Информационная безопасность (ИБ) давно перестала быть заботой исключительно банков, госструктур или IT-корпораций. Сегодня даже небольшие компании, интернет-магазины и индивидуальные предприниматели сталкиваются с требованиями по защите информации: будь то персональные данные клиентов, коммерческая тайна или доступ к внутренним системам.
С каждым годом государственные органы ужесточают контроль в этой сфере. Особенно это касается компаний, работающих с персональными данными, обладающих лицензиями или взаимодействующих с государственными и крупными корпоративными заказчиками. В таких случаях отсутствие должным образом оформленных документов по ИБ может привести к штрафам, блокировке систем, потере контрактов.
По данным проверок Роскомнадзора, более 60% организаций в России не имеют полного комплекта обязательных документов по защите информации.
Бизнесу часто непонятно: что конкретно должно быть оформлено, какие документы обязательны, а какие — рекомендованы, кто их составляет и зачем всё это нужно, если «и так всё работает».
Цель этой статьи — понятно, без перегруза, объяснить, какие документы по информационной безопасности должен иметь каждый бизнес, от малого до крупного. Мы разберём:
- из чего состоит базовый комплект ИБ-документов;
- какие акты требуют государственные органы;
- как адаптировать документы под конкретную компанию;
- и как встроить ИБ в реальные бизнес-процессы, а не просто «сделать для галочки».
Плюс — вы найдёте практические таблицы, советы экспертов, чтобы проверить, насколько ваша компания сейчас защищена.
Что входит в комплект обязательных документов по ИБ
Информационная безопасность (ИБ) — не просто модное словосочетание в договоре с подрядчиком. Это системный подход к защите данных и процессов, который невозможно реализовать без формализованных правил. Для большинства организаций наличие определённого набора внутренних документов по ИБ — не рекомендация, а требование законодательства, особенно если компания обрабатывает персональные данные, работает с государственными или крупными коммерческими заказчиками.
Каждому бизнесу важно понимать: что именно должно быть оформлено, кто несёт ответственность за подготовку документов, и какова их практическая ценность.
Ниже — общий перечень ключевых документов, которые формируют каркас системы ИБ в компании.
| Название документа | Назначение | Обязателен для |
| Политика информационной безопасности | Определяет общие цели, принципы и подходы к ИБ | Все организации |
| Приказ о назначении ответственного за ИБ | Назначает сотрудника, отвечающего за реализацию мер ИБ | Все организации |
| Регламент обработки информации | Описывает процессы работы с данными, доступ, хранение | Все организации |
| Положение об ИБ | Раскрывает структуру, уровни доступа, правила работы | Средний и крупный бизнес |
| Политика обработки персональных данных | Требуется при сборе и хранении ПДн | Все, кто работает с ПДн |
| Согласие на обработку ПДн | Получение юридического разрешения от субъектов данных | Все, кто работает с ПДн |
| Журнал учёта инцидентов или нарушений ИБ | Фиксация утечек, попыток доступа, нарушений | Средний и крупный бизнес |
| Инструкции по работе с конфиденциальной информацией | Обучение персонала и контроль действий | Все организации |
| Журнал ознакомления с документами | Подтверждает, что сотрудники осведомлены об ИБ | Все организации |
Список может варьироваться в зависимости от сферы деятельности, наличия лицензий, категории обрабатываемых данных. Но даже микробизнес с одним сайтом и формой обратной связи, собирающей e-mail, обязан иметь политику обработки ПДн и согласие на обработку.
Большинство предпринимателей сталкиваются с двумя ошибками:
- Скачивают шаблоны и забывают адаптировать под свою деятельность.
- Оформляют документы «для галочки», не внедряя их в реальные бизнес-процессы.
Это подход, который не только не работает, но и увеличивает риски при проверке — особенно если документы противоречат фактическим действиям компании.
Локальные акты по ИБ — не просто юридическая формальность. Это основа доказательной базы в случае утечки, конфликта с сотрудником, или проверки регулятора. Отсутствие или несоответствие может привести к штрафам до 500 тыс. рублей и временной блокировке процессов.
Политика информационной безопасности: зачем она нужна и что в ней должно быть
Политика информационной безопасности — это базовый, системообразующий документ, на который опирается вся остальная документация по ИБ. Её основная цель — определить общие правила, приоритеты, зоны ответственности и принципы работы с информацией внутри компании. Без неё любые регламенты и инструкции теряют структуру, а действия сотрудников — логическую основу.
Часто можно услышать: «Мы небольшая компания, нам ИБ-политика ни к чему». Но в реальности наличие такого документа требуется во всех организациях, где обрабатываются данные, особенно персональные, финансовые, договорные или внутренние.
Что должно быть в политике информационной безопасности
Вот типовая структура документа (может быть адаптирована под конкретную компанию):
- Цель политики — зачем она нужна, какие риски закрывает.
- Область действия — на какие данные, процессы, сотрудников распространяется.
- Основные понятия — определения, используемые в документе.
- Распределение ответственности — кто за что отвечает: ИБ-специалист, ИТ-служба, сотрудники.
- Требования к защите информации — доступ, хранение, передача, уничтожение.
- Контроль и аудит — как контролируется соблюдение, кто проверяет.
- Ответственность за нарушения — меры воздействия при несоблюдении.
- Порядок пересмотра и обновления — как и когда актуализируется документ.
Политика ИБ — не технический документ, а управленческий. Он должен быть понятен не только айтишникам, но и юристу, директору, бухгалтеру. Сложные формулировки, непонятные аббревиатуры, ссылки на ГОСТы без пояснений — делают документ бесполезным для повседневной работы.
Кто разрабатывает и как утверждается политика
Обычно документ готовит специалист по информационной безопасности, внутренний или внешний. В малом бизнесе этим часто занимается ответственный за ПДн, либо IT-специалист с компетенцией в области ИБ. В любом случае:
- утверждает документ руководитель организации (приказом);
- доводится до всех сотрудников под роспись;
- пересматривается не реже одного раза в год, а также при существенных изменениях (введение новых систем, смена персонала, смена законодательства и т.д.).
Если политика ИБ есть только «на бумаге» и сотрудники с ней не ознакомлены — при утечке данных регулятор сочтёт, что её фактически не существует, даже если документ лежит в папке на сервере.
Приказы, положения и регламенты: управляем процессами по закону
Когда политика информационной безопасности утверждена, следующим шагом становится её развёртывание на практике. Это делается через систему локальных нормативных актов: приказы, регламенты, положения. Эти документы детализируют, как именно организация будет реализовывать цели политики — кто отвечает, что делает, в каком порядке, и на каких условиях.
Проще говоря: политика — это стратегия, а приказы и регламенты — тактика.
Обязательные приказы
Наиболее важный документ на этом уровне — приказ о назначении ответственного за обеспечение информационной безопасности. Именно он формализует, кто следит за соблюдением всех требований, разрабатывает и обновляет документацию, организует обучение и контроль.
Если ответственный за ИБ не назначен приказом, любые другие документы могут быть признаны юридически ничтожными при проверке — потому что непонятно, кто отвечает за их исполнение.
Дополнительно могут оформляться:
- приказ о введении в действие политики ИБ;
- приказ о назначении ответственного за обработку персональных данных (если организация работает с ПДн);
- приказ о проведении внутреннего аудита ИБ (при подготовке к проверке или сертификации);
- приказ о внедрении новых ИТ-средств защиты (например, СЗИ от НСД, антивирус, VPN и др.).
Положения и регламенты
Эти документы детализируют отдельные аспекты защиты информации. Они могут называться по-разному: регламент, положение, инструкция, но их суть — в конкретике.
Примеры ключевых регламентов:
| Документ | Содержание | Зачем нужен |
| Положение об ИБ | Распределение ролей и уровней доступа, структура управления ИБ | Основной документ «второго уровня» |
| Регламент обработки информации | Описание всех этапов: от сбора до уничтожения | Обязателен при работе с ПДн |
| Инструкция по работе с носителями | Как использовать USB, HDD, бумажные носители и т.д. | Для исключения утечек через физические носители |
| Порядок разграничения прав доступа | Кто и к чему имеет доступ в ИТ-системах | Для контроля над доступом к критичной информации |
| Регламент резервного копирования | Частота, объёмы, хранение резервных копий | Обеспечивает непрерывность бизнес-процессов |
Каждый из этих документов должен быть адаптирован под реальную структуру и процессы компании. Использование шаблонов без изменений — одна из самых частых ошибок, приводящих к штрафам и отказам при сертификациях.
Кто составляет и утверждает
- Разработка — ответственность назначенного приказом специалиста (внутреннего или внешнего).
- Утверждение — всегда руководитель компании.
- Ознакомление — обязательное, под подпись, с внесением в журнал ознакомления с ИБ-документацией.
Документы по персональным данным: соблюдаем 152-ФЗ без паники
Работа с персональными данными (ПДн) — это не только настройка CRM или сбор заявок на сайте, но и юридическая обязанность соблюдать закон № 152-ФЗ «О персональных данных». Даже если вы просто принимаете звонки от клиентов и записываете номера телефонов — вы уже являетесь оператором ПДн, а значит, обязаны соблюдать определённые требования.
Их нарушение может привести не только к штрафам от 30 000 до 500 000 рублей, но и к блокировке сайта, проблемам с подрядчиками, а в ряде случаев — к уголовной ответственности.
Обязательные документы по ПДн
Вот базовый перечень документов, которые должны быть у любого оператора персональных данных:
| Документ | Назначение |
| Политика обработки ПДн | Официально публикуется на сайте. Описывает, какие данные собираются, цели, правовое основание, сроки хранения и порядок удаления |
| Согласие на обработку ПДн | Подписывается клиентами, сотрудниками, пользователями. Может быть бумажным или электронным |
| Приказ о назначении ответственного за ПДн | Фиксирует, кто в компании отвечает за соблюдение закона 152-ФЗ |
| Регламент обработки ПДн | Описывает порядок сбора, хранения, передачи, уничтожения данных |
| Журнал учёта обращений субъектов ПДн | Ведётся при поступлении запросов от граждан по поводу их данных |
| Журнал учёта носителей информации | Особенно важен при работе с бумажными или съёмными носителями |
| Инструкция для сотрудников по работе с ПДн | Помогает избежать случайных или преднамеренных нарушений |
| Соглашения о конфиденциальности с сотрудниками | Подтверждают, что персонал обязуется хранить данные в тайне |
Даже если вы используете сторонние сервисы (например, облачную CRM или email-маркетинг), вы всё равно остаетесь оператором ПДн, а значит, обязаны информировать пользователей и обеспечивать защиту данных.
Типовые ошибки и их последствия
- Нет политики на сайте — считается нарушением, даже если собирается только e-mail.
- Форма «Оставьте заявку» без согласия — административное правонарушение.
- Подписи сотрудников не собираются — нет юридического подтверждения осведомлённости.
- Сроки хранения данных не определены — риск утечки или незаконного использования.
Одна из самых частых ошибок — использовать согласие «для всех случаев жизни». На самом деле согласие должно быть конкретным: на обработку определённого набора данных, в рамках определённой цели. И пользователь должен иметь возможность это согласие отозвать.
Где и как хранить документы
- Электронные формы — допустимы, но должны быть защищены от несанкционированного доступа.
- Бумажные формы — хранятся в закрытых шкафах, с ограниченным доступом.
- Срок хранения — зависит от цели сбора, но не дольше, чем необходимо. После достижения цели данные подлежат уничтожению (документально фиксируется).
Служебные инструкции и работа с сотрудниками: как избежать «человеческого фактора»
По статистике, более 80% инцидентов в сфере информационной безопасности происходят по вине сотрудников — случайно, из-за незнания или по злому умыслу. Даже самая надёжная система с продвинутыми средствами защиты будет уязвимой, если человек нажмёт не туда, передаст логин по телефону или вынесет клиентскую базу на флешке.
Именно поэтому важнейшей частью любой системы ИБ являются документы, регулирующие действия сотрудников, а также процедуры их обучения, инструктажа и фиксации ответственности.
Обязательные документы и инструкции
- Инструкция по работе с конфиденциальной информацией
— Объясняет, какие данные считаются конфиденциальными, как с ними обращаться, где их можно хранить, кому передавать и в каком виде.
— Часто составляется в виде приложения к трудовому договору или отдельного локального акта. - Инструкция по работе с персональными данными
— Подробно регламентирует действия при сборе, хранении, передаче и удалении ПДн.
— Включает информацию о сроках хранения, порядке уничтожения, уведомлениях и прочем. - Соглашение о конфиденциальности / NDA
— Юридически закрепляет обязанность сотрудника не разглашать служебную информацию. - Журнал ознакомления с ИБ-документами
— Ведётся для фиксации того, что каждый сотрудник прочитал и понял инструкции.
— Подписи обязательны, особенно при проверках со стороны Роскомнадзора или ФСТЭК.
Просто наличие инструкции не спасает. Проверяющие органы обязательно попросят журнал с подписями сотрудников. Если человек уволился, а журнал не подписан — вся ИБ-документация может быть признана недействительной.
Обучение и регулярное напоминание
- Проведение первичного инструктажа — при приёме на работу.
- Периодическое обучение — 1 раз в год или при изменениях в документах.
- Тестирование знаний (внутренние опросы, контрольные вопросы).
- Плакаты, памятки, внутренние рассылки — чтобы информация не терялась.
Особенности для удалённой и проектной работы
- Для удалённых сотрудников важно прописать правила доступа к корпоративным системам, использования личных устройств, подключения к Wi-Fi.
- Проектные команды или подрядчики должны подписывать отдельные NDA и проходить экспресс-инструктажи (особенно если имеют доступ к CRM, базам данных, облачным хранилищам).
Проблема не в доверии к сотрудникам, а в управлении рисками. Хорошо оформленные инструкции и система учёта позволят руководству снизить штрафы или избежать ответственности в случае утечки.
Что проверяют надзорные органы: как подготовиться к проверке и не попасть на штраф
Когда приходит проверка от Роскомнадзора, ФСТЭК или другого регулятора, у бизнеса есть два варианта развития событий:
а) спокойно предоставить документы, подтвердив соблюдение требований,
б) начать судорожно искать «бумажки», которые никто не читал и не подписывал.
Во втором случае всё заканчивается либо штрафом, либо предписанием, либо — в худшем варианте — приостановкой деятельности, особенно при утечках персональных данных.
Понимание того, что конкретно проверяют, позволяет подготовиться заранее и не тратить нервы в последний момент.
Кто и что проверяет
| Орган | Что проверяет |
| Роскомнадзор | Соблюдение 152-ФЗ: работа с персональными данными, согласия, политика, защита |
| ФСТЭК России | Требования к защите информации (в т.ч. в КИИ, ГИС, обработка конфиденциальных сведений) |
| ФСБ России | Использование сертифицированных СЗИ (при работе с госданными, гостайной) |
| Прокуратура | Общий контроль законности: наличие документов, назначение ответственных лиц |
| Трудинспекция | Наличие инструктажей, согласий, подписей работников |
Что запрашивают при проверке чаще всего
- Политику обработки ПДн — размещена ли на сайте, соответствует ли текущей практике.
- Согласия субъектов на обработку данных — особенно для клиентов и сотрудников.
- Приказ о назначении ответственного за ПДн и/или ИБ.
- Журнал ознакомления сотрудников с ИБ-документами.
- Регламенты обработки данных — кто, как, где и сколько хранит.
- Доказательства выполнения организационных и технических мер — есть ли контроль доступа, резервное копирование, обучение персонала и т.п.
- Журнал учёта обращений субъектов ПДн — фиксируются ли запросы от граждан.
Проверка может быть как плановой, так и внеплановой. Поводом для последней часто становятся жалобы от клиентов, сотрудников, партнёров — или утечка данных, выявленная на внешних ресурсах.
Частые ошибки, которые ведут к штрафам
- Документы скачаны из интернета и не адаптированы под компанию.
- Нет подписей сотрудников, даже если инструкции есть.
- Политика ПДн размещена на сайте, но фактически не выполняется.
- В соглашениях используются размытые формулировки.
- Назначены ответственные, но без должностных инструкций.
- Удалённые сотрудники не включены в контур ИБ-документации.
Как подготовиться без паники
- Проведите аудит документации: что есть, что устарело, чего нет вообще.
- Составьте список документов, которые точно запросят при проверке.
- Назначьте ответственного за взаимодействие с регуляторами.
- Проверьте подписи сотрудников и наличие всех согласий.
- Убедитесь, что политика ПДн на сайте актуальна и не противоречит практике.
- Установите периодический пересмотр документов (раз в 12 месяцев или чаще при изменениях).
Даже минимальный комплект актуальных, подписанных и внедрённых документов может сократить штраф до минимума или полностью избежать наказания. А вот формальный подход типа «всё есть, но никто не читал» не спасает — наоборот, усугубляет ситуацию.
Как собрать и поддерживать документацию в актуальном состоянии
Собрать пакет документов по информационной безопасности — это только половина дела. Настоящая сложность — поддерживать его в рабочем, актуальном и применимом виде, особенно если бизнес развивается, меняются сотрудники, внедряются новые системы или появляются внешние требования.
Для контролирующих органов неактуальные документы = отсутствие документов. Если ваша политика датирована 2019 годом, а структура компании изменилась, считайте, что у вас её нет.
Когда и почему документы нужно обновлять
Вот основные поводы для пересмотра ИБ-документов:
- Изменение в законодательстве (например, новые поправки в 152-ФЗ, требования ФСТЭК).
- Смена ответственного за ИБ или ПДн.
- Внедрение новых IT-систем, хранилищ, сервисов.
- Изменение организационной структуры (слияние отделов, удалённые сотрудники, новые филиалы).
- Прохождение сертификации или подготовка к внешнему аудиту.
- Периодический пересмотр — рекомендуется не реже одного раза в 12 месяцев.
Во многих компаниях при проверке находят документы с прошлогодней датой и подписью уже уволенного сотрудника. Это автоматически считается нарушением.
Кто отвечает за актуальность и хранение
- Назначенный приказом ответственный по ИБ — ключевая фигура.
- В малом бизнесе — это может быть системный администратор, IT-директор или внешний подрядчик.
- Важно, чтобы у него были:
- доступ к актуальным шаблонам,
- понимание законодательства,
- возможность вовремя доводить изменения до сотрудников.
Документы можно хранить:
- В бумажном виде — обязательно для журналов подписей, согласий.
- В электронном виде — с ограниченным доступом и резервным копированием.
- В облаке — допустимо, если настроен безопасный доступ и шифрование.
Как упростить работу с документацией
- Создайте единый реестр ИБ-документов — с датами, ответственными и статусом (актуален / требует обновления).
- Используйте шаблоны, но адаптируйте под реальность: процессы, ПО, роли сотрудников.
- Настройте напоминания (например, раз в год — пересмотр политики, регламентов).
- Проводите экспресс-аудит перед проверкой или при смене IT-структуры.
- Автоматизируйте сбор подписей и учёт документов через корпоративный портал, 1С, Битрикс24 и т.п.
- Периодически обновляйте знания сотрудников — рассылки, краткие инструкции, напоминания.
Типичный пример
Компания провела аудит и оформила все документы, включая политику ИБ, согласия и приказы. Через год уволился ответственный, сменился сайт и был подключён новый подрядчик по CRM. Никакие документы не были пересмотрены. При проверке выяснилось, что:
- политике два года,
- журнал не содержит подписи новых сотрудников,
- данные отправляются в сторонний сервис без согласия клиентов.
Результат — предписание, штраф и обязанность всё переделать заново. И это — реальный кейс, который встречается чаще, чем кажется.
Заключение: документы по ИБ — это защита, а не бюрократия
Информационная безопасность — не просто набор правил и бумаг «для галочки». Это основа устойчивости бизнеса в цифровую эпоху, где данные — главная ценность, а любая утечка может привести к серьёзным последствиям: финансовым, репутационным и юридическим.
Что важно запомнить:
- Даже малый бизнес обязан оформлять документы по ИБ, если работает с данными клиентов или сотрудников.
- Минимальный пакет включает политику ИБ, приказы, регламенты, инструкции и согласия.
- Документы не должны лежать мёртвым грузом — они должны быть поняты, подписаны и внедрены.
- Подписи сотрудников и актуальность дат — критически важны при проверках.
- Регуляторы проверяют не только наличие документов, но и их соответствие реальности: структуре компании, системам, фактической практике.
Отсутствие документов по ИБ — это не мелкое упущение, а риск для бизнеса. Одна жалоба или утечка — и придётся объясняться не только с клиентами, но и с проверяющими органами.
Полезные ссылки
- Федеральный закон № 152-ФЗ «О персональных данных»
- Рекомендации Роскомнадзора по оформлению политики ПДн
- Приказ ФСТЭК России № 239 (о защите информации)
- ГОСТ Р 57580.1-2017 – Безопасность финансовых (и не только) организаций
Что можно сделать уже сегодня
- Провести мини-аудит — есть ли в компании документы по ИБ? Кто за них отвечает?
- Назначить ответственного за информационную безопасность — приказом.
- Составить или актуализировать политику ИБ.
- Подготовить простые инструкции и собрать подписи сотрудников.
- Проверить, что на сайте размещена политика обработки ПДн.
Если вы не уверены, с чего начать или какие именно документы подойдут вашей компании — обратитесь к специалистам, которые помогут оценить риски, привести документацию в порядок и подготовиться к проверкам.
Разработка и поддержка ИБ-документов — это не расходы, это инвестиция в защиту бизнеса.
