1
Общие положения
Назначение документа, область действия, на кого распространяется, нормативные ссылки (152-ФЗ, Приказ ФСТЭК № 21, ПП 1119).
Организационный документ
152-ФЗ20265 мин
Инструкция пользователя информационной системы
Готовый образец инструкции пользователя ИС на 2026 год: структура по Приказу ФСТЭК № 21, правила работы с ПДн, парольная политика, действия при инцидентах. Создайте в конструкторе за 10 минут или скачайте образец.
* Образец носит информационный характер. Рекомендуем адаптировать под вашу организацию.
Почему этот документ важен
Инструкция пользователя ИС реализует меру **УПД.13** из Приказа ФСТЭК № 21 — «Реализация защищённого удалённого доступа и управление доступом субъектов при работе с информационной системой». По отраслевым исследованиям, до 60% инцидентов с ПДн связаны с действиями или ошибками рядовых сотрудников. Отсутствие инструкции = отсутствие доказательства организационных мер защиты, штраф по ч. 6 ст. 13.11 КоАП: до 150 000 ₽, повторно — до 500 000 ₽. [Рассчитайте риски для вашей организации](/shtrafy/calculator/).
Что такое инструкция пользователя ИС и зачем она нужна
Инструкция пользователя информационной системы — организационно-распорядительный документ, устанавливающий правила работы сотрудников с информационной системой, в которой обрабатываются персональные данные.
Требование наличия инструкции вытекает из:
- ФЗ-152, ст. 18.1, п. 1 — оператор обязан применять организационные и технические меры;
- Приказ ФСТЭК № 21, мера УПД.13 — управление доступом пользователей к ИС;
- Приказ ФСТЭК № 21, мера ПАВ.2 — антивирусная защита, правила для пользователей;
- ПП РФ № 1119, п. 13 — организация режима безопасности помещений.
Инструкция решает три задачи:
- Информирует сотрудников о правилах безопасной работы с ПДн;
- Фиксирует ответственность — ознакомление под роспись создаёт юридическое основание для привлечения к дисциплинарной ответственности;
- Выполняет требования регулятора — при проверке ФСТЭК и Роскомнадзора инструкция входит в обязательный пакет ОРД.
Структура инструкции пользователя ИС
Типовая инструкция пользователя информационной системы включает следующие разделы:
2
Права и обязанности пользователя ИС
- Работать только с данными, необходимыми для выполнения должностных обязанностей;
- Соблюдать парольную политику;
- Блокировать рабочую станцию при отлучении;
- Немедленно сообщать об инцидентах ответственному за безопасность ПДн.
3
Правила работы с паролями
Требования к длине (не менее 8 символов), сложности, периодичности смены (каждые 90 дней), запрет записывать пароли, запрет передачи коллегам.
4
Правила работы со съёмными носителями
Ограничения на использование личных USB-устройств, порядок учёта служебных носителей, запрет копирования ПДн на неучтённые носители.
5
Правила антивирусной защиты
Запрет отключения антивируса, действия при обнаружении вредоносного ПО, запрет запуска неизвестных программ.
6
Запрещённые действия
Передача учётных данных, установка стороннего ПО, отключение средств защиты, вынос ПДн за пределы контролируемой зоны без разрешения.
7
Действия при инцидентах
Порядок уведомления, кого и как информировать, действия до прибытия специалиста.
8
Ответственность
Дисциплинарная, административная, уголовная ответственность за нарушение правил обработки ПДн.
Создайте инструкцию пользователя в конструкторе
Ответьте на вопросы о вашей организации и ИСПДн — конструктор сформирует инструкцию с учётом вашего уровня защищённости и состава средств защиты.
Создать инструкциюЧто запрещено пользователю ИС: типовые пункты
Раздел «Запрещённые действия» — ключевой с точки зрения проверяющих органов. Типовые запреты:
- Передавать учётные данные (логин/пароль) другим сотрудникам, в том числе руководителю;
- Записывать пароли на бумаге, в файлах, в мессенджерах;
- Оставлять без присмотра рабочую станцию с незаблокированной сессией;
- Устанавливать стороннее ПО без согласования с администратором ИСПДн;
- Отключать средства защиты (антивирус, межсетевой экран, средства контроля доступа);
- Копировать ПДн на личные устройства, облачные хранилища, личную почту;
- Использовать личные USB-носители для хранения и переноса ПДн;
- Предоставлять доступ к ИСПДн третьим лицам без письменного разрешения;
- Выносить документы с ПДн за пределы контролируемой зоны без разрешения;
- Обсуждать ПДн в публичных местах, мессенджерах, социальных сетях.
Каждый пункт запрета должен быть обоснован ссылкой на конкретную меру из Приказа ФСТЭК № 21 (УПД, ЗНИ, АВЗ и др.).
Ознакомление сотрудников: порядок и юридические нюансы
Инструкция без ознакомления под роспись не имеет юридической силы. Порядок:
1. Утверждение. Инструкция утверждается приказом руководителя организации. Рекомендуется утверждать одновременно с положением об обработке ПДн и приказом о назначении ответственного.
2. Ознакомление. Каждый сотрудник, имеющий доступ к ИСПДн, должен быть ознакомлен под роспись. Лист ознакомления — обязательное приложение к инструкции.
3. Повторное ознакомление. При существенном изменении инструкции (новые ИСПДн, новые средства защиты, изменение политик) — повторное ознакомление всех пользователей.
4. Новые сотрудники. Ознакомление с инструкцией — до предоставления доступа к ИСПДн (не после!).
5. Хранение. Листы ознакомления хранятся весь период работы сотрудника + 3 года после увольнения.
При проверке Роскомнадзора и ФСТЭК запрашиваются именно листы ознакомления — не сама инструкция, а доказательства, что сотрудники с ней ознакомлены. Проверьте готовность документов к проверке.
Что должна содержать инструкция пользователя ИС
- Область действия: перечень ИСПДн и должностей, на которые распространяется
- Нормативные ссылки: 152-ФЗ, Приказ ФСТЭК № 21, ПП 1119
- Права и обязанности пользователя ИС
- Правила работы с паролями (длина, сложность, смена, запрет передачи)
- Правила работы со съёмными носителями информации
- Правила антивирусной защиты (запрет отключения, действия при обнаружении)
- Перечень запрещённых действий с обоснованием
- Порядок действий при инцидентах безопасности
- Ответственность за нарушение (дисциплинарная, административная)
- Лист ознакомления с подписями сотрудников
- Дата утверждения и подпись руководителя
Образец: инструкция пользователя ИС для малого бизнеса
Организация: ООО «Рога и Копыта» ИСПДн: «Клиенты» (CRM Bitrix24), «Кадры» (1С:ЗУП) Уровень защищённости: УЗ-4
Область действия: все сотрудники, имеющие доступ к ИСПДн «Клиенты» и «Кадры» (менеджеры, бухгалтерия, кадры, руководство).
Ключевые правила:
- Пароль: 8+ символов, буквы + цифры + спецсимволы, смена каждые 90 дней;
- Блокировка ПК: Win+L при отлучении, автоблокировка через 5 минут;
- USB: только учтённые служебные носители;
- Инциденты: немедленно уведомить ответственного (Иванов И.И., вн. тел. 123).
Утверждена: приказом директора от 01.01.2026 № 5-ПДн. Ознакомлены: 12 сотрудников (листы ознакомления в приложении).
Скачать образец
Актуальный бланк 2026 года в формате DOCX
Полный пакет ОРД по 152-ФЗ от экспертов
Разработаем инструкцию пользователя ИС и весь пакет организационно-распорядительных документов с учётом специфики вашей организации.
Заказать разработкуЧасто задаваемые вопросы
Прямого требования «иметь инструкцию пользователя» в 152-ФЗ нет. Однако Приказ ФСТЭК № 21 требует реализации мер управления доступом (УПД), защиты носителей информации (ЗНИ), антивирусной защиты (АВЗ) — все эти меры невозможно обеспечить без документально закреплённых правил для пользователей. На практике при любой проверке ФСТЭК наличие инструкции пользователя ИС проверяется в составе организационно-распорядительной документации.
Нужен полный пакет документов по 152-ФЗ?
Подготовим комплект под ключ с адаптацией под ваш бизнес. Можно собрать самостоятельно.
Связанные материалы
Инструкция по обработке ПДнИнструкция по обработке персональных данных для сотрудников — образец 2026, содержание, внедрение.Политика обработки ПДнОбразец политики обработки персональных данных для ООО, ИП и сайта.Положение об обработке ПДнОбразец положения об обработке персональных данных для организации 2026 года.Приказ о назначении ответственного за ПДнОбразец приказа о назначении ответственного за обработку персональных данных.