Аудит персональных данных — комплексная проверка организации
Почему важно действовать сейчас
Риски растут с каждым месяцем промедления
420-ФЗ: штрафы до 6 млн руб. за первичное нарушение, до 18 млн за повторное — без аудита вы не знаете свои риски
Оборотные штрафы до 3% от выручки за утечку персональных данных — последствия могут исчисляться сотнями миллионов
РКН усиливает проверки: в 2025–2026 годах план расширен, внеплановые проверки по жалобам граждан без предупреждения
Подрядчики и партнёры требуют подтверждение compliance — без аудита вы теряете контракты и тендеры
Что такое аудит персональных данных и чем он отличается от аудита сайта
Аудит персональных данных — это комплексная проверка ВСЕЙ организации на соответствие требованиям 152-ФЗ. В отличие от аудита сайта, мы анализируем не только веб-ресурс, но и внутренние процессы: кадровый учёт, бухгалтерию, работу с клиентами, подрядчиками и контрагентами.
Ключевой элемент — gap-анализ: сравнение текущего состояния с требованиями закона. Мы выявляем все разрывы (gaps) между тем, «как есть» и «как должно быть», и формируем конкретный план устранения с приоритетами и сроками. Матрица соответствия строится на основе 152-ФЗ, ПП-1119, Приказов ФСТЭК 21 и 117, рекомендаций Роскомнадзора.
Аудит необходим перед проверкой РКН, после утечки данных, при смене ответственного за организацию обработки ПДн (DPO) или при существенных изменениях в бизнес-процессах. Это точка отсчёта для построения системы защиты ПДн.
После принятия 420-ФЗ аудит стал не просто рекомендацией, а необходимостью: оборотные штрафы за утечку делают неподготовленность критически дорогой. Своевременный аудит позволяет выявить и устранить нарушения до того, как их обнаружит инспектор.
Есть вопросы? Получите бесплатную консультацию эксперта
Что входит в аудит персональных данных
Инвентаризация процессов
Выявление всех процессов обработки ПДн: кадры, клиенты, маркетинг, сайт, видеонаблюдение, СКУД — формируем реестр обработок.
Проверка документов
Анализ полноты и актуальности ЛНА: политика, приказы, согласия, инструкции, журналы — по чек-листу из 90+ пунктов.
Анализ ИСПДн
Обследование информационных систем: архитектура, доступы, средства защиты, уровень защищённости, соответствие Приказу 21.
Проверка подрядчиков
Анализ договоров с обработчиками ПДн (поручения): облачные сервисы, хостинг, CRM, рассылки, аутсорсинг бухгалтерии.
Gap-анализ
Сопоставление текущего состояния с требованиями 152-ФЗ, ПП-1119, Приказов 21/117. Матрица соответствия с оценкой рисков.
Отчёт и план
Подробный отчёт с описанием нарушений, ссылками на НПА и планом устранения: критичные, важные, рекомендуемые меры.
С Кибероснова и без
Не уверены, что именно нужно?
Проведём бесплатный экспресс-разбор за 30 минут: оценим текущее состояние, определим риски и подскажем оптимальный формат работы.
Кому нужен аудит персональных данных
Есть вопросы? Получите бесплатную консультацию эксперта
Как мы работаем
Прозрачный процесс с фиксированными этапами и результатами
Сбор информации
Интервью с ключевыми сотрудниками, запрос документов, анализ ИТ-инфраструктуры и бизнес-процессов организации.
Обследование
Инвентаризация процессов обработки ПДн, проверка документов, анализ ИСПДн и договоров с подрядчиками.
Gap-анализ
Формирование матрицы соответствия 152-ФЗ. Оценка рисков и приоритизация выявленных нарушений.
Отчёт
Передача подробного отчёта с планом устранения. Презентация результатов руководству, ответы на вопросы.
Почему выбирают Кибероснова
90+ шаблонов документов
Полная библиотека шаблонов по 152-ФЗ: политики, приказы, согласия, журналы, акты — всё актуально и проверено экспертами.
Конструктор бесплатно
Генерируйте документы прямо на сайте — конструктор с 90 шаблонами доступен бесплатно для всех клиентов.
Экспертиза НПА
Глубокое знание 152-ФЗ, ПП-1119, Приказов ФСТЭК 21/117, 420-ФЗ — аудит на основе актуальных нормативных требований.
Сопровождение до соответствия
Не оставляем с отчётом — помогаем устранить все нарушения и готовим организацию к проверке РКН.
Инструменты без регистрации
Бесплатные калькуляторы и образцы — для самостоятельной работы
Вопросы и ответы
Нужен аудит персональных данных?
Оставьте заявку — оценим масштаб и предложим формат аудита под вашу организацию.
Чем мы отличаемся
Преимущества аудита в Кибероснова перед конкурентами
6 фреймворков в одном аудите
Покрытие 152-ФЗ + ФСТЭК Приказы №21/№117/№239 + ПП РФ №1119 + 187-ФЗ в одной проверке. У b-152 и 152doc — только 152-ФЗ. Если у вас ГИС, ИСПДн, объект КИИ — один аудит вместо трёх.
Автоматический сканер за 15 секунд
Бесплатный сканер /audit обнаружит 25+ типов нарушений на сайте без регистрации — первый шаг перед заказом полного аудита. Сразу видите масштаб проблем.
Аудит «Под ключ» с устранением
Команда ИБ-аналитика + юриста + frontend-разработчика приводит сайт и документы в полное соответствие за 14 рабочих дней. Один договор, гарантия 6 месяцев. Никакой координации 3-4 подрядчиков.
Multi-org для холдингов
Один проект аудита покрывает группу юридических лиц без отдельных счетов на каждое. Холдинги, ИТ-интеграторы, группы компаний — единое управление через один аккаунт Кибероснова.
Что входит в аудит персональных данных
Полный аудит ПДн охватывает 6 категорий проверок. Глубина каждой зависит от выбранного формата — документарный, compliance, технический pentest или комплексный.
1. Документарный анализ
- Политика обработки ПДн — 12 разделов по ст. 18.1 152-ФЗ
- Положение об обработке ПДн
- Приказы о назначении ответственного за ПДн (ст. 22.1) и за безопасность
- Согласия на обработку — отдельно по каждой цели после 1.09.2024
- Уведомление оператора в РКН — соответствие фактической обработке
- Журналы учёта (доступа, обращений субъектов, инцидентов)
2. Инвентаризация ИСПДн
- Перечень всех систем, обрабатывающих ПДн
- Категории субъектов и обрабатываемых данных
- Уровень защищённости каждой ИСПДн (УЗ-1..УЗ-4)
- Архитектура: где хранятся данные, как передаются
3. Технические меры защиты
- Соответствие Приказу ФСТЭК №21 (для ИСПДн) или №117 (для ГИС)
- Сертификаты ФСТЭК на используемые СЗИ
- Настройки разграничения доступа, шифрования, мониторинга
- Журналы событий безопасности за последние 6 месяцев
4. Аудит сайта
- Чекбоксы согласия на всех формах
- Cookie-баннер с реальной возможностью отказа
- Зарубежные трекеры (Google Analytics, Meta Pixel, reCAPTCHA)
- Локализация ПДн (серверы в РФ)
- Политика обработки доступна по прямой ссылке
5. Договорная база
- Договоры поручения обработки с подрядчиками (ст. 6 ч. 3 152-ФЗ)
- Соответствие договоров требованиям ФЗ
- Контроль выполнения обработчиками
6. Процессы и сотрудники
- Обучение сотрудников по защите ПДн (наличие приказа, программы, журнала)
- Регламент реагирования на инциденты (24/72 часа по 420-ФЗ)
- Внутренний контроль обработки (ст. 18.1 ч. 2)
Этапы проведения аудита
5-этапный процесс соответствует ГОСТ Р ИСО/МЭК 27001-2021. Длительность каждого этапа зависит от размера организации.
Этап 1. Подготовка и планирование (1-2 недели)
Определяем цели аудита, формируем команду, подписываем NDA, утверждаем план проверки с приоритизацией областей. Запрашиваем первичную документацию и доступы.
Этап 2. Сбор информации (2-3 недели)
Изучаем документы, проводим интервью с ответственными за ПДн, ИТ, ИБ и юристами. Инвентаризируем активы, проверяем настройки СЗИ.
Этап 3. Технический анализ (2-4 недели)
Сканирование уязвимостей, аудит конфигураций, проверка журналов событий, при необходимости — pentest веб-приложений и социальная инженерия (с согласия заказчика).
Этап 4. Анализ и приоритизация (1-2 недели)
Сопоставление найденных нарушений с требованиями НПА, оценка рисков по матрице «вероятность × ущерб», разработка рекомендаций с конкретными мерами устранения.
Этап 5. Отчёт и презентация (1-2 недели)
Подготовка пакета документов (резюме для руководства, технический отчёт, дорожная карта). Презентация результатов совету директоров и/или ответственным.
Что получает заказчик по итогам аудита
Стандартный пакет результатов:
- Резюме для руководства (Executive Summary) — 2-3 страницы на языке бизнеса с основными рисками, приоритетами, бюджетом устранения
- Технический отчёт — 20-100 страниц с детальным описанием каждого нарушения, его рисков, методики проверки и рекомендаций по устранению
- Матрица соответствия — таблица «требование 152-ФЗ → фактическая реализация → статус соответствия» по каждому пункту
- Дорожная карта устранения — приоритизированный план с этапами «Quick wins (1 мес) / Краткосрочные (3-6 мес) / Долгосрочные (6-12 мес)» и оценкой ресурсов
- Шаблоны документов для устранения документарных нарушений (если выявлены)
- Презентация для руководства — слайды с ключевыми выводами и рекомендациями
Через 6-12 месяцев — повторный аудит (опционально) для подтверждения устранения нарушений и подготовки к плановой проверке РКН.
Начните с бесплатного автоматического аудита
Перед заказом платного аудита — запустите бесплатный сканер сайта на 152-ФЗ. За 15 секунд он проверит 25+ типов нарушений и покажет масштаб работ. Это поможет понять, какой формат аудита нужен: документарный, технический, комплексный или «Под ключ» с устранением.
Полезные статьи по теме
Связанные публикации в блоге — детали, кейсы, чек-листы
Аудит информационной безопасности — виды, этапы, документы
6 видов аудита ИБ, 5 этапов проведения, стандарты ГОСТ Р 57580 и ISO 27001
ЧитатьПроведение аудита по 152-ФЗ — пошаговый гайд
5 этапов аудита ПДн, чек-лист, типичные ошибки операторов
ЧитатьПроверка сайта на 152-ФЗ — чек-лист 2026
30 пунктов проверки сайта на соответствие 152-ФЗ
ЧитатьБот Роскомнадзора 2026 — автоматический мониторинг
Что и как проверяет автомониторинг РКН на сайтах операторов
ЧитатьРеагирование на инциденты ИБ — 24/72 часа по 420-ФЗ
Что делать при утечке, обнаруженной в результате аудита
ЧитатьПодготовка к проверке Роскомнадзора
Пошаговая подготовка к плановой и внеплановой проверке РКН
Читать