Какие документы по ИБ обязательны для всех организаций?

К обязательным для всех организаций, обрабатывающих персональные данные, относятся: политика обработки ПДн, положение о защите ПДн, перечень ИСПДн, приказ о назначении ответственного за ПДн, форма согласия на обработку, инструкция пользователю ИСПДн. Организациям с СКЗИ дополнительно требуется журнал учёта СКЗИ по форме ФАПСИ №152. Субъекты КИИ формируют также акт категорирования объектов КИИ и план обеспечения безопасности значимых объектов.

Какие документы нужны для проверки ФСТЭК?

Для проверки ФСТЭК в части ИСПДн (Приказ №21) необходимо иметь: перечень ИСПДн, модель угроз для каждой ИСПДн, акт определения уровня защищённости (УЗ), технический паспорт ИСПДн, акты ввода в эксплуатацию СЗИ, журналы учёта СКЗИ, инструкции администратора и пользователя. Для ГИС (Приказ №117) — аттестационная документация. Для значимых объектов КИИ (Приказ №239) — план обеспечения безопасности и акты категорирования. КиберОснова формирует все перечисленные документы автоматически.

Чем политика ИБ отличается от регламента и инструкции?

Политика ИБ — документ верхнего уровня, определяющий цели, принципы и обязательства организации в области ИБ. Утверждается руководителем и охватывает все направления. Регламент — более детальный документ, описывающий порядок выполнения конкретного процесса: например, регламент управления инцидентами или регламент резервного копирования. Инструкция — пошаговое руководство для конкретной роли или задачи: инструкция пользователя ИСПДн, инструкция администратора безопасности. Иерархия: Политика → Регламент → Инструкция.

Как часто нужно обновлять документы по ИБ?

Рекомендуемая периодичность пересмотра: политика ИБ — не реже 1 раза в год или при существенных изменениях бизнес-процессов; модель угроз — при изменении состава ИС, появлении новых угроз в БДУ ФСТЭК или при пересмотре ФСТЭК своей методики; журналы учёта (СКЗИ, ключевых носителей) — ведутся непрерывно. Внеочередной пересмотр требуется после инцидентов ИБ, реорганизации или внедрения новых ИТ-систем.

Можно ли использовать шаблоны документов по ИБ из интернета?

Шаблоны из интернета можно использовать как отправную точку, но требуется обязательная адаптация под конкретную организацию: актуальные реквизиты, перечень реальных ИСПДн и объектов КИИ, корректные ссылки на нормативные акты (некоторые шаблоны содержат устаревшие ссылки), специфика деятельности (медицина, финансы, КИИ требуют дополнительных разделов). Шаблон из интернета без адаптации не пройдёт проверку регулятора и не защитит в случае инцидента. КиберОснова формирует документы на основе актуальных данных системы.

Как организовать хранение и версионирование документов ИБ?

Оптимальная организация: хранение в системе документооборота или SGRC-платформе с обязательным версионированием (каждая редакция фиксируется с датой и автором изменений); электронное ознакомление сотрудников с подписью и датой; контроль сроков пересмотра (автоматические напоминания за 30 дней до истечения); разграничение доступа — конфиденциальные документы доступны только ответственным. Хранение в общих папках или SharePoint без версионирования создаёт риски: невозможно восстановить предыдущую редакцию и доказать, что сотрудник был ознакомлен.

Перечень документов по ИБ: полный список для организации

Формирование полного пакета документов по информационной безопасности — одна из первых задач, с которой сталкивается каждое ИБ-подразделение. Требования ФСТЭК, ФСБ, 152-ФЗ и 187-ФЗ предписывают наличие десятков документов: от политики ИБ до журналов учёта СКЗИ. Отсутствие хотя бы одного обязательного документа при проверке регулятора — это замечание, предписание и штраф. В этом руководстве — полный перечень документов по ИБ с разбивкой по нормативным актам, описанием каждого документа и практическими рекомендациями по управлению документацией.

Зачем организации нужны документы по информационной безопасности

Документы ИБ — это не бюрократия ради бюрократии. Они выполняют три ключевые функции: фиксируют правила защиты информации, обеспечивают доказательную базу при проверках и создают основу для системного управления ИБ-процессами.

Требования законодательства

Обязанность разрабатывать и поддерживать документы по ИБ закреплена на уровне федеральных законов и нормативных актов:

152-ФЗ «О персональных данных» — статья 18.1 обязывает оператора разработать политику обработки ПДн и ряд сопутствующих документов.
187-ФЗ «О безопасности КИИ» — субъекты КИИ обязаны категорировать объекты и разработать документацию на систему безопасности.
Приказы ФСТЭК №117, 21, 31, 239 — определяют конкретный состав мер защиты, каждая из которых требует документального подтверждения.
Приказ ФАПСИ №152 — устанавливает требования к документации по учёту СКЗИ.
ГОСТ Р 57580.1 — обязателен для финансовых организаций, включает требования к документированию процессов ИБ.

Проверки регуляторов: что запрашивают

При плановых и внеплановых проверках ФСТЭК, ФСБ и Роскомнадзор запрашивают документацию в первую очередь. Типичный перечень запроса:

Политика ИБ и политика обработки ПДн
Приказы о назначении ответственных лиц
Модель угроз безопасности
Акты классификации информационных систем
Журналы учёта СЗИ и СКЗИ
Документы аттестации (при наличии)
Отчёты о контроле эффективности мер защиты

Отсутствие документа при проверке = нарушение. Даже если технические меры защиты реализованы в полном объёме, без документального подтверждения регулятор зафиксирует несоответствие.

Документы ИБ как основа системы защиты

Помимо формального соответствия, документы ИБ решают практические задачи:

Фиксация ответственности. Кто отвечает за конкретный процесс, какие действия обязан выполнять.
Преемственность. При смене сотрудника новый специалист получает полную картину.
Аудируемость. История изменений, версии документов, записи об ознакомлении.
Основа для автоматизации. Без формализованных процессов невозможно настроить SGRC-систему.

Иерархия документов ИБ в организации

Документы ИБ образуют пирамиду из пяти уровней. Понимание иерархии критически важно: каждый нижестоящий документ должен соответствовать вышестоящему.

Уровень	Тип документа	Примеры	Кто утверждает
1	Политики	Политика ИБ, Политика обработки ПДн	Руководитель организации
2	Положения и стандарты	Положение об ИБ, Стандарт управления доступом	Руководитель организации
3	Регламенты и процедуры	Регламент управления инцидентами, Процедура реагирования	Руководитель подразделения ИБ
4	Инструкции и руководства	Инструкция администратора безопасности, Руководство пользователя ИСПДн	Руководитель подразделения ИБ
5	Записи и журналы	Журнал учёта СКЗИ, Акты уничтожения, Протоколы	Ответственные исполнители

Уровень 1: Политики

Политика ИБ — стратегический документ, определяющий цели, принципы и направления обеспечения информационной безопасности. Утверждается руководителем организации и является основой для всех остальных документов.

Уровень 2: Положения и стандарты

Положения конкретизируют политику для отдельных направлений: положение об обработке ПДн, положение о коммерческой тайне, стандарт управления доступом. Устанавливают общие правила без детализации процедур.

Уровень 3: Регламенты и процедуры

Описывают порядок выполнения конкретных процессов ИБ: кто, что, когда и в какой последовательности делает. Регламент управления инцидентами, регламент контроля доступа, процедура резервного копирования.

Уровень 4: Инструкции и руководства

Пошаговые действия для конкретных ролей. Инструкция администратора безопасности отличается от инструкции рядового пользователя по глубине и содержанию.

Уровень 5: Записи, журналы, акты

Фиксируют факт выполнения процессов: журнал учёта СКЗИ, акты уничтожения носителей, протоколы проверок, записи об ознакомлении сотрудников.

Обязательные документы по ИБ: требования 152-ФЗ

Любая организация, обрабатывающая персональные данные (а это практически все юридические лица), обязана иметь комплект документов по 152-ФЗ.

№	Документ	Основание	Обязательность
1	Политика обработки персональных данных	ст. 18.1, 152-ФЗ	Обязательно
2	Приказ о назначении ответственного за организацию обработки ПДн	ст. 22.1, 152-ФЗ	Обязательно
3	Перечень ИСПДн	Приказ ФСТЭК №21	Обязательно
4	Модель угроз безопасности ПДн	Приказ ФСТЭК №21	Обязательно
5	Акт определения уровня защищённости ПДн	ПП РФ №1119	Обязательно
6	Согласия на обработку ПДн	ст. 9, 152-ФЗ	Обязательно
7	Уведомление в Роскомнадзор	ст. 22, 152-ФЗ	Обязательно
8	Положение об обработке ПДн	ст. 18.1, 152-ФЗ	Рекомендуется
9	Инструкции для пользователей ИСПДн	Приказ ФСТЭК №21	Рекомендуется
10	Журнал обращений субъектов ПДн	ст. 14, 152-ФЗ	Рекомендуется

Политика обработки персональных данных

Ключевой документ по 152-ФЗ. Должна быть опубликована на сайте организации и содержать: правовые основания обработки, категории ПДн, цели обработки, порядок уничтожения, права субъектов.

Модель угроз ИСПДн

Определяет актуальные угрозы безопасности ПДн с учётом типа угроз (1, 2 или 3) по Постановлению Правительства РФ №1119. От типа угроз зависит требуемый уровень защищённости и, соответственно, набор технических мер.

Документы по ИБ для субъектов КИИ (187-ФЗ)

Субъекты критической информационной инфраструктуры обязаны выполнить категорирование объектов КИИ и разработать документацию на систему безопасности значимых объектов.

№	Документ	Основание	Обязательность
1	Перечень объектов КИИ	ПП РФ №127	Обязательно
2	Акт категорирования объекта КИИ	ПП РФ №127	Обязательно
3	Сведения о результатах категорирования (для ФСТЭК)	ПП РФ №127	Обязательно
4	Модель угроз безопасности ЗОКИИ	Приказ ФСТЭК №239	Обязательно (для ЗОКИИ)
5	ТЗ на создание системы безопасности ЗОКИИ	Приказ ФСТЭК №239	Обязательно (для ЗОКИИ)
6	Проект системы безопасности ЗОКИИ	Приказ ФСТЭК №239	Обязательно (для ЗОКИИ)
7	Акт внедрения системы безопасности	Приказ ФСТЭК №239	Обязательно (для ЗОКИИ)
8	Организационно-распорядительные документы по безопасности ЗОКИИ	Приказ ФСТЭК №239	Обязательно (для ЗОКИИ)
9	План реагирования на компьютерные инциденты	Приказ ФСБ №282	Обязательно
10	Регламент информирования ФСБ (НКЦКИ) об инцидентах	Приказ ФСБ №282	Обязательно

Для субъектов КИИ срок подачи сведений о категорировании в ФСТЭК — 10 рабочих дней после утверждения акта. Нарушение сроков является основанием для внеплановой проверки.

Документы для выполнения требований ФСТЭК

Приказы ФСТЭК №117, 21 и 239 определяют меры защиты информации, каждая из которых требует документального оформления.

Приказ ФСТЭК №21 (защита ПДн в ИСПДн)

Устанавливает базовые наборы мер защиты в зависимости от уровня защищённости ПДн (УЗ-1 — УЗ-4). Документы для подтверждения:

Акт определения уровня защищённости
Модель угроз
Техническое задание на систему защиты
Проект системы защиты
Эксплуатационная документация на СЗИ
Акт внедрения

Приказ ФСТЭК №117 (защита информации в ГИС)

Для государственных информационных систем требования строже: обязательна аттестация, класс защищённости определяется по другой методике. Дополнительные документы:

Акт классификации ГИС
Аттестат соответствия
Программа и методика аттестационных испытаний
Протокол аттестационных испытаний
Заключение по результатам аттестации

Приказ ФСТЭК №239 (безопасность ЗОКИИ)

Для значимых объектов КИИ применяется наиболее полный набор мер. Дополнительно к документам по 187-ФЗ требуются документы на каждую реализованную меру защиты.

Сводная таблица: документы по приказам ФСТЭК

Документ	№21 (ПДн)	№117 (ГИС)	№239 (КИИ)
Акт классификации / категорирования	Да	Да	Да
Модель угроз	Да	Да	Да
ТЗ на систему защиты	Да	Да	Да
Проект системы защиты	Да	Да	Да
Эксплуатационная документация на СЗИ	Да	Да	Да
Акт внедрения	Да	Да	Да
Аттестат соответствия	Нет	Да	Нет*
План мероприятий по ИБ	Рекомендуется	Да	Да
Отчёт о контроле эффективности	Рекомендуется	Да	Да

*Для ЗОКИИ аттестация не требуется, но проводится оценка соответствия в иных формах.

Документы по учёту СКЗИ (требования ФСБ)

Организации, использующие средства криптографической защиты информации, обязаны вести документацию по учёту СКЗИ в соответствии с требованиями ФСБ.

№	Документ	Основание	Периодичность
1	Журнал поэкземплярного учёта СКЗИ	Приказ ФАПСИ №152	Непрерывно
2	Технический (аппаратный) журнал	Приказ ФАПСИ №152	Непрерывно
3	Приказ о назначении ответственного за СКЗИ	Инструкция ФАПСИ №152	При изменениях
4	Инструкция по обращению с СКЗИ	Инструкция ФАПСИ №152	Ежегодный пересмотр
5	Акт уничтожения СКЗИ	Приказ ФАПСИ №152	При уничтожении
6	Допуск сотрудников к работе с СКЗИ	Инструкция ФАПСИ №152	При изменениях
7	Перечень помещений для хранения СКЗИ	Инструкция ФАПСИ №152	При изменениях
8	Акт установки СКЗИ	Практика ФСБ	При установке

Журналы учёта СКЗИ

Журнал поэкземплярного учёта — основной документ. Фиксирует: наименование СКЗИ, серийный номер, номер сертификата, дату получения, кому выдано, дату возврата/уничтожения. Ведётся в бумажном или электронном виде с обеспечением целостности записей.

Ведение журналов учёта СКЗИ в Excel — распространённая практика, но она не обеспечивает аудиторский след и защиту от несанкционированных изменений. Электронный учёт в SGRC-платформе решает эту проблему.

Дополнительные документы ИБ для финансовых организаций

Финансовые организации (банки, страховые компании, НФО, операторы платёжных систем) обязаны выполнять требования ГОСТ Р 57580.1 и нормативных актов Банка России.

Документ	Основание
Политика ИБ (с учётом требований ГОСТ 57580.1)	ГОСТ Р 57580.1, п. 7.1
Документы по управлению доступом	ГОСТ Р 57580.1, р. 7
Регламент управления инцидентами ИБ	Положение ЦБ №716-П
Документы по операционному риску (ИБ-составляющая)	Положение ЦБ №716-П
Отчёт о соответствии ГОСТ Р 57580.1	683-П, 684-П, 719-П
Регламент обеспечения непрерывности бизнеса	Положение ЦБ №787-П

Полная сводная таблица документов по ИБ

Ниже — обобщённая таблица, охватывающая все основные категории документов, необходимых для типичной российской организации.

Категория	Документ	Нормативное основание	Пересмотр
Политики	Политика ИБ	ФСТЭК, ISO 27001	Ежегодно
Политики	Политика обработки ПДн	152-ФЗ, ст. 18.1	Ежегодно
Политики	Политика управления доступом	ФСТЭК №117/21/239	Ежегодно
Приказы	Приказ о назначении ответственного за ПДн	152-ФЗ, ст. 22.1	При изменениях
Приказы	Приказ о назначении ответственного за СКЗИ	ФАПСИ №152	При изменениях
Приказы	Приказ о назначении администратора безопасности	ФСТЭК №117/21/239	При изменениях
Модели	Модель угроз безопасности ПДн	ПП №1119, ФСТЭК №21	При изменениях ИС
Модели	Модель угроз ЗОКИИ	ФСТЭК №239	При изменениях ИС
Акты	Акт определения уровня защищённости ПДн	ПП №1119	При изменениях
Акты	Акт категорирования объекта КИИ	ПП №127	При изменениях
Акты	Акт внедрения системы защиты	ФСТЭК №117/21/239	При внедрении
Регламенты	Регламент управления инцидентами	ФСТЭК, ГОСТ 57580	Ежегодно
Регламенты	Регламент контроля доступа	ФСТЭК №117/21/239	Ежегодно
Регламенты	Регламент резервного копирования	ФСТЭК №117/21/239	Ежегодно
Регламенты	Регламент управления уязвимостями	ФСТЭК №117/21/239	Ежегодно
Инструкции	Инструкция администратора безопасности	ФСТЭК №117/21/239	Ежегодно
Инструкции	Инструкция пользователя ИСПДн	ФСТЭК №21	Ежегодно
Инструкции	Инструкция по обращению с СКЗИ	ФАПСИ №152	Ежегодно
Журналы	Журнал поэкземплярного учёта СКЗИ	ФАПСИ №152	Непрерывно
Журналы	Технический журнал СКЗИ	ФАПСИ №152	Непрерывно
Журналы	Журнал учёта СЗИ	ФСТЭК №117/21/239	Непрерывно
Журналы	Журнал учёта носителей информации	ФСТЭК №117/21/239	Непрерывно
Прочее	Согласия на обработку ПДн	152-ФЗ, ст. 9	При изменениях
Прочее	Уведомление в Роскомнадзор	152-ФЗ, ст. 22	При изменениях
Прочее	План мероприятий по обеспечению ИБ	ФСТЭК №117/239	Ежегодно

Управляйте всеми документами ИБ в единой системе: модуль КиберОснова контролирует версии, сроки пересмотра и ознакомление сотрудников.

Как управлять документами ИБ: инструменты и подходы

Проблемы ведения документов в папках на сервере

Типичный способ хранения документов ИБ — сетевая папка с файлами Word и Excel. Проблемы этого подхода:

Отсутствие версионирования. Файл «Политика_ИБ_v3_final_FINAL2.docx» — знакомая ситуация? Невозможно отследить, кто и когда внёс изменения.
Нет контроля ознакомления. Сотрудник подписал лист ознакомления год назад, но с тех пор документ обновлялся дважды. Формально ознакомление недействительно.
Просроченные документы. Политика ИБ не пересматривалась два года, модель угроз устарела после миграции в облако. Без системы напоминаний это неизбежно.
Доступ. Кто может редактировать документ? Кто утверждает? Кто имеет доступ к текущей версии? Всё регулируется «по договорённости».

Электронный документооборот ИБ

Корпоративные СЭД (1С:Документооборот, Directum, ТЕЗИС) решают часть проблем — версионирование, маршруты согласования, контроль доступа. Однако они не учитывают специфику ИБ: связь документов с информационными системами, привязка к нормативным требованиям, автоматическая актуализация при изменении инфраструктуры.

Управление документами в SGRC-системе

SGRC-платформы предлагают специализированный модуль управления документами ИБ. Преимущества:

Единый реестр всех документов ИБ с атрибутами: тип, версия, нормативное основание, ответственный, срок пересмотра.
Контроль версий. Каждое изменение фиксируется с номером версии, автором и датой. Полная история документа.
Автоматические напоминания. Система уведомляет о приближении срока пересмотра за 30/14/7 дней.
Контроль ознакомления. Электронное подтверждение ознакомления с привязкой к конкретной версии документа.
Связь с активами и ИС. Документ привязан к информационной системе — при изменении ИС система сигнализирует о необходимости обновления документации.
Готовые шаблоны. Шаблоны документов по требованиям ФСТЭК, ФСБ, 152-ФЗ.

КиберОснова реализует все перечисленные функции в модуле документов ИБ. Формируйте политику ИБ на основе шаблона, отслеживайте сроки пересмотра и контролируйте ознакомление сотрудников в единой системе.

Чек-лист: минимальный пакет документов по ИБ

Ниже — минимальный набор документов, который должна иметь любая организация, обрабатывающая персональные данные. Это «стартовый пакет», который необходимо расширять в зависимости от специфики деятельности.

Обязательный минимум (для всех организаций):

Политика обработки персональных данных (опубликована на сайте)
Приказ о назначении ответственного за организацию обработки ПДн
Перечень ИСПДн с описанием состава ПДн и целей обработки
Акт определения уровня защищённости ПДн
Модель угроз безопасности ПДн
Согласия на обработку ПДн (шаблоны для разных категорий)
Уведомление в Роскомнадзор (при наличии обязанности)
Положение об обработке ПДн (внутренний документ)
Инструкция пользователя ИСПДн

Дополнительно для субъектов КИИ:

Перечень объектов КИИ
Акты категорирования
Документация на систему безопасности ЗОКИИ
План реагирования на компьютерные инциденты

Дополнительно при использовании СКЗИ:

Журнал поэкземплярного учёта СКЗИ
Технический журнал
Приказ о назначении ответственного за СКЗИ
Инструкция по обращению с СКЗИ

Дополнительно для ГИС:

Акт классификации ГИС
Документы аттестации

Этот чек-лист — отправная точка. Для определения полного перечня документов, необходимых конкретной организации, рекомендуется провести аудит ИБ и оценку соответствия требованиям регуляторов.

Заключение

Полный перечень документов по информационной безопасности для российской организации может включать от 10 до 50+ документов — в зависимости от масштаба, отраслевой принадлежности и категории информационных систем. Минимальный обязательный набор по 152-ФЗ — порядка 10 документов. Для субъектов КИИ, финансовых организаций и государственных органов перечень значительно расширяется.

Ключевые рекомендации:

Начните с инвентаризации существующих документов ИБ и определения «пробелов»
Используйте иерархию «политика — положение — регламент — инструкция — запись» для структурирования документации
Фиксируйте сроки пересмотра и назначайте ответственных за каждый документ
Не копируйте шаблоны из интернета без адаптации — регулятор это заметит
Автоматизируйте управление документами: версионирование, напоминания, контроль ознакомления

КиберОснова SGRC позволяет вести все документы ИБ в единой системе с контролем версий, автоматическими напоминаниями о сроках пересмотра и электронным подтверждением ознакомления. Запросите демо и посмотрите, как платформа автоматизирует управление документами ИБ вашей организации.

Полный перечень документов по информационной безопасности организации