В 2026 году ужесточились требования законодательства и стандартов к защите информации. Если в вашей компании до сих пор нет политики информационной безопасности или она долго не обновлялась — вы в зоне риска. В этом материале разбираем: что такое политика ИБ, какие требования предъявляют законы и стандарты, как разработать документ, который реально защитит бизнес. В статье приводим пример структуры, даем пошаговый план создания и внедрения политики, чтобы вы могли взять за основу и сделать свой документ.
В этой статье:
- Что такое политика информационной безопасности и зачем она нужна бизнесу
- Требования к политике ИБ: что говорят стандарты и законы
- Структура и разработка документа
- Пошаговая разработка политики ИБ для компании
- Внедрение и управление политикой ИБ
- Требования 152-ФЗ к политике обработки персональных данных
- Заключение
Что такое политика информационной безопасности и зачем она нужна бизнесу
Политика информационной безопасности — это документ, который определяет цели, принципы и правила защиты информации в компании. По сути, это свод правил, отвечающий на три вопроса: что защищаем, от кого защищаем и кто за что отвечает.
Для бизнеса политика ИБ — не просто формальность, а инструмент управления рисками. Она помогает избежать штрафов за утечку персональных данных, ускоряет прохождение аудитов и повышает доверие партнеров и клиентов. Без нее каждый сотрудник трактует «безопасность» по-своему — кто-то использует один и тот же пароль для рабочих и личных сервисов, а кто-то хранит клиентские базы в личном облачном хранилище. Политика закрывает эти пробелы едиными требованиями.
Определение, цели и задачи
В широком смысле политика ИБ — это комплекс официально утвержденных решений руководства, направленных на обеспечение безопасности предприятия. В узком — локальный нормативный акт с требованиями, мерами защиты, ответственностью сотрудников и механизмами контроля.
Политика информационной безопасности компании преследует три ключевые цели, известные как триада CIA ((Confidentiality, Integrity, Availability):
Конфиденциальность — доступ к информации только у тех, у кого есть на это право.
Целостность — защита данных от несанкционированного изменения или уничтожения.
Доступность — информация доступна уполномоченным пользователям тогда, когда она им нужна.
Задачи, которые решает разработка политики:
- описание всех активов, подлежащих защите;
- идентификация актуальных угроз и оценка рисков;
- назначение ответственных и разграничение доступа;
- установление порядка действий при инцидентах.
Виды и уровни политики безопасности
В области безопасности документы организованы иерархически.
Верхний уровень — основополагающий документ, утвержденный руководством. Он содержит общие цели, принципы и стратегию, служит основой для всех остальных политик и информирует персонал о приоритетах компании в сфере ИБ.
Средний уровень — политики по отдельным аспектам: управление доступом и идентификация, безопасность сетей и передача данных, защита персональных данных (ПДн), управление инцидентами и непрерывность бизнеса.
Нижний уровень — регламенты, инструкции и процедуры. Они отвечают на вопрос «как именно» защищать: настройка антивируса, смена пароля, установка обновлений. Относятся к конкретным системам или участкам обработки информации.
На практике структура часто выглядит так:
- базовая политика — верхнеуровневый документ на 5–10 страниц, задает рамки;
- тематические политики — по контролю доступа, защите ПДн, использованию интернета;
- регламенты — для ИТ-специалистов и администраторов.
Политика ИБ верхнего уровня не обязана быть огромной — главное, чтобы она была понятна руководителям и одобрена на высшем уровне, а ее требования были реалистичны для исполнения.
Политика — только начало. Чтобы правила работали, к ним нужен инструментарий.
Контур.Эгида поможет внедрить требования на практике.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.
Политика ИБ vs концепция безопасности
Эти термины часто используют как синонимы, но по сути они решают разные задачи и адресованы разным аудиториям. Концепция отвечает на стратегические вопросы: какой уровень риска компания готова принять, сколько инвестировать в защиту и т.д. Политика же переводит эти ответы в обязательные требования: порядок предоставления доступа, алгоритм действий при инциденте. Более наглядно о различиях — в таблице.
| Политика ИБ | Концепция ИБ | |
|---|---|---|
|
Суть |
Конкретные правила, запреты и требования |
Система взглядов, принципов и долгосрочных подходов |
|
Детализация |
Высокая, прямое руководство к действию |
Общая, задает направление без привязки к исполнению |
|
Аудитория |
Все сотрудники |
Руководство, совет директоров, собственники |
|
Главный вопрос |
«Что делать завтра?» |
«Куда мы идем и почему?» |
|
Обновление |
При изменении угроз, технологий, законов |
При смене бизнес-стратегии или раз в 3–5 лет |
Для малого бизнеса (до 50 человек) достаточно одной политики с кратким вступительным разделом о принципах — это закроет требования 152‑ФЗ и базовые аудиты. Для среднего и крупного бизнеса концепция необходима: она помогает согласовать бюджет, расставить приоритеты и донести до топ-менеджмента, зачем вообще тратить деньги на информационную безопасность.
На практике правильный порядок такой: сначала сформулируйте концепцию (2–3 страницы) и утвердите у руководства. Затем на ее основе пишите политику — детальный документ для всех сотрудников. Так вы избежите разрыва между стратегией и реальными правилами, а каждый новый регламент будет логично вытекать из общей линии.
Оценим систему защиты в вашей компании
Комплексная проверка ИТ-среды компании:анализ сетевой безопасности, политик доступа, поведения пользователей, технической защиты.
Требования к политике ИБ: что говорят стандарты и законы
В России требования к политике информационной безопасности формируются вокруг трех центров: ГОСТ (международный и российский стандарты менеджмента), ФСТЭК (техническая защита госинформсистем) и 152-ФЗ (защита персональных данных). Игнорировать хотя бы один из них рискованно.
ГОСТ Р ИСО 27001 и ISO/IEC 27001
ГОСТ Р ИСО 27001 прямо обязывает высшее руководство утвердить политику ИБ. Согласно стандарту, политика должна соответствовать целям компании, содержать цели в области ИБ, обязательство соблюдать применимые требования и постоянно улучшать систему менеджмента.
Политика должна быть:
- доступна в виде документированной информации;
- доведена до каждого сотрудника;
- доступна заинтересованным сторонам — аудиторам, партнерам, регуляторам.
ФСТЭК
Для организаций, работающих с государственными информационными системами (ГИС), с 1 марта 2026 года действует Приказ ФСТЭК № 117 от 11 апреля 2025 года.
Что нового и что обязательно включить в политику:
Область действия — перечень конкретных информационных систем и компонентов инфраструктуры, подлежащих защите.
Обязанности — детальное разграничение ролей в сфере защиты информации.
Квалификация — не менее 30% сотрудников подразделения ИБ должны иметь профильное образование или пройти профпереподготовку.
Оценка — защищенность раз в полгода, уровень зрелости раз в год по методикам ФСТЭК.
Если ваша компания — госорган, учреждение или подрядчик с доступом к ГИС — требования ФСТЭК нужно учесть прямо сейчас.
Юридический статус
Политика ИБ по российскому законодательству — локальный нормативный акт. Ее требования обязательны для всех сотрудников. Это не рекомендация, а внутренний закон компании.
Нет особого закона, который предписывает всем иметь политику ИБ. Однако, если компания обрабатывает персональные данные, ст. 18.1 152-ФЗ обязывает оператора назначать ответственных и разрабатывать внутренние документы. Отсутствие — нарушение со штрафом до 75 тыс. рублей для юрлиц. А за утечку ПДн — до 15 млн рублей.
Если компания попадает под отраслевое регулирование (банки — ГОСТ Р 57580, операторы КИИ — 187-ФЗ), требования ужесточаются. Для банков с 1 октября 2026 года вводятся дополнительные требования по защите информации при денежных переводах.
Структура и разработка документа
Структура политики информационной безопасности подстраивается под размер компании, отрасль и набор регуляторных требований. Однако есть проверенный каркас, который подойдет 80 % организаций и закроет основные запросы и ФСТЭК, и 152‑ФЗ, и аудиторов.
Типовая структура политики информационной безопасности
|
1. Общие положения |
Здесь прописывают цели документа, на какие системы и подразделения он распространяется, а также перечень нормативных актов, которым политика соответствует (ГОСТ, 152‑ФЗ, отраслевые стандарты). Важно сразу указать, что политика обязательна для всех сотрудников. |
|
2. Термины и определения |
Единый понятийный аппарат избавляет от разночтений. Обязательно расшифруйте: ПДн, инцидент, уязвимость, объекты защиты, модель угроз, уровень зрелости. Если в компании используют специфические сокращения — добавьте их сюда же. |
|
3. Цели и принципы ИБ |
Важно прописать измеримые ориентиры: например, «обеспечить непрерывность бизнес‑процессов при кибератаках», «сократить время обнаружения инцидента до 10 минут». Принципы формулируйте как основу для всех решений — конфиденциальность, целостность, доступность. |
|
4. Угрозы и оценка рисков |
Опишите актуальные угрозы именно для вашего профиля (фишинг, утечки баз, атаки на удаленный доступ). Обязательно включите ссылку на модель угроз — если компания подпадает под ФСТЭК, без нее политика не пройдет проверку. Оценку рисков проводите регулярно, не реже раза в год. |
|
5. Организационная структура ИБ и компетенции |
Четко пропишите, кто за что отвечает: CISO, инженеры ИБ, администраторы, пользователи. Для организаций, работающих с ГИС, добавьте требование, что не менее 30 % сотрудников подразделения ИБ должны иметь профильное образование или пройти профпереподготовку — это прямое указание Приказа ФСТЭК № 117. Также укажите, как организуется повышение квалификации. |
|
6. Правила управления доступом |
Регламентируйте все, что связано с идентификацией и аутентификацией:
|
|
7. Защита ПДн и конфиденциальной информации |
Опишите меры по выполнению 152‑ФЗ: порядок обработки, хранения, уничтожения персональных данных, назначение ответственного за ПДн, ведение журналов событий. Укажите, что политика распространяется и на подрядчиков, если они получают доступ к таким данным. |
|
8. Реагирование на инциденты |
Дайте сотрудникам понятный алгоритм: что делать при подозрении на утечку, фишинговую атаку или отказ в обслуживании. Кто принимает решения, в какие сроки уведомляется руководство и регуляторы (для ПДн — 24 часа, для КИИ — свои сроки). Приложите шаблон акта об инциденте. |
|
9. Контроль, аудит и метрики |
Установите периодичность внутренних проверок, в том числе согласно Приказа 117:
Результаты аудита должны влиять на пересмотр политики. |
|
10. Ответственность и порядок пересмотра |
Пропишите виды дисциплинарной и материальной ответственности за нарушение политики. Определите, как часто пересматривается документ (обычно раз в год или при серьезных изменениях инфраструктуры/законодательства) и кто инициирует изменения. |
Для небольших компаний (до 50 человек) достаточно 3–5 разделов — можно объединить управление доступом и защиту ПДн, а реагирование на инциденты описать в одном пункте. Для крупных холдингов с десятком бизнес‑юнитов каркас разрастается до 10–15 разделов, плюс появляются отдельные политики по каждому направлению, например, политика использования облачных сервисов или политика безопасности мобильных устройств.
Пошаговая разработка политики ИБ для компании
Шаг 1. Аудит и оценка рисков
Начните с инвентаризации активов: какие данные храните, где они находятся, кто имеет к ним доступ. Определите самые актуальные угрозы для вашей отрасли — для ритейла это кража баз клиентов, для производств — остановка технологических процессов, для финансов — мошеннические переводы. Постройте модель угроз (по методикам ФСТЭК, если требуется) и оцените риски по вероятности и потенциальному ущербу. Это станет фундаментом для всех последующих мер.
Шаг 2. Определение структуры документа
Опираясь на итоги аудита и регуляторные обязательства, решите, будете ли вы создавать единую политику или систему взаимоувязанных документов. Например, отдельную политику для защиты ПДн, отдельную — для управления доступом. Для большинства средних компаний достаточно одного основного документа с приложениями (шаблонами актов, инструкциями).
Шаг 3. Разработка проекта
Пишите текст простым, но юридически точным языком. Избегайте общих формулировок. Вместо «сотрудники должны обеспечивать безопасность» напишите «запрещается передавать учетные данные третьим лицам, в том числе по телефону или электронной почте». Каждое требование должно быть проверяемым. Обязательно заложите механизмы обратной связи: как сотрудники могут сообщить о проблемах или предложить улучшения.
Шаг 4. Согласование
Проект направьте на согласование ключевым стейкхолдерам: юристу (проверит соответствие 152‑ФЗ, Трудовому кодексу, иным НПА), ИТ‑директору (реализуемость технических мер), службе безопасности (актуальность угроз), а также руководителям бизнес‑подразделений (чтобы требования не парализовали работу). Соберите все замечания и доработайте текст.
Шаг 5. Утверждение
Окончательную версию утверждает исполнительный орган компании, например, генеральный директор, — именно топ‑менеджмент несет персональную ответственность за ИБ перед регуляторами и собственниками. Подпись руководителя превращает политику из «еще одного документа» во внутренний закон, обязательный для исполнения. После утверждения опубликуйте политику во внутренней системе, проведите обучение сотрудников и организуйте регулярный контроль соблюдения.
Внедрение и управление политикой ИБ
Разработать политику — половина дела. Настоящая работа начинается после утверждения документа.
Кто утверждает политику
Утверждает политику генеральный директор, совет директоров или другой исполнительный орган организации. Именно топ-менеджмент несет финальную ответственность за ИБ перед регуляторами и собственниками. Руководитель также обеспечивает выделение ресурсов и назначает ответственных за разработку и контроль исполнения.
Факт утверждения фиксируется приказом или протоколом собрания — это придает документу юридическую силу локального нормативного акта. Без этого политика остается просто текстом, который не будет являться локально-нормативным актом. Ответственного за ИБ, например CISO или руководителя службы безопасности, назначают отдельным приказом с перечнем полномочий: право запрашивать информацию, останавливать процессы при нарушениях, инициировать проверки, которые могут быть продублированы в должностных инструкциях таких лиц.
Как правильно внедрить
Процедура внедрения политики информационной безопасности в компании выглядит так:
- Назначьте ответственного за разработку и внедрение — это может быть тот же CISO или проектный менеджер.
- Ознакомьте всех сотрудников под подпись — лист ознакомления или электронное подтверждение в кадровой системе.
- Разместите документ в общедоступном месте — корпоративный портал, файловый ресурс, отдельная страница в LMS.
- Проведите обучение по ключевым требованиям — не просто лекция, а разбор конкретных сценариев: что делать при подозрительном письме, как правильно передавать данные, куда звонить при инциденте.
- Проверьте усвоение знаний — короткое тестирование (5–7 вопросов) покажет, кто понял правила, а кто просто расписался.
- Запустите пилотный проект на одном подразделении — выявите узкие места, соберите обратную связь, доработайте процессы.
- Масштабируйте на всю компанию — с учетом уроков пилота.
Каких ошибок избегать
Типичные ошибки внедрения:
Документ есть, а его никто не читал — ознакомление было формальным.
Обучения не проводили — сотрудники просто расписались и забыли.
Нет системы контроля исполнения — требования остаются на бумаге.
Политику не обновляют годами — она перестает соответствовать реальности.
Копируют чужую политику из интернета — она не учитывает специфику бизнеса и регуляторные требования именно вашей компании.
Как часто пересматривать
Угрозы меняются, технологии развиваются, законы обновляются. Политика должна изменяться вместе с ними.
Рекомендуемая периодичность пересмотра:
Плановый — раз в год, например, в рамках подготовки к обязательному аудиту.
Внеплановый — при изменении законов, появлении новых угроз, реорганизации бизнеса, смене ключевых ИТ-систем или после серьезных инцидентов.
При пересмотре проверяйте не только содержание, но и актуальность ссылок: упоминаются ли действующие приказы ФСТЭК, свежие версии ГОСТов, правильные статьи 152-ФЗ. Например, с 1 марта 2026 года старый приказ ФСТЭК № 17 утратил силу, теперь действует приказ № 117. Если в вашей политике до сих пор ссылки на старые нормы — документ не актуален. Обновление в таких случаях — не бюрократия, а необходимость. Также сверяйте оргструктуру: если появились новые отделы или изменились зоны ответственности, политика должна это отражать.
Результаты каждого пересмотра фиксируйте в листе изменений: дата, кто внес правки, суть изменений, кем утверждено. Это упрощает аудиты и показывает регуляторам, что вы системно подходите к управлению ИБ.
Требования 152-ФЗ к политике обработки персональных данных
Политика ИБ по обработке ПДН должна быть выделена в отдельный блок, потому что регулируется жестче всего: 152-ФЗ, подзаконные акты ФСТЭК и ФСБ, а также отраслевые приказы.
Политика обработки по 152-ФЗ о персональных данных должна содержать:
Цели обработки ПДн — четко и конкретно, без общих формулировок (например, «для исполнения трудового договора» или «для оказания услуг клиентам»).
Перечень и методы мер защиты — организационные (назначение ответственных, порядок доступа) и технические (шифрование, антивирусы, межсетевое экранирование).
Назначенных ответственных — с указанием должностей и полномочий.
Порядок реагирования на инциденты — фиксация факта, внутреннее расследование, уведомление Роскомнадзора в течение 24 часов.
Сроки и порядок актуализации — чтобы документ не устаревал.
Заключение
Политика информационной безопасности — это инструмент, который помогает защищать бизнес от утечек данных, штрафов и репутационных потерь. Разработка политики начинается с аудита, оценки рисков и четкого понимания, что именно нужно защищать. Утверждает политику руководство компании, внедряют — через обучение и контроль. Раз в год документ пересматривают, чтобы он не устаревал. Работа с персональными данными требует повышенного внимания — здесь политика ИБ обязательна по закону 152-ФЗ. Оцените, какие данные в компании самые ценные, кто к ним имеет доступ и что произойдет при утечке. Это даст ответ на вопрос, какая политика нужна именно вам.
Чтобы понять, насколько защита данных в вашей компании соответствует требованиям законодательства, обратитесь в «Безопасность» от Контур.Эгиды.
Эксперт проведут аудит и дадут рекомендации по организации ИБ в вашей компании.