Оценка соответствия ФЗ-152
Приведем бизнес-процессы в соответствие с законом о защите персональных данных, минимизируя риск штрафов и репутационных потерь.
Об услуге
ITG Security проводит комплексную проверку процессов компании и ее IT‑инфраструктуры на соответствие требованиям ФЗ‑152.
По итогам вы получаете понятный экспертный отчет: обнаруженные несоответствия, приоритетный план устранения и практические рекомендации.
Мы сопровождаем внедрение и консультируем по всем вопросам ПДн — чтобы вы минимизировали риск штрафов и сохранили доверие клиентов.
В ходе обследования мы проводим:
- Категорирование и оценку критичности обрабатываемых данных.
- Точное определение мест хранения и обработки ПДн.
- Анализ актуальности и применения внутренней документации.
- Оценку эффективности технических средств защиты против реальных угроз.
Об услуге
ITG Security проводит комплексную проверку процессов компании и ее IT‑инфраструктуры на соответствие требованиям ФЗ‑152.
По итогам вы получаете понятный экспертный отчет: обнаруженные несоответствия, приоритетный план устранения и практические рекомендации.
Мы сопровождаем внедрение и консультируем по всем вопросам ПДн — чтобы вы минимизировали риск штрафов и сохранили доверие клиентов.
В ходе обследования мы проводим:
- Категорирование и оценку критичности обрабатываемых данных.
- Точное определение мест хранения и обработки ПДн.
- Анализ актуальности и применения внутренней документации.
- Оценку эффективности технических средств защиты против реальных угроз.
Почему важно соблюдать ФЗ‑152
Сохранять безопасность граждан России
Утечкой данных ваших клиентов воспользуются мошенники в своих схемах
Избежать штрафов и предписаний регулятора
Несоответствие ведёт к материальным рискам и проверкам.
Сохранить репутацию и доверие клиентов
Клиенты выбирают тех, кто гарантирует безопасность их данных.
Усилить конкурентные позиции
Соответствие ФЗ-152 — аргумент при тендерах, партнерствах и продажах.
Упростить аудиты и доказать соответствие
Готовая документация и регламенты сокращают время на проверки.
Сохранять безопасность граждан России
Утечкой данных ваших клиентов воспользуются мошенники в своих схемах
Избежать штрафов и предписаний регулятора
Несоответствие ведёт к материальным рискам и проверкам.
Сохранить репутацию и доверие клиентов
Клиенты выбирают тех, кто гарантирует безопасность их данных.
Усилить конкурентные позиции
Соответствие ФЗ-152 — аргумент при тендерах, партнерствах и продажах.
Упростить аудиты и доказать соответствие
Готовая документация и регламенты сокращают время на проверки.
Особенности нашей работы
Адаптированные решения
Погружаемся в специфику бизнеса и даём рекомендации, которые реально работают у вас.
Работаем очно и дистанционно
При необходимости выезжаем на площадку, чтобы глубже понять бизнес и выявить реальные риски.
Долгосрочное партнёрство
Становимся доверенным партнером по ИБ, а не разовым подрядчиком.
Смежная экспертиза
Объединяем опыт различных ИБ направлений и ИТ: пентесты, мониторинг инцидентов, внедрение любых СЗИ
Бесшовная интеграция
Юридическое соответствие + регламенты + техническая защита — единый план действий.
Не ограничиваемся отчётом
В рамках отдельной услуги помогаем внедрить изменения до результата.
Адаптированные решения
Погружаемся в специфику бизнеса и даём рекомендации, которые реально работают у вас.
Работаем очно и дистанционно
При необходимости выезжаем на площадку, чтобы глубже понять бизнес и выявить реальные риски.
Долгосрочное партнёрство
Становимся доверенным партнером по ИБ, а не разовым подрядчиком.
Смежная экспертиза
Объединяем опыт различных ИБ направлений и ИТ: пентесты, мониторинг инцидентов, внедрение любых СЗИ
Бесшовная интеграция
Юридическое соответствие + регламенты + техническая защита — единый план действий.
Не ограничиваемся отчётом
В рамках отдельной услуги помогаем внедрить изменения до результата.
Что проверяем
Фактические процессы обработки ПДн
Риск: несоответствие реальных процессов требованиям ФЗ-152, штрафы, предписания регуляторов.
Решение: мы анализируем, как данные собираются, хранятся, передаются и уничтожаются на практике.
Результат: процессы приводятся в полное соответствие закону, внутренние процедуры становятся прозрачными и контролируемыми.
Объёмы, цели и категории ПДн
Риск: хранение и использование данных, не предусмотренных целями обработки, что повышает юридические и репутационные риски.
Решение: проверяем, что компания обрабатывает только необходимые данные, для законных целей и в допустимых объёмах.
Результат: оптимизированные процессы, снижение правовых и репутационных рисков.
Избыточность сбора данных
Риск: хранение ненужной информации повышает ответственность компании и нагрузку на бизнес-приложения.
Решение: выявляем и устраняем лишние процессы сбора ПДн.
Результат: сбор данных становится целевым, управление им проще, а риски проверок меньше.
Маршруты движения ПДн, роли пользователей и права доступа
Риск: несанкционированный доступ, утечки данных, предписания регуляторов.
Решение: проверяем, кто и как получает доступ к персональным данным, анализируем маршруты передачи между отделами и подрядчиками.
Результат: безопасный доступ и прозрачная структура, соответствующая требованиям закона.
Договоры с подрядчиками и поручения на обработку ПДн
Риск: ответственность за нарушения подрядчиков, штрафы и предписания.
Решение: аудит оценивает корректность договоров и поручений, указывает на недостатки.
Результат: минимизация юридических и финансовых рисков, защита компании при проверках регулятора.
Согласия субъектов ПДн и соответствие целей обработки
Риск: жалобы клиентов и сотрудников, штрафы за несоблюдение прав субъектов данных.
Решение: проверяем актуальность и корректность согласий, соответствие фактической обработки заявленным целям.
Результат: законность обработки данных подтверждена, снижается риск претензий со стороны субъектов данных.
Уведомление Роскомнадзора и корректность/актуальность сведений
Риск: штрафы, предписания и блокировки сервисов за некорректные сведения.
Решение: проверяем актуальность уведомлений и сведений в реестрах.
Результат: компания соответствует требованиям регулятора, исключены административные риски.
Информационная инфраструктура, задействованная в обработке ПДн
Риск: угрозы безопасности, утечки данных.
Решение: оцениваем состав и границы ИСПДн, серверы, рабочие места, системы хранения, сетевые сегменты, приложения, базы данных, облачные сервисы и внешние платформы, а также применяемые средства защиты.
Результат: инфраструктура надежно защищена, меры ИБ реально работают, данные обрабатываются безопасно и в соответствии с 152-ФЗ и требованиями ФСТЭК/ФСБ России.
Фактические процессы обработки ПДн
Риск: несоответствие реальных процессов требованиям ФЗ-152, штрафы, предписания регуляторов.
Решение: мы анализируем, как данные собираются, хранятся, передаются и уничтожаются на практике.
Результат: процессы приводятся в полное соответствие закону, внутренние процедуры становятся прозрачными и контролируемыми.
Объёмы, цели и категории ПДн
Риск: хранение и использование данных, не предусмотренных целями обработки, что повышает юридические и репутационные риски.
Решение: проверяем, что компания обрабатывает только необходимые данные, для законных целей и в допустимых объёмах.
Результат: оптимизированные процессы, снижение правовых и репутационных рисков.
Избыточность сбора данных
Риск: хранение ненужной информации повышает ответственность компании и нагрузку на бизнес-приложения.
Решение: выявляем и устраняем лишние процессы сбора ПДн.
Результат: сбор данных становится целевым, управление им проще, а риски проверок меньше.
Маршруты движения ПДн, роли пользователей и права доступа
Риск: несанкционированный доступ, утечки данных, предписания регуляторов.
Решение: проверяем, кто и как получает доступ к персональным данным, анализируем маршруты передачи между отделами и подрядчиками.
Результат: безопасный доступ и прозрачная структура, соответствующая требованиям закона.
Договоры с подрядчиками и поручения на обработку ПДн
Риск: ответственность за нарушения подрядчиков, штрафы и предписания.
Решение: аудит оценивает корректность договоров и поручений, указывает на недостатки.
Результат: минимизация юридических и финансовых рисков, защита компании при проверках регулятора.
Согласия субъектов ПДн и соответствие целей обработки
Риск: жалобы клиентов и сотрудников, штрафы за несоблюдение прав субъектов данных.
Решение: проверяем актуальность и корректность согласий, соответствие фактической обработки заявленным целям.
Результат: законность обработки данных подтверждена, снижается риск претензий со стороны субъектов данных.
Уведомление Роскомнадзора и корректность/актуальность сведений
Риск: штрафы, предписания и блокировки сервисов за некорректные сведения.
Решение: проверяем актуальность уведомлений и сведений в реестрах.
Результат: компания соответствует требованиям регулятора, исключены административные риски.
Информационная инфраструктура, задействованная в обработке ПДн
Риск: угрозы безопасности, утечки данных.
Решение: оцениваем состав и границы ИСПДн, серверы, рабочие места, системы хранения, сетевые сегменты, приложения, базы данных, облачные сервисы и внешние платформы, а также применяемые средства защиты.
Результат: инфраструктура надежно защищена, меры ИБ реально работают, данные обрабатываются безопасно и в соответствии с 152-ФЗ и требованиями ФСТЭК/ФСБ России.
Фактические процессы обработки ПДн
Риск: несоответствие реальных процессов требованиям ФЗ-152, штрафы, предписания регуляторов.
Решение: мы анализируем, как данные собираются, хранятся, передаются и уничтожаются на практике.
Результат: процессы приводятся в полное соответствие закону, внутренние процедуры становятся прозрачными и контролируемыми.
Что будет в отчете
Четкое и понятное резюме
Простые выводы на бизнес-языке. Приоритетный план действий с оценкой бюджета и эффекта.
Список выявленных нарушений и замечаний
Полное описание выявленных несоответствий и нарушений.
Рекомендации по устранению
Четкий план действий с указанием необходимых мер.
Оценка соответствия
Процент соответствия ФЗ-152 и остальных НПА, обеспечивающих регулирование обработки ПДн
Четкое и понятное резюме
Простые выводы на бизнес-языке. Приоритетный план действий с оценкой бюджета и эффекта.
Список выявленных нарушений и замечаний
Полное описание выявленных несоответствий и нарушений.
Рекомендации по устранению
Четкий план действий с указанием необходимых мер.
Оценка соответствия
Процент соответствия ФЗ-152 и остальных НПА, обеспечивающих регулирование обработки ПДн
Нам доверяют
Нормативная база
В проекте мы применяем требования действующих законов и подзаконных актов в сфере персональных данных. Перечень применимых НПА подбирается индивидуально для каждой компании на этапе подготовки с учётом специфики деятельности компании и обработки ПДн.
В работе мы ориентируемся на лучшие практики ИБ и международные стандарты, что обеспечит комплексную защиту данных и соответствие передовым требованиям отрасли.
Федеральный закон № 152
«О персональных данных»: Федеральный закон от 27.07.2006 регулирует принципы сбора, хранения, передачи и уничтожения ПДн, требует согласия субъекта, назначает операторов ответственными за защиту и определяет уровни ответственности за нарушения.
Постановления Правительства РФ № 1119, № 687, № 211, № 1154
Постановления Правительства РФ № 1119, № 687, № 211 и № 1154 конкретизируют применение 152-ФЗ:
- № 1119 классифицирует информационные системы ПДн (ИСПДн) по 4 уровням защищенности с учетом угроз и объемов данных;
- № 687 регулирует неавтоматизированную обработку (бумажные носители) с мерами контроля доступа;
- № 211 обязывает госорганы назначать ответственных, вести реестры ПДн, уведомлять Роскомнадзор и ограничивать доступ;
- № 1154 устанавливает методы обезличивания (агрегация, замена данных) для обучения ИИ-моделей.
Приказ ФСТЭК России № 21
Устанавливает состав и содержание мер по техзащите ПДн в ИСПДн, включая идентификацию, антивирусную защиту и аудит.
Приказы ФСБ России № 378 и № 117
Устанавливают меры криптографической защиты информации в ИСПДн: № 378 регулирует организационные и технические меры с использованием криптографии для ПДн, № 117 — обязательное шифрование для гостайны и сведений ограниченного доступа.
Приказ Роскомнадзора № 140
От 19.06.2025 (действует с 01.09.2025) утверждает требования и методы обезличивания ПДн: замена, агрегация, псевдонимизация для исключения идентификации субъекта.
Трудовой кодекс Российской Федерации
Глава 14 обязывает работодателей получать ПДн работников только с согласия, обеспечивать их конфиденциальность, ограничивать доступ и сообщать о целях обработки, запрещая ненужные запросы вроде данных о здоровье.
Указ Президента РФ № 609
От 30.05.2005 вводит положение о ПДн госгражданских служащих: порядок ведения личных дел, запрет автоматизированных решений на основе ПДн и меры защиты от утечек.
Федеральный закон № 572-ФЗ
Закон от 29.12.2022 вводит правила биометрической идентификации через Единую биометрическую систему (ЕБС), устанавливает требования к обработке биометрических ПДн и их интеграции в цифровые сервисы.
Федеральный закон № 152
«О персональных данных»: Федеральный закон от 27.07.2006 регулирует принципы сбора, хранения, передачи и уничтожения ПДн, требует согласия субъекта, назначает операторов ответственными за защиту и определяет уровни ответственности за нарушения.
Постановления Правительства РФ № 1119, № 687, № 211, № 1154
Постановления Правительства РФ № 1119, № 687, № 211 и № 1154 конкретизируют применение 152-ФЗ:
- № 1119 классифицирует информационные системы ПДн (ИСПДн) по 4 уровням защищенности с учетом угроз и объемов данных;
- № 687 регулирует неавтоматизированную обработку (бумажные носители) с мерами контроля доступа;
- № 211 обязывает госорганы назначать ответственных, вести реестры ПДн, уведомлять Роскомнадзор и ограничивать доступ;
- № 1154 устанавливает методы обезличивания (агрегация, замена данных) для обучения ИИ-моделей.
Приказ ФСТЭК России № 21
Устанавливает состав и содержание мер по техзащите ПДн в ИСПДн, включая идентификацию, антивирусную защиту и аудит.
Приказы ФСБ России № 378 и № 117
Устанавливают меры криптографической защиты информации в ИСПДн: № 378 регулирует организационные и технические меры с использованием криптографии для ПДн, № 117 — обязательное шифрование для гостайны и сведений ограниченного доступа.
Приказ Роскомнадзора № 140
От 19.06.2025 (действует с 01.09.2025) утверждает требования и методы обезличивания ПДн: замена, агрегация, псевдонимизация для исключения идентификации субъекта.
Трудовой кодекс Российской Федерации
Глава 14 обязывает работодателей получать ПДн работников только с согласия, обеспечивать их конфиденциальность, ограничивать доступ и сообщать о целях обработки, запрещая ненужные запросы вроде данных о здоровье.
Указ Президента РФ № 609
От 30.05.2005 вводит положение о ПДн госгражданских служащих: порядок ведения личных дел, запрет автоматизированных решений на основе ПДн и меры защиты от утечек.
Федеральный закон № 572-ФЗ
Закон от 29.12.2022 вводит правила биометрической идентификации через Единую биометрическую систему (ЕБС), устанавливает требования к обработке биометрических ПДн и их интеграции в цифровые сервисы.
Федеральный закон № 152
«О персональных данных»: Федеральный закон от 27.07.2006 регулирует принципы сбора, хранения, передачи и уничтожения ПДн, требует согласия субъекта, назначает операторов ответственными за защиту и определяет уровни ответственности за нарушения.
ITG Security - это
Всё в одном окне
Полный спектр услуг — от аудитов и пентестов до круглосуточного мониторинга и интеграции решений
Партнёрство и сопровождение
Мы внимательно слушаем, объясняем сложное простым языком и сопровождаем вас на каждом этапе
Разультативность, а не формальности
Обеспечиваем практическую защиту бизнеса, давая измеримые результаты, а не только отчёты
Прозрачность и надёжность
Работаем открыто, честно и быстро решаем возникающие вопросы, обеспечивая стабильное сотрудничество
Индивидуальный подход
Решения максимально адаптированы к специфике и культуре вашего бизнеса, без шаблонов
Всё в одном окне
Полный спектр услуг — от аудитов и пентестов до круглосуточного мониторинга и интеграции решений
Партнёрство и сопровождение
Мы внимательно слушаем, объясняем сложное простым языком и сопровождаем вас на каждом этапе
Разультативность, а не формальности
Обеспечиваем практическую защиту бизнеса, давая измеримые результаты, а не только отчёты
Прозрачность и надёжность
Работаем открыто, честно и быстро решаем возникающие вопросы, обеспечивая стабильное сотрудничество
Индивидуальный подход
Решения максимально адаптированы к специфике и культуре вашего бизнеса, без шаблонов
Лицензии
Лицензия ФСБ РФ
Лицензия ФСБ на разработку, производство и распространение криптографических средств, защищённых ИС и телекоммуникационных систем.
Виды работ по ч. 2 ст. 12 ФЗ «О лицензировании отдельных видов деятельности»: пп. 12, 13, 14, 20–26.
Лицензия ФСТЭК РФ
Лицензия ФСТЭК на техническую защиту конфиденциальной информации позволяет ITG Security оказывать услуги по:
- контролю защищённости от НСД и модификации в системах информатизации;
- проектированию защищённых средств, систем и помещений;
- установке, монтажу, испытаниям и ремонту СЗИ;
- разработке П(ПТ)СЗИ, защищённых средств обработки и контроля защищённости.
- услуги по мониторингу информационной безопасности средств и систем информатизации;
Лицензия ФСБ РФ
Лицензия ФСБ на разработку, производство и распространение криптографических средств, защищённых ИС и телекоммуникационных систем.
Виды работ по ч. 2 ст. 12 ФЗ «О лицензировании отдельных видов деятельности»: пп. 12, 13, 14, 20–26.
Лицензия ФСТЭК РФ
Лицензия ФСТЭК на техническую защиту конфиденциальной информации позволяет ITG Security оказывать услуги по:
- контролю защищённости от НСД и модификации в системах информатизации;
- проектированию защищённых средств, систем и помещений;
- установке, монтажу, испытаниям и ремонту СЗИ;
- разработке П(ПТ)СЗИ, защищённых средств обработки и контроля защищённости.
- услуги по мониторингу информационной безопасности средств и систем информатизации;
Лицензия ФСБ РФ
Лицензия ФСБ на разработку, производство и распространение криптографических средств, защищённых ИС и телекоммуникационных систем.
Виды работ по ч. 2 ст. 12 ФЗ «О лицензировании отдельных видов деятельности»: пп. 12, 13, 14, 20–26.
Часто задаваемые вопросы
В чем суть проверки соответствия 152-ФЗ?
Это всесторонняя оценка процессов работы с персональными данными и системы их защиты. Специалисты проверяют достаточность защитных мер, правильность оформления документации, адекватность модели угроз, использование ТСЗИ и соблюдение законодательных норм РФ.
Какую пользу приносит проверка системы защиты ПДн?
Проверка помогает обнаружить недочеты в защите данных, минимизировать риски при инспекциях со стороны Роскомнадзора, ФСТЭК и ФСБ, подтвердить правомерность обработки информации в ИС, а также гарантировать исполнение норм 152-ФЗ и Постановления №1119.
Какие законодательные нормы регулируют защиту ПДн?
Основной нормативный акт — Федеральный закон №152-ФЗ «О персональных данных», который устанавливает обработки и защиты персональных данных. Эти требования уточняются и конкретизируются приказами и методическими рекомендациями ФСТЭК России и ФСБ России, регулирующими информационную безопасность и защиту информации в информационных системах.
Из чего состоит комплекс защиты персональных данных?
Комплекс защиты персональных данных включает организационные меры — политики безопасности, регламенты и должностные инструкции, а также технические средства защиты информации. Наши специалисты разрабатывают рекомендации, учитывающие требования контролирующих органов и специфику вашей компании.
Какие санкции грозят за несоблюдение законодательства?
Административные санкции закреплены в статье 13.11 КоАП РФ. За первоначальную утечку ПДн размер штрафа может составить до 20 миллионов рублей. Контроль ведут Роскомнадзор, ФСТЭК России и ФСБ России.
Кто обязан внедрять систему защиты ПДн?
Система необходима всем организациям, работающим с персональными данными. Особенно критична для финансовой сферы, розничной торговли, IT-компаний, медицинских и образовательных учреждений.
Какие первые шаги к соответствию 152-ФЗ?
Рекомендуется стартовать с комплексной оценки текущего состояния дел. Эксперты помогают определить проблемные зоны и создать поэтапный план по приведению процессов в соответствие с нормами 152-ФЗ.
Какие выгоды получает бизнес от выполнения требований закона?
Помимо соблюдения законодательства, компания получает надежную защиту от инцидентов с утечкой данных, улучшение деловой репутации и повышение уровня доверия со стороны клиентов.
С какой периодичностью следует проверять систему защиты?
На регулярной основе, при модификации процессов работы с данными или изменении законодательных требований. Оптимально проводить проверку системы ежегодно.
Способна ли проверка уменьшить размер санкций?
Да, безусловно. Своевременная проверка минимизирует риск нарушений законодательства о ПДн, показывает добросовестность оператора и способна значительно снизить сумму штрафа при проверках контролирующих органов.
