Организационные меры защиты информации — Контур.Эгида

В этой статье

Организационные меры защиты информации

29 апреля 2026

Технические средства защиты блокируют известные атаки, но не устраняют риски, вызванные человеческим фактором и отсутствием четких правил работы с информацией. Без организационных мер — приказов о назначении ответственных, правил доступа, процедур отзыва прав — программные решения не обеспечат полной защиты. К тому же грамотная организация снижает нагрузку при настройке таких решений, а иногда позволяет и вовсе обойтись без дорогостоящих инструментов. Рассмотрим, какие организационные меры стоит внедрить дополнительно к специализированному софту и железу.

Фотография Максим Чеплиев Максим Чеплиев Менеджер продукта

Что такое информационная безопасность и зачем защищать данные 

Под информационной безопасностью понимается защита информации и поддерживающей ее инфраструктуры от несанкционированного доступа (НСД), утечки, искажения и уничтожения. Это также комплекс мер по предотвращению, выявлению и ликвидации последствий угроз.

Практически для любой организации данные клиентов, коммерческая тайна, платежная информация — важный производственный актив. Утечка таких сведений может привести к остановке бизнес-процессов, финансовым и репутационным потерям  или использованию информации в мошеннических схемах. 

Кроме того государство последовательно ужесточает ответственность за нарушения в сфере инфобеза: действуют оборотные штрафы за утечки персональных данных, введены уголовные статьи для руководителей, а регуляторы (Роскомнадзор, ФСТЭК, Банк России) усиливают проверки. Судебные иски со стороны пострадавших клиентов стали обычной практикой.

Каждый инцидент — утечка, сбой или искажение данных — это нарушение одного или нескольких  базовых принципов информационной безопасности. 

Три основных принципа информационной безопасности

Отдельное решение может закрывать только один из принципов — например, DLP отвечает за конфиденциальность, а резервное копирование — за доступность. Но в итоге вся система защиты должна покрывать все три принципа без пробелов. 

Принцип № 1. Конфиденциальность

Данные доступны только тем, кому они предназначены. Все остальные не могут их просматривать, копировать или передавать. 

Связанные угрозы: перехват трафика, кража паролей, подбор учетных данных, действия инсайдера.  

Инструменты контроля: разграничение доступа, шифрование, DLP-системы.

Принцип № 2. Целостность, достоверность и полнота информации

Информация не должна изменяться неправомерно. Любое изменение — только авторизованное и записанное в журнал.  

Связанные угрозы: подмена записей в базе данных, внедрение вредоносного кода, ошибочные действия администратора.  

Инструменты контроля: хеширование, системы обнаружения изменений, разделение прав на запись.

Принцип № 3. Доступность

Пользователи с правом доступа получают данные тогда, когда это нужно. Сбой или атака не должны останавливать работу.  

Связанные угрозы: DDoS-атаки, поломка оборудования, программы-шифровальщики, отказы систем хранения данных. 

Инструменты контроля: резервное копирование, отказоустойчивая архитектура, план восстановления после сбоев.

Но если говорить о персональных данных (ПД) — ситуация особая. Здесь к общим принципам информационной безопасности добавляются конкретные требования законодательства (152-ФЗ, GDPR). Они касаются того, как работают с ПД: зачем собирают, сколько хранят, кому передают. Это не принципы защиты в классическом понимании, а правила легитимного использования системы. Их соблюдение снижает риски уязвимости ПД и использования их не по назначению. 

Вот свод правил работы с персональными данными: 

  • Легитимность и прозрачность. Сбор данных только на законном основании. Пользователь должен понимать: кто, зачем и как обрабатывает его данные.
  • Целевое использование. Данные используются только для тех целей, которые были объявлены при сборе. Сбор паспортных данных для доставки товара не позволяет использовать их в маркетинге. 
  • Минимизация. Запрашивать только те поля, которые действительно нужны. Нет смысла требовать СНИЛС при регистрации на вебинар.
  • Точность и актуальность. Опечатки и устаревшие записи приводят к штрафам при проверках. Нужен механизм обновления и верификации.
  • Ограничение хранения. Установить сроки удаления ПД после достижения цели. Бесконечное хранение увеличивает риски и не имеет законных оснований.

Ответственность оператора. Назначить лицо, отвечающее за обработку ПД, вести журналы событий, документировать все процессы.

Организационные меры защиты: три группы

Чтобы проще понять, как работают организационные меры, разделим их на три группы. Так удобнее проверить, что ничего не упущено.

Административные меры

Задают общие правила, распределяют ответственность и определяют принципы защиты. Что нужно сделать: 

  • Утвердить Политику информационной безопасности и Политику обработки персональных данных. Для государственных информационных систем с 1 марта 2026 года  дополнительно требуется разработать политику для подрядчиков — этого требует приказ ФСТЭК №117. Для коммерческих организаций, которые так же практикуют работу с подрядчиками, внедрение такой политики также позволит избежать определенных рисков. 
  • Назначить  приказом ответственного за персональные данные и, при необходимости, руководителя подразделения ИБ.
  • Определить периодичности внутренних аудитов. Для государственных информационных систем нужно проводить оценку защищенности каждые шесть месяцев.
  • Утвердить перечень конфиденциальных сведений и модели угроз.

Регламенты

Определяют, какие действия в штатных и нештатных ситуациях должны выполнять сотрудники и администраторы, чтобы обеспечить защиту информации.  Что нужно сделать: 

  • Разграничить и зафиксировать в отдельном положении права доступа: кто и к каким данным имеет доступ, как часто пересматриваются выданные права.
  • Разработать инструкции: для сотрудников — как работать с паролями, что делать с подозрительными письмами, для администраторов — как проводить настройку средств защиты, резервное копирование, мониторинг, как часто проводить обучение сотрудников.
  • Создать регламент резервного копирования и проверки восстановления.
  • Составить план реагирования на инциденты: определить  ответственных, срок уведомления Роскомнадзора (24 часа), порядок сбора доказательств и анализа инцидента.
  • Прописать правила работы со съемными носителями, мессенджерами и облачными хранилищами и т.д.
  • Вести журналы учета (выдача доступов, носители, инструктажи, проверки средств защиты) и организовать процесс: кто ответственный, кто имеет доступ и т.д.

Правовые меры

Закрепляют юридические обязательства компании, контрагентов и сотрудников. Что нужно сделать: 

  • Включить в договоры с подрядчиками условий о конфиденциальности, ответственности за утечки и праве на проверки.
  • Заключить с сотрудниками соглашения о неразглашении (NDA).
  • Привести локальные акты в соответствие с требованиями 152-ФЗ, ПП №1119, приказов ФСТЭК и ФСБ. Например, приказ ФСТЭК №117 предписывает: не менее 30% сотрудников подразделения ИБ должны иметь профильное образование, обучение персонала проводится не реже одного раза в полгода, критические уязвимости устраняются в течение семи дней.
  • Ознакомить сотрудников с документами под подпись.

Организационные меры задают правила, распределяют ответственность и описывают процедуры. Но сами по себе они не блокируют утечку и не фиксируют нарушения. Технические средства — системы контроля доступа, DLP, SIEM, EDR — превращают эти правила в работающие механизмы, которые отслеживают, кто, когда и что делал с данными. Поэтому полноценная защита строится на двух связанных контурах: организационном — регламенты, инструкции, обучение, и техническом — софт и железо, которые эти регламенты исполняют. Внедрять их нужно параллельно, а не последовательно.

Из перечисленных выше мер не обязательно внедрять всё и сразу. Логично начать с аудита текущего состояния: какие политики уже действуют, как разграничены доступы, ведутся ли журналы, проходит ли персонал обучение и какие технические средства уже используются. Выявленные пробелы устраняются в порядке приоритета — например, сначала назначаются ответственные и прописываются правила доступа, затем настраиваются системы контроля.

Провести такой аудит можно силами внутренней службы безопасности или с привлечением внешнего подрядчика. Например, специалисты Контур.Эгиды смогут проверить действующие настройки и документацию на соответствие требованиям ФСТЭК и 152-ФЗ. Результат — список конкретных недостатков с указанием того, что именно нужно исправить и в каком порядке, а также готовые регламенты и документы.

Фотография Максим Чеплиев Максим Чеплиев Менеджер продукта
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться