Обязательна ли политика ИБ для организации?

Политика ИБ обязательна не для всех, но de-facto необходима большинству организаций. Прямая обязательность: для операторов ГИС (Приказ ФСТЭК №117), для операторов ПДн (152-ФЗ, Приказ ФСТЭК №21 требует разработки ОРД), для субъектов КИИ (Приказ ФСТЭК №239). ISO 27001 также требует задокументированную политику ИБ. Де-факто: без политики ИБ невозможно корректно провести аудит, получить сертификат или пройти проверку регулятора.

Какие разделы должна содержать политика ИБ?

Стандартная структура политики ИБ включает: цели и сфера применения документа; нормативные ссылки (152-ФЗ, 187-ФЗ, приказы ФСТЭК); основные понятия и определения; классификация информационных ресурсов по критичности; роли и ответственность за ИБ; основные требования к защите: управление доступом, парольная политика, антивирусная защита, шифрование, резервное копирование; требования к работе с инцидентами; ответственность за нарушение политики. Объём: 5–20 страниц.

Кто утверждает политику ИБ в организации?

Политика ИБ утверждается руководителем организации — генеральным директором или лицом, им уполномоченным. Это принципиально: политика должна транслировать позицию руководства и быть обязательной для всех сотрудников. В крупных организациях утверждение может осуществлять совет директоров или комитет по ИБ. Разработка и согласование — задача CISO или руководителя подразделения ИБ. Ответственный за ИБ готовит, руководитель организации — утверждает.

Чем политика ИБ отличается от концепции ИБ?

Концепция ИБ — стратегический документ верхнего уровня, определяющий видение, принципы и долгосрочные цели в области ИБ. Политика ИБ — более детальный документ с конкретными требованиями и правилами. Концепция отвечает на вопрос «Зачем и что», политика — «Как и кто». В небольших организациях концепция и политика ИБ часто объединяются в один документ. В крупных организациях концепция — отдельный документ на 3–5 лет, политика обновляется ежегодно.

Как часто нужно обновлять политику ИБ?

Политику ИБ рекомендуется пересматривать не реже 1 раза в год. Внеочередной пересмотр необходим: после существенных изменений в ИТ-инфраструктуре или бизнес-процессах; после инцидентов ИБ, выявивших пробелы в политике; при изменении нормативных требований (новые приказы ФСТЭК, изменения в 152-ФЗ); при реорганизации или смене направления бизнеса. Дата пересмотра и версия документа должны указываться на титульной странице.

Можно ли скачать готовый шаблон политики ИБ?

Готовые шаблоны политики ИБ — хорошая отправная точка, но требуют обязательной адаптации. Проблемы типовых шаблонов из интернета: устаревшие ссылки на нормативные акты (например, на старый Приказ ФСТЭК №117 вместо актуального); отсутствие специфики отрасли (медицина, КИИ, банки требуют дополнительных требований); несоответствие реальным процессам организации. КиберОснова формирует политику ИБ на основе актуальных данных системы — реального перечня ИС, активов, ролей и требований регуляторов.

Где скачать шаблон политики ИБ бесплатно?

Бесплатный генератор политики обработки ПДн (для публикации на сайте по 152-ФЗ) доступен на 152fz.cyberosnova.ru — заполните данные организации и получите документ за 15 минут. Для полноценной политики информационной безопасности (внутренний документ по требованиям ФСТЭК) рекомендуется использовать SGRC-платформу КиберОснова: генерация на основе реальных данных организации с привязкой к ИС, ролям и нормативным требованиям.

Чем политика ИБ для ФСТЭК отличается от политики по ISO 27001?

Политика ИБ по требованиям ФСТЭК ориентирована на конкретные меры защиты из Приказов №117, 21 и 239: управление доступом, антивирусная защита, контроль целостности, регистрация событий безопасности. ISO 27001 требует более широкого документа, охватывающего контекст организации, оценку рисков, обязательства руководства и непрерывное улучшение СУИБ. На практике организации объединяют оба подхода в одном документе, покрывая и российские нормативные требования, и международный стандарт.

Политика ИБ организации: образец, структура, шаблон 2026

Политика информационной безопасности — фундаментальный документ, определяющий правила защиты информации в организации. Именно его запрашивают в первую очередь при проверках ФСТЭК, ФСБ и Роскомнадзора. Между тем многие организации до сих пор работают без политики ИБ или используют шаблон, скачанный из интернета пять лет назад. В этом руководстве — полная структура политики ИБ с примерами формулировок, требования регуляторов к документу и практические рекомендации по разработке.

Что такое политика информационной безопасности

Определение и назначение

Политика информационной безопасности — документ верхнего уровня, утверждённый руководителем организации, который определяет цели, принципы, направления и правила обеспечения ИБ. Это не техническая инструкция и не регламент конкретного процесса. Политика задаёт рамку: что защищаем, от чего, как организована система защиты и кто за что отвечает.

Назначение политики ИБ:

Стратегическое. Фиксирует позицию руководства организации по вопросам ИБ.
Организационное. Определяет роли, ответственность и взаимодействие подразделений.
Нормативное. Является основанием для разработки всех нижестоящих документов ИБ.
Контрольное. Устанавливает требования, соблюдение которых можно проверять.

Место политики ИБ в иерархии документов

Политика ИБ занимает верхнюю позицию в иерархии документов по информационной безопасности:

Уровень	Документ	Что определяет
1 (верхний)	Политика ИБ	Цели, принципы, направления
2	Положения и стандарты	Правила для конкретных направлений
3	Регламенты и процедуры	Порядок выполнения процессов
4	Инструкции	Пошаговые действия для ролей
5	Записи и журналы	Фиксация фактов выполнения

Все документы нижних уровней должны соответствовать политике ИБ и ссылаться на неё. Полный перечень документов по ИБ включает десятки наименований, и политика ИБ является основой для каждого из них.

Нормативные требования к наличию политики

Политика ИБ обязательна для:

Операторов ИСПДн — 152-ФЗ, ст. 18.1 требует «политику в отношении обработки персональных данных».
Субъектов КИИ — 187-ФЗ, Приказ ФСТЭК №239 требует разработки ОРД по безопасности ЗОКИИ.
Государственных ИС — Приказ ФСТЭК №117 предписывает разработку политики ИБ для ГИС.
Финансовых организаций — ГОСТ Р 57580.1 (п. 7.1) требует документально оформленной политики ИБ.
Организаций по ISO 27001 — стандарт требует наличия политики ИБ как обязательного элемента СУИБ.

Даже если организация формально не подпадает ни под одно из перечисленных требований, политика ИБ является признанной лучшей практикой. Без неё невозможно выстроить системное управление информационной безопасностью.

Структура политики ИБ: обязательные разделы

Ниже — рекомендуемая структура политики ИБ, охватывающая требования ФСТЭК, ISO 27001 и российского законодательства. Структура включает 10 основных разделов.

Раздел 1. Общие положения

Определяет назначение документа, область действия, нормативные ссылки и порядок ознакомления.

Пример формулировки:

«Настоящая Политика определяет цели, задачи, принципы и основные направления обеспечения информационной безопасности в ООО "Название организации" (далее — Организация). Политика распространяется на все подразделения Организации, всех работников, а также третьих лиц, получающих доступ к информационным ресурсам Организации.»

Ключевые элементы раздела:

Назначение документа
Область действия (подразделения, филиалы, подрядчики)
Нормативные ссылки (152-ФЗ, 187-ФЗ, приказы ФСТЭК, ГОСТы)
Порядок введения в действие и ознакомления

Раздел 2. Термины и определения

Определяет ключевые термины, используемые в документе. Это не формальность — единое понимание терминов исключает разночтения.

Минимальный перечень терминов: информационная безопасность, информационный актив, угроза ИБ, уязвимость, инцидент ИБ, средство защиты информации, персональные данные, оператор ИСПДн, субъект КИИ.

Рекомендуется ссылаться на ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения».

Раздел 3. Цели и задачи обеспечения ИБ

Формулирует, чего организация стремится достичь в области ИБ.

Примеры формулировок целей:

«Обеспечение конфиденциальности, целостности и доступности информационных активов Организации, защита персональных данных работников и клиентов, выполнение требований законодательства Российской Федерации в области защиты информации.»

Задачи конкретизируют цели:

Защита информации от несанкционированного доступа, модификации и уничтожения
Обеспечение непрерывности бизнес-процессов
Выполнение требований 152-ФЗ, 187-ФЗ, приказов ФСТЭК и ФСБ
Минимизация ущерба от инцидентов ИБ
Повышение осведомлённости работников в вопросах ИБ

Раздел 4. Область действия

Определяет, на какие информационные системы, процессы и подразделения распространяется политика. Важно явно указать границы — особенно для организаций с филиалами и подрядчиками.

Пример формулировки:

«Настоящая Политика распространяется на: все информационные системы Организации, включая ИСПДн и объекты КИИ; все подразделения и филиалы; всех работников, независимо от должности; подрядчиков и контрагентов, получающих доступ к информационным ресурсам на основании договора.»

Раздел 5. Принципы обеспечения ИБ

Фиксирует базовые принципы, на которых строится система ИБ организации.

Примеры формулировок принципов:

Принцип минимальных привилегий. Каждому пользователю предоставляется минимально необходимый уровень доступа для выполнения должностных обязанностей.
Принцип эшелонированной защиты. Система защиты строится на нескольких уровнях: организационном, техническом и правовом.
Принцип непрерывности. Меры ИБ применяются на всех этапах жизненного цикла информационных систем.
Принцип адекватности. Затраты на защиту информации соразмерны потенциальному ущербу от её нарушения.
Принцип осведомлённости. Все работники информированы о правилах ИБ и ответственности за их нарушение.

Раздел 6. Объекты защиты

Перечисляет информационные активы, подлежащие защите. Без этого раздела политика становится абстрактной декларацией.

Категория активов	Примеры
Информационные системы	ИСПДн, ГИС, бухгалтерские системы, CRM
Информация ограниченного доступа	Персональные данные, коммерческая тайна
Технические средства	Серверы, рабочие станции, сетевое оборудование
Программное обеспечение	Операционные системы, СУБД, прикладное ПО
Средства защиты информации	СЗИ, СКЗИ, межсетевые экраны
Носители информации	Съёмные носители, резервные копии

Для формирования полного перечня объектов защиты необходима актуальная инвентаризация ИТ-активов. Без реестра активов раздел об объектах защиты останется формальностью.

Раздел 7. Основные угрозы ИБ

Описывает категории угроз, актуальных для организации. Не дублирует модель угроз (это отдельный документ), а обозначает основные направления.

Категории угроз для типичной организации:

Несанкционированный доступ к информационным системам
Утечка конфиденциальной информации (инсайдерские угрозы)
Вредоносное программное обеспечение и сетевые атаки
Отказы и сбои технических средств
Ошибки персонала при обработке информации
Нарушение доступности информационных систем

Для детальной проработки угроз разрабатывается отдельная модель угроз по методике ФСТЭК.

Раздел 8. Направления обеспечения ИБ

Определяет основные направления деятельности по обеспечению ИБ: организационные, технические и правовые меры.

Организационные меры:

Назначение ответственных за ИБ
Обучение и повышение осведомлённости работников
Разграничение доступа к информационным системам
Контроль соблюдения требований ИБ
Управление инцидентами ИБ
Проведение аудитов ИБ

Технические меры:

Средства защиты от несанкционированного доступа
Антивирусная защита
Криптографическая защита информации
Межсетевое экранирование
Мониторинг событий безопасности
Резервное копирование

Правовые меры:

Выполнение требований 152-ФЗ и 187-ФЗ
Соответствие приказам ФСТЭК (№117, 21, 239)
Включение требований ИБ в трудовые договоры и договоры с контрагентами
Ответственность за нарушение требований ИБ

Раздел 9. Роли и ответственность

Определяет, кто отвечает за обеспечение ИБ в организации.

Роль	Ответственность
Руководитель организации	Утверждение политики ИБ, выделение ресурсов
Руководитель подразделения ИБ	Организация и координация работ по ИБ
Администратор безопасности	Настройка и эксплуатация СЗИ, управление доступом
Ответственный за обработку ПДн	Организация обработки ПДн по 152-ФЗ
Ответственный за СКЗИ	Учёт и эксплуатация СКЗИ по требованиям ФСБ
Руководители подразделений	Контроль соблюдения требований ИБ в подразделении
Все работники	Соблюдение требований ИБ, информирование об инцидентах

Пример формулировки ответственности:

«Работники Организации обязаны: соблюдать требования настоящей Политики и иных документов ИБ; незамедлительно информировать подразделение ИБ о ставших им известными попытках несанкционированного доступа, утраты или компрометации информации; не разглашать информацию ограниченного доступа, ставшую известной в процессе выполнения должностных обязанностей.»

Раздел 10. Порядок пересмотра и ответственность

Устанавливает периодичность пересмотра политики и ответственность за нарушение.

Пересмотр:

Плановый — не реже 1 раза в год
Внеплановый — при изменении законодательства, инфраструктуры, после инцидентов ИБ
Каждое изменение фиксируется с новым номером версии и датой утверждения

Ответственность:

«Нарушение требований настоящей Политики влечёт дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации и локальными нормативными актами Организации.»

Политика ИБ по требованиям ФСТЭК

Требования Приказа ФСТЭК №117 (ГИС)

Для государственных информационных систем Приказ №117 требует разработки политики ИБ как части организационно-распорядительных документов. Политика должна определять: правила и процедуры управления доступом, защиту машинных носителей информации, регистрацию событий безопасности, антивирусную защиту, контроль целостности.

Требования Приказа ФСТЭК №21 (ИСПДн)

Для информационных систем персональных данных состав мер зависит от уровня защищённости. Политика ИБ должна охватывать базовый набор мер для соответствующего уровня и адаптироваться под конкретную ИСПДн.

Требования Приказа ФСТЭК №239 (КИИ)

Для значимых объектов КИИ требования к политике наиболее строгие. Документ должен определять: силы и средства обеспечения безопасности, порядок планирования и осуществления мер защиты, контроль состояния безопасности, реагирование на инциденты.

Требование	№117 (ГИС)	№21 (ИСПДн)	№239 (КИИ)
Политика ИБ обязательна	Да	Рекомендуется	Да
Определение ролей и ответственности	Да	Да	Да
Управление доступом	Да	Да	Да
Управление инцидентами	Да	Рекомендуется	Да
Обучение персонала	Да	Рекомендуется	Да
Периодический пересмотр	Да	Рекомендуется	Да
Аудит соблюдения	Да	Рекомендуется	Да

Политика обработки персональных данных vs политика ИБ

Чем отличаются

Частая ошибка — путать два документа: политику информационной безопасности и политику обработки персональных данных. Это разные документы с разным назначением.

Параметр	Политика ИБ	Политика обработки ПДн
Назначение	Защита всей информации организации	Определение правил обработки ПДн
Правовое основание	ФСТЭК, ISO 27001, ГОСТ 57580	152-ФЗ, ст. 18.1
Аудитория	Все работники (внутренний документ)	Субъекты ПДн (публикуется на сайте)
Содержание	Цели, принципы, меры защиты	Категории ПДн, цели, правовые основания, права субъектов
Публикация	Внутренний документ	Обязательна публикация на сайте
Утверждение	Руководитель организации	Руководитель организации

Когда нужны оба документа

Практически всегда. Политика обработки ПДн — требование 152-ФЗ для публикации на сайте. Политика ИБ — внутренний стратегический документ для всей системы ИБ. Они дополняют, а не заменяют друг друга.

Как связать между собой

Политика ИБ ссылается на политику обработки ПДн как на специализированный документ по одному из направлений. Политика обработки ПДн ссылается на политику ИБ как на документ, определяющий меры защиты.

Типичные ошибки при разработке политики ИБ

Копирование чужих шаблонов без адаптации

Самая распространённая ошибка. Политика, скачанная из интернета или скопированная у другой организации, не учитывает специфику: другие информационные системы, другие процессы, другие риски. При проверке регулятор легко определяет «скопированный» документ по несоответствию реальной инфраструктуре.

Декларативность без конкретики

«Организация обеспечивает информационную безопасность» — это не политика, а лозунг. Политика должна содержать конкретные направления, меры, роли. Формулировки общего характера без привязки к реальным процессам бесполезны.

Отсутствие механизма контроля исполнения

Политика без механизма контроля — мёртвый документ. Необходимо определить: кто контролирует соблюдение, с какой периодичностью, какие последствия за нарушение. Без регулярного аудита ИБ политика превращается в формальность.

Игнорирование актуализации

Политика, утверждённая три года назад и не пересмотренная ни разу, не соответствует текущему состоянию организации. За это время могли измениться: инфраструктура, законодательство, организационная структура, перечень информационных систем.

Не копируйте чужие шаблоны. Управляйте политикой ИБ в единой системе с версионированием и контролем ознакомления — модуль документов КиберОснова.

Порядок разработки и утверждения политики ИБ

Этапы разработки

Анализ нормативных требований. Определить, каким требованиям подчиняется организация (152-ФЗ, 187-ФЗ, ФСТЭК, ГОСТ 57580).
Инвентаризация информационных активов. Собрать актуальные данные об информационных системах, обрабатываемой информации, используемых СЗИ.
Определение целей и принципов. Сформулировать с учётом специфики организации, а не скопировать из шаблона.
Разработка содержания. Последовательно заполнить все 10 разделов, привязывая к реальной инфраструктуре и процессам.
Согласование. Направить на рассмотрение заинтересованным подразделениям.

Согласование и утверждение

Политику ИБ согласовывают:

Подразделение ИБ — разработчик документа, отвечает за содержание.
Юридический отдел — проверяет соответствие законодательству.
ИТ-подразделение — оценивает техническую реализуемость.
HR — в части обязанностей работников и ответственности.
Руководители ключевых подразделений — понимание и принятие требований.

Утверждает политику руководитель организации (генеральный директор). Документ вводится в действие приказом.

Доведение до сотрудников

После утверждения политика доводится до всех работников организации. Каждый сотрудник должен ознакомиться с документом и подтвердить ознакомление (подпись или электронное подтверждение).

Контроль ознакомления

Ведение листов ознакомления на бумаге — устаревший подход. При обновлении документа необходимо повторное ознакомление всех работников. Электронный контроль ознакомления с привязкой к конкретной версии документа значительно упрощает процесс.

Автоматизация управления политикой ИБ

Версионирование и контроль изменений

Политика ИБ пересматривается не менее одного раза в год. Каждое изменение должно фиксироваться: номер версии, автор изменения, дата, описание изменений. В Word-файлах отследить историю изменений практически невозможно.

Автоматическое напоминание о пересмотре

Система должна уведомлять ответственного о приближении срока пересмотра: за 30 дней, за 14 дней, за 7 дней. Без автоматических напоминаний документы неизбежно устаревают.

Формирование политики в SGRC-системе

SGRC-платформы позволяют формировать политику ИБ на основе шаблона с автоматической подстановкой данных организации: наименование, перечень ИС, роли, нормативные ссылки. Сформируйте политику ИБ за минуты: КиберОснова генерирует документ по шаблону с учётом данных вашей организации.

Дополнительные возможности:

Электронное согласование маршрутом «ИБ — юрист — ИТ — руководитель»
Контроль ознакомления каждого сотрудника с конкретной версией
Связь политики с информационными системами и мерами защиты
Автоматическая актуализация при изменении нормативной базы

Образец структуры политики ИБ (шаблон)

Ниже — рекомендуемая структура документа, которую можно использовать как основу для разработки политики ИБ вашей организации. Каждый пункт необходимо адаптировать под специфику организации.

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1. Общие положения

1.1. Назначение и цель документа
1.2. Область действия
1.3. Нормативные ссылки
1.4. Порядок введения в действие

2. Термины и определения

3. Цели и задачи обеспечения ИБ

3.1. Цели обеспечения ИБ
3.2. Задачи обеспечения ИБ

4. Объекты защиты

4.1. Информационные системы
4.2. Информация ограниченного доступа
4.3. Технические средства и средства защиты

5. Принципы обеспечения ИБ

6. Основные угрозы ИБ

6.1. Внешние угрозы
6.2. Внутренние угрозы

7. Направления обеспечения ИБ

7.1. Организационные меры
7.2. Технические меры
7.3. Правовые меры

8. Роли и ответственность

8.1. Руководитель организации
8.2. Подразделение информационной безопасности
8.3. Администраторы безопасности
8.4. Руководители подразделений
8.5. Работники организации

9. Управление инцидентами ИБ

9.1. Классификация инцидентов
9.2. Порядок реагирования
9.3. Информирование и эскалация

10. Контроль и аудит

10.1. Внутренний аудит ИБ
10.2. Контроль соблюдения политики
10.3. Порядок пересмотра политики

11. Ответственность за нарушение

Приложения:

Приложение А. Перечень информационных систем
Приложение Б. Матрица ролей и ответственности
Приложение В. Перечень нормативных документов

Этот шаблон — отправная точка. Для полноценной разработки политики ИБ рекомендуется использовать специализированные инструменты, которые связывают структуру документа с реальными данными организации: перечень ИС из модуля инвентаризации, роли из оргструктуры, нормативные требования из модуля соответствия.

Заключение

Политика информационной безопасности — не формальность и не документ «для галочки». Это рабочий инструмент, определяющий правила защиты информации в организации. Грамотно составленная политика решает три задачи: обеспечивает соответствие требованиям регуляторов (ФСТЭК, ФСБ, 152-ФЗ), задаёт рамку для всех нижестоящих документов ИБ и фиксирует ответственность.

Ключевые рекомендации:

Используйте структуру из 10 разделов — она покрывает требования ФСТЭК, ISO 27001 и российского законодательства
Адаптируйте шаблон под свою организацию — скопированный документ не пройдёт проверку
Утвердите приказом руководителя и обеспечьте ознакомление всех работников
Пересматривайте не реже 1 раза в год и после каждого существенного изменения
Автоматизируйте управление: версионирование, напоминания, контроль ознакомления

КиберОснова позволяет формировать политику ИБ на основе шаблона, управлять версиями и контролировать ознакомление сотрудников в единой SGRC-платформе. Запросите демо и посмотрите, как платформа автоматизирует разработку и поддержание политики ИБ.

Генератор политики обработки ПДн

Если вам нужна политика обработки персональных данных для публикации на сайте (требование 152-ФЗ, ст. 18.1) — воспользуйтесь бесплатным конструктором на 152fz.cyberosnova.ru. Заполните данные организации — получите готовый документ за 15 минут.

На портале также доступны 90+ шаблонов документов по 152-ФЗ: согласия на обработку ПДн, приказы, журналы, инструкции.

Политика обработки ПДн и политика информационной безопасности — разные документы. Первая определяет правила обработки персональных данных и публикуется на сайте. Вторая — внутренний стратегический документ, описывающий систему защиты всей информации организации. Политику ИБ проверяет ФСТЭК, политику обработки ПДн — Роскомнадзор. Большинству организаций нужны оба документа.

Политика информационной безопасности организации: образец, структура и примеры

Часто задаваемые вопросы