Кибероснова152-ФЗ
Контроль

Внутренний контроль обработки персональных данных

Построим систему внутреннего контроля обработки ПДн по требованиям ст. 18.1 152-ФЗ. Положение, чек-листы, журнал проверок — полная готовность к проверке РКН.
Скачать образцы документов

Почему важно действовать сейчас

Риски растут с каждым месяцем промедления

01

Ст. 18.1 152-ФЗ прямо обязывает оператора осуществлять внутренний контроль — это не рекомендация, а требование закона

02

Отсутствие системы контроля = нарушение при любой проверке РКН, штраф до 100 000 руб. (до 300 000 за повторное)

03

РКН при проверке запрашивает положение, журнал проверок, акты — их отсутствие фиксируется как нарушение

4x
в год периодические проверки (ежеквартально)
30+
пунктов чек-листа контроля
100%
покрытие процессов обработки ПДн

Зачем нужен внутренний контроль обработки ПДн

Статья 18.1 152-ФЗ прямо обязывает оператора осуществлять внутренний контроль за соблюдением требований по обработке персональных данных. Это не разовая проверка, а система регулярного мониторинга: от чек-листов до актов по результатам.

При плановой проверке РКН запрашивает документы, подтверждающие внутренний контроль: положение, журнал проверок, акты, доказательства обучения. Их отсутствие — прямое нарушение с штрафом до 100 000 руб. для юридических лиц, до 300 000 руб. при повторном нарушении.

Мы разрабатываем полный комплект документов и внедряем систему периодических проверок: от ежеквартальных самопроверок до ежегодного комплексного аудита.

Грамотно выстроенная система контроля — это не только защита от штрафов. Это инструмент, который позволяет вовремя обнаруживать нарушения, реагировать на инциденты и поддерживать compliance в актуальном состоянии при изменении процессов и НПА.

Есть вопросы? Получите бесплатную консультацию эксперта

Что входит в организацию внутреннего контроля

01

Положение о контроле

Документ, определяющий порядок, периодичность и ответственных за проведение внутреннего контроля обработки ПДн.

02

Чек-листы проверок

Готовые чек-листы по направлениям: документация, ИСПДн, права субъектов, сайт, физическая безопасность.

03

Журнал проверок

Журнал фиксации результатов контрольных мероприятий — обязательное доказательство для РКН.

04

Обучение проверяющих

Обучим ответственных сотрудников проводить внутренние проверки самостоятельно по утверждённой методике.

05

Акты по результатам

Шаблоны актов проверки с выявленными несоответствиями и планом устранения.

06

План контрольных мероприятий

Годовой график проверок с указанием объектов контроля, сроков и ответственных.

Не уверены, что именно нужно?

Проведём бесплатный экспресс-разбор за 30 минут: оценим текущее состояние, определим риски и подскажем оптимальный формат работы.

Смотреть все услуги

Кому нужна система внутреннего контроля

1
Все операторы ПДн — требование ст. 18.1 152-ФЗ
2
Организации, ожидающие плановую проверку РКН
3
Компании после получения предписания с требованием организовать контроль
4
Организации с распределёнными филиалами и большим числом ИСПДн
5
Компании, стремящиеся к compliance-зрелости и снижению рисков утечек

Есть вопросы? Получите бесплатную консультацию эксперта

Как мы работаем

Прозрачный процесс с фиксированными этапами и результатами

1

Аудит текущего состояния

Оцениваем существующие процессы контроля, документы и практики обработки ПДн.

2

Разработка документов

Создаём положение, чек-листы, шаблоны актов и годовой план проверок.

3

Первичная проверка

Проводим полную проверку по всем направлениям и фиксируем результаты.

4

Обучение и передача

Обучаем ответственных проводить проверки самостоятельно, передаём комплект.

Почему выбирают Кибероснова

Автоматизация через конструктор

Генерируйте акты, журналы и чек-листы контроля в нашем бесплатном конструкторе — 90 шаблонов документов.

Чек-листы по методике РКН

Проверки по тем же пунктам, что использует инспектор — вы знаете результат до реальной проверки.

Журналы и акты

Полный комплект документов контроля: положение, журнал проверок, акты, планы устранения — всё по требованиям НПА.

Обучение сотрудников

Обучим ответственных проводить проверки самостоятельно — передаём методику и инструменты.

Инструменты без регистрации

Бесплатные калькуляторы и образцы — для самостоятельной работы

Вопросы и ответы

Внутренний контроль обработки персональных данных — обязательная процедура по ч. 2 ст. 18.1 152-ФЗ для всех операторов ПДн. Цель — выявить нарушения в обработке ПДн ДО проверки Роскомнадзора. Контроль проводит ответственный за организацию обработки ПДн (ст. 22.1 152-ФЗ) или специально назначенная комиссия. Результат — акт внутреннего контроля с найденными нарушениями и планом устранения. Подробнее — в нашей статье «Внутренний контроль обработки ПДн».
Минимум раз в год — это базовая периодичность по практике РКН. Для крупных операторов с большим объёмом ПДн (банки, операторы связи, медицинские учреждения) — раз в полгода или квартально. После 420-ФЗ от 30.11.2024 регулярный внутренний контроль — одно из смягчающих обстоятельств при назначении штрафа. Также обязательный внеплановый контроль после: смены ответственного за ПДн, инцидентов безопасности, существенных изменений в обработке (новые ИСПДн, новые подрядчики), изменений в НПА.
Полный чек-лист — 90+ пунктов по 152-ФЗ, ПП РФ №1119, Приказам ФСТЭК №21/№117. Основные группы: (1) Документы — политика обработки ПДн, согласия, приказы, регламенты. (2) Реестр обработок — соответствие фактической обработке. (3) ИСПДн — уровень защищённости, СЗИ с сертификатами ФСТЭК. (4) Сайт — чекбоксы, политика, согласия. (5) Подрядчики — договоры поручения по ст. 6 ч. 3. (6) Сотрудники — обучение, подписанные обязательства. (7) Журналы учёта — наличие и фактическое ведение. (8) Регламент реагирования на инциденты с уведомлением РКН 24/72 ч.
Стандартный пакет: (1) Акт внутреннего контроля обработки ПДн с найденными нарушениями. (2) План устранения с приоритетами и сроками. (3) Протокол проверки. (4) Объяснительные ответственных лиц при выявлении нарушений. (5) Презентация для руководства. Все документы хранятся минимум 5 лет — могут потребоваться при проверке РКН. Отсутствие документов внутреннего контроля — отдельное нарушение по ч. 2 ст. 18.1 152-ФЗ.
Да, это типовая практика — внутренний контроль проводит ответственный за организацию обработки ПДн (ст. 22.1 152-ФЗ) или специальная комиссия из сотрудников. Преимущества: знание специфики организации, низкая стоимость, регулярность. Недостатки: возможна предвзятость, конфликт интересов, нехватка специальных компетенций. Оптимально — чередовать внутренний контроль штатными силами (квартально или раз в полгода) с внешним независимым аудитом (раз в год).
Внутренний контроль — обязательная регулярная процедура по ч. 2 ст. 18.1 152-ФЗ, проводится силами организации. Аудит — более широкая, обычно одноразовая проверка, проводится внешними экспертами с независимой оценкой. Внутренний контроль обязателен для всех — аудит рекомендуется (но не обязателен законом). На практике эффективная стратегия: внутренний контроль раз в полгода + внешний аудит раз в год + pentest для критичных систем.
Полный цикл за 2-3 недели: (1) Подготовка к контролю — программа проверки, чек-лист, шаблоны документов. (2) Проведение контроля — выезд эксперта, интервью с ответственными, проверка ИСПДн и документов. (3) Подготовка акта с найденными нарушениями. (4) План устранения с приоритетами. (5) Обучение ответственных за ПДн методике проведения внутреннего контроля силами организации в будущем. (6) Сопровождение — консультации в течение 3 месяцев после поставки.
По ч. 2 ст. 18.1 152-ФЗ внутренний контроль — обязательная процедура. Отсутствие — нарушение требований к обработке ПДн со штрафом по ст. 13.11 КоАП РФ: до 700 000 ₽ для юрлиц. По редакции 420-ФЗ от 30.11.2024 регулярный внутренний контроль — смягчающее обстоятельство при назначении штрафа за утечку (оборотные 1-3% выручки). Без контроля смягчение не применяется — штраф максимальный.

Нужна система внутреннего контроля ПДн?

Оставьте заявку — разработаем документы и обучим ваших сотрудников.

Скачать образцы документов

Чем мы отличаемся

Преимущества внутреннего контроля в Кибероснова

Чек-лист 90+ пунктов

Полная программа внутреннего контроля по 152-ФЗ, ПП РФ №1119, Приказам ФСТЭК №21/№117. Структура соответствует требованиям РКН.

Обучение ответственного для будущих контролей

Передаём методику и шаблоны для самостоятельного проведения контроля в будущем. Не оставляем зависимыми от подрядчика.

6 фреймворков в одной подписке

Контроль покрывает 152-ФЗ + Приказы ФСТЭК + ПП РФ №1119. Для субъектов КИИ — параллельно проверяем требования 187-ФЗ.

Multi-org для холдингов

Внутренний контроль для группы юрлиц через единый интерфейс. Унифицированные процедуры с независимыми отчётами по каждой компании.

Этапы внутреннего контроля

5-этапный процесс — 2-3 недели «Под ключ».

Этап 1. Подготовка (3-5 дней)

Подписание NDA. Определение объёма контроля — всё или отдельные ИСПДн / процессы. Подготовка программы и чек-листа из 90+ пунктов. Согласование графика с ответственными.

Этап 2. Сбор информации (3-5 дней)

Запрос документов: политика, согласия, приказы, регламенты, договоры поручения, журналы учёта. Интервью с ответственным за ПДн (ст. 22.1), ИТ-специалистом, юристом, сотрудниками подразделений.

Этап 3. Проверка (5-7 дней)

Проверка по чек-листу 90+ пунктов: документы, реестр обработок, ИСПДн (уровень защищённости, СЗИ), сайт (чекбоксы, политика, согласия), подрядчики (договоры поручения), сотрудники (обучение, обязательства), журналы, регламент инцидентов. Документирование найденных нарушений.

Этап 4. Анализ и приоритизация (1-2 дня)

Классификация нарушений: критические (риск штрафа РКН), важные (нужно устранить в 3 мес), рекомендуемые. Формирование плана устранения с ответственными и сроками.

Этап 5. Отчёт и обучение (2-3 дня)

Акт внутреннего контроля + план устранения + презентация для руководства. Обучение ответственного методике проведения контроля в будущем. Шаблоны для самостоятельных контролей.

Периодичность контрольных мероприятий

Система контроля строится на годовом плане: график проверок с указанием объектов контроля, сроков и ответственных. Базовый ритм — ежеквартальные самопроверки и ежегодный комплексный аудит.

МероприятиеПериодичностьФиксация результата
Самопроверка по чек-листам: документация, ИСПДн, права субъектов, сайт, физическая безопасностьЕжеквартально (4 раза в год)Запись в журнале проверок
Комплексный аудит по всем направлениям обработки ПДнЕжегодноАкт проверки + план устранения несоответствий
Внеплановый контроль: смена ответственного за ПДн, инциденты безопасности, новые ИСПДн или подрядчики, изменения в НПАПо событиюАкт проверки
Актуализация плана контрольных мероприятийРаз в годГодовой график проверок

Периодичность и ответственные закрепляются в положении о внутреннем контроле — так система работает без «ручного» напоминания и выдерживает проверку РКН.

Что вы получаете на руки

Комплект документов, который закрывает требование ст. 18.1 152-ФЗ и предъявляется при проверке РКН:

  • Положение о внутреннем контроле — определяет порядок, периодичность и ответственных за проведение контроля обработки ПДн. Базовый документ системы.
  • Чек-листы проверок (30+ пунктов) — по направлениям: документация, ИСПДн, права субъектов, сайт, физическая безопасность. Пункты соответствуют методике РКН — вы знаете результат до реальной проверки.
  • Журнал проверок — фиксация результатов контрольных мероприятий. Обязательное доказательство для РКН: инспектор запрашивает его в первую очередь.
  • Акты по результатам — шаблоны актов проверки с выявленными несоответствиями и планом устранения.
  • План контрольных мероприятий — годовой график проверок с объектами контроля, сроками и ответственными.

Дополнительно обучаем ответственных проводить проверки самостоятельно по утверждённой методике — комплект остаётся рабочим без подрядчика.

Результаты услуги «Под ключ»

  • Акт внутреннего контроля обработки ПДн в DOCX и PDF
  • План устранения с приоритетами «Критические (1 мес) / Важные (3 мес) / Рекомендуемые (6-12 мес)»
  • Протокол проверки с описанием каждого пункта чек-листа
  • Презентация для руководства с ключевыми рисками
  • Чек-лист 90+ пунктов — для будущих самостоятельных контролей
  • Шаблоны: программа контроля, акт, объяснительные
  • Обучение ответственного за ПДн методике
  • Консультации 3 месяца — поддержка при устранении нарушений

С чего начать

Запустите бесплатный сканер сайта на 152-ФЗ — первый срез нарушений за 15 секунд. Для полного внутреннего контроля с документированием — оставьте заявку на КП. Также доступен конструктор с шаблонами программы и акта контроля бесплатно при регистрации.