Инвентаризация ПДн в компании: как быстро понять, где и какие данные хранятся
Когда незнание стало дорого стоить: штрафы до 500 млн рублей и уголовная ответственность за то, что компания не видит собственные данные
Введение: почему карта данных стала вопросом выживания бизнеса
В декабре 2024 года Президент РФ подписал пакет законов, кардинально изменивших ответственность за обращение с персональными данными [4]. С 30 мая 2025 года в КоАП появилось девять новых составов правонарушений, максимальный штраф за массовую утечку достиг 500 млн рублей, а в Уголовный кодекс введена статья 272.1 с максимальным сроком до 10 лет лишения свободы [2][5]. Параллельно с 1 сентября 2025 года ужесточились требования к форме согласий, порядку обезличивания и передаче данных в государственную систему Минцифры [6].
На фоне этих изменений обнаружилась системная проблема: большинство компаний не знают, где именно в их ИТ-инфраструктуре хранятся персональные данные. По данным InfoWatch, за 2024 год из российских компаний утекло 1,581 млрд записей ПДн — рост на 30% по сравнению с 2023 годом [7]. Президент «Ростелекома» в ноябре 2024 года заявил, что персональные данные всех россиян уже утекли в сеть, а в «Сбере» оценили долю скомпрометированных данных российских пользователей в 90% [8].
Причина такого масштаба потерь не только в атаках извне. Значительная часть проблем имеет внутреннее происхождение: компании не контролируют, где именно хранятся ПДн, кто и зачем обращается к этим данным, появились ли новые поля или таблицы после обновления системы. Именно поэтому инвентаризация персональных данных — не бюрократическая формальность, а базовое условие для управления рисками.
Эта статья предназначена для DPO (специалистов по защите данных), директоров по информационной безопасности, юристов, ИТ-руководителей и всех, кто отвечает за соответствие компании требованиям 152-ФЗ. Мы разберём методологию инвентаризации от первого шага до живой карты данных, объясним типичные ловушки и покажем, как перейти от разового аудита к непрерывному контролю.
Часть 1. Правовая рамка: что требует закон и какова цена незнания
Что такое оператор и почему он обязан знать свои данные
Согласно Федеральному закону № 152-ФЗ «О персональных данных», персональные данные — это любые сведения, прямо или косвенно связанные с конкретным физическим лицом [9]. Любая компания, которая нанимает сотрудников, работает с клиентскими базами или использует CRM, является оператором персональных данных и обязана соблюдать требования закона [10].
Ключевая норма, непосредственно связанная с инвентаризацией, — статья 18.1 152-ФЗ, которая с 2022 года обязывает (а не просто рекомендует) всех операторов проводить внутренний контроль соответствия обработки ПДн требованиям законодательства [11]. Этот контроль невозможен без понимания того, где и какие данные хранятся.
Новая шкала штрафов с 30 мая 2025 года
Закон № 420-ФЗ от 30 ноября 2024 года установил дифференцированную шкалу штрафов в зависимости от объёма утечки [1][12]:
За утечку данных от 1 000 до 10 000 субъектов — от 3 до 5 млн рублей для организации. За утечку от 10 000 до 100 000 субъектов — от 5 до 10 млн рублей. За утечку данных более 100 000 субъектов — от 10 до 15 млн рублей. За повторную утечку — от 1 до 3% годовой выручки, не менее 20–25 млн рублей, но не более 500 млн рублей. За утечку биометрических данных при повторном нарушении — максимум также 500 млн рублей.
Помимо административной, с декабря 2024 года действует уголовная ответственность по статье 272.1 УК РФ: незаконное использование, передача, распространение, сбор и хранение компьютерной информации, содержащей ПДн, полученной незаконным путём, грозит лишением свободы до 10 лет в случае совершения организованной группой или наступления тяжких последствий [5].
Что проверяет Роскомнадзор
При плановой или внеплановой проверке регулятор верифицирует [13]:
наличие политики обработки персональных данных и её актуальность; уведомление о начале обработки ПДн и его соответствие реальным процессам; перечень информационных систем, в которых обрабатываются ПДн; наличие согласий субъектов и корректность их формы; меры технической защиты; порядок уничтожения данных по истечении сроков хранения; процедуру уведомления об утечках в течение 24 часов.
Если в уведомлении указаны одни цели обработки, а на сайте есть формы для другой аудитории, которые в уведомлении не упомянуты, — это уже нарушение. Без актуальной карты данных обнаружить такое несоответствие до проверки практически невозможно [14].
Часть 2. Анатомия проблемы: почему компании не знают, где их данные
ИТ-ландшафт растёт быстрее, чем документация
Типичная средняя российская компания обрабатывает ПДн в десятках систем одновременно: CRM (например, Битрикс24 или amoCRM), ERP и 1С, HRM-системы, корпоративная почта (Exchange, Яндекс360), Active Directory / LDAP, файловые серверы и облачные хранилища, API-интеграции с подрядчиками и маркетинговыми сервисами, колл-центрные платформы, системы видеонаблюдения с биометрическими функциями.
Каждое обновление системы потенциально добавляет новые поля с персональными данными. Каждая новая интеграция открывает новый канал передачи ПДн третьей стороне. Каждый подрядчик, получивший доступ к базе, становится отдельным звеном цепочки ответственности.
По данным международного исследования OvalEdge (2025), около 90% корпоративных данных являются неструктурированными и слабо управляемыми — они разбросаны по почте, документам, чатам и облачным хранилищам [15]. Для российских компаний, где документооборот традиционно частично бумажный, эта цифра может быть даже выше.
«Теневые» данные — главная слепая зона
Помимо официальных информационных систем, в любой компании существуют неучтённые хранилища ПДн:
Excel-файлы с выгрузками из баз данных, которые сотрудники хранят на рабочих станциях или в Облаке. Временные таблицы, созданные «на потребу момента» и забытые. Журналы, экспортированные из систем для отчётности. Резервные копии, которые содержат данные за период, когда согласие ещё не истекло, а срок хранения уже прошёл. Тестовые среды разработки, в которые по недосмотру попали реальные данные пользователей.
Именно «теневые» данные чаще всего становятся источником утечки: они хуже защищены, не включены ни в какие политики доступа и не обнаруживаются стандартными средствами контроля.
Проблема устаревания документации
Даже если компания провела инвентаризацию год назад, её результаты уже неактуальны. Новый разработчик добавил поле email в таблицу заказов. Маркетинг подключил новый сервис рассылок через API. Бухгалтерия перешла на новый банковский модуль в 1С. Каждое из этих изменений создаёт новую точку обработки ПДн, которой нет в документации.
По оценкам экспертов в области privacy, без автоматизации карта данных устаревает в течение нескольких месяцев даже в компаниях с зрелыми процессами управления данными [16].
Часть 3. Методология инвентаризации: от первого шага к живой карте
Инвентаризация персональных данных — это систематическое выявление всех мест, где в организации хранятся, обрабатываются или передаются ПДн, с документированием их состава, владельцев, оснований обработки и принятых мер защиты [17]. Результатом является реестр обработки персональных данных — документ, аналогичный ROPA (Records of Processing Activities) в европейской практике [18].
Шаг 1. Определить периметр и команду
Прежде чем начать инвентаризацию, необходимо определить её периметр: охватывает ли она только ИТ-системы или также бумажные архивы, только головную компанию или всю группу, только сотрудников или также клиентов и контрагентов.
Для проведения инвентаризации формируется рабочая группа, в которую входят: ответственный за обработку ПДн (DPO или аналог), ИТ-руководитель или архитектор, представители бизнес-подразделений (HR, маркетинг, продажи, бухгалтерия), юрист. Без участия бизнеса невозможно понять, зачем собираются те или иные данные и какое правовое основание они имеют.
Шаг 2. Составить реестр информационных систем
Первый артефакт инвентаризации — полный реестр всех систем, которые так или иначе обрабатывают данные. Для каждой системы фиксируют: наименование и тип (CRM, ERP, почта, файловый сервер и т.д.), владельца (бизнес-подразделение), ИТ-администратора, перечень категорий данных (ФИО, телефон, паспортные данные, биометрия и т.д.), правовое основание обработки (согласие, договор, закон), срок хранения, перечень лиц и систем, которым передаются данные.
Для составления реестра используют опросные листы (интервью с владельцами процессов), анализ схем сетевого взаимодействия, просмотр конфигураций межсетевых экранов для выявления потоков данных, изучение контрактов с подрядчиками.
Шаг 3. Провести техническое обследование систем
Технический этап — наиболее трудоёмкий при ручном подходе. Он включает: просмотр схем баз данных (DDL-скрипты, Data Dictionary) для выявления полей, потенциально содержащих ПДн; анализ структуры файловых хранилищ; проверку конфигураций систем в части разграничения прав доступа; анализ журналов обращений к данным.
Наиболее распространённые паттерны хранения ПДн в реляционных базах данных: таблицы customers/clients/users с именами, телефонами, email, адресами; таблицы employees/staff с расширенным набором данных, включая ИНН, СНИЛС, паспортные данные; таблицы orders/contracts, содержащие адреса доставки; таблицы logs/audit, в которых ПДн попадают «транзитом» при логировании действий пользователей.
Ключевой риск — поля с нестандартными именами: колонка с именем custom_field_7 может содержать паспортные данные, и без семантического анализа это не обнаружить.
Шаг 4. Классифицировать данные по категориям и чувствительности
152-ФЗ выделяет несколько категорий ПДн с разным уровнем защиты [9]:
Специальные категории (требуют особой защиты): расовая и национальная принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, интимная жизнь. Биометрические ПДн: изображения лица, отпечатки пальцев, голос — требуют отдельной системы защиты. Общедоступные ПДн: данные, к которым субъект открыл доступ (например, в социальных сетях). Иные категории: ФИО, контактные данные, паспортные данные, ИНН, СНИЛС, адрес.
Каждая обнаруженная система должна быть охарактеризована с точки зрения того, какие именно категории в ней хранятся: от этого зависит требуемый уровень защиты по Постановлению Правительства № 1119.
Шаг 5. Оформить реестр обработки персональных данных (аналог RoPA)
Реестр обработки — это структурированный документ, в котором каждая строка описывает один процесс обработки ПДн [18][19]. Типовые поля реестра: наименование процесса, цель обработки, правовое основание, категории субъектов, категории данных, источники получения данных, перечень ИС, срок хранения, меры защиты, перечень получателей (включая третьи страны), ответственный.
Российская ассоциация специалистов в области приватности (RPPA) разработала шаблон с описанием 116 характеристик для каждого процесса обработки [19]. Более компактный вариант — 30 характеристик — достаточен для большинства среднего бизнеса.
Реестр должен регулярно обновляться: в идеале — при каждом изменении бизнес-процессов или ИТ-систем [18]. На практике без автоматизации это трудновыполнимо.
Шаг 6. Верифицировать документы и процессы
После составления технической карты данных необходимо сопоставить её с документацией: уведомлением в Роскомнадзор, политикой обработки ПДн, формами согласий. Типичные расхождения, выявляемые на этом этапе [14]:
в уведомлении не указана категория субъектов «соискатели», хотя на сайте есть форма для резюме; в согласии не перечислены все третьи лица, которым реально передаются данные; срок хранения в документах не соответствует реальным настройкам системы; согласия собраны, но компания не может подтвердить факт их получения (нет журнала или архива).
Часть 4. Типичные ошибки и как их избежать
Ошибка 1. «Мы провели аудит три года назад — этого достаточно»
Инвентаризация ПДн — не разовое мероприятие. По данным 152-ФЗ, внутренний контроль должен проводиться регулярно, а его периодичность компания определяет самостоятельно [11]. Эксперты рекомендуют проводить полный аудит не реже раза в год, а непрерывный мониторинг изменений — постоянно. Если за прошедший год компания обновила CRM, подключила нового подрядчика или запустила мобильное приложение — карта данных уже устарела.
Ошибка 2. Тестовые базы данных с реальными ПДн
Одна из наиболее распространённых проблем в компаниях с активной разработкой. При создании тестовых сред разработчики нередко используют дампы реальных баз данных «для удобства». В результате персональные данные клиентов попадают в среду, где они слабо защищены, а их обработка не задокументирована и не имеет правового основания [20].
Ошибка 3. Игнорирование «бумажного» периметра
152-ФЗ регулирует не только автоматизированную, но и неавтоматизированную обработку ПДн [21]. Анкеты клиентов, журналы посещений, трудовые договоры на бумаге — всё это тоже ПДн, которые должны быть учтены в реестре и обеспечены организационной защитой.
Ошибка 4. Описание в уведомлении не соответствует реальности
Несоответствие между уведомлением в Роскомнадзор и реальными процессами обработки — одна из наиболее часто выявляемых претензий при проверках [14]. Если компания после уведомления запустила новый продукт или процесс, она обязана подать актуализированное уведомление.
Ошибка 5. Инструмент инвентаризации как новый источник риска
Парадоксально, но некоторые подходы к инвентаризации сами по себе создают риск: например, инструмент, который копирует реальные данные из продакшн-систем в отдельное хранилище для анализа, фактически создаёт ещё одну точку хранения ПДн с соответствующими обязательствами по защите. Правильный подход — работать с метаданными, структурой и агрегатами, не сохраняя и не передавая сырые значения.
Часть 5. Автоматизация: от Excel к живой карте данных
Почему ручной подход не масштабируется
При ручном подходе — интервью, опросные листы, таблицы Excel — инвентаризация компании со 100+ информационными системами занимает от нескольких недель до нескольких месяцев. Результат устаревает практически сразу после завершения. Поддержание актуальности требует постоянных трудозатрат, а человеческий фактор неизбежно приводит к пропускам и ошибкам [17].
Сравнительный анализ, проведённый специалистами по защите данных, показывает, что специализированные системы для ведения реестра ПДн существенно сокращают трудозатраты по сравнению с таблицами при внесении изменений и поддержании актуальности [22].
Международный опыт: data discovery как базовая практика
В международной практике класс решений для автоматического обнаружения и классификации ПДн называется data discovery и является стандартной частью программы управления конфиденциальностью данных. Современные платформы используют машинное обучение для непрерывного сканирования баз данных, облачных хранилищ, SaaS-систем и API с целью автоматической классификации данных по типам и уровням чувствительности [15][16].
Ключевые возможности зрелых платформ data discovery: автоматическое обнаружение новых источников данных; классификация полей по типу ПДн (ФИО, email, телефон, паспортные данные, биометрия); выявление «теневых» данных и неучтённых копий; построение карты потоков данных между системами; непрерывный мониторинг изменений с алертами о новых рисках.
По данным DataGrail, автоматизированные системы инвентаризации обнаруживают до 50% больше ПДн в сторонних SaaS-системах по сравнению с ручным подходом [23].
On-premise vs. облако: принципиальный выбор для российских компаний
Для российских компаний особую роль играет архитектура решения. С учётом требований 152-ФЗ о локализации данных и общего тренда на импортозамещение, облачные решения иностранных вендоров имеют ограниченную применимость [6]. Предпочтительной архитектурой является on-premise или частное облако в российском дата-центре.
Дополнительный критерий — применяет ли само решение принцип privacy-by-design: работает ли оно только с метаданными и структурой, или требует доступа к реальным значениям ПДн и их хранения. Инструмент, который копирует персональные данные для анализа, сам становится новым источником риска.
Часть 6. Практический чек-лист для запуска инвентаризации
Этот чек-лист подходит для компаний, которые проводят инвентаризацию самостоятельно или готовятся к внешнему аудиту [13][17][20]:
Организационная подготовка: назначить ответственного за проведение инвентаризации; сформировать рабочую группу с участием ИТ, юристов и бизнеса; определить периметр (какие системы, подразделения, юридические лица); установить сроки и формат результирующих документов.
Техническое обследование: получить перечень всех информационных систем от ИТ-службы; запросить схемы баз данных и их описания; выявить нестандартные хранилища (файловые серверы, почтовые архивы, облачные диски); проверить тестовые и sandbox-среды на наличие реальных ПДн; проанализировать API-интеграции с внешними системами и подрядчиками.
Бизнес-интервью (по подразделениям): HR — данные сотрудников, соискателей, кандидатов; Продажи и маркетинг — клиентские базы, лиды, история переписки; Бухгалтерия — контрагенты, реквизиты физлиц; Служба поддержки — тикеты, переписка с клиентами, записи звонков; Разработка — тестовые данные, логи, аналитические выборки.
Документирование и верификация: заполнить реестр обработки ПДн по каждой системе; сопоставить реестр с уведомлением в Роскомнадзор; проверить формы согласий на соответствие новым требованиям (с 1 сентября 2025 года); убедиться в наличии журнала учёта согласий; проверить договоры с подрядчиками на наличие поручения на обработку ПДн.
Управление рисками: для каждой выявленной системы оценить уровень защиты и соответствие требованиям; зафиксировать выявленные нарушения с указанием ответственных; составить план устранения нарушений с приоритетами и сроками; установить периодичность следующей инвентаризации.
Часть 7. Кейсы и типовые сценарии
Сценарий 1. Ритейл: данные покупателей «в каждой папке»
Торговые компании — лидеры по числу утечек в России: на них в 2024 году пришлось 27,8% случаев компрометации данных [7]. Типичная проблема: данные покупателей из программы лояльности продублированы в CRM, ERP, системе аналитики, почтовом сервисе для рассылок и ещё нескольких выгрузках в Excel у менеджеров. Каждая копия — самостоятельная точка риска.
При инвентаризации такая компания нередко обнаруживает 5–8 несинхронизированных хранилищ одних и тех же данных. Задача инвентаризации — выявить все копии, оценить, какие из них избыточны, и установить порядок работы только с каноническим источником.
Сценарий 2. Банк или страховая: биометрия и специальные категории
Финансовые компании работают с наиболее чувствительными категориями данных, включая биометрию (при входе в мобильное приложение по лицу) и специальные категории (сведения о состоянии здоровья при страховании жизни). Для них утечка биометрических данных при повторном нарушении грозит штрафом до 500 млн рублей [12].
Инвентаризация в таком контексте должна отдельно картировать все системы, работающие с биометрией, и проверять соответствие требованиям Приказа ФСТЭК России по третьему уровню защищённости.
Сценарий 3. Промышленная компания: данные подрядчиков
Промышленные предприятия нередко имеют сотни договоров с физическими лицами — специалистами, консультантами, подрядчиками. Их паспортные данные, ИНН, реквизиты хранятся в разных системах: бухгалтерской, кадровой, системе контроля доступа. При инвентаризации важно учесть, что в рамках поручения на обработку часть этих данных может передаваться аутсорсинговым партнёрам (например, бухгалтерии на аутсорсе), что требует отдельного документального оформления.
Часть 8. Тренды и будущее контроля над ПДн
Государственная система обезличенных данных
С 1 сентября 2025 года операторы ПДн обязаны по требованию Минцифры передавать обезличенные данные в государственную информационную систему [6]. Это означает, что у компаний должны быть не только задокументированные процессы инвентаризации, но и технически выверенные процедуры обезличивания с разделением хранилищ реальных и обезличенных данных.
Автоматизация как стандарт отрасли
По прогнозам аналитиков OvalEdge, к 2026 году большинство крупных организаций перейдёт от периодического аудита к непрерывному автоматическому мониторингу данных [15]. Инструменты data discovery становятся частью стандартного стека управления данными — наряду с SIEM и DLP-системами.
ИИ и семантическая классификация
Современные платформы всё активнее используют машинное обучение для понимания содержимого полей по их семантике (не только по имени колонки, но и по паттерну значений). Это позволяет обнаруживать ПДн в нестандартно именованных полях и в неструктурированных данных — текстах, PDF, письмах [16].
Давление регуляторов нарастает
Правоприменительная практика в области ПДн становится всё жёстче. Роскомнадзор в 2024 году зафиксировал 135 утечек с объёмом более 710 млн записей [3]. При этом реальная статистика, по оценкам независимых ИБ-компаний, значительно выше официальной — методики подсчёта существенно расходятся [8]. Одновременно активизировалась правоприменительная практика: суды уже назначают штрафы за выявленные утечки в торговле [8]. Тенденция однозначна — цена незнания своих данных будет только расти.
Заключение: контроль как процесс, а не как проект
Инвентаризация персональных данных перестала быть факультативным упражнением для крупного бизнеса. С введением оборотных штрафов до 500 млн рублей и уголовной ответственности до 10 лет лишения свободы незнание того, где и какие данные хранятся в компании, стало прямым финансовым и репутационным риском.
Ключевой вывод: инвентаризация эффективна только тогда, когда она становится непрерывным процессом, а не разовым проектом. ИТ-ландшафт меняется постоянно — вместе с ним меняется и карта рисков. Компании, которые опираются только на результаты годичной давности, работают вслепую.
Что делать дальше: провести экспресс-инвентаризацию — составить список всех информационных систем и определить, в каких хранятся ПДн; сопоставить результаты с уведомлением в Роскомнадзор и актуальными формами согласий; приоритизировать риски по категориям данных и уровню защиты; выстроить процесс регулярного обновления реестра; рассмотреть автоматизацию для устранения человеческого фактора и обеспечения непрерывности контроля.
О решении «Пятый фактор»
Описанная в этой статье задача — поддерживать актуальную карту ПДн в постоянно меняющейся инфраструктуре — является одной из наиболее трудоёмких при ручном подходе. Именно её решает платформа Пятый фактор.
Это on-premise решение для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах: базах данных, файловых хранилищах, почте, Active Directory/LDAP, CRM, 1С, API-интеграциях. Платформа работает с метаданными, структурой и агрегатами — без передачи и хранения сырых значений персональных данных. Это принцип privacy-by-design на уровне архитектуры: сам инструмент не становится новым источником риска.
В результате компании получают живую «карту ПДн» — где и какие данные есть, кто является владельцем, что изменилось после последней проверки. Новые поля в базах данных, новые интеграции, новые источники — всё это обнаруживается автоматически, до того как незамеченное изменение превратится в инцидент. Контроль становится процессом, а не набором разрозненных ручных проверок. Аудит занимает дни, а не недели. Готовность к проверке Роскомнадзора поддерживается постоянно.
Подробнее — на сайте 5factor.ru.
Источники
[1] Федеральный закон от 30.11.2024 № 420-ФЗ — КонсультантПлюс — https://www.consultant.ru/legalnews/28492/
[2] Штрафы за персональные данные с 30 мая 2025 года — КонсультантПлюс — https://www.consultant.ru/legalnews/28492/
[3] Роскомнадзор зафиксировал 135 утечек баз данных в 2024 году — Forbes — https://www.forbes.ru/tekhnologii/528912-roskomnadzor-zafiksiroval-135-utecek-baz-dannyh-v-2024-godu
[4] Разбор поправок в 152-ФЗ: новые требования с 30 мая 2025 — Riverstart — https://riverstart.ru/blog/novyie-trebovaniya-kpersonalnyim-dannyim-v2025-pravila-rabotyi-dlya-biznesa-s152-fz
[5] Уголовная ответственность за утечки — статья 272.1 УК РФ — Белинфоналог — https://belinfonalog.ru/company/news/aktualnoe/ugolovnaya-otvetstvennost-za-utechki-chto-dolzhny-znat-rukovoditeli/
[6] Персональные данные на сайте: новые правила с сентября 2025 — Гендальф — https://gendalf.ru/news/marketing/kak-pravilno-zaprashivat-personalnye-dan/
[7] Утечки персональных данных в России выросли на 30% в 2024 году — InfoWatch — https://www.infowatch.ru/company/presscenter/news/kolichestvo-slitykh-personalnykh-dannykh-v-dve-tysyachi-dvadtsat-chetvertom-godu-vyroslo-na-tret
[8] Утечки данных в России — TAdviser — https://www.tadviser.ru/index.php/Статья:Утечки_данных_в_России
[9] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — официальный текст — http://www.consultant.ru/document/cons_doc_LAW_61801/
[10] Персональные данные: самый полный гайд на 2025 год — Клерк — https://www.klerk.ru/blogs/fedresurs/652327/
[11] Аудит персональных данных по 152-ФЗ — ПрофКадровик — https://profkadrovik.ru/articles/office-work/audit-personalnykh-dannykh-spaset-kompaniyu-ot-mnogomillionnykh-shtrafov-22-m7/
[12] Новые наказания за незаконную обработку персональных данных — БУХ.1С — https://buh.ru/articles/novye-nakazaniya-za-nezakonnuyu-obrabotku-personalnykh-dannykh-shtrafy-do-500-mln-rubley-i-ugolovnye.html
[13] Аудит персональных данных в организации по 152-ФЗ — Data-Sec — https://data-sec.ru/services/personal-data/audit/
[14] Аудит персональных данных по 152-ФЗ — сайт personalnye-dannye152fz.ru — https://personalnye-dannye152fz.ru/podrobnosti-pro-audit/
[15] Enterprise Data Discovery: Tools, Use Cases, ROI — OvalEdge — https://www.ovaledge.com/blog/enterprise-data-discovery
[16] Ultimate guide to data discovery — RecordPoint — https://www.recordpoint.com/data-discovery-guide
[17] Как провести аудит защиты персональных данных — Cortel Blog — https://blog.cortel.cloud/2024/08/27/kak-provesti-audit-zashhity-personalnyh-dannyh-poshagovaya-instrukcziya/
[18] Что такое RoPA — Data Privacy Office — https://data-privacy-office.com/what-is-ropa/
[19] Типовые формы реестра RoPA — RPPA — https://rppa.pro/analitika/ropa
[20] Как соблюсти 152-ФЗ: аудит и консалтинг — Cloud.ru — https://cloud.ru/blog/kak-soblyusti-152-fz
[21] Автоматизированная и неавтоматизированная обработка ПДн — Data-Sec — https://data-sec.ru/personal-data/processing/
[22] Автоматизируем ведение реестра ПДн: сравнение двух подходов — Anti-Malware — https://www.anti-malware.ru/compare/Personal-Data-Proccessing-Two-Approaches
[23] Data Inventory Software — DataGrail — https://www.datagrail.io/solutions/data-inventory-software/