Политика информационной безопасности: что включает, как составить, обязательные разделы по ISO 27001 и ГОСТ Р ИСО/МЭК 27001. Образец 2026 года и конструктор документа.
* Образец носит информационный характер. Рекомендуем адаптировать под вашу организацию.
Политика информационной безопасности (политика ИБ) — это высокоуровневый организационный документ, определяющий цели, принципы, направления и основные правила обеспечения защиты информации в организации. Политика ИБ устанавливает единый подход к защите всех информационных активов: коммерческой тайны, персональных данных, служебной информации, ИТ-инфраструктуры.
Политика обработки персональных данных (ст. 18.1 152-ФЗ) — узкоспециализированный документ, регулирующий только обработку ПДн. Политика ИБ — зонтичный документ, охватывающий защиту информации в целом, включая ПДн как одну из категорий.
Политика ИБ рекомендована любой организации, обрабатывающей информацию ограниченного доступа. Обязательна для организаций, внедряющих СМИБ по ISO 27001, операторов ГИС, субъектов КИИ, финансовых организаций (требования ЦБ РФ), а также компаний, проходящих аудит информационной безопасности.
Политика информационной безопасности строится как каскад от целей к конкретным мерам. Типовая структура включает следующие обязательные разделы:
Определение стратегических целей ИБ: защита конфиденциальности, целостности и доступности информации. Задачи: минимизация рисков, соответствие законодательству, повышение осведомлённости.
Перечень информационных систем, подразделений, процессов и категорий информации, на которые распространяется политика.
Категории: открытая, для внутреннего использования, конфиденциальная, строго конфиденциальная. Правила маркировки и обращения с каждой категорией.
Владельцы информационных активов, администраторы безопасности, пользователи, руководство. Матрица ответственности RACI.
Контроль доступа в помещения, защита серверных комнат, видеонаблюдение, порядок допуска посетителей.
Принцип минимальных привилегий, парольная политика, многофакторная аутентификация, управление учётными записями, контроль привилегированного доступа.
Порядок обнаружения, регистрации, реагирования, расследования и устранения последствий инцидентов ИБ. Уведомление регуляторов.
План обеспечения непрерывности (BCP), план аварийного восстановления (DRP), резервное копирование, тестирование планов.
Внутренний аудит ИБ, анализ со стороны руководства, метрики эффективности, корректирующие действия.
Заполните данные организации — конструктор сформирует политику ИБ из 9 обязательных разделов с учётом вашей специфики.
Создать политику ИБ<b>Политика ИБ для коммерческих организаций</b> фокусируется на защите бизнес-информации, клиентских данных и коммерческой тайны.
<b>Ключевые особенности:</b>
<b>Объём документа:</b> 15–30 страниц. Утверждается генеральным директором.
| Критерий | Политика ИБ | Политика обработки ПДн | Концепция ИБ |
|---|---|---|---|
| Назначение | Правила защиты всей информации | Правила обработки персональных данных | Стратегическое видение развития ИБ |
| Нормативная основа | ISO 27001, ГОСТ Р ИСО/МЭК 27001, приказы ФСТЭК | Ст. 18.1 ФЗ-152, ПП 1119 | Доктрина ИБ РФ, ISO 27001 |
| Обязательность | Рекомендована (обязательна для ГИС, КИИ, финансы) | Обязательна для всех операторов ПДн | Рекомендована |
| Охват | Все информационные активы организации | Только персональные данные | Стратегия и архитектура ИБ |
| Объём | 15–70 страниц | 5–15 страниц | 10–30 страниц |
| Утверждение | Руководитель организации | Руководитель организации | Руководитель организации |
| Пересмотр | Ежегодно или при изменениях | При изменении законодательства или процессов | Каждые 3–5 лет |
| Публикация | Внутренний документ | Публикуется на сайте (ст. 18.1 152-ФЗ) | Внутренний документ |
УТВЕРЖДАЮ Генеральный директор ООО «_» _____________ / ФИО / Приказ № ____ от «» ____ 2026 г.
ПОЛИТИКА информационной безопасности ООО «___»
ОБЩИЕ ПОЛОЖЕНИЯ 1.1. Настоящая Политика определяет цели, принципы и основные направления обеспечения информационной безопасности в ООО «___» (далее — Организация). 1.2. Политика разработана в соответствии с ISO/IEC 27001:2022, ГОСТ Р ИСО/МЭК 27001-2021, ФЗ от 27.07.2006 № 149-ФЗ, ФЗ от 27.07.2006 № 152-ФЗ. 1.3. Действие Политики распространяется на все информационные системы, подразделения и работников Организации.
ЦЕЛИ И ЗАДАЧИ 2.1. Цели: обеспечение конфиденциальности, целостности и доступности информационных активов Организации. 2.2. Задачи: управление рисками ИБ, соответствие законодательству, защита от внутренних и внешних угроз, повышение осведомлённости персонала.
ОБЛАСТЬ ПРИМЕНЕНИЯ 3.1. Информационные активы: коммерческая тайна, персональные данные, служебная информация, ИТ-инфраструктура. 3.2. Информационные системы: [перечень ИС].
КЛАССИФИКАЦИЯ ИНФОРМАЦИИ 4.1. Категории: открытая, для внутреннего использования, конфиденциальная, строго конфиденциальная. 4.2. Маркировка документов обязательна для категорий «конфиденциальная» и выше.
УПРАВЛЕНИЕ ДОСТУПОМ 5.1. Принцип минимальных привилегий: доступ предоставляется в объёме, необходимом для выполнения должностных обязанностей. 5.2. Парольная политика: длина не менее 12 символов, смена каждые 90 дней, запрет повторного использования последних 5 паролей. 5.3. Многофакторная аутентификация обязательна для удалённого доступа и привилегированных учётных записей.
УПРАВЛЕНИЕ ИНЦИДЕНТАМИ 6.1. Все инциденты ИБ регистрируются в журнале учёта инцидентов. 6.2. Время реагирования: критические — 1 час, высокие — 4 часа, средние — 8 часов. 6.3. Уведомление руководства — в течение 24 часов с момента обнаружения инцидента.
НЕПРЕРЫВНОСТЬ БИЗНЕСА 7.1. Резервное копирование: ежедневное инкрементальное, еженедельное полное. 7.2. Тестирование восстановления — не реже одного раза в квартал.
КОНТРОЛЬ И АУДИТ 8.1. Внутренний аудит ИБ — не реже одного раза в год. 8.2. Анализ со стороны руководства — ежегодно.
ОТВЕТСТВЕННОСТЬ 9.1. Нарушение настоящей Политики влечёт дисциплинарную, административную или уголовную ответственность.
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ 10.1. Политика пересматривается ежегодно или при существенных изменениях. 10.2. Все работники знакомятся с Политикой под подпись.
Скачать образец
Актуальный бланк 2026 года в формате DOCX
Заполните данные об организации — получите готовую политику информационной безопасности, соответствующую требованиям ISO 27001 и ГОСТ Р ИСО/МЭК 27001.
Создать политику ИБ«Политика информационной безопасности организации» — сложный документ, который требует экспертизы. Обратитесь к специалистам Кибероснова — мы подготовим его под вашу организацию.
Подготовим комплект под ключ с адаптацией под ваш бизнес. Можно собрать самостоятельно.
