Какие документы по информационной безопасности обязательны для всех организаций?

Для организаций, обрабатывающих персональные данные (практически все юридические лица): политика обработки ПДн, приказ о назначении ответственного, перечень ИСПДн, модель угроз, акт определения уровня защищённости, согласия на обработку. Дополнительные обязательства возникают у субъектов КИИ (187-ФЗ), организаций с СКЗИ (ФАПСИ №152), ГИС (Приказ ФСТЭК №117) и финансовых организаций (ГОСТ 57580).

Сколько документов по ИБ нужно типичной организации?

Минимальный набор по 152-ФЗ — порядка 10 документов. Субъектам КИИ дополнительно 8–10 документов. Организациям с СКЗИ — ещё 7–8. Финансовым организациям — документы по ГОСТ 57580. Итого: от 15 документов для небольшой компании до 50+ для крупной организации, являющейся субъектом КИИ и оператором ПДн одновременно.

Чем документы по ИБ отличаются от документов по защите ПДн?

Документы по ИБ охватывают всю систему защиты информации организации: технические меры, управление рисками, управление инцидентами, контроль доступа. Документы по защите ПДн — подмножество, сфокусированное на требованиях 152-ФЗ: политика обработки ПДн, согласия, уведомление в Роскомнадзор, перечень ИСПДн. На практике оба комплекта пересекаются: политика ИБ ссылается на политику обработки ПДн, модель угроз ИСПДн входит в общий пакет.

Какие документы по информационной безопасности запрашивает ФСТЭК при проверке?

ФСТЭК запрашивает: политику ИБ, модель угроз для каждой ИС, акты классификации и определения уровня защищённости, техническое задание на систему защиты, проект системы защиты, эксплуатационную документацию на СЗИ, акты внедрения, журналы учёта средств защиты, отчёты о контроле эффективности мер. Для ГИС дополнительно — аттестат соответствия и протоколы аттестационных испытаний.

Как организовать хранение документов по ИБ?

Рекомендуется использовать специализированную SGRC-систему вместо общих папок на сервере. Причины: автоматическое версионирование (вместо «Политика_v3_FINAL2.docx»), контроль ознакомления сотрудников с привязкой к конкретной версии, автоматические напоминания о сроках пересмотра, разграничение доступа по ролям, связь документов с информационными системами организации.

Как часто нужно обновлять документы по информационной безопасности?

Политика ИБ — не реже 1 раза в год. Модель угроз — при изменении состава ИС, появлении новых угроз в БДУ ФСТЭК. Журналы учёта СКЗИ — ведутся непрерывно. Внеочередной пересмотр любого документа необходим: после инцидентов ИБ, реорганизации, внедрения новых ИС, изменения нормативных требований.

Можно ли использовать готовые шаблоны документов по ИБ?

Шаблоны — хорошая отправная точка, но требуют обязательной адаптации. Типовой документ из интернета не учитывает специфику организации: реальный перечень ИС, конкретные регуляторные требования, организационную структуру. При проверке регулятор определяет «скопированный» документ по несоответствию реальной инфраструктуре. SGRC-платформа формирует документы на основе актуальных данных системы.

Где скачать шаблоны документов по ИБ бесплатно?

Бесплатные шаблоны документов по 152-ФЗ доступны на портале 152fz.cyberosnova.ru: 90+ шаблонов в конструкторе (согласия, приказы, политики, журналы), генератор политики обработки ПДн, калькулятор уровня защищённости, чек-лист соответствия 152-ФЗ. Для документов по ФСТЭК (политика ИБ, модель угроз, регламенты) рекомендуется использовать SGRC-платформу с автозаполнением данных организации.

Документы по информационной безопасности: гайд для организации

Документы по информационной безопасности — основа системы защиты информации в любой организации. Нет документации — не пройдёте проверку ФСТЭК, ФСБ или Роскомнадзора. С 2025 года за повторные утечки персональных данных действуют оборотные штрафы до 3% годовой выручки (420-ФЗ). В этом руководстве — какие документы нужны, кому, зачем и как ими управлять.

Зачем организации документы по информационной безопасности

Документы по ИБ решают три задачи: закрывают требования законодательства, создают доказательную базу при проверках и дают основу для управления безопасностью.

Кто требует и что грозит

Федеральные законы обязывают организации разрабатывать и вести документы по ИБ:

152-ФЗ «О персональных данных» — ст. 18.1 обязывает разработать политику обработки ПДн. Штрафы за нарушения: от 100 тыс. до 18 млн руб., за повторные утечки — до 3% годовой выручки (подробнее о штрафах).
187-ФЗ «О безопасности КИИ» — субъекты КИИ обязаны категорировать объекты и подготовить документы по безопасности значимых объектов.
Приказы ФСТЭК №117, 21, 239 — определяют меры защиты, каждая требует документального подтверждения.
Приказ ФАПСИ №152 — требования к документации по учёту СКЗИ.
ГОСТ Р 57580.1 — обязателен для финансовых организаций.

Что запрашивают при проверке

ФСТЭК, ФСБ и Роскомнадзор запрашивают документацию в первую очередь. Нет документа — нарушение, даже если технические меры реализованы. Что именно проверяет ФСТЭК — 700+ контрольных точек по 6 направлениям.

Типичный запрос регулятора:

Политика ИБ и политика обработки ПДн
Приказы о назначении ответственных лиц
Модель угроз безопасности
Акты классификации информационных систем
Журналы учёта СЗИ и СКЗИ
Отчёты о контроле эффективности мер защиты

Практическая ценность

Документы по ИБ решают и практические задачи:

Фиксация ответственности. Кто отвечает за процесс, какие действия обязан выполнять.
Преемственность. ИБ-специалист уволился — новый сотрудник получает полную картину за день, а не за месяц.
Аудируемость. История изменений, записи об ознакомлении.
Основа для автоматизации. Без формализованных процессов не настроить SGRC-систему.

Иерархия документов по информационной безопасности

Документы по ИБ строятся в пять уровней. Каждый нижний уровень подчиняется верхнему.

Уровень	Тип документа	Примеры	Кто утверждает
1	Политики	Политика ИБ, политика обработки ПДн	Руководитель организации
2	Положения и стандарты	Положение об ИБ, стандарт управления доступом	Руководитель организации
3	Регламенты и процедуры	Регламент управления инцидентами, процедура резервного копирования	Руководитель подразделения ИБ
4	Инструкции	Инструкция администратора безопасности, руководство пользователя ИСПДн	Руководитель подразделения ИБ
5	Записи и журналы	Журнал учёта СКЗИ, акты уничтожения, протоколы	Ответственные исполнители

Обязательные документы по 152-ФЗ

Любая организация, обрабатывающая персональные данные (а это практически все юридические лица), обязана иметь следующий комплект.

№	Документ	Основание	Обязательность
1	Политика обработки персональных данных	ст. 18.1, 152-ФЗ	Обязательно
2	Приказ о назначении ответственного за ПДн	ст. 22.1, 152-ФЗ	Обязательно
3	Перечень ИСПДн	Приказ ФСТЭК №21	Обязательно
4	Модель угроз безопасности ПДн	Приказ ФСТЭК №21	Обязательно
5	Акт определения уровня защищённости	ПП РФ №1119	Обязательно
6	Согласия на обработку ПДн	ст. 9, 152-ФЗ	Обязательно
7	Уведомление в Роскомнадзор	ст. 22, 152-ФЗ	Обязательно
8	Положение об обработке ПДн	ст. 18.1, 152-ФЗ	Рекомендуется
9	Инструкции для пользователей ИСПДн	Приказ ФСТЭК №21	Рекомендуется
10	Журнал обращений субъектов ПДн	ст. 14, 152-ФЗ	Рекомендуется

Генератор политики обработки ПДн доступен бесплатно на 152fz.cyberosnova.ru — заполните данные организации и получите готовый документ за 15 минут.

Документы по ИБ для субъектов КИИ (187-ФЗ)

Субъекты КИИ обязаны категорировать объекты и подготовить документы по безопасности значимых объектов.

№	Документ	Основание	Обязательность
1	Перечень объектов КИИ	ПП РФ №127	Обязательно
2	Акт категорирования объекта КИИ	ПП РФ №127	Обязательно
3	Сведения о результатах категорирования	ПП РФ №127	Обязательно
4	Модель угроз безопасности ЗОКИИ	Приказ ФСТЭК №239	Обязательно (для ЗОКИИ)
5	ТЗ на создание системы безопасности ЗОКИИ	Приказ ФСТЭК №239	Обязательно (для ЗОКИИ)
6	Организационно-распорядительные документы по безопасности	Приказ ФСТЭК №239	Обязательно (для ЗОКИИ)
7	План реагирования на компьютерные инциденты	Приказ ФСБ №282	Обязательно
8	Регламент информирования НКЦКИ об инцидентах	Приказ ФСБ №282	Обязательно

Срок подачи сведений о категорировании в ФСТЭК — 10 рабочих дней после подписания акта категорирования (ПП РФ №127, п. 17). Подробнее — в статье категорирование объектов КИИ.

Сколько документов нужно вашей организации? Оператору ПДн — от 10, субъекту КИИ — от 20, организации с СКЗИ — от 25. КиберОснова генерирует полный комплект за дни вместо недель. Запросите демо и посмотрите на реальном примере.

Документы по требованиям ФСТЭК

Приказы ФСТЭК №117, 21 и 239 определяют меры защиты информации, каждая из которых требует документального подтверждения.

Сводная таблица по трём приказам

Документ	№21 (ПДн)	№117 (ГИС)	№239 (КИИ)
Акт классификации / категорирования	Да	Да	Да
Модель угроз	Да	Да	Да
ТЗ на систему защиты	Да	Да	Да
Проект системы защиты	Да	Да	Да
Эксплуатационная документация на СЗИ	Да	Да	Да
Акт внедрения	Да	Да	Да
Аттестат соответствия	Нет	Да	Нет*
План мероприятий по ИБ	Рекомендуется	Да	Да
Отчёт о контроле эффективности	Рекомендуется	Да	Да

*Для ЗОКИИ аттестация не требуется, но проводится оценка соответствия в иных формах.

Подробный разбор требований каждого приказа — в статье сравнение приказов ФСТЭК.

Приказ ФСТЭК №117

С марта 2026 года вступил в силу Приказ ФСТЭК №117, который вводит показатель защищённости (ПЗ) для ГИС, ИСПДн и ЗОКИИ. Это дополнительные требования к документации: организация должна оценивать и документировать показатель защищённости не реже 1 раза в полгода.

Документы по учёту СКЗИ (требования ФСБ)

Организации с СКЗИ обязаны вести учётные документы по Инструкции ФАПСИ №152.

№	Документ	Периодичность
1	Журнал поэкземплярного учёта СКЗИ	Непрерывно
2	Технический (аппаратный) журнал	Непрерывно
3	Приказ о назначении ответственного за СКЗИ	При изменениях
4	Инструкция по обращению с СКЗИ	Ежегодный пересмотр
5	Акт уничтожения СКЗИ	При уничтожении
6	Допуск сотрудников к работе с СКЗИ	При изменениях
7	Перечень помещений для хранения СКЗИ	При изменениях
8	Акт установки СКЗИ	При установке

Excel не даёт аудиторского следа и не защищает от несанкционированных изменений. Электронный учёт в SGRC-платформе решает обе проблемы.

Документы для финансовых организаций

Банки, страховые компании и НФО обязаны выполнять требования ГОСТ Р 57580.1 и нормативных актов Банка России.

Документ	Основание
Политика ИБ (с учётом ГОСТ 57580.1)	ГОСТ Р 57580.1, п. 7.1
Документы по управлению доступом	ГОСТ Р 57580.1, р. 7
Регламент управления инцидентами ИБ	Положение ЦБ №716-П
Отчёт о соответствии ГОСТ Р 57580.1	683-П, 684-П, 719-П
Регламент обеспечения непрерывности бизнеса	Положение ЦБ №787-П

Полная сводная таблица: 90 документов по ИБ

Ниже — обобщённая таблица, охватывающая все основные категории документов для российской организации. Полный перечень документов по ИБ с описанием каждого документа — в отдельной статье.

Категория	Кол-во	Примеры	Нормативное основание
Политики	3–5	Политика ИБ, политика обработки ПДн, политика управления доступом	ФСТЭК, 152-ФЗ, ISO 27001
Приказы	5–8	О назначении ответственного за ПДн, за СКЗИ, администратора безопасности	152-ФЗ, ФАПСИ №152, ФСТЭК
Модели и акты	5–10	Модель угроз, акт определения УЗ, акт категорирования КИИ, акт внедрения	ПП №1119, ПП №127, ФСТЭК
Регламенты	6–10	Управление инцидентами, контроль доступа, резервное копирование, управление уязвимостями	ФСТЭК, ГОСТ 57580
Инструкции	4–8	Администратору безопасности, пользователю ИСПДн, по обращению с СКЗИ	ФСТЭК, ФАПСИ №152
Журналы и записи	5–10	Журнал учёта СКЗИ, технический журнал, журнал учёта СЗИ, журнал носителей	ФАПСИ №152, ФСТЭК
Согласия и уведомления	3–5	Согласие на обработку ПДн, уведомление в Роскомнадзор, NDA	152-ФЗ
Планы и отчёты	3–5	План мероприятий по ИБ, план реагирования на инциденты, отчёт о контроле	ФСТЭК, ФСБ

На портале 152fz.cyberosnova.ru доступен конструктор для 90+ документов: заполните данные организации — получите готовый документ с актуальными нормативными ссылками.

Правовые документы информационной безопасности: нормативная база

Документы по ИБ опираются на федеральные законы, постановления правительства и подзаконные акты.

Федеральные законы

152-ФЗ «О персональных данных» — основной закон для операторов ПДн. Определяет обязанности по разработке политики обработки ПДн, получению согласий, уведомлению Роскомнадзора.
187-ФЗ «О безопасности КИИ» — устанавливает обязанность категорирования объектов КИИ и разработки системы безопасности для значимых объектов.
149-ФЗ «Об информации» — базовый закон, определяющий правовой режим информации и требования к её защите.
63-ФЗ «Об электронной подписи» — регулирует использование ЭП, в том числе при согласовании документов ИБ.

Подзаконные акты

ПП РФ №1119 — определяет уровни защищённости ПДн и требования к их обеспечению.
ПП РФ №127 — устанавливает порядок категорирования объектов КИИ.
Приказы ФСТЭК №117, 21, 31, 239 — определяют базовые наборы мер защиты для разных типов ИС.
Инструкция ФАПСИ №152 — требования к обращению со средствами криптографической защиты.

Стандарты

ГОСТ Р 57580.1 — обязателен для финансовых организаций.
ISO/IEC 27001 — международный стандарт СУИБ, добровольный, но повышает уровень доверия.
ГОСТ Р 50922-2006 — терминология в области защиты информации.

Как защитить сами документы ИБ

Документы по ИБ содержат сведения об уязвимостях организации, архитектуре защиты и модели угроз. Утечка этих документов — инцидент безопасности. Поэтому сами документы ИБ необходимо защищать.

Меры защиты документации ИБ

Гриф ограниченного доступа. Документы ИБ, содержащие сведения об архитектуре защиты, маркируются грифом «Для служебного пользования» или «Конфиденциально».
Разграничение доступа. Политика ИБ доступна всем сотрудникам. Модель угроз — только подразделению ИБ и ИТ. Отчёты по уязвимостям — ограниченному кругу.
Контроль версий. Устаревшие версии должны быть изъяты из обращения. Сотрудник не должен работать по документу двухлетней давности.
Электронные подписи. ЭП при согласовании придаёт документу юридическую силу и защищает от подделки.
Аудиторский след. Фиксация кто, когда и какие изменения вносил в документ.

SGRC-платформа для управления документами

КиберОснова закрывает все перечисленные задачи: контроль доступа по ролям, версионирование с diff-сравнением, маршруты согласования с уведомлениями. Контроль ознакомления привязан к конкретной версии документа. Напоминания о пересмотре приходят автоматически за 30, 14 и 7 дней.

Типичные ошибки при ведении документов по ИБ

Документы «для галочки»

Политика ИБ, скопированная из интернета пять лет назад. Модель угроз, не обновлявшаяся после миграции в облако. Журнал учёта СКЗИ, заполненный задним числом. При проверке регулятор определяет формальный подход по несоответствию документов реальной инфраструктуре.

Отсутствие версионирования

«Политика_ИБ_v3_FINAL_итог(2).docx» — знакомая ситуация. Без системы версионирования невозможно определить: какая версия актуальна, кто вносил изменения, с какой версией ознакомлен сотрудник.

Просроченные документы

Без автоматических напоминаний о сроках пересмотра документы неизбежно устаревают. Политика ИБ не пересматривалась два года, модель угроз составлена до внедрения облачных сервисов, перечень ИСПДн не обновлялся после запуска новой CRM.

Разрозненное хранение

Документы ИБ разбросаны по сетевым папкам, почте и SharePoint. Часть — в бумажном виде. При проверке невозможно оперативно предоставить полный комплект.

Почему SharePoint и Confluence не решают задачу

Корпоративные DMS (SharePoint, Confluence, 1С:Документооборот) закрывают версионирование и маршруты согласования. Но они не учитывают специфику ИБ: нет привязки к нормативным требованиям ФСТЭК, нет шаблонов по приказам, нет автоматического напоминания о пересмотре при изменении НПА, нет связи документа с информационными системами организации. Результат — документы есть, но они оторваны от реальных процессов ИБ.

Представьте ситуацию. ФСТЭК уведомляет о проверке. У вас 3 рабочих дня. Документы — в 5 разных местах, половина не обновлялась год. КиберОснова решает это: единый реестр, актуальные версии, полная готовность к проверке. Запросите демо и убедитесь.

Автоматизация управления документами по ИБ

Проблемы ручного управления

Ведение документов ИБ в папках на сервере с файлами Word и Excel порождает четыре проблемы: отсутствие версионирования, отсутствие контроля ознакомления, просроченные документы, неконтролируемый доступ. При масштабе 30+ документов ручное управление перестаёт работать.

Что даёт SGRC-платформа

SGRC-платформы предлагают специализированный модуль управления документами ИБ:

Генерация по шаблонам. Выбираете тип документа, заполняете параметры организации — получаете готовый документ за минуты. Политика ИБ, модель угроз, регламенты, приказы.
Версионирование. Каждое изменение фиксируется: номер версии, автор, дата, diff-сравнение с предыдущей версией.
Контроль ознакомления. Электронное подтверждение с привязкой к конкретной версии документа. При обновлении — автоматическое повторное ознакомление.
Напоминания. Уведомления о приближении срока пересмотра за 30, 14 и 7 дней.
Связь с активами. Документ привязан к информационной системе. При изменении ИС — уведомление о необходимости обновить документацию.
Маршруты согласования. ИБ-специалист → руководитель ИБ → юрист → генеральный директор. Статусы: черновик → на согласовании → утверждён → устарел.

Конструктор документов 152-ФЗ

Для документов по 152-ФЗ (согласия на обработку ПДн, политика обработки, приказы, журналы) доступен бесплатный конструктор на 152fz.cyberosnova.ru. 90+ шаблонов документов: заполните данные организации — получите готовый документ с актуальными нормативными ссылками.

Дополнительные бесплатные инструменты:

Генератор политики обработки ПДн — готовый документ за 15 минут
Калькулятор уровня защищённости — определение УЗ по ПП №1119
Чек-лист соответствия 152-ФЗ — 30 пунктов проверки

Чек-лист: с чего начать

Если в организации пока нет полного комплекта документов по ИБ, начните с инвентаризации и определения пробелов.

Шаг 1. Определите регуляторные требования. Какие законы и приказы распространяются на организацию: 152-ФЗ (ПДн), 187-ФЗ (КИИ), ФСТЭК №117 (ГИС), ФАПСИ №152 (СКЗИ), ГОСТ 57580 (финансовые).

Шаг 2. Проведите инвентаризацию существующих документов. Составьте реестр: какие документы есть, когда утверждены, когда последний раз пересматривались. Используйте модуль инвентаризации для сбора данных об ИТ-активах.

Шаг 3. Определите пробелы. Сравните существующий комплект с требованиями из таблиц выше. Зафиксируйте недостающие документы.

Шаг 4. Расставьте приоритеты. Начните с обязательных документов по 152-ФЗ (минимальный набор из 10 документов). Затем — документы по специфическим требованиям (КИИ, СКЗИ, ГИС).

Шаг 5. Автоматизируйте. Перенесите документы в SGRC-платформу для контроля версий, сроков пересмотра и ознакомления.

Заключение

Полный комплект документов по информационной безопасности для российской организации включает от 15 до 50+ документов — в зависимости от масштаба, отраслевой принадлежности и категории информационных систем.

Три принципа работы с документами по ИБ:

Адаптируйте, не копируйте. Шаблон из интернета без адаптации под реальную инфраструктуру не пройдёт проверку регулятора.
Автоматизируйте. При масштабе 30+ документов ручное управление в папках на сервере создаёт риски: просроченные версии, отсутствие контроля ознакомления, потерянные документы.
Связывайте с процессами. Документ, не привязанный к информационным системам и ролям, остаётся формальностью. SGRC-платформа связывает документы с реальными данными организации.

КиберОснова SGRC позволяет вести все документы ИБ в единой системе: генерация по шаблонам, версионирование, маршруты согласования, контроль ознакомления, автоматические напоминания о пересмотре. Запросите демо и посмотрите, как платформа закрывает требования ФСТЭК, ФСБ и 152-ФЗ к документации.

Документы по информационной безопасности: полный гайд для организации