согласен.ру
Войти
Блог / Внутренний аудит системы защиты персональных данных: Готовимся к проверкам Роскомнадзора в 2025

Внутренний аудит системы защиты персональных данных: Готовимся к проверкам Роскомнадзора в 2025

08.12.2025 · 13 мин чтения

Привет, коллеги! Роскомнадзор уже на пороге: как подготовиться к проверкам 2025 года и спать спокойно

Знаете, бывает такое ощущение, когда ты постоянно играешь в догонялки с законодательством? Особенно это касается защиты персональных данных. Кажется, только привык к одним правилам, как Роскомнадзор (далее — РКН) выпускает новые требования, ужесточает контроль, а штрафы превращаются из досадной неприятности в реальную угрозу для бизнеса. 2025 год, судя по всем тенденциям, обещает стать для многих компаний таким «моментом истины». Фокус регулятора на персональных данных только усиливается, и если вы до сих пор думали, что "это точно не про нас", то самое время проснуться. Ведь теперь речь идет не о мифических проверках, а о вполне реальных рисках, которые могут больно ударить по вашему делу.

Почему это не просто "еще один закон", а реальная головная боль?

Дело тут не только в бюрократии. Речь идет о защите наших с вами данных, а государство стремится максимально обезопасить граждан. Для бизнеса же это означает серьезные риски, которые нужно осознавать:

  1. Штрафы, которые бьют по карману: Забудьте про символические наказания. По статье 13.11 КоАП РФ штрафы могут достигать нескольких миллионов рублей, а за повторные или особо крупные нарушения — оборотные штрафы, которые могут буквально обанкротить компанию. Недавно РКН выписал штрафы на сотни миллионов рублей, а по слухам, их общая сумма за прошлый год перевалила за миллиард! Это не просто цифры в отчетах — это потерянные бюджеты компаний.
  2. Репутационные потери: Утечка данных — это не только штраф, но и громкий инфоповод, который мгновенно подрывает доверие клиентов и партнеров. Восстановить его потом будет крайне сложно и дорого. Кто захочет работать с компанией, которая не может защитить их данные?
  3. Остановка деятельности: В некоторых случаях РКН может потребовать приостановить обработку ПДн или даже временно закрыть компанию. Вы готовы к такому сценарию? Это может означать полную парализацию бизнеса.
  4. Фокус на доказательствах: РКН теперь не просто проверяет наличие документов. Они хотят видеть, что эти документы работают на практике. Журналы, записи, свидетельства обучения, протоколы реагирования на инциденты — всё это должно быть безупречно и регулярно вестись. Просто "бумажка для галочки" больше не прокатит, проверяющие смотрят глубже – на соответствие заявленного реальному положению дел.

Что делать? Начинаем внутренний аудит прямо сейчас!

Лучший способ встретить проверку во всеоружии — это провести генеральную уборку у себя "дома" до того, как придут гости. То есть, провести добросовестный внутренний аудит системы защиты персональных данных. Это не просто подготовка к проверке, это инвестиция в устойчивость вашего бизнеса и ваше спокойствие.

Цель такого аудита: * Выявить "дыры" в вашей системе работы с ПДн, пока их не нашел РКН. * Оценить реальное состояние вашей защиты — как организационной, так и технической. * Составить четкий план действий по устранению всех недочетов.

Мы регулярно сталкиваемся с тем, что компании спотыкаются на одних и тех же ошибках, многие из которых легко устранить заранее. Вот самые распространенные нарушения, на которые РКН обращает внимание в первую очередь:

  • Бумажки vs. реальность: Нет нужной документации (Политики, Положения, Перечней, Актов) или она давно устарела. Или, что еще хуже, документы есть, но на практике их никто не соблюдает.
  • Согласия — это важно: Собираете ПДн, но нет согласий или они составлены с ошибками? Например, не указана конкретная цель, срок или оператор. Или вы требуете согласие на рассылки, чтобы дать человеку доступ к нужной услуге ("принуждение к согласию"). РКН очень чувствитетелен к мнимому согласию.
  • "Лишний вес": Собираете больше данных, чем нужно для заявленной цели? Храните ПДн годами, хотя цель обработки давно достигнута, а вы даже не подумали их уничтожить? Принцип минимизации — один из столпов ФЗ-152.
  • "Открытые ворота": Техническая защита хромает — слабые пароли, нет антивируса, межсетевого экрана, никто не контролирует доступ к данным. Причем регулятор (ФСТЭК) очень четко прописал, что и как защищать (Приказ № 21).
  • Трансграничная передача "вслепую": Передаёте данные за границу, но не уведомили РКН, не оценили законодательство страны-получателя или не получили отдельное согласие субъекта? Это теперь под особым прицелом.
  • "Молчание — золото"… но не для утечек: Произошла утечка, а вы промолчали? РКН нужно уведомить о факте инцидента за 24 часа, а о результатах расследования — за 72 часа. Не сделали это — получайте отдельный и очень серьезный штраф. За несвоевременное уведомление тоже штраф.
  • Команда "не в курсе": Сотрудники, работающие с ПДн, не знают правил их обработки и защиты? Нет регулярного обучения и подтверждений ознакомления с локальными актами.
  • Игнорирование прав субъекта: Человек хочет отозвать согласие или уточнить свои данные, а вы его запросы игнорируете? А ведь это его законное право.

Ваш чек-лист для внутреннего аудита (до 2025 года): Проходим по каждому пункту

Сядьте сами или поручите команде пройтись по этим пунктам. Это не исчерпывающий список на все случаи жизни, но он даст вам хорошее представление, что и где искать, и что необходимо срочно подтянуть.

1. Документация и политика: наводим порядок на бумаге (и не только)

Представьте, что эти документы — ваша инструкция по безопасности. Если она неактуальная или неполная, то и действовать правильно будет сложно.

  • [ ] Ваша Политика обработки ПДн на сайте — актуальная, полная? Это первый документ, на который смотрят и клиенты, и проверяющие. Он должен быть не просто красивой картинкой, а рабочим документом, отражающим реальное положение дел.
  • [ ] Есть ли Положение об обработке ПДн внутри компании? Оно детализирует политику и является основой для всех внутренних процессов.
  • [ ] Ответственный за организацию обработки ПДн назначен приказом? В его должностную инструкцию включены все необходимые пункты по ФЗ-152? Он вообще понимает, что делает? Это ключевая роль!
  • [ ] Есть приказ о назначении администратора информационной безопасности (если применимо)?
  • [ ] Составлен Перечень обрабатываемых ПДн и категории субъектов? Вы должны точно знать, какие данные и чьи вы обрабатываете.
  • [ ] Составлен Перечень информационных систем ПДн (ИСПДн)? А где именно эти данные хранятся и обрабатываются?
  • [ ] Есть ли Акт определения уровня защищенности ИСПДн (согласно ПП № 1119)? Без него невозможно правильно выбрать меры защиты.
  • [ ] Модель угроз безопасности ПДн (согласно требованиям ФСТЭК) существует и актуальна? Какие угрозы актуальны именно для ваших систем?
  • [ ] Проведена оценка потенциального вреда, который может быть причинен субъектам ПДн (по требованиям ФСТЭК)? Насколько критичными будут последствия утечки?
  • [ ] Есть регламенты и инструкции по работе с ПДн для персонала — конкретные и понятные?
  • [ ] Все, кто работает с ПДн, подписали обязательство о неразглашении? Это важный барьер от инсайдерских угроз.
  • [ ] Если вы передаете чьи-то ПДн третьим лицам (например, бухгалтерии на аутсорсе, колл-центру) — в договорах с ними четко прописаны обязательства по защите?

2. Процессы сбора и обработки: только необходимое, только законное

Тут важно ответить себе на вопрос: "А зачем мне это?" и "Есть ли у меня право это делать?".

  • [ ] Цели обработки ПДн четко сформулированы и соответствуют вашей деятельности? Ничего лишнего? Сбор номера паспорта для подписки на новости — явная избыточность.
  • [ ] Для каждой операции с ПДн есть правовое основание? Договор с клиентом, его согласие, законное требование, ваша легитимная цель?
  • [ ] Согласия субъектов:
    • [ ] Они соответствуют статье 9 ФЗ-152? (конкретные, информированные, однозначные — человек должен понимать, на что дает согласие).
    • [ ] Вы можете доказать, что получили их? (Хранение бумажных форм, логи действий на сайте, записи звонков).
    • [ ] Человек может легко отозвать свое согласие? Какая процедура предусмотрена и отработана?
  • [ ] Принцип минимизации: Вы собираете только те данные, которые действительно нужны для заявленной цели? Ничего "про запас"?
  • [ ] Сроки хранения: Для каждой категории ПДн есть установленные сроки? И, что еще важнее, есть ли процедура уничтожения или обезличивания данных по истечении этих сроков или достижении цели? Хранить вечно запрещено!

3. Техническая защита информации: закрываем все двери и окна

Тут без технических специалистов не обойтись. "Айтишники" должны действовать по четким правилам, а не по наитию.

  • [ ] Соответствие требованиям ФСТЭК России: Наличие и внедрение СЗИ, соответствующих уровню защищенности ИСПДн (Приказ ФСТЭК № 21). Должен быть акт о внедрении.
  • [ ] Антивирусная защита — везде стоит, актуальная, централизованная? Она должна регулярно обновляться и проверять весь трафик.
  • [ ] Межсетевое экранирование — настроено грамотно и отфильтровывает ненужный трафик?
  • [ ] Контроль и управление доступом: Есть разграничение прав доступа к ИСПДн? Используется строгая парольная политика? Ведется учет машинных носителей ПДн (флешек, внешних дисков)?
  • [ ] Резервное копирование: Делается регулярно и по расписанию? И есть ли возможность восстановления из этих бэкапов?
  • [ ] Криптографическая защита информации (при необходимости) – шифрование данных, каналов связи – используется там, где нужно?
  • [ ] Журналирование событий безопасности: Логи ведутся, хранятся, анализируются? Кто и когда заходил, что делал с данными? Без этого не расследовать инциденты.
  • [ ] Защита от НСД (несанкционированного доступа) продумана не только в IT, но и на физическом уровне?

4. Трансграничная передача ПДн: перестраховываемся втройне

Передача данных за границу — как провоз ценностей через границу. Нужно много документов и разрешений.

  • [ ] Вы вообще обязаны уведомить РКН о намерении передавать ПДн за границу? Если да, то уведомили?
  • [ ] Проведена оценка адекватности защиты государством-получателем? Если страна "неадекватная" (список есть у РКН), есть ли дополнительные меры безопасности или другие законные основания для передачи?
  • [ ] От субъекта получено согласие именно на трансграничную передачу? Это отдельный пункт в согласии.
  • [ ] Проверили действующие договоры с иностранными контрагентами на предмет соответствия требованиям РФ?

5. Реагирование на инциденты и запросы субъектов: быть готовым к худшему

Утечки случаются. Вопрос не "если", а "когда". Важно быть готовым действовать быстро и правильно.

  • [ ] Есть четкий план реагирования на инциденты с ПДн? Кто что делает, в какие сроки, к кому бежать?
  • [ ] Процедура уведомления РКН об инцидентах работает как часы? (24 часа на факт инцидента, 72 на результаты внутреннего расследования — на это очень мало времени, нужен отработанный алгоритм).
  • [ ] Есть процедура и журнал учета запросов субъектов ПДн?
  • [ ] Вы отвечаете на запросы субъектов (доступ к данным, отзыв согласия, требование об удалении) вовремя и по существу?

6. Обучение персонала: человеческий фактор — самый рискованный

Самым слабым звеном часто оказывается человек. Поэтому его нужно не просто информировать, а обучать.

  • [ ] Разработана программа обучения сотрудников, имеющих доступ к ПДн?
  • [ ] Обучение проводится регулярно, и это можно подтвердить (журналы, протоколы, тесты, подписи)?
  • [ ] Сотрудники, работающие с ПДн, реально знают правила? Регулярно тестируйте их знания!

Кто это будет делать? Сами или звать экспертов?

Тут есть два пути, каждый со своими плюсами и минусами, как в выборе между домашней едой и рестораном.

  1. Своими силами: Если у вас небольшой объем данных, есть свой юрист или IT-специалист, который уже немного в теме, то можно попробовать. Плюс – экономия бюджета и глубокое погружение в свои процессы, вы лучше понимаете, что именно требуется. Минус – это займет много времени, требует постоянного изучения нюансов законодательства (а оно постоянно меняется!), и есть риск упустить что-то важное из-за отсутствия насмотренности.
  2. Привлечь внешних консультантов: Это как заказать готовую систему под ключ. Эксперты уже знают все подводные камни, у них есть свои наработанные чек-листы, они видят типовые ошибки. Плюс – быстро, качественно, высокая вероятность ничего не упустить. Минус – это стоит денег, и вам всё равно понадобится выделить человека на "своей" стороне, который будет взаимодействовать с консультантами и потом поддерживать систему.

Какой путь выбрать – решать вам. Главное – не пускать ситуацию на самотек и не ждать, пока гром грянет.

А что, если ничего не делать? Логика последствий

Если ничего не менять и ждать "у моря погоды", то готовьтесь к худшему. * Случай 1: Плановая проверка. Допустим, к вам в 2025 году приходит РКН. Они приходят с уже выверенным списком требований и внимательно смотрят на каждый документ и процедуру. Находят, например, что у вас нет Акта определения уровня защищенности ИСПДн (а его наличие — это основа!). Или что ваша Политика на сайте устарела. Или что вы не уничтожаете данные вовремя. Получаете предписание об устранении нарушений (дадут срок, но без гарантии, что все успеете) и штраф. А если нарушений много, то и штраф будет приличный, а предписания будут висеть мертвым грузом. * Случай 2: Инцидент. Он же "утечка". Происходит утечка данных. РКН узнаёт об этом от субъектов данных, из СМИ или от хакеров, которые продали данные. Вы получаете внеплановую проверку, штраф за утечку (а это может быть оборотный штраф!), штраф за неуведомление или несвоевременное уведомление, штраф за отсутствие должной защиты. А еще — мощнейший удар по репутации, суды с пострадавшими, потеря клиентов, партнеров и нервные срывы всех причастных. * Случай 3: Игнорирование запросов. Клиент просит удалить его данные или отозвать согласие. Вы не реагируете или делаете это неправильно. Клиент жалуется в РКН. Снова проверка, предписание, штраф.

Логика простая: проактивный подход позволяет вам контролировать ситуацию, исправлять ошибки в спокойном режиме и избегать серьезных последствий. Реактивный подход (когда вы начинаете что-то делать только после того, как пришел РКН или произошел инцидент) приводит к панике, спешке, дополнительным ошибкам и, как правило, к большим финансовым, репутационным и операционным потерям.

Практические выводы: что унести с собой

2025 год уже не за горами, и регуляторы настроены серьезно. Защита персональных данных — это не просто галочка на документе, а полноценная, живая система, которая требует постоянного внимания и усилий.

Проведенный сейчас тщательный внутренний аудит системы защиты персональных данных по предложенному чек-листу — это ваш билет в клуб "спокойных операторов". Он позволит вам не только избежать огромных штрафов и проблем с законом, но и укрепит доверие ваших клиентов и партнеров. Ведь забота о данных — это одна из важнейших демонстраций надежности, ответственности и зрелости вашего бизнеса.

Не ждите, пока Роскомнадзор постучится в вашу дверь. Сделайте первый шаг уже сегодня. Это позволит вам спать спокойно, зная, что ваш бизнес защищен, а вы — готовы к любым вызовам. Удачи нам всем!

← Предыдущая: Актуальное согласие на обработку ПДн: От шаблона к эффективному digital-решению для бизнеса Следующая: Утечки данных в 2025 году: Пошаговый план действий компании по новым требованиям 152-ФЗ →

Возможно, вам будет интересно