Подготовка к проверке ФСТЭК по персональным данным: что проверяют и где бизнес проваливается
Для многих компаний тема ФСТЭК выглядит ещё более далёкой и туманной, чем Роскомнадзор. Отсюда обычно рождаются две крайности. Одни бизнесы уверены, что это их вообще не касается. Другие в панике начинают искать “готовый комплект безопасности”, не задавая себе главный вопрос: а как у нас реально устроена защита персональных данных в системах, доступах, ролях и процессах.
Именно здесь и начинается главный провал. Потому что любая серьёзная проверка в сфере защиты информации бьёт не по красивым словам, а по фактической архитектуре. Если документы описывают один мир, а сотрудники живут в другом, компания быстро теряет устойчивость.

Почему к проверке ФСТЭК нельзя готовиться только по бумаге
Очень соблазнительно решить тему через «пакет документов». Но если в реальности:
- сотрудники работают через общие учётки;
- данные дублируются в таблицах и локальных папках;
- подрядчики подключаются без внятного разграничения ролей;
- доступы выдаются по удобству, а не по необходимости;
- архивы и резервные копии никто не контролирует,
то формальная безопасность не спасает. Наоборот, она делает разрыв между бумагой и реальностью ещё заметнее.
Что бизнес часто недооценивает
Архитектуру информационных систем
Компания должна понимать, где именно обрабатываются персональные данные, в каких системах, в каком объёме и кто имеет к ним доступ. Пока этого понимания нет, разговор о мерах защиты висит в воздухе.
Связь между риском и мерой
Меры защиты не могут существовать “вообще”. Они должны быть связаны с конкретными рисками, ролями и сценариями. Если компания не понимает, от каких угроз она реально защищается, меры превращаются в дорогую формальность.
Человеческий фактор
Очень много проблем рождается не из-за сложной атаки извне, а из-за обычной рабочей хаотичности: лишний доступ, выгрузка, забытая учётка, общий пароль, неучтённый ноутбук, подрядчик с избыточными правами.
Где компании сыпятся чаще всего
1. Документы есть, а система живёт по-другому
Это самый типовой сценарий. На бумаге всё аккуратно: роли, меры, регламенты, порядок доступа. В реальной жизни сотрудники обходят процедуры ради скорости, а руководитель даже не видит, насколько фактическая практика ушла в сторону.
2. Не описана реальная схема доступа
Очень опасно, когда компания не может быстро ответить:
- кто имеет доступ к каким данным;
- кто может выгружать массивы;
- где есть удалённый доступ;
- какие подрядчики видят систему;
- как закрываются доступы при увольнении и изменении ролей.
3. Нет связи между моделью угроз и техническими мерами
Если угрозы описаны отдельно, а меры живут отдельно, компания не может доказать, что защита построена осмысленно.
Здесь полезно идти вместе с:
- https://152opd.ru/model-ugroz-personalnyh-dannyh-komu-nuzhna-i-kak-ponyat-bez-formalizma/
- https://152opd.ru/inventarizacziya-personalnyh-dannyh-v-kompanii/
- https://152opd.ru/karta-potokov-personalnyh-dannyh/
4. Руководство не понимает собственную систему
Если вся тема живёт только в голове одного ИТ-специалиста или подрядчика, это уже риск. Руководитель не обязан знать всё технически, но обязан понимать общую архитектуру: где данные, где слабые места, где дорогие риски и почему определённые меры действительно нужны.
Как готовиться по уму
Шаг 1. Построить реальную карту систем
Нужно честно перечислить:
- какие системы обрабатывают ПД;
- где находятся основные массивы;
- где есть дубли, выгрузки и архивы;
- какие внешние сервисы вовлечены;
- где есть удалённый доступ.
Шаг 2. Проверить доступы и роли
Это одна из самых практических зон. Именно здесь компании часто находят больше проблем, чем в самих документах.
Шаг 3. Сверить меры защиты с реальными сценариями риска
Если меры выбраны абстрактно, а не под реальную архитектуру и угрозы, это слабое место и с точки зрения содержания, и с точки зрения проверочной логики.
Шаг 4. Вытащить наружу скрытые параллельные контуры
Нужно искать не только официальную систему, но и серую зону:
- локальные выгрузки;
- таблицы;
- временные хранилища;
- тестовые среды;
- файлы у подрядчиков;
- старые ноутбуки и архивы.
Шаг 5. Убедиться, что бизнес понимает, что защищает
Очень часто компания говорит про “защиту персональных данных” слишком общо. Нужен более зрелый уровень: какие именно системы, какие именно массивы, какие именно сценарии, какие последствия и какие меры.
Мини-чеклист перед подготовкой
- Понимаете ли вы карту своих информационных систем.
- Есть ли ясная схема доступов и ролей.
- Контролируются ли выгрузки, дубли и параллельные хранилища.
- Связаны ли меры защиты с реальными угрозами.
- Понимает ли руководитель архитектуру риска, а не только техспециалист.
Главный вывод
Подготовка к проверке ФСТЭК — это не покупка «магического пакета» и не игра в формальное соответствие. Это взрослая работа по приведению архитектуры защиты к реальной жизни компании. Чем больше разрыв между тем, что написано, и тем, что происходит, тем слабее бизнес в любой серьёзной проверке.
Поэтому готовиться нужно не с последнего дня и не с красивых шаблонов, а с карты систем, ролей, угроз, доступов и фактических маршрутов данных.
Если хотите понять, где ваша защита персональных данных держится на бумаге, а не на системе
Начинайте с карты информационных систем, уровней доступа и реальных сценариев риска. Обычно именно там и находится главный провал.
Полезные точки входа: https://152opd.ru/consult/ · https://152opd.ru/docs/ · https://152opd.ru/model-ugroz-personalnyh-dannyh-komu-nuzhna-i-kak-ponyat-bez-formalizma/