Зачем нужен 30-пунктовый чек-лист
Самостоятельный аудит сайта на соответствие ФЗ-152 – это способ быстро оценить уровень соответствия без привлечения внешнего аудитора. Полноценный аудит консалтинговой компании стоит от 150 000 до 1 000 000 рублей и занимает 2-6 недель. Самостоятельный аудит по чек-листу – 4-16 часов работы одного ответственного сотрудника, стоимость – ноль. Результат, конечно, не заменит профессиональную экспертизу, но позволяет обнаружить 80% типовых нарушений, исправить их до проверки Роскомнадзора и сэкономить на штрафах, которые по новым нормам 2026 года могут превышать 15 миллионов рублей.
Чек-лист ниже построен по принципу: вопрос → как проверить → что делать при обнаружении проблемы. 30 пунктов охватывают все ключевые направления: документы, формы и согласия, техническую защиту, взаимодействие с регулятором, подрядчиков, внутренние процессы.
По статистике Роскомнадзора, 78% сайтов, прошедших проверку, имеют хотя бы одно нарушение. У 40% сайтов нарушения достигают уровня, влекущего серьёзные штрафы. Самостоятельный аудит позволяет выявить и устранить большинство из них до появления проверяющего у вас на пороге.
Блок 1. Документы (пункты 1-6)
Пункт 1. Политика конфиденциальности опубликована на сайте
Как проверить: откройте сайт и попробуйте найти ссылку «Политика конфиденциальности». Обычно она должна быть в подвале, видна с любой страницы.
Что делать: если ссылки нет или документ недоступен – разместить немедленно. Даже шаблонный документ лучше, чем отсутствие.
Пункт 2. Политика соответствует требованиям статьи 18.1 ФЗ-152
Как проверить: политика должна содержать: наименование оператора, цели обработки, правовые основания, категории субъектов, перечень обрабатываемых ПДн, перечень действий, сведения о передаче третьим лицам, сведения о защите, права субъектов, способ отзыва согласия, контакты ответственного за обработку ПДн.
Что делать: обновить политику, если отсутствуют ключевые элементы. Использовать актуальный шаблон 2026 года (после поправок).
Пункт 3. Политика актуальна
Как проверить: дата последнего обновления указана в политике. Она должна быть не старше года. Если за год менялась обработка (новые сервисы, новые формы, новые цели) – политика должна отражать это.
Что делать: обновить политику с отметкой даты. Сохранить предыдущую версию в архиве.
Пункт 4. Согласие на обработку ПДн доступно на сайте
Как проверить: рядом с формами должна быть ссылка на согласие или шаблон согласия.
Что делать: разработать и разместить шаблон согласия.
Пункт 5. Для спецкатегорий и биометрии – отдельные документы
Как проверить: если сайт обрабатывает сведения о здоровье, биометрию, иные спецкатегории, – должны быть отдельные формы согласия и отдельные разделы в политике.
Что делать: добавить отдельные документы для спецкатегорий.
Пункт 6. Пользовательское соглашение (оферта) не путается с политикой
Как проверить: на сайте должны быть оба документа, и они должны быть о разном (политика – об обработке ПДн, оферта – о коммерческих отношениях).
Что делать: разделить документы, если они смешаны.
Блок 2. Формы и согласия (пункты 7-14)
Пункт 7. На каждой форме – чекбокс согласия
Как проверить: пройтись по всем страницам сайта, найти каждую форму (регистрация, заказ, обратная связь, подписка на рассылку, обратный звонок, онлайн-чат). Рядом с кнопкой «Отправить» должен быть чекбокс.
Что делать: добавить чекбоксы туда, где их нет.
Пункт 8. Чекбоксы сняты по умолчанию
Как проверить: при загрузке страницы чекбокс должен быть пустым – пользователь должен его поставить сам.
Что делать: убрать автоматическое проставление галочек.
Пункт 9. Рядом с чекбоксом – ссылка на политику
Как проверить: текст «согласен на обработку персональных данных в соответствии с политикой конфиденциальности» – должна работать, открываться в новой вкладке.
Что делать: добавить активную ссылку.
Пункт 10. Согласие на рассылку – отдельное
Как проверить: на формах, которые предполагают дальнейшие рассылки, должен быть отдельный чекбокс «Согласен на получение рекламных сообщений».
Что делать: разделить согласия, если они в одном чекбоксе.
Пункт 11. Минимум обязательных полей
Как проверить: на каждой форме оцените, действительно ли все обязательные поля нужны для заявленной цели. Дата рождения при подписке на рассылку? Адрес при запросе перезвона?
Что делать: убрать избыточные обязательные поля.
Пункт 12. Double opt-in для подписки на рассылку
Как проверить: подпишитесь на свою рассылку и проверьте, приходит ли письмо с подтверждением.
Что делать: настроить double opt-in в ESP (UniSender, Sendsay).
Пункт 13. Ссылка отписки в каждом письме
Как проверить: откройте недавнее рекламное письмо от своей компании и поищите ссылку «Отписаться». Она должна быть видимой.
Что делать: добавить или сделать видимой ссылку отписки.
Пункт 14. Cookie-banner работает корректно
Как проверить: откройте сайт в incognito-окне. Должен появиться cookie-banner. До вашего согласия скрипты аналитики (Метрика) и маркетинга (ВК Пиксель) не должны загружаться – проверьте через DevTools → Network.
Что делать: настроить cookie-banner, чтобы блокировал скрипты до согласия.
Блок 3. Локализация и инфраструктура (пункты 15-19)
Пункт 15. Сайт размещён на серверах в РФ
Как проверить: через сервис whois или whatismyip.com установить, где физически находится сервер. Или уточнить у хостинг-провайдера.
Что делать: перенести сайт на российский хостинг (Beget, Reg.ru, Timeweb, Majordomo, SpaceWeb).
Пункт 16. База данных – в РФ
Как проверить: уточнить у разработчика, где физически хранится MySQL/PostgreSQL. Если БД не на сервере сайта – запросить расположение.
Что делать: перенести БД в РФ. Для SaaS – проверить их политику локализации.
Пункт 17. Резервные копии – в РФ
Как проверить: уточнить, куда идут бэкапы. Часто ответ «AWS S3» – что неверно.
Что делать: перенести бэкапы в Yandex Object Storage, Selectel, VK Cloud.
Пункт 18. Подрядные сервисы (CRM, email) – в РФ
Как проверить: составить список всех внешних сервисов и проверить каждый.
Что делать: заменить зарубежные на российские аналоги (см. отдельную статью по зарубежным сервисам).
Пункт 19. Трансграничная передача оформлена
Как проверить: если всё же есть передача за рубеж, подано ли уведомление в РКН, получены ли согласия субъектов.
Что делать: оформить всё по статье 12 ФЗ-152.
Блок 4. Взаимодействие с РКН (пункты 20-22)
Пункт 20. Уведомление в РКН подано
Как проверить: зайти на сайт РКН в реестр операторов, найти свою компанию по ИНН. Если находится – уведомление подано.
Что делать: подать уведомление, если не подано. Процедура бесплатная, занимает 1-2 часа.
Пункт 21. Уведомление актуально
Как проверить: сравнить цели в уведомлении с реальной обработкой. Если добавили email-рассылку, но её нет в уведомлении – надо дополнить.
Что делать: подать изменения в уведомление.
Пункт 22. Ответственный за обработку ПДн назначен
Как проверить: должен быть приказ о назначении с указанием ФИО и должности. Данные этого лица – в политике конфиденциальности и в уведомлении РКН.
Что делать: издать приказ, если не издан. Обычно назначается руководитель IT, HR или юрист.
Блок 5. Техническая защита (пункты 23-27)
Пункт 23. HTTPS на всех страницах
Как проверить: открыть сайт, проверить, что в адресной строке замочек. Открыть страницу с формой – замочек должен быть.
Что делать: установить SSL-сертификат (Let’s Encrypt бесплатно или коммерческий).
Пункт 24. TLS 1.2+ и современные шифры
Как проверить: проверить через SSL Labs (ssllabs.com/ssltest). Рейтинг должен быть A или выше.
Что делать: отключить TLS 1.0/1.1, устаревшие шифры. Настройка на уровне веб-сервера.
Пункт 25. Административная часть защищена
Как проверить: найти URL входа в админку (/wp-admin, /admin, /bitrix/admin). Проверить, что защищено паролем, желательно с 2FA.
Что делать: включить 2FA для всех администраторов. Использовать плагины как Wordfence (WP), отдельные модули 2FA.
Пункт 26. Защита от перебора паролей
Как проверить: попробовать ввести несколько раз неверный пароль в админку. После 3-5 попыток аккаунт должен блокироваться или появляться капча.
Что делать: настроить плагин защиты от brute-force (Limit Login Attempts, iThemes Security и т.д.).
Пункт 27. Резервные копии актуальны и проверяются
Как проверить: последний бэкап – не старше недели. Проведена ли проверка восстановления в последние 3 месяца?
Что делать: настроить автоматическое резервное копирование и тест восстановления ежеквартально.
Блок 6. Подрядчики и процессы (пункты 28-30)
Пункт 28. Договоры с подрядчиками содержат пункт о поручении обработки
Как проверить: открыть договоры с CRM-провайдером, email-рассыльщиком, хостером, службой доставки. В них должен быть пункт о поручении обработки ПДн с указанием целей, данных, мер защиты.
Что делать: заключить дополнительные соглашения.
Пункт 29. Процедура ответа на запросы субъектов работает
Как проверить: написать с личной почты на корпоративную с запросом «Какие мои ПДн вы обрабатываете и с какой целью?». Должен прийти ответ в срок 10 рабочих дней.
Что делать: разработать шаблон ответа и регламент обработки таких запросов.
Пункт 30. План реагирования на инциденты готов
Как проверить: есть ли документированный план, кто в команде реагирования, как уведомлять РКН в 24 часа.
Что делать: разработать план реагирования (см. отдельную статью).
Итоговая таблица: 30 пунктов
| № | Пункт | Критичность |
|---|---|---|
| 1 | Политика опубликована | Критично |
| 2 | Соответствует 18.1 | Критично |
| 3 | Актуальна | Высокая |
| 4 | Согласие доступно | Высокая |
| 5 | Спецкатегории – отдельно | Критично (если применимо) |
| 6 | Политика != оферта | Средняя |
| 7 | Чекбокс на формах | Критично |
| 8 | Сняты по умолчанию | Высокая |
| 9 | Ссылка на политику | Высокая |
| 10 | Согласие на рассылку отдельно | Высокая |
| 11 | Минимум полей | Средняя |
| 12 | Double opt-in | Высокая |
| 13 | Ссылка отписки | Высокая |
| 14 | Cookie-banner | Высокая |
| 15 | Сайт в РФ | Критично |
| 16 | БД в РФ | Критично |
| 17 | Бэкапы в РФ | Высокая |
| 18 | Подрядчики в РФ | Высокая |
| 19 | Трансграничная – оформлена | Высокая (если есть) |
| 20 | Уведомление РКН | Критично |
| 21 | Уведомление актуально | Высокая |
| 22 | Ответственный назначен | Высокая |
| 23 | HTTPS везде | Критично |
| 24 | TLS 1.2+ | Высокая |
| 25 | Админка защищена | Критично |
| 26 | Защита от брутфорса | Высокая |
| 27 | Бэкапы проверены | Средняя |
| 28 | Договоры с поручением | Высокая |
| 29 | Запросы субъектов | Высокая |
| 30 | План реагирования | Высокая |
Как считать результат
Посчитайте сколько пунктов из 30 у вас «зелёных» (полностью выполнены). Оценка:
- 28-30 пунктов – отличный уровень соответствия. Поддерживайте регулярный аудит раз в квартал
- 23-27 пунктов – хороший уровень с мелкими пробелами. Устраните недочёты в ближайшие 2 недели
- 18-22 пункта – средний уровень, есть риски при проверке. План действий на 1-2 месяца
- 12-17 пунктов – серьёзные пробелы. Риски штрафов высокие. Срочная работа, привлечение внешних консультантов имеет смысл
- Менее 12 пунктов – критический уровень. При жалобе и проверке – миллионные штрафы. Нужна системная работа, отдельный проект с ответственным руководителем
Приоритизация устранения нарушений
Неделя 1: критические нарушения
- Опубликовать политику конфиденциальности, если нет
- Подать уведомление в РКН, если не подано
- Включить HTTPS на всех страницах
- Назначить ответственного за обработку ПДн
- Добавить чекбоксы согласия на все формы
- Перенести сайт на российский хостинг (если нужен)
Недели 2-3: высокоприоритетные
- Разделить согласия на ПДн и рассылку
- Настроить double opt-in
- Настроить cookie-banner
- Включить 2FA для администраторов
- Обновить политику конфиденциальности
- Заключить допсоглашения с подрядчиками
Недели 4-6: средний приоритет
- Разработать план реагирования на инциденты
- Создать шаблон ответа на запросы субъектов
- Проверить резервные копии на восстанавливаемость
- Провести обучение команды
- Настроить мониторинг и журналирование
Периодичность аудита
- Полный аудит по 30 пунктам – раз в год
- Быстрый аудит (ключевые пункты) – раз в квартал
- После крупных изменений (новая форма, новый продукт, новый подрядчик) – локальный аудит в зоне изменений
- После инцидентов и жалоб – внеплановый аудит
- Перед выпуском новой версии сайта – обязательный аудит форм и согласий
Что делать дальше
30-пунктовый чек-лист – это базовый уровень. Для более высокой степени соответствия рекомендуется:
- Разработать модель угроз ИСПДн
- Определить уровень защищённости и внедрить соответствующие СЗИ
- Провести пентест сайта
- Организовать обучение сотрудников с фиксацией в журнале
- Построить систему управления инцидентами (SIEM)
- Проводить тренировки реагирования
- Привлекать внешних аудиторов для независимой оценки раз в 2-3 года
Для малого и среднего бизнеса 30-пунктовый чек-лист закрывает основные риски. Для крупных операторов с миллионами субъектов – это только начало, дальше идёт путь в сторону формальной аттестации ИСПДн и соответствия приказам ФСТЭК.
Итог
Самостоятельный аудит по 30-пунктовому чек-листу – это экономичный способ понять текущий уровень соответствия и устранить большинство нарушений до проверки РКН. В большинстве случаев даже небольшая команда внутри компании способна провести аудит и устранить выявленные нарушения за 1-3 месяца. Стоимость такой работы – многократно меньше одного штрафа за утечку или несоответствие. Инвестируйте время в аудит сейчас – экономьте миллионы потом.
