Аудит процессов обработки персональных данных (152-ФЗ) на объектах КИИ

На объектах критической информационной инфраструктуры до 80% информационных систем одновременно являются ИСПДн — и подпадают под двойное регулирование: 152-ФЗ и 187-ФЗ. С 30 мая 2025 года штрафы за утечку персональных данных выросли до оборотных — до 3% годовой выручки. Аудит процессов обработки ПДн на КИИ позволяет закрыть требования обоих законов и избежать кумулятивных санкций от ФСТЭК и Роскомнадзора.

Аттестация ИСПДн на объектах КИИ: порядок по Приказу ФСТЭК № 77

Аттестация — формальное подтверждение соответствия объекта информатизации требованиям о защите информации. Для ИСПДн, являющихся значимыми объектами КИИ, аттестация проводится по единому порядку, установленному Приказом ФСТЭК № 77 от 29.04.2021.

Когда аттестация обязательна

Аттестация ИСПДн обязательна в двух случаях: (1) ИСПДн является государственной или муниципальной информационной системой; (2) ИСПДн отнесена к значимым объектам КИИ (имеет присвоенную категорию значимости). Для иных ИСПДн аттестация рекомендована, но не обязательна — достаточно оценки эффективности мер защиты.

Порядок аттестации

1. Владелец объекта подаёт заявку в орган по аттестации (организация с лицензией ФСТЭК на деятельность по технической защите конфиденциальной информации).
2. Орган по аттестации формирует комиссию: руководитель + минимум два эксперта.
3. Владелец предоставляет пакет документов: технический паспорт, акт классификации ИСПДн, акт категорирования объекта КИИ, модель угроз, техническое задание, проектную и эксплуатационную документацию на систему защиты.
4. Комиссия проводит аттестационные испытания: проверка документации, контроль настроек СЗИ, тестирование механизмов защиты.
5. По итогам выдаётся аттестат соответствия (срок — не более 5 лет) или мотивированный отказ.
6. ФСТЭК вносит сведения в реестр аттестованных объектов в течение 3 рабочих дней.

Важно: максимальный срок проведения работ по аттестации — 4 месяца. На практике при хорошей подготовке процесс занимает 1,5–2 месяца. Подробнее о подготовке к проверке ФСТЭК читайте в статье Чек-лист: внутренний аудит ИБ перед проверкой ФСТЭК.

Матрица двойного соответствия: Приказ № 21 + Приказ № 239

Одна из главных сложностей для CISO при аудите 152-ФЗ на объектах КИИ — сопоставление мер из двух приказов. Ниже приводим авторскую матрицу пересечения основных групп мер, которая позволяет оптимизировать реализацию.

Практический вывод: при грамотном проектировании единой системы защиты информации (СОИБ) количество мер не удваивается, а увеличивается лишь на 15–25% по сравнению с реализацией требований одного приказа. Ключ — в системном подходе, описанном в нашем руководстве Комплексная киберзащита КИИ «под ключ».

Штрафы за нарушения 152-ФЗ на объектах КИИ: калькулятор рисков

Субъект КИИ, допустивший нарушения в обработке персональных данных, рискует получить санкции сразу от двух регуляторов. С 30 мая 2025 года штрафы по ст. 13.11 КоАП РФ увеличены кратно, а за утечки введены оборотные штрафы. Одновременно действуют санкции по ст. 13.12.1 КоАП за нарушения требований 187-ФЗ.

Кумулятивный эффект: при инциденте на объекте КИИ, в результате которого произошла утечка персональных данных, субъект может получить штраф одновременно по ст. 13.11 (за утечку ПДн) и по ст. 13.12.1 (за нарушение требований безопасности КИИ). Суммарный штраф для крупной организации может достигать десятков миллионов рублей. Подробнее о санкциях по КИИ — в нашем обзоре Штрафы и проверки по КИИ в 2026 году.

Чек-лист аудита 152-ФЗ на объектах КИИ: 30 контрольных точек

Ниже — практический чек-лист, который мы используем при аудите процессов обработки персональных данных на объектах КИИ. Он разделён на четыре блока и учитывает требования обоих контуров регулирования.

Блок А. Правовые основания и документация (152-ФЗ)

1. Уведомление в Роскомнадзор подано и актуализировано (ст. 22 152-ФЗ).
2. Политика обработки ПДн опубликована на сайте и актуальна.
3. Формы согласий содержат все реквизиты ч. 4 ст. 9 152-ФЗ (с учётом редакции 2025 г.).
4. Определены цели обработки для каждой категории ПДн.
5. Оформлены поручения на обработку при передаче ПДн третьим лицам.
6. Назначен ответственный за организацию обработки ПДн (ст. 22.1 152-ФЗ).
7. Проведена оценка вреда субъектам ПДн (ч. 5 ст. 18.1 152-ФЗ).
8. Локальные акты об обработке ПДн утверждены и доведены до сотрудников.

Блок Б. Классификация и категорирование

9. Составлен реестр ИСПДн с указанием типов данных, объёмов, типов угроз.
10. Определён уровень защищённости каждой ИСПДн по ПП № 1119.
11. Проведено категорирование объектов КИИ (акт категорирования подан во ФСТЭК).
12. Результаты классификации и категорирования согласованы между собой.
13. Перечни типовых объектов КИИ учтены при повторном категорировании (ПП № 1762).

Блок В. Технические и организационные меры защиты

14. Разработана модель угроз безопасности ПДн для каждой ИСПДн.
15. Модель угроз КИИ актуализирована и согласована с моделью угроз ПДн.
16. Реализованы меры Приказа № 21 в соответствии с уровнем защищённости.
17. Реализованы меры Приказа № 239 в соответствии с категорией значимости.
18. Применяемые СЗИ имеют действующие сертификаты ФСТЭК/ФСБ.
19. Класс/уровень доверия СЗИ соответствует требованиям обоих приказов.
20. Настроено разграничение доступа к ПДн (ролевая модель).
21. Ведётся журнал обращений субъектов ПДн и регистрация действий.
22. Функционирует система резервного копирования ПДн.
23. Средства криптографической защиты ПДн соответствуют требованиям ФСБ.

Блок Г. Мониторинг, инциденты, аттестация

24. Определён и отработан порядок уведомления Роскомнадзора об утечке ПДн (в течение 24 ч. + 72 ч.).
25. Определён и отработан порядок уведомления ГосСОПКА об инциденте на КИИ.
26. Проводится периодический контроль защищённости ИСПДн (не реже 1 раза в год).
27. Проведена аттестация ИСПДн, являющихся ЗОКИИ (Приказ № 77).
28. Аттестат соответствия действителен (не истёк срок, не было существенных изменений).
29. Персонал, обрабатывающий ПДн, прошёл обучение и инструктаж.
30. Результаты внутренних проверок документируются и хранятся.

Типичные ошибки и подводные камни при совмещении требований

За годы проведения аудитов на объектах КИИ наши специалисты выявили набор повторяющихся ошибок. Знание этих «ловушек» экономит субъектам месяцы работы и миллионы рублей.

Ошибка 1. Две отдельные модели угроз, не связанные между собой. Часто организация заказывает модель угроз ПДн (по методике ФСТЭК 2008/2022 г.) и отдельно — модель угроз КИИ. В результате одни и те же угрозы описаны дважды, а стыки между моделями не проработаны. Рекомендация: разрабатывать единую модель угроз, покрывающую оба контура.

Ошибка 2. Устаревшие согласия субъектов ПДн. Формы согласий, разработанные до 2025 года, не соответствуют обновлённым требованиям к содержанию (ч. 4 ст. 9 152-ФЗ). На проверке Роскомнадзора это — автоматическое нарушение, штраф от 150 тыс. рублей.

Ошибка 3. СЗИ с истёкшим сертификатом. Организация установила сертифицированное СКЗИ или антивирус, но не отследила окончание срока действия сертификата. Формально это означает использование несертифицированного средства — нарушение и по 152-ФЗ, и по 187-ФЗ.

Ошибка 4. Аттестация ИСПДн без учёта категории КИИ. Орган по аттестации проводит аттестацию только по Приказу № 21, игнорируя требования Приказа № 239. Аттестат формально действителен, но при проверке ФСТЭК выявляются пробелы в защите КИИ.

Ошибка 5. Отсутствие единого реестра ИСПДн / объектов КИИ. Кадровая ИСПДн числится в реестре Роскомнадзора, но не внесена в перечень объектов КИИ. Или наоборот — объект КИИ прошёл категорирование, но ИСПДн в его составе не классифицирована. Это прямой путь к двойному штрафу.

Ошибка 6. Игнорирование требований к трансграничной передаче. Субъект КИИ передаёт ПДн в облачные сервисы, серверы которых расположены за рубежом. С учётом требований по локализации баз данных (ч. 5 ст. 18 152-ФЗ) и импортозамещению на КИИ (Указ Президента № 166) это создаёт двойное нарушение.

Итог

Аудит процессов обработки персональных данных на объектах КИИ — задача, которая требует одновременной работы в двух нормативных контурах: 152-ФЗ и 187-ФЗ. Игнорирование любого из них приводит к кратному увеличению рисков: совокупные штрафы за утечку ПДн на объекте КИИ могут достигать сотен миллионов рублей. При этом грамотное совмещение требований обоих законов позволяет сократить стоимость реализации мер защиты на 20–30% — за счёт единой модели угроз, единой системы мониторинга и комплексной аттестации.

Ключевые выводы для CISO и юриста: (1) проведите инвентаризацию и выявите все пересечения ИСПДн и объектов КИИ; (2) определите уровни защищённости и категории значимости, сформируйте единый перечень мер; (3) актуализируйте формы согласий, политики обработки, модели угроз; (4) пройдите аттестацию по Приказу № 77 с учётом обоих контуров; (5) выстройте процедуры уведомления и Роскомнадзора, и ГосСОПКА об инцидентах.

Нужна помощь с аудитом 152-ФЗ на объектах КИИ? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку соответствия вашей организации требованиям двойного регулирования.