Политика информационной безопасности: образец 2026 и структура документа

Политика информационной безопасности (ИБ) — основополагающий документ, определяющий цели, принципы и общий подход организации к защите информации. Это не технический документ, а управленческий: он фиксирует обязательства руководства и устанавливает рамки для всех остальных документов ИБ.

Политика ИБ требуется:

• По ГОСТ Р ИСО/МЭК 27001 — для системы управления информационной безопасностью (СУИБ)
• По Приказам ФСТЭК № 17, 21, 31, 239 — как часть организационных мер защиты
• По 152-ФЗ — как элемент системы защиты ПДн
• По 187-ФЗ — для субъектов КИИ
• При аттестации ИС — входит в обязательный пакет документов

Это два разных документа с разными целями:

• Политика ИБ — охватывает ВСЮ информацию организации (коммерческая тайна, служебная информация, ПДн, технологические данные). Фокус на целостность, доступность, конфиденциальность
• Политика обработки ПДн — только персональные данные. Фокус на права субъектов ПДн и выполнение 152-ФЗ

В небольших организациях эти документы часто объединяют. Но для организаций с ГИС, КИИ или аттестованными системами — это обязательно отдельные документы.

1. Общие положения. Назначение документа, область применения, нормативные ссылки (152-ФЗ, 187-ФЗ, приказы ФСТЭК, ГОСТ 27001).

2. Термины и определения. Информационная безопасность, инцидент ИБ, актив, угроза, уязвимость, риск.

3. Объекты защиты. Перечень информационных активов: ИС, СУБД, каналы связи, рабочие станции, серверы, ПДн, коммерческая тайна.

4. Угрозы и риски. Ссылка на модель угроз, основные категории рисков, подход к оценке рисков.

5. Принципы обеспечения ИБ. Системность, комплексность, непрерывность, своевременность, законность, экономическая целесообразность.

6. Организационная структура ИБ. Роли и ответственность: руководитель, ответственный за ИБ, администраторы ИС, пользователи, комиссия по ИБ.

7. Управление доступом. Принцип минимальных привилегий, парольная политика, многофакторная аутентификация, управление учётными записями.

8. Защита от вредоносного ПО. Антивирусная защита, контроль приложений, песочницы, обновление баз.

9. Управление инцидентами. Порядок выявления, регистрации, реагирования, анализа причин. Ссылка на план реагирования.

10. Физическая безопасность. Контроль доступа в серверные, видеонаблюдение, уничтожение носителей.

11. Обучение и осведомлённость. Программа обучения сотрудников, тестирование, периодичность.

12. Контроль и пересмотр. Аудит ИБ, периодичность пересмотра политики (не реже 1 раза в год), порядок внесения изменений.

• Субъектам КИИ — по Приказу ФСТЭК № 235 (требования к системе безопасности значимых объектов КИИ)
• Операторам ГИС — по Приказу ФСТЭК № 17 / 117
• Операторам ИСПДн — по Приказу ФСТЭК № 21 (рекомендуется для УЗ-1, УЗ-2)
• Финансовым организациям — по требованиям ЦБ РФ (683-П, 719-П)
• Организациям с СУИБ — по ГОСТ Р ИСО/МЭК 27001

Для малого бизнеса документ не обязателен, но настоятельно рекомендуется — он систематизирует подход к безопасности и снижает риски при инцидентах.

Три способа:

1. Самостоятельно — по структуре из 12 разделов выше. Подходит для организаций с штатным специалистом ИБ
2. В конструкторе — используйте наш онлайн-конструктор, заполните поля и получите готовый документ за 15 минут
3. По шаблону — скачайте образец политики ИБ и адаптируйте под вашу организацию

Важно: политика ИБ утверждается руководителем организации и доводится до всех сотрудников под подпись. Без утверждения документ не имеет юридической силы.