Внутренний аудит перед проверкой Роскомнадзора: чек‑лист и подготовка документов по персональным данным

Внутренний аудит перед проверкой Роскомнадзора - важный этап подготовки любой организации, обрабатывающей персональные данные (ПДн). Его цель - выявить и устранить нарушения до прихода инспекторов.

Несоблюдение требований Федерального закона №152‑ФЗ «О персональных данных» грозит компании штрафами:

• для должностных лиц — от 10000 до 20000руб.;
• для юридических лиц — от 60000 до 100000руб. (ст.13.11 КоАПРФ).

Подготовка к проверке Роскомнадзора позволяет:

• оценить соответствие процессов обработки ПДн законодательству;
• проверить актуальность и полноту документов;
• убедиться в эффективности технических и организационных мер защиты;
• обучить сотрудников правилам работы с персональными данными;
• минимизировать риски штрафов и предписаний.

Проведя внутренний аудит, компания получает чёткое понимание текущего состояния защиты ПДн и план действий по устранению недостатков.

Что проверяет Роскомнадзор?

Роскомнадзор проводит разные виды проверок:

• плановые - по утверждённому графику (не чаще одного раза в три года);
• внеплановые - при наличии жалоб, инцидентов или по поручению вышестоящих органов;
• документарные - изучение предоставленных организацией документов;
• выездные - осмотр помещений, проверка оборудования и рабочих мест.

Внутренний аудит перед проверкой Роскомнадзора включает проверку:

1. Документы по обработке ПДн: Документы, связанные с обработкой персональных данных (ПДн), играют ключевую роль в соблюдении требований законодательства и обеспечении защиты информации. Они регламентируют процессы работы с данными, распределяют обязанности и фиксируют важные события.
2. Политика обработки персональных данных-это публичный документ, который определяет принципы, цели, категории обрабатываемых данных, права субъектов и порядок работы с информацией. Она обязательна для всех операторов, которые собирают и обрабатывают персональные данные.

3. Согласия субъектов на обработку данных - отдельные документы, которые субъект (физическое лицо) подписывает добровольно. В согласии должны быть чётко указаны данные субъекта и оператора, конкретная цель обработки (например, «для направления информационных сообщений об услугах»), перечень передаваемых данных (ФИО, телефон, e-mail и т.д.), перечень действий с данными (сбор, хранение, использование и т.д.), срок действия согласия, порядок и способ его отзыва, а также подпись субъекта. С 2025года запрещено включать согласие в состав других документов—оно должно оформляться отдельно. Отдельное согласие требуется для распространения данных (публикации в открытом доступе) и передачи третьим лицам.

4. Приказы о назначении ответственных лиц издаются для регламентации работы с персональными данными внутри организации. В таком приказе назначается сотрудник, который будет отвечать за организацию обработки ПДн, обеспечение их безопасности, контроль соблюдения законодательства и взаимодействие с Роскомнадзором.
5. Журналы учёта доступа к ПДн используются для контроля работы с данными. Это не обязательный документ по закону, но его ведение может быть закреплено локальным нормативным актом организации. В журнале фиксируются случаи доступа к персональным данным, передача информации третьим лицам, получение согласий и другие операции.Договоры с подрядчиками, которым передаются данные, должны содержать специальные условия, регулирующие обработку ПДн. Передача данных третьему лицу требует не только согласия субъекта, но и заключения договора—поручения на обработку персональных данных.
6. Внутренний аудит перед проверкой Роскомнадзора включает технические меры защиты персональных данных.

Меры защиты персональных данных

Средства шифрования и антивирусной защиты составляют базовый уровень технической безопасности. Шифрование применяется как при хранении данных (на жёстких дисках, съёмных носителях), так и при их передаче через открытые каналы связи - по электронной почте или через VPN‑соединения.

Для соответствия требованиям российского законодательства используются сертифицированные средства криптографической защиты информации (СКЗИ), такие как КриптоПро CSP или КриптоАРМ ГОСТ 3. Антивирусное программное обеспечение (например, Kaspersky Endpoint Security или Dr.Web Security Space) защищает рабочие станции и серверы от вредоносных программ — вирусов, троянов, шифровальщиков.

Разграничение прав доступа к базам данных гарантирует, что сотрудники получают доступ только к той информации, которая необходима им для выполнения должностных обязанностей.

Резервное копирование и восстановление данных - критически важная мера для обеспечения непрерывности бизнес‑процессов. Регулярное создание копий информации на отдельных носителях или в облачных хранилищах позволяет восстановить данные в случае технических сбоев, случайного удаления, атак вредоносного ПО или других инцидентов. Процедуры восстановления должны быть чётко прописаны и протестированы: это гарантирует быстрое возвращение системы к работоспособному состоянию с минимальными потерями информации.

Защита от несанкционированного доступа и утечек реализуется с помощью многоуровневой системы средств безопасности. Межсетевые экраны ( UserGate или Ideco Hardware Firewall) фильтруют сетевой трафик и блокируют подозрительные подключения извне. Системы обнаружения и предотвращения вторжений (IDS/IPS, такие как RuSIEM или Infowatch Traffic Monitor) анализируют активность в реальном времени и пресекают попытки атак до того, как они достигнут целевых систем. Для контроля каналов передачи данных (электронная почта, мессенджеры, съёмные носители) применяются DLP‑системы (Data Loss Prevention), которые автоматически блокируют отправку конфиденциальной информации за пределы корпоративной сети. Централизованный сбор и анализ событий безопасности обеспечивают SIEM‑системы (Security Information and Event Management), позволяющие оперативно выявлять сложные угрозы и расследовать инциденты.

Все используемые технические средства защиты должны быть сертифицированы ФСТЭК или ФСБ России - самодельные или несертифицированные решения не соответствуют требованиям законодательства.

Организационные меры:

• обучение сотрудников правилам работы с ПДн;
• регламенты обработки и хранения данных;
• порядок реагирования на инциденты (утечки, попытки взлома).

Основанием для проверки служит 152‑ФЗ и приказы Роскомнадзора, устанавливающие требования к защите персональных данных.

Чек‑лист внутреннего аудита: подготовка к проверке Роскомнадзора.

1. Проверка документов

Убедитесь, что у вас есть:

• политика обработки ПДн - документ, описывающий цели, способы и сроки обработки данных;
• согласия субъектов - письменные или электронные согласия на обработку ПДн (должны содержать все обязательные реквизиты);
• приказы о назначении ответственных - документы, определяющие сотрудников, отвечающих за обработку и защиту ПДн;
• журналы учёта - записи о доступе к данным, их передаче и уничтожении;
• договоры с подрядчиками - соглашения с организациями, которым передаются ПДн (например, облачные сервисы, аутсорсинг).

2. Аудит технических мер

Проверьте:

• разграничение доступа -у каждого сотрудника должны быть только те права, которые необходимы для работы;
• шифрование - данные при передаче и хранении должны быть зашифрованы;
• резервное копирование - наличие регулярных бэкапов и плана восстановления данных;
• антивирусная защита - установленные и обновляемые антивирусные программы;

• защита от утечек - системы DLP (Data Loss Prevention) для предотвращения несанкционированной передачи данных.

3. Проверка организационных мер

Оцените:

• обучение сотрудников - проведены ли инструктажи и тренинги по работе с ПДн;
• регламенты работы с данными -есть ли внутренние документы, описывающие порядок обработки, хранения и уничтожения ПДн;
• порядок реагирования на инциденты - утверждён ли алгоритм действий при утечке данных или попытке взлома.

4. Реестр обработки ПДн

Убедитесь, что реестр:

• содержит актуальные сведения о категориях обрабатываемых данных;
• соответствует целям обработки, указанным в политике;
• включает информацию о сроках хранения и способах уничтожения данных.

Типичные ошибки и как их избежать

Распространённые нарушения:

• шаблонные документы - использование типовых политик и согласий без адаптации под специфику компании;
• отсутствие обучения сотрудников - персонал не знает правил работы с ПДн, что повышает риск утечек;
• неучтённые передачи данных - передача ПДн подрядчикам без договоров и соглашений;
• устаревшие регламенты - документы не актуализированы после изменений в законодательстве;
• слабая техническая защита - отсутствие шифрования, резервного копирования или антивирусной защиты.

Как исправить:

• пересмотрите и доработайте документы с учётом специфики вашей организации;
• проведите обучение сотрудников по работе с ПДн (минимум раз в год);
• заключите договоры с подрядчиками, если передаёте им данные;
• актуализируйте регламенты и политику обработки ПДн;
• внедрите современные технические средства защиты данных.

Что делать после аудита?

После завершения внутреннего аудита:

1. Составьте отчёт.
2. Разработайте план корректирующих мер.
3. Контролируйте исполнение.
4. Проведите повторную проверку.

Регулярный аудит (раз в полгода или перед плановой проверкой) поможет поддерживать процессы обработки ПДн в соответствии с требованиями законодательства.

Внутренний аудит перед проверкой Роскомнадзора - не просто формальность, а важный инструмент защиты бизнеса.
Не ждите плановой проверки - проведите аудит сейчас, чтобы быть уверенным в соблюдении требований 152‑ФЗ и готовности к визиту Роскомнадзора.