Получить консультацию
Оставьте ваши данные и мы с вами свяжемся!
Оставляя заявку на сайте, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности. Не является публичной офертой.
Получить коммерческое предложение
Оставьте ваши данные, и мы с вами свяжемся!
Получить коммерческое предложение
Оставьте ваши данные, и мы с вами свяжемся!
Получить консультацию
Оставьте ваши данные, и мы с вами свяжемся!
Аудит 152-ФЗ
Проведение аудита и обеспечение соответствия требованиям 152-ФЗ «О персональных данных».
Комплексное обследование ваших бизнес-процессов и IT-инфраструктуры, чтобы выявить реальное состояние защиты персональных данных.
Опыт сотен успешных проверок в одном отчете
Комплексное обследование ваших бизнес-процессов и IT-инфраструктуры, чтобы выявить реальное состояние защиты персональных данных.
Опыт сотен успешных проверок в одном отчете
Комплексный аудит
процессов обработки ПДн
процессов обработки ПДн
Аутсорсинг ответственного
за персональные данные
за персональные данные
Разработка и внедрение системы защиты ПДн
Определение требований
к защите ПДн
к защите ПДн
Что такое аудит по 152-ФЗ?
Аудит по 152-ФЗ — это независимая проверка соответствия бизнес-процессов и информационных систем компании требованиям Федерального закона «О персональных данных». В ходе аудита эксперты анализируют, как организация собирает, хранит, обрабатывает и защищает персональные данные сотрудников и клиентов.
Последствия несоответствия требованиям по защите персональных данных
С 30 мая 2025 года существенно возросли штрафы за нарушение требований к обработке и защите ПДн (ст. 13.11 КоАП).
За утечку персональных данных
Штраф до 20 млн руб
За несвоевременное уведомление Роскомнадзора об утечке ПДн
Штраф до 3 млн руб
От годовой выручки за повторную утечку (не менее 20 млн руб)
Оборотный штраф — от 1 до 3%
Кому необходим аудит по 152-ФЗ
Компаниям
обрабатывающим персональные данные клиентов, сотрудников или партнёров
обрабатывающим персональные данные клиентов, сотрудников или партнёров
Организациям
готовящимся к проверке Роскомнадзора
готовящимся к проверке Роскомнадзора
Бизнесу
внедряющему новые цифровые сервисы или CRM-системы
внедряющему новые цифровые сервисы или CRM-системы
Этапы работ по проведению аудита процессов обработки ПДн
- Обследование IT-инфраструктуры
- Обследование действующих технических и организационных мер по защите ПДн
- Оценка соответствия процессов обработки ПДн требованиям законодательства РФ
- Моделирование нарушителя безопасности ПДн
- Моделирование угроз безопасности ПДн
- Формирование совокупности предположений о возможностях, которые могут использоваться при подготовке и проведении атак на средства криптографической защиты информации
Определим назначение, цели создания системы защиты персональных данных, а также сформируем требования, предъявляемые к средствам защиты, а также к функциональным подсистемам и видам обеспечения.
Предложим несколько вариантов состава компонентов средств защиты персональных данных, подготовим спецификацию и сформируем общую схему систем защиты.
Разработаем проекты необходимых организационно-распорядительных документов или предложения по доработке существующих. Перечень может составлять более 30 документов.
Проведем аттестацию информационной системы персональных данных (ИСПДн) в соответствии со требованиями, утвержденными Приказом ФСТЭК России от 29 апреля 2021 г. № 77 «Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну», Приказом ФСТЭК России от 11 февраля 2017 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», Приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и с учетом требований национальных стандартов ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения», ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».
Подготовим следующие документы:
Результаты:
Снижение рисков утечки информации ПДн и гарантированная защита от репутационных и финансовых потерь из-за утери данных.
Подготовим следующие документы:
- Технический паспорт системы
- Программа и методики проведения аттестационных испытаний
- Протокол по результатам испытаний системы
- Заключение по результатам испытаний системы
- Аттестат соответствия системы требованиям по безопасности информации (при положительном заключении по результатам аттестационных испытаний)
Результаты:
Снижение рисков утечки информации ПДн и гарантированная защита от репутационных и финансовых потерь из-за утери данных.
- Оперативное реагирование на изменения требований законодательства РФ и внутренних процессов Заказчика: актуализация организационно-распорядительных документов, выработка предложений по корректировке внутренних процессов
- Консультирование и участие в подготовке ответов на запросы со стороны контролирующих органов, клиентов, контрагентов Заказчика
- Консультирование по вопросам выполнения требований законодательства РФ
Как проходит аудит по 152 ФЗ
- Полная инвентаризацияОпределим, какие данные, где и на каких основаниях хранятся
- Технический и орг-аудитПроверим защищенность информационных систем и работу ответственных подразделений
- Compliance-проверкаОценим процессы на соответствие актуальным требованиям законодательства по чек-листам Роскомнадзора
- РезультатВы получите детальный отчет с описанием всех процессов и экспертную оценку соответствия требованиям РФ. Это станет фундаментом для устранения рисков и подготовки к проверкам регуляторов
Результаты
Весь пакет документов и правильно организованная работа систем согласно нормативным документам
Полное соответствие обязательным требованиям регуляторов: Роскомнадзор (152-ФЗ, ПП-687, ПП-1119), ФСТЭК (Приказы ФСТЭК № 17, № 21, ФСБ (приказ ФСБ № 378)
Снижение рисков утечки информации ПДн и гарантированная защита от репутационных потерь из-за утери данных
Преимущества обеспечения безопасности ПДн с Infosecurity
Проводим работы, начиная от анализа бизнес-процессов до консалтингового сопровождения по обеспечению безопасности персональных данных
Мы имеем обширный опыт в реализации требований. Имеем соглашение с НКЦКИ, являемся центром ГОССОПКА, можем осуществлять обмен данными с ФИНЦЕРТ и НКЦКИ
Обладаем экспертизой в различных отраслях и компаниях разных масштабов, в т. ч. в Enterprise-сегменте
Защита персональных данных под «ключ»
Экспертиза в удовлетворении требований регуляторов
Экспертиза и многолетний опыт
Гарантированные сроки реализации проекта и качественные процессы в части реализации мер
Глубоко погружаемся в бизнес-процессы заказчика, решаем задачи бизнеса, отталкиваясь от его потребностей
Гарантия
Фокус на заказчике
Аутсорсинг функций ответственного за обработку и защиту персональных данных.
Virtual Data Protection Officer (vDPO)
vDPO для вас, если
Ответственного за защиту ПДн нет, функции распределены между юристами и ИТ, или не реализованы
Критичный бизнес-процесс завязан на обработке клиентских ПДн
Комплект документов разработан, но процессы не работают, что создает риск санкций со стороны регуляторов
Большое количество процессов обработки ПДн и передачи третьим лицам
Необходимо быть готовым к успешному прохождения проверок регуляторов
Состав работ в рамках vDPO
Внедрение процессов защиты персональных данных
Обучение и инструктаж сотрудников
Аудит выполнения требований по защите ПДн
Подготовка ответов на запросы субъектов и регуляторов
Регулярные онлайн-встречи для обсуждения текущих вопросов
Реагирование на изменения законодательства
В результате вы получите
-
Снижение репутационных и финансовых рисков, связанных с нарушением законодательства -
Экспертную поддержку по любым вопросам без необходимости найма специалиста со стороны ИБ -
Снижение влияния человеческого фактора на инциденты, связанные с ПДн -
Поддержку при проверках и киберинцидентах
Бесплатная консультация
У Вас остались вопросы?
Оставьте заявку и мы свяжемся с вами в ближайшее время.
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности. Не является публичной офертой.
Команда
Образование
2007-2012 — ФГБОУ ВПО «Российский государственный гуманитарный университет», г. Москва.
Организация и технология защиты информации, специалист по защите информации
Опыт в сфере ИБ
Компетенции
2007-2012 — ФГБОУ ВПО «Российский государственный гуманитарный университет», г. Москва.
Организация и технология защиты информации, специалист по защите информации
Опыт в сфере ИБ
- Профессиональный опыт в области ИБ с 2010 года
Компетенции
- Аудиты выполнения требований законодательства (152-ФЗ, 187-ФЗ, приказы ФСТЭК № 21, 17, 239, 250 Указ Президента РФ и т.д.)
- Комплексные аудиты ИБ
- Разработка документации (МУ, ТЗ, ОРД) по приведению СОИБ в соответствие требованиям законодательства
- Проведение аттестаций объектов информатизации
- 2019 — Академия Softline, курс «Обеспечение безопасности значимых объектов КИИ и АСУ ТП»
- 2018 — Академия информационных систем, курс «Практические аспекты защиты АСУ ТП и промышленных сетей», повышение квалификации
- 2011 — Информзащита, курс «Расследование компьютерных инцидентов»
- Участие в комплексных аудитах ИБ для крупных заказчиков из сферы логистики, ретейла, медицины, ТЭК, финансов, энергетики
- Разработка стратегии ИБ для крупной компании из сферы ретейл
- Обследование и категорирование объектов критической информационной инфраструктуры для холдинга из энергетической отрасли
- Аудиты по требованиям безопасности ПДн и КИИ для компаний малого, среднего и крупного бизнеса
- Аттестация ЦОД органов исполнительной власти
Анатолий Сазонов
Профессиональный опыт в области ИБ с 2010 года
Профессиональный опыт в области ИБ с 2010 года
Образование
2004-2009 — Новосибирский государственный университет экономики и управления. Инженер. Информационная безопасность.
Опыт в сфере ИБ
Компетенции
Курсы и Сертификаты
Значимые проекты
2004-2009 — Новосибирский государственный университет экономики и управления. Инженер. Информационная безопасность.
Опыт в сфере ИБ
- Профессиональный опыт в области ИБ с 2009 года
Компетенции
- Аудиты выполнения требований законодательства (152-ФЗ, 187-ФЗ, приказы ФСТЭК № 21, 17, 239 и т.д.), а также проведение контроля компаний Группы Сбер на соответствие требованиям законодательства в области персональных данных
- Разработка документации (МУ, ТЗ, ОРД, ТЭО) по приведению СОИБ в соответствие требованиям законодательства cпоследующим успешным прохождением проверок регуляторов (Роскомнадзор, ФСТЭК России, ФСБ России)
- Проведение оценки эффективности систем защиты персональных данных
Курсы и Сертификаты
- 2025 — Новеллы 152-ФЗ «О персональных данных»
- 2016 — Разработка технической документации в соответствии с ГОСТ 34 и ЕСПД
- 2015 — Построение системы защиты информации в информационных системах
- 2013 — Управление рисками безопасности информационных систем организации
- 2013 — Организация непрерывности ведения и восстановления бизнеса
- 2012 — Система управления информационной безопасностью в соответствии с международным стандартом ISO 27001
- 2011 — Защита персональных данных
Значимые проекты
- Приведение порядка обработки персональных данных в соответствие требованиям законодательства и подготовка компаний Группы Сбер к прохождению контроля на соответствие требованиям законодательства в области персональных данных
- Аудит и внедрение процессов обработки персональных данных в ИТ-компаниях, компаниях строительной и других отраслей
- Обследование и категорирование объектов критической информационной инфраструктуры крупного банка
- Участие в реализации пилотных проектов по построению ситуационных центров государственных органов в части обеспечения информационной безопасности
- Участие в предпроектном обследовании и проектировании системы защиты АПК «Безопасный город»
Анастасия Мещерякова
Профессиональный опыт в области ИБ с 2009 года
Профессиональный опыт в области ИБ с 2009 года
Анатолий Сазонов
Профессиональный опыт в области ИБ с 2010 года
Профессиональный опыт в области ИБ с 2010 года
Компетенции
- Аудиты выполнения требований законодательства (152-ФЗ, 187-ФЗ, приказы ФСТЭК № 21, 17, 239, 250 Указ Президента РФ и т.д.)
- Комплексные аудиты ИБ
- Разработка документации (МУ, ТЗ, ОРД) по приведению СОИБ в соответствие требованиям законодательства
- Проведение аттестаций объектов информатизации
Анастасия Мещерякова
Профессиональный опыт в области ИБ с 2009 года
Профессиональный опыт в области ИБ с 2009 года
Компетенции
- Аудиты выполнения требований законодательства (152-ФЗ, 187-ФЗ, приказы ФСТЭК № 21, 17, 239 и т.д.), а также проведение контроля компаний Группы Сбер на соответствие требованиям законодательства в области персональных данных
- Разработка документации (МУ, ТЗ, ОРД, ТЭО) по приведению СОИБ в соответствие требованиям законодательства cпоследующим успешным прохождением проверок регуляторов (Роскомнадзор, ФСТЭК России, ФСБ России)
- Проведение оценки эффективности систем защиты персональных данных
Почему нам можно доверять
Сертификаты Infosecurity
FAQ
Штатные специалисты часто видят систему «изнутри» и могут пропускать неочевидные уязвимости. Профессиональный аудит — это взгляд эксперта-практика, который знает актуальные требования Роскомнадзора, ФСТЭК России и ФСБ России, а также имеет опыт прохождения реальных проверок.
Мы анализируем два контура:
Юридический: формы согласий, политики обработки, договоры с подрядчиками, приказы и регламенты.
Технический: как данные хранятся в базах, кто имеет к ним доступ, защищены ли каналы связи и используются ли сертифицированные средства защиты.
Юридический: формы согласий, политики обработки, договоры с подрядчиками, приказы и регламенты.
Технический: как данные хранятся в базах, кто имеет к ним доступ, защищены ли каналы связи и используются ли сертифицированные средства защиты.
В зависимости от размера компании и сложности ИТ-инфраструктуры — от 5 рабочих дней для небольшого офиса до нескольких недель для крупной распределенной системы.
Вы получаете детальный отчет, в котором указаны:
- Текущее состояние системы защиты.
- Список выявленных несоответствий и рисков.
- Пошаговый план устранения нарушений (дорожная карта).
Да. Основная цель аудита — найти и исправить нарушения до того, как к вам придет инспектор. Выполнив наши рекомендации, вы приведете процессы в полное соответствие с 152-ФЗ, что минимизирует риск санкций.
Мы рекомендуем проводить аудит:
- Раз в год для профилактики.
- При смене ИТ-архитектуры или ПО.
- При изменениях в законодательстве (которые происходят регулярно).