Главная / Блог / Аудит информационной безопасности по 152-ФЗ: чек-лист для организации

Аудит информационной безопасности по 152-ФЗ: чек-лист для организации

В 2025 году требования к защите информации (ИБ) ужесточились. Штрафы за утечки персональных данных выросли в разы, а проверки регуляторов стали нормой. Главный документ, регулирующий эту сферу — Федеральный закон №152-ФЗ “О персональных данных”.

Как понять, соответствует ли ваша организация требованиям закона? Нужно провести внутренний аудит ИБ.

Этап 1: Инвентаризация данных

Вы не можете защитить то, о чем не знаете. Составьте список всех информационных систем (ИС), где хранятся:

  • ФИО сотрудников и клиентов
  • Паспортные данные
  • Медицинские сведения
  • Биометрия

Каждую систему нужно классифицировать (определить уровень защищенности — УЗ).

Этап 2: Проверка документации

Регуляторы проверяют не только “железо”, но и бумаги. У вас должен быть Организационно-распорядительный комплект документов (ОРД):

  1. Политика обработки персональных данных (должна быть опубликована на сайте!).
  2. Модель угроз безопасности (согласованная с ФСТЭК/ФСБ, если требуется).
  3. Акты классификации ИСПДн.
  4. Журналы учета машинных носителей.

Этап 3: Технические средства защиты (СЗИ)

Для соответствия требованиям 152-ФЗ и приказу ФСТЭК №21, необходимо использовать сертифицированные СЗИ.

Базовый набор защиты:

  1. Защита от НСД (несанкционированного доступа): Dallas Lock, Secret Net Studio.
  2. Антивирус: Kaspersky Endpoint Security (сертифицированный ФСТЭК).
  3. Межсетевой экран: UserGate, InfoWatch.
  4. Средство криптозащиты: КриптоПро CSP (если данные передаются по открытым каналам).

Важно: Просто купить СЗИ недостаточно. Они должны быть корректно настроены, а администраторы — обучены.

Чек-лист готовности к проверке

✅ На сайте опубликована “Политика конфиденциальности”
✅ Все сотрудники подписали “Обязательство о неразглашении”
✅ Составлена и утверждена “Модель угроз”
✅ на всех АРМ установлены сертифицированные антивирусы
✅ Ведется журнал учета инцидентов ИБ
✅ Серверы находятся в охраняемом помещении (контроль физ. доступа)

Риски игнорирования

  • Штрафы: До 18 млн рублей за повторное нарушение (оборотные штрафы).
  • Блокировка: Роскомнадзор может остановить обработку данных (фактически остановить работу компании).
  • Репутация: Утечка данных — это потеря доверия клиентов.

Нужна помощь с аудитом?

Core Soft проводит комплексный аудит ИБ и подготовку к аттестации. Мы помогаем:

  • Разработать полный пакет документов.
  • Подобрать и внедрить СЗИ.
  • Пройти проверку регулятора без штрафов.

Узнайте больше на странице Информационная безопасность.