Подготовка к проверке по 152-ФЗ: пошаговый чек-лист
Проверка по 152-ФЗ «О персональных данных» — это, по сути, сверка двух вещей: что у вас заявлено на бумаге об обработке персональных данных (ПДн) и что реально происходит в процессах и системах. Контроль в этой сфере ведёт Роскомнадзор, и большинство замечаний на практике возникает не из-за «сложной техники», а из-за отсутствующих или формальных документов: политики обработки ПДн, согласий, уведомления об обработке, модели угроз и подтверждения принятых мер защиты. **Если коротко:** к проверке готовятся заранее и системно, а не за неделю до визита. Нужно навести порядок в документах, привести согласия и публичную политику в соответствие реальным процессам, описать модель угроз и зафиксировать организационные и технические меры защиты. Ниже — пошаговый чек-лист, таблица «требование → документ или мера» и ориентировочный план подготовки по этапам. Сравнить подрядчиков, которые помогают с аудитом и приведением в соответствие, можно в [рейтинге по аудиту ИБ и GRC](/rating/cybersecurity-consulting-grc).
Визуальный контекст исследования
Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.
Рейтинги подрядчиков по теме исследования
Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.
Как проверять выводы исследования
Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.
Авторы и проверка материала
У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.
Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.
В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.
Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.
Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.
Что проверяют по 152-ФЗ и кто это делает
152-ФЗ распространяется практически на любую организацию, которая собирает и обрабатывает персональные данные — клиентов, сотрудников, контрагентов. Если вы обрабатываете ПДн, вы оператор персональных данных со всеми вытекающими обязанностями. Надзор за соблюдением закона в части прав субъектов ведёт Роскомнадзор; вопросы технической защиты ПДн регулируют требования ФСТЭК и ФСБ России.
На проверке смотрят логику в связке «документы — процессы — системы»: есть ли правовые основания для обработки, корректно ли оформлены согласия, опубликована ли политика обработки ПДн, поданы ли сведения в реестр операторов, описаны ли угрозы и приняты ли меры защиты, соразмерные этим угрозам. Конкретные составы нарушений, размеры административных штрафов и сроки устанавливаются законодательством и периодически меняются — их стоит уточнять по действующей редакции 152-ФЗ и КоАП, а не по статьям в интернете.
Подготовка к проверке по 152-ФЗ: коротко
Техзащита ПДн — в зоне требований ФСТЭК и ФСБ
Действующую редакцию сверять в КонсультантПлюс
Должны соответствовать реальным процессам
Сведения подаются и поддерживаются в актуальном виде
Системный аудит лучше авральной правки
С чего начинается подготовка: инвентаризация данных
Любая подготовка начинается с понимания того, какие персональные данные вы обрабатываете и зачем. Без этого нельзя ни написать корректную политику, ни оформить согласия, ни построить модель угроз. Практически это означает составить «карту» обработки ПДн:
- **Какие данные** собираются (ФИО, контакты, паспортные, специальные категории и т.д.). - **На каком основании** — согласие субъекта, договор, требование закона. - **С какой целью** и на какой срок хранятся. - **В каких системах** хранятся и обрабатываются (CRM, бухгалтерия, кадры, сайт). - **Кому передаются** — подрядчикам, в облака, трансгранично.
Эта инвентаризация — фундамент: дальше каждый документ и каждая мера защиты опираются на неё. Если процессы и системы описаны честно, остальные шаги становятся механической работой по приведению в соответствие.
Требование 152-ФЗ → документ или мера
| Что проверяют | Чем подтверждается |
|---|---|
| Правовые основания обработки | Перечень целей и оснований обработки ПДн по каждому процессу |
| Информирование субъектов | Политика обработки ПДн, опубликованная и доступная |
| Согласие на обработку | Формы согласий под конкретные цели, включая отдельные согласия там, где нужно |
| Уведомление регулятора | Поданные и актуальные сведения в реестре операторов |
| Локальные документы оператора | Приказы, положение об обработке ПДн, назначение ответственного |
| Оценка угроз | Модель угроз и нарушителя под ваши информационные системы |
| Технические меры защиты | Применённые средства защиты, при необходимости — из реестра сертифицированных СЗИ |
| Организационные меры | Регламенты доступа, инструкции, обучение и инструктаж сотрудников |
| Работа с инцидентами | Порядок реагирования и уведомления об утечках |
Где чаще всего «провисает» готовность к проверке
Усреднённая редакционная оценка типичной готовности по направлениям (0–100) по открытым данным и практике аудитов. Это ориентир для самопроверки, а не оценка вашей конкретной организации.
Большой чек-лист подготовки к проверке по 152-ФЗ
План подготовки: 6 этапов
-
01
Инвентаризация и аудит
Зафиксируйте, какие ПДн, где и зачем обрабатываются, и сверьте текущее состояние с требованиями 152-ФЗ.
-
02
Правовые основания и согласия
Приведите основания обработки и формы согласий в соответствие реальным целям и процессам.
-
03
Документы оператора
Подготовьте политику обработки ПДн, локальные акты, назначьте ответственного, проверьте уведомление в реестре операторов.
-
04
Модель угроз
Опишите угрозы и нарушителя под ваши системы — это основа для выбора соразмерных мер защиты.
-
05
Меры защиты
Внедрите организационные и технические меры; при необходимости подберите сертифицированные средства защиты.
-
06
Самопроверка и поддержка
Прогоните внутреннюю проверку по чек-листу, устраните расхождения и держите документы актуальными.
Как мы оцениваем поставщиков
cyber-index.ru не продаёт места в рейтинге. Подрядчики по аудиту ИБ и приведению в соответствие сравниваются по проверяемым сигналам: подтверждённые проекты и кейсы, отзывы клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью полезно читать в связке с [рейтингом по аудиту ИБ и GRC](/rating/cybersecurity-consulting-grc): здесь — логика подготовки и чек-лист, там — сравнение конкретных компаний по подтверждённым фактам.
Следующий шаг
Разобрались с логикой подготовки — переходите к выбору исполнителя для аудита и приведения в соответствие: **[рейтинг по аудиту ИБ и GRC →](/rating/cybersecurity-consulting-grc)**. Полезно прочитать рядом: [что такое GRC](/research/chto-takoe-grc), [аудит ИБ vs пентест](/research/audit-ib-vs-pentest) и [рейтинг компаний по аудиту ИБ 2026](/research/rejting-kompanij-audit-ib-2026).
Частые вопросы
Кто именно проверяет соблюдение 152-ФЗ?
Надзор в части прав субъектов персональных данных ведёт Роскомнадзор. Вопросы технической защиты ПДн регулируются требованиями ФСТЭК и ФСБ России. На практике это означает, что готовиться нужно и к проверке документов, и к подтверждению мер защиты.
Какие документы нужны в первую очередь?
Базовый набор — политика обработки ПДн, корректно оформленные согласия, уведомление в реестре операторов, локальные акты с назначением ответственного, модель угроз и подтверждение принятых мер защиты. Точный состав зависит от того, какие данные и в каком объёме вы обрабатываете.
Какие штрафы грозят за нарушение 152-ФЗ?
Размеры административной ответственности устанавливаются законодательством и периодически пересматриваются, поэтому конкретные суммы стоит сверять по действующей редакции закона и КоАП, а не по сторонним публикациям. Важнее то, что большинство замечаний устраняется заранее — системной подготовкой документов и процессов.
Нужно ли обязательно использовать сертифицированные средства защиты?
Это зависит от типа ваших информационных систем и модели угроз. Там, где требования предполагают применение сертифицированных СЗИ, статус продукта проверяется в реестре ФСТЭК. Решение принимается по итогам оценки угроз, а не «по умолчанию для всех».
Можно ли подготовиться своими силами или нужен подрядчик?
Многое реально сделать внутри: инвентаризацию, политику, согласия, базовые регламенты. Внешний аудит помогает там, где нужна независимая оценка модели угроз и мер защиты, либо когда не хватает экспертизы. Сравнить подрядчиков можно в рейтинге по аудиту ИБ и GRC.
Источники и метод проверки
Проверка по 152-ФЗ «О персональных данных» — это, по сути, сверка двух вещей: что у вас заявлено на бумаге об обработке персональных данных (ПДн) и что реально происходит в процессах и системах. Контроль в этой сфере ведёт Роскомнадзор, и большинство замечаний на практике возникает не из-за «сложной техники», а из-за отсутствующих или формальных документов: политики обработки ПДн, согласий, уведомления об обработке, модели угроз и подтверждения принятых мер защиты. **Если коротко:** к проверке готовятся заранее и системно, а не за неделю до визита. Нужно навести порядок в документах, привести согласия и публичную политику в соответствие реальным процессам, описать модель угроз и зафиксировать организационные и технические меры защиты. Ниже — пошаговый чек-лист, таблица «требование → документ или мера» и ориентировочный план подготовки по этапам. Сравнить подрядчиков, которые помогают с аудитом и приведением в соответствие, можно в [рейтинге по аудиту ИБ и GRC](/rating/cybersecurity-consulting-grc).