяцев для подтверждения устранения. Без выполнения дорожной карты аудит превращается в потерянные деньги — поэтому многие компании сразу заказывают аудит «Под ключ» с устранением. Услуга «Под ключ».
Да. Услуга «Аудит под ключ» Кибероснова: за 14 рабочих дней команда (ИБ-аналитик + юрист по 152-ФЗ + frontend-разработчик) проводит полный аудит сайта и документов, устраняет все нарушения (правки сайта, обновление политики и согласий, договоры поручения, регламент реагирования на инциденты, подача обновлённого уведомления в РКН по доверенности), даёт гарантию 6 месяцев. Один договор, единая ответственность. Стоимость формируется индивидуально под проект — оставьте заявку, получите КП после бесплатного автоматического сканера.

Нужен аудит персональных данных?

Оставьте заявку — оценим масштаб и предложим формат аудита под вашу организацию.

Скачать образцы документов

Чем мы отличаемся

Преимущества аудита в Кибероснова перед конкурентами

6 фреймворков в одном аудите

Покрытие 152-ФЗ + ФСТЭК Приказы №21/№117/№239 + ПП РФ №1119 + 187-ФЗ в одной проверке. У b-152 и 152doc — только 152-ФЗ. Если у вас ГИС, ИСПДн, объект КИИ — один аудит вместо трёх.

Автоматический сканер за 15 секунд

Бесплатный сканер /audit обнаружит 25+ типов нарушений на сайте без регистрации — первый шаг перед заказом полного аудита. Сразу видите масштаб проблем.

Аудит «Под ключ» с устранением

Команда ИБ-аналитика + юриста + frontend-разработчика приводит сайт и документы в полное соответствие за 14 рабочих дней. Один договор, гарантия 6 месяцев. Никакой координации 3-4 подрядчиков.

Multi-org для холдингов

Один проект аудита покрывает группу юридических лиц без отдельных счетов на каждое. Холдинги, ИТ-интеграторы, группы компаний — единое управление через один аккаунт Кибероснова.

Что входит в аудит персональных данных

Полный аудит ПДн охватывает 6 категорий проверок. Глубина каждой зависит от выбранного формата — документарный, compliance, технический pentest или комплексный.

1. Документарный анализ

  • Политика обработки ПДн — 12 разделов по ст. 18.1 152-ФЗ
  • Положение об обработке ПДн
  • Приказы о назначении ответственного за ПДн (ст. 22.1) и за безопасность
  • Согласия на обработку — отдельно по каждой цели после 1.09.2024
  • Уведомление оператора в РКН — соответствие фактической обработке
  • Журналы учёта (доступа, обращений субъектов, инцидентов)

2. Инвентаризация ИСПДн

  • Перечень всех систем, обрабатывающих ПДн
  • Категории субъектов и обрабатываемых данных
  • Уровень защищённости каждой ИСПДн (УЗ-1..УЗ-4)
  • Архитектура: где хранятся данные, как передаются

3. Технические меры защиты

  • Соответствие Приказу ФСТЭК №21 (для ИСПДн) или №117 (для ГИС)
  • Сертификаты ФСТЭК на используемые СЗИ
  • Настройки разграничения доступа, шифрования, мониторинга
  • Журналы событий безопасности за последние 6 месяцев

4. Аудит сайта

  • Чекбоксы согласия на всех формах
  • Cookie-баннер с реальной возможностью отказа
  • Зарубежные трекеры (Google Analytics, Meta Pixel, reCAPTCHA)
  • Локализация ПДн (серверы в РФ)
  • Политика обработки доступна по прямой ссылке

5. Договорная база

  • Договоры поручения обработки с подрядчиками (ст. 6 ч. 3 152-ФЗ)
  • Соответствие договоров требованиям ФЗ
  • Контроль выполнения обработчиками

6. Процессы и сотрудники

  • Обучение сотрудников по защите ПДн (наличие приказа, программы, журнала)
  • Регламент реагирования на инциденты (24/72 часа по 420-ФЗ)
  • Внутренний контроль обработки (ст. 18.1 ч. 2)

Этапы проведения аудита

5-этапный процесс соответствует ГОСТ Р ИСО/МЭК 27001-2021. Длительность каждого этапа зависит от размера организации.

Этап 1. Подготовка и планирование (1-2 недели)

Определяем цели аудита, формируем команду, подписываем NDA, утверждаем план проверки с приоритизацией областей. Запрашиваем первичную документацию и доступы.

Этап 2. Сбор информации (2-3 недели)

Изучаем документы, проводим интервью с ответственными за ПДн, ИТ, ИБ и юристами. Инвентаризируем активы, проверяем настройки СЗИ.

Этап 3. Технический анализ (2-4 недели)

Сканирование уязвимостей, аудит конфигураций, проверка журналов событий, при необходимости — pentest веб-приложений и социальная инженерия (с согласия заказчика).

Этап 4. Анализ и приоритизация (1-2 недели)

Сопоставление найденных нарушений с требованиями НПА, оценка рисков по матрице «вероятность × ущерб», разработка рекомендаций с конкретными мерами устранения.

Этап 5. Отчёт и презентация (1-2 недели)

Подготовка пакета документов (резюме для руководства, технический отчёт, дорожная карта). Презентация результатов совету директоров и/или ответственным.

Что получает заказчик по итогам аудита

Стандартный пакет результатов:

  • Резюме для руководства (Executive Summary) — 2-3 страницы на языке бизнеса с основными рисками, приоритетами, бюджетом устранения
  • Технический отчёт — 20-100 страниц с детальным описанием каждого нарушения, его рисков, методики проверки и рекомендаций по устранению
  • Матрица соответствия — таблица «требование 152-ФЗ → фактическая реализация → статус соответствия» по каждому пункту
  • Дорожная карта устранения — приоритизированный план с этапами «Quick wins (1 мес) / Краткосрочные (3-6 мес) / Долгосрочные (6-12 мес)» и оценкой ресурсов
  • Шаблоны документов для устранения документарных нарушений (если выявлены)
  • Презентация для руководства — слайды с ключевыми выводами и рекомендациями

Через 6-12 месяцев — повторный аудит (опционально) для подтверждения устранения нарушений и подготовки к плановой проверке РКН.

Начните с бесплатного автоматического аудита

Перед заказом платного аудита — запустите бесплатный сканер сайта на 152-ФЗ. За 15 секунд он проверит 25+ типов нарушений и покажет масштаб работ. Это поможет понять, какой формат аудита нужен: документарный, технический, комплексный или «Под ключ» с устранением.