Разработка политики информационной безопасности
Почему политику ИБ нужно разработать сейчас
Риски растут с каждым месяцем промедления
Политика ИБ обязательна по Приказам ФСТЭК №21, №117 и №239
Без неё нет правовой базы для всей системы информационной безопасности
Аудиторы и проверяющие запрашивают политику ИБ в первую очередь
Отсутствие политики — основание для предписания при любой проверке ФСТЭК
Что такое политика ИБ и зачем она нужна
Политика информационной безопасности — главный документ, определяющий цели, принципы и подход организации к защите информации. Она является основой для всей системы ОРД: положений, регламентов, инструкций и приказов.
Требование наличия политики ИБ установлено: Приказом ФСТЭК № 21 (для ИСПДн), Приказом ФСТЭК № 117 (для ГИС), Приказом ФСТЭК № 239 (для КИИ), а также стандартами ГОСТ Р ИСО 27001, PCI DSS и отраслевыми нормами (ЦБ РФ, Минздрав).
Мы разрабатываем не «шаблонную бумагу», а рабочий комплект документов, адаптированный под реальные процессы, ИТ-инфраструктуру и регуляторные требования вашей организации.
Есть вопросы? Получите бесплатную консультацию эксперта
Что входит в разработку комплекта ОРД по ИБ
Политика верхнего уровня
Основной документ: цели, принципы, область действия, ответственность руководства и распределение ролей.
Положения по направлениям
Положение об управлении доступом, об инцидентах ИБ, о классификации информации, об управлении рисками.
Регламенты и процедуры
Регламент парольной политики, управления уязвимостями, резервного копирования, удалённого доступа.
Инструкции для сотрудников
Инструкции по работе с конфиденциальной информацией, использованию съёмных носителей, действиям при инцидентах.
Адаптация под отрасль
Учитываем требования ЦБ РФ (683-П, 684-П), Минздрава (приказ 911н), операторов связи и других регуляторов.
Приказы и листы ознакомления
Приказ об утверждении политики ИБ, назначении ответственных, листы ознакомления для сотрудников.
Не уверены, что именно нужно?
Проведём бесплатный экспресс-разбор за 30 минут: оценим текущее состояние, определим риски и подскажем оптимальный формат работы.
Кому нужна политика информационной безопасности
Есть вопросы? Получите бесплатную консультацию эксперта
Как мы работаем
Прозрачный процесс с фиксированными этапами и результатами
Обследование
Изучаем ИТ-инфраструктуру, процессы, действующие документы и регуляторные требования.
Разработка
Готовим политику, положения, регламенты и инструкции — с учётом специфики организации.
Согласование
Презентуем документы руководству, вносим корректировки, учитываем замечания.
Внедрение
Помогаем утвердить, ознакомить сотрудников и запустить процессы по новым документам.
Почему выбирают Кибероснова
Адаптация под отрасль
Учитываем специфику вашей отрасли: финансы, медицина, промышленность, ИТ — разные требования, разные документы.
Рабочий документ, не шаблон
Документы описывают реальные процессы вашей организации — не формальная бумага, а руководство к действию.
Комплект ОРД, не только политика
Разрабатываем весь комплект: политика + положения + регламенты + инструкции + приказы.
Сопровождение внедрения
Помогаем утвердить документы, ознакомить сотрудников и запустить процессы — не бросаем после передачи.
Инструменты без регистрации
Бесплатные калькуляторы и образцы — для самостоятельной работы
Вопросы и ответы
Нужна политика ИБ и комплект ОРД?
Оставьте заявку — определим состав документов и подготовим под вашу организацию.
Чем мы отличаемся
Преимущества политики ИБ в Кибероснова
Политика + 15-25 связанных документов
Не один документ, а полный комплект ОРД по ИБ с правильной перекрёстной структурой. Готов к аттестации.
6 фреймворков в одной политике
Политика покрывает 152-ФЗ + ФСТЭК Приказы №21/№117/№239/№31 + ПП РФ №1119 + 187-ФЗ. Не нужны три разные политики для разных типов систем.
Автообновления при изменениях НПА
После 420-ФЗ от 30.11.2024 шаблоны автоматически обновлены. У консультантов — каждое изменение = новый счёт.
Адаптация под отрасль
Финансы, медицина, IT, производство, образование, ритейл — автоматическая настройка под специфические требования и риски.
Что входит в комплект ОРД по ИБ
Полный комплект — 15-25 документов в 4 категориях.
1. Главный документ
- Политика информационной безопасности — 10 разделов
2. Положения (домены защиты)
- Положение об обработке ПДн
- Положение о защите коммерческой тайны
- Положение о защите ГИС (если применимо)
- Положение об управлении инцидентами безопасности
3. Регламенты (процессы)
- Регламент управления доступом
- Регламент резервного копирования и восстановления
- Регламент обновления ПО и патч-менеджмент
- Регламент антивирусной защиты
- Регламент реагирования на инциденты с уведомлением РКН 24/72 ч
- Регламент работы с СЗИ
4. Инструкции и приказы
- Инструкция пользователя ИСПДн
- Инструкция администратора безопасности
- Инструкция ответственного за ПДн (ст. 22.1)
- Приказы о назначении ответственных
- Журналы учёта событий, инструктажей, инцидентов
Состав комплекта ОРД по ИБ
Сводная таблица: какой документ какую задачу закрывает и с какими НПА связан.
| Документ | Что закрывает | Связанные НПА |
|---|---|---|
| Политика информационной безопасности | Цели, принципы, область действия, роли и ответственность — фундамент всей системы ОРД | Приказы ФСТЭК №21, №117, №239 |
| Модель угроз | Актуальные угрозы и обоснование выбора мер защиты | Методика ФСТЭК 2021 |
| Положение об обработке ПДн | Правила работы с персональными данными | 152-ФЗ, ПП РФ №1119 |
| Положение о защите коммерческой тайны | Режим конфиденциальности коммерческой информации | — |
| Положение о защите ГИС (если применимо) | Требования к государственным информационным системам | Приказ ФСТЭК №117 |
| Положение об инцидентах + регламент реагирования | Выявление и разбор инцидентов, уведомление РКН 24/72 ч | 152-ФЗ (ред. 420-ФЗ) |
| Регламенты процессов: доступ, резервное копирование, обновление ПО, антивирусная защита, СЗИ | Повседневная эксплуатация системы защиты | Приказы ФСТЭК №21, №239 |
| Инструкции: пользователь ИСПДн, администратор безопасности, ответственный за ПДн | Обязанности персонала при работе с защищаемой информацией | 152-ФЗ (ст. 22.1) |
| Приказы, листы ознакомления, журналы учёта | Ввод комплекта в действие, фиксация ознакомления и событий | — |
Для отдельных отраслей комплект дополняется: финансовые организации — нормативы ЦБ РФ (683-П, 684-П) и ГОСТ Р 57580, медицина — приказ Минздрава 911н.
Разработка комплекта ОРД по ИБ под ключ
от 90 000 ₽
Точная стоимость зависит от состава комплекта и отрасли
Этапы разработки
Этап 1. Аудит и анализ (1 неделя)
Подписание NDA. Анализ существующих документов и процессов. Определение объёма работ — какие домены защиты нужны (ПДн только / + КТ / + ГИС / + КИИ). Согласование структуры будущего комплекта.
Этап 2. Разработка политики ИБ (1 неделя)
Подготовка главного документа — 10 разделов. Юридическая экспертиза формулировок. Согласование с заказчиком — внесение специфики компании.
Этап 3. Разработка связанных документов (1-2 недели)
Положения, регламенты, инструкции, приказы, журналы. Все документы с правильными взаимосвязями (положение об инцидентах → регламент реагирования → инструкции).
Этап 4. Внедрение и обучение (1 неделя)
Утверждение приказами руководителя. Подписание инструкций сотрудниками с инструктажем. Обучение ответственного за ИБ. Запуск журналов учёта.
Политика ИБ и связанные документы: как комплект работает вместе
Комплект ОРД по ИБ — не набор разрозненных бумаг, а иерархия: каждый документ ссылается на вышестоящий и раскрывается в нижестоящих.
- Политика информационной безопасности — верхний уровень: цели, принципы, роли. На неё ссылаются все положения и регламенты.
- Модель угроз — определяет актуальные угрозы и обосновывает выбор мер защиты.
- Положения и регламенты — развивают политику по направлениям: управление доступом, инциденты, резервное копирование.
- Инструкции и приказы — доводят требования до конкретных сотрудников и вводят комплект в действие.
Если организация — оператор ПДн, комплект по ИБ дополняется документами по 152-ФЗ: политика обработки ПДн, согласия, журналы. Их закрывает отдельная услуга — пакет документов по 152-ФЗ.
С чего начать
Запустите конструктор — политика ИБ + 15-25 документов бесплатно за 2-3 часа. Для индивидуальной разработки с юридической экспертизой — оставьте заявку на КП.
Полезные статьи по теме
Связанные публикации в блоге — политика ИБ и комплекты ОРД
Политика информационной безопасности — образец 2026
10 обязательных разделов + образец для разных типов организаций
ЧитатьПолитика обработки vs политика конфиденциальности
Разница между политикой ИБ, политикой ПДн и политикой конфиденциальности
ЧитатьКакие документы нужны по 152-ФЗ
Полный комплект ОРД оператора — место политики ИБ
ЧитатьПриказ ФСТЭК №21 — защита ПДн в ИСПДн
Откуда требование политики ИБ для операторов ПДн
ЧитатьПриказ ФСТЭК №117 — защита ПДн в ГИС
Политика ИБ для государственных информационных систем
ЧитатьАудит информационной безопасности
Проверка политики ИБ — первый этап любого аудита
Читать