Подготовка к проверке регулятора: рабочий чек-лист по 152-ФЗ и 187-ФЗ для среднего бизнеса
Как реально подготовиться к плановой и внеплановой проверке Роскомнадзора и ФСТЭК, не превращая компанию в бюрократический ад. Конкретные документы, типовые ошибки, сроки выполнения работ и оценка стоимости.
Подготовка к проверке Роскомнадзора занимает минимум три месяца. Полный комплект документов оператора персональных данных, актуальное уведомление в РКН, рабочая процедура реагирования с уведомлением за 24 часа. Для субъектов КИИ дополнительно нужно категорирование объектов, создание системы безопасности значимого объекта и подключение к ГосСОПКА. Штрафы по 152-ФЗ в 2026 году доходят до 18 миллионов рублей за повторные нарушения.
Зачем нужен этот чек-лист
В 2026 году количество проверок Роскомнадзора по соблюдению 152-ФЗ выросло почти в полтора раза по сравнению с 2024-м. Аналогичная тенденция касается проверок ФСТЭК у субъектов критической информационной инфраструктуры. Штрафы за нарушения по 152-ФЗ для юридических лиц теперь доходят до восемнадцати миллионов рублей за повторные нарушения с массовой утечкой персональных данных, а за систематические нарушения требований по защите КИИ возможны санкции вплоть до приостановки деятельности.
При этом большинство средних компаний попадают в ситуацию подготовки к проверке за две-три недели до её начала. Так не работает. Этот чек-лист собран из реальной практики проектов и описывает, что и в каком порядке делать, чтобы пройти проверку с первого захода без штрафов и аврала.
Часть первая: 152-ФЗ и подготовка к Роскомнадзору
Что проверяют в первую очередь
Инспекторы Роскомнадзора смотрят на семь блоков, и здесь важно понимать порядок их интереса. Первое — наличие и корректность уведомления об обработке персональных данных. Второе — состав документов оператора. Третье — фактические процессы обработки и их соответствие декларации. Четвёртое — правовые основания обработки для каждой категории данных. Пятое — процедуры реагирования на запросы субъектов и инциденты. Шестое — обеспечение защиты данных, включая уровень защищённости. Седьмое — взаимодействие с обработчиками и трансграничная передача.
В этом списке интересна последовательность. Если у вас нет уведомления или оно подано некорректно, дальше можно не смотреть, штраф вы получите автоматически. Если уведомление в порядке, дальше идёт документация. Дальше технические меры защиты. Парадокс в том, что технические меры обычно самое дорогое и сложное, но проверяющий может до них вообще не дойти, если у вас провалятся первые два блока.
Документы, которые должны быть в актуальном виде
Минимальный комплект документов оператора персональных данных для среднего бизнеса включает следующие позиции, и каждая должна быть подписана с актуальной датой. Политика обработки персональных данных, опубликованная в открытом доступе. Положение об обработке персональных данных для внутреннего использования. Перечень информационных систем персональных данных с актуальным составом и классификацией. Перечень обрабатываемых персональных данных с разбивкой по категориям и целям обработки. Перечень должностей с доступом к персональным данным, утверждённый приказом. Журнал учёта согласий субъектов, с возможностью предоставить любое согласие по запросу. Согласия на обработку в разрезанных формах для разных категорий: сотрудники, клиенты, контрагенты, посетители сайта. Соглашения с обработчиками с указанием конкретных условий обработки и мер защиты. Модели угроз и нарушителя для каждой ИСПДн. Акты определения уровня защищённости ИСПДн. Регламенты реагирования на инциденты и обращения субъектов.
Это минимум. Если вы работаете со специальными категориями данных, биометрией или трансграничной передачей, добавляются дополнительные документы. Регулярно встречаем ситуации, когда у компании половина документов из списка, при этом оставшаяся половина либо устарела на два года, либо была подписана прежним директором. Это автоматический штраф при первой же выборочной проверке.
Уведомление в Роскомнадзор: тонкости 2026 года
С первого июля 2025 года действует обновлённый формат уведомления об обработке персональных данных, в котором появились новые поля по обоснованию категорий обрабатываемых данных и перечню ИСПДн. Если ваше уведомление подано до этой даты и с тех пор не обновлялось, оно с большой вероятностью является неактуальным. Проверьте через личный кабинет Роскомнадзора текущий статус и состав информации.
Подавать уведомление нужно перед началом обработки, и в случае любого изменения существенных параметров обработки нужно подать уведомление о внесении изменений в течение пятнадцати рабочих дней. Самые частые ошибки здесь касаются изменения адреса юридического лица, расширения целей обработки, добавления новой ИСПДн и смены ответственного за организацию обработки. Все эти изменения обязаны попадать в Роскомнадзор.
Реагирование на инциденты с персональными данными
С 2022 года вступили в силу требования о уведомлении Роскомнадзора об инцидентах с персональными данными. С 2023-го появилось требование о взаимодействии с ФСБ через ГосСОПКА для определённых категорий инцидентов. У вас должен быть документ, описывающий процедуру реагирования, контакты ответственных лиц и формат уведомлений.
Срок уведомления Роскомнадзора об инциденте, повлёкшем неправомерную или случайную передачу третьим лицам персональных данных, составляет двадцать четыре часа с момента обнаружения. Это очень жёсткий срок, и в момент реального инцидента компании в стрессе часто тратят первые двенадцать часов на внутренние согласования, после чего отправляют уведомление с опозданием. Подготовленный шаблон и понятная цепочка эскалации сокращают это время до двух-трёх часов.
Запросы субъектов и срок ответа
По 152-ФЗ вы обязаны ответить на запрос субъекта о его персональных данных в течение десяти рабочих дней. Это включает запросы об уточнении данных, о прекращении обработки, об удалении данных, о предоставлении информации о категориях обрабатываемых данных. У вас должна быть рабочая процедура, описывающая, как такой запрос регистрируется, кто на него отвечает, какие проверки проводятся для подтверждения личности субъекта и в каком формате готовится ответ.
В нашей практике мы видим, что компании часто проваливают именно это требование. Запрос приходит на общую почту, теряется в потоке, либо его получает человек без полномочий принимать решения, и срок ответа уходит. Тестовый запрос от инспектора Роскомнадзора это распространённая практика проверок, и провал здесь даёт штраф независимо от того, как у вас всё остальное.
Технические меры защиты ИСПДн
Уровень защищённости ИСПДн определяет состав технических мер, которые вы обязаны реализовать. Для большинства средних компаний это уровень УЗ-3 или УЗ-4, реже УЗ-2. Разные уровни требуют разного состава средств защиты, причём для каждой меры из 21-го приказа ФСТЭК нужно показать, чем она реализована и каким сертифицированным средством или документально оформленной процедурой.
Здесь часто возникает соблазн приобрести коробочное решение, которое декларирует соответствие всему. На практике коробочные решения закрывают около шестидесяти процентов требований из приказа. Остальные сорок процентов это организационные меры, которые нужно описать в регламентах, обучить сотрудников и фактически выполнять. Без этой документации проверяющий легко увидит несоответствие, потому что в журналах не будет записей о выполнении предписанных процедур.
Часть вторая: 187-ФЗ и подготовка к ФСТЭК
Кто является субъектом КИИ в 2026 году
Закон относит к субъектам критической информационной инфраструктуры широкий круг организаций, включая банки и финансовые организации, операторов связи, организации здравоохранения, транспортные компании, энергетические и оборонно-промышленные предприятия, ряд государственных учреждений. С 2024 года перечень был дополнительно уточнён, и многие организации, которые раньше относили себя к необязательной категории, теперь являются субъектами КИИ.
Если вы не уверены, является ли ваша организация субъектом КИИ, первым шагом нужно провести анализ принадлежности к критическим сферам деятельности по перечню из ФЗ. Этот анализ оформляется протоколом и прилагается к комплекту документов. Без такого протокола в случае проверки вам автоматически вменяют невыполнение требований к субъектам КИИ независимо от фактической принадлежности.
Категорирование объектов
Если организация подтверждена субъектом КИИ, дальше нужно категорировать объекты КИИ. Категория определяет уровень требуемой защиты. Категорий три, плюс категория "без значимости", к которой относятся объекты, не подпадающие ни под одну из трёх. Процедура категорирования формализована, и в ней есть ряд тонкостей, на которых регулярно спотыкаются.
Перечень потенциальных объектов КИИ должен быть утверждён руководителем. Решение о категории принимается комиссией с составом, описанным в законе. Документы категорирования подаются в ФСТЭК через 10-дневный срок после утверждения. Любое изменение в инфраструктуре, влияющее на категорию, требует пересмотра. Категорирование устаревает быстро, и в наших проектах мы регулярно сталкиваемся с тем, что у клиента документы трёхлетней давности на инфраструктуру, которая с тех пор существенно изменилась.
Создание системы безопасности значимого объекта
Если ваш объект имеет значимую категорию, требования к созданию системы безопасности существенно возрастают. Нужно разработать модель угроз с учётом возможностей нарушителей разного уровня. Спроектировать систему защиты с конкретным составом средств. Внедрить эти средства. Провести испытания и аттестовать объект на соответствие требованиям. Получить заключение ФСТЭК, которое подтверждает легитимность системы.
Полный цикл создания системы безопасности значимого объекта обычно занимает от шести до двенадцати месяцев и стоит от пятнадцати до сорока миллионов рублей в зависимости от размера инфраструктуры и уровня категории. Это серьёзная инвестиция, и её планирование должно начинаться задолго до того, как ФСТЭК начинает интересоваться состоянием дел.
Подключение к ГосСОПКА
С 2023 года для значимых объектов КИИ обязательно взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак. Это означает заключение соглашения с НКЦКИ (Национальным координационным центром по компьютерным инцидентам), настройку обмена информацией о компьютерных инцидентах и выполнение указаний центра в части предотвращения атак.
В контексте подготовки к проверке у вас должно быть соглашение, технически работающий канал передачи информации, журнал отправленных уведомлений и подтверждённый порядок действий при получении указаний от НКЦКИ. Отсутствие любого из этих элементов это автоматическое замечание при проверке.
Часть третья: универсальный чек-лист подготовки
Независимо от того, готовитесь ли вы к проверке Роскомнадзора, ФСТЭК или внутренней проверке заказчика, есть универсальная последовательность действий, которая существенно снижает риски.
За три месяца до проверки
В этот период проводится внутренний аудит готовности. Нужно сравнить состояние документов, технических мер и процессов с актуальными требованиями. По результатам формируется план устранения замечаний с ответственными и сроками. На этом этапе обычно обнаруживается, что половина документов устарела, часть процессов выполняется с отклонениями, а технических мер не хватает по ряду позиций. Три месяца это минимальный срок, чтобы успеть это всё привести в порядок.
За месяц до проверки
К этому моменту все документы должны быть актуализированы и подписаны. Все технические меры должны быть реализованы и проверены на работоспособность. Все процессы должны быть выполнены за последние периоды и иметь подтверждающие записи в журналах. Сотрудники, которые могут общаться с проверяющим, должны быть проинструктированы о структуре документов и местонахождении ключевой информации. Должны быть готовы шаблоны ответов на типовые запросы.
За неделю до проверки
Проводится финальная репетиция. Внутренний аудит по чек-листам проверяющего органа в максимально близких к реальной проверке условиях. Тестовые запросы документов, тестовые опросы сотрудников, проверка предоставления электронных журналов и записей. На этом этапе ещё можно успеть закрыть последние мелочи, например подписать пару документов с просроченной датой утверждения.
В день проверки
Заранее назначенный сотрудник встречает проверяющих, проверяет полномочия, фиксирует время начала проверки. Все запросы документов фиксируются в журнале. На любые сложные вопросы отвечает только человек с компетенцией и полномочиями, остальные не комментируют. По итогам составляется акт, и вы фиксируете замечания с указанием своей позиции по каждому пункту. Любое выявленное замечание лучше зафиксировать с пояснением, чем оставить без комментария.
Что мы регулярно видим в проектах подготовки к проверкам
Главная проблема почти всех средних компаний это разрыв между декларацией и фактом. Документы написаны, политики опубликованы, согласия собраны. На практике процессы выполняются иначе. Сотрудники не знают про политику, согласия лежат в незащищённых хранилищах, регистрация инцидентов ведётся в свободном формате. Этот разрыв проверяющий находит за час и фиксирует штраф.
Вторая частая проблема это недооценка сроков. Подготовка к серьёзной проверке за две недели реальна только если у вас уже есть актуальная документация и работающие процессы, а нужно только пройти финальную сверку. Если документы устарели или их вообще нет, две недели это явно мало, и попытка ускорить превращается в формальные документы, которые не выдерживают проверки фактического исполнения.
Третья проблема это отсутствие ответственного с полномочиями. В компаниях часто нет должности оператора персональных данных или ответственного за КИИ с реальными правами принимать решения. Эту функцию формально назначают на ИТ-директора или юриста, но без выделенного ресурса и полномочий. В момент проверки выясняется, что ответственный не знает деталей, не имеет доступа к нужным документам и не может оперативно решать вопросы.
Четвёртая проблема это игнорирование процессов взаимодействия с обработчиками. Если вы передаёте персональные данные подрядчику или используете облачный сервис, у вас должно быть соглашение, описывающее обязательства по защите. Часто компании передают данные в условные облачные сервисы по обычному пользовательскому соглашению, что технически нарушает закон. Регулятор проверяет соглашения с обработчиками одним из первых пунктов.
Стоимость и сроки приведения в соответствие
Для среднего бизнеса с одной-двумя ИСПДн и без статуса субъекта КИИ полная подготовка к проверке Роскомнадзора, включающая аудит, разработку и актуализацию документов, внедрение организационных мер и техническую часть на уровне УЗ-3 или УЗ-4, обычно занимает от двух до четырёх месяцев и стоит ориентировочно от полутора до четырёх миллионов рублей в зависимости от исходного состояния и размера инфраструктуры.
Для субъекта КИИ с одним значимым объектом средней категории полный цикл создания системы безопасности занимает от шести до двенадцати месяцев и стоит ориентировочно от пятнадцати до сорока миллионов рублей. Эти цифры являются практическими ориентирами для планирования бюджета.
Если у компании уже есть базовая документация и нужна только её актуализация, цикл сокращается до одного-двух месяцев и до пятисот тысяч рублей. Самый дорогой вариант это запуск с нуля под жёсткий срок, потому что ускорение в этой сфере физически означает параллельную работу нескольких специалистов и плотный график согласований с заказчиком.
Что делать прямо сейчас
Если вы не уверены в текущем состоянии готовности, имеет смысл начать с бесплатного экспресс-аудита. За несколько дней мы проверим состояние документов, наличие ключевых процессов, степень соответствия техническим требованиям и составим реалистичную оценку времени и стоимости приведения в порядок. Это обычная диагностика, а не попытка продать вам полный комплекс работ. После такого аудита вы получите чёткое понимание, что критично сделать в ближайший месяц, а что можно оставить на следующий квартал.
Главное, что мы советуем не делать, это откладывать диагностику до момента получения уведомления о проверке. В этот момент уже поздно проводить нормальный аудит и закрывать замечания, остаётся только спасать ситуацию ускоренным режимом. Подготовка заранее всегда дешевле и спокойнее.
