Политика информационной безопасности
г. Москва«13» июля 2026 г.
__________, __________ г.р., паспорт __________, выдан __________ __________, зарегистрирован(-а) по адресу: __________, именуемый(-ая) в дальнейшем «Оператор персональных данных», совместно именуемые «Стороны», заключили настоящий договор о нижеследующем:
1. Наименование и реквизиты
1.1. __________
ИНН __________, ОГРН __________
__________
УТВЕРЖДЕНО
Приказом __________
от __________ № [№]
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
__________
2. Общие положения
2.1. 1.1. Настоящая Политика информационной безопасности (далее — Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152), Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных».
1.2. Политика распространяется на все информационные системы, бизнес-процессы, структурные подразделения и работников __________ (далее — Организация), а также на третьих лиц, которым предоставлен доступ к информационным ресурсам Организации на основании договора.
1.3. Цели Политики: обеспечение конфиденциальности, целостности и доступности информационных активов Организации; снижение рисков несанкционированного доступа, утечки, уничтожения или модификации персональных данных и коммерческой тайны; соблюдение требований действующего законодательства в сфере информационной безопасности.
1.4. Ответственным за реализацию настоящей Политики является __________ (Генеральный Директор), контакт: __________.
3. Классификация информационных активов
3.1. 2.1. Все информационные активы Организации подразделяются на следующие категории:
4. Управление доступом
4.1. 3.1. Доступ к информационным системам Организации предоставляется по принципу минимально необходимых привилегий (need-to-know / least privilege). Матрица доступа утверждается приказом руководителя и пересматривается не реже одного раза в год.
3.2. Двухфакторная аутентификация (2FA): не применяется. Для систем, содержащих персональные данные, применение 2FA является обязательным требованием Приказа ФСТЭК № 21 (мера ИАФ.2).
3.3. Учётные записи уволенных и переведённых работников блокируются в течение одного рабочего дня с момента издания соответствующего приказа.
3.4. Пароли должны соответствовать требованиям: длина не менее 8 символов, наличие букв верхнего и нижнего регистра, цифр и специальных символов; срок действия пароля — не более 90 дней; запрет повторного использования последних 5 паролей.
3.5. Журналы событий доступа к информационным системам: не ведутся.
5. Технические меры защиты
5.1. 4.1. Антивирусная защита: не применяется. Антивирусные базы обновляются не реже одного раза в сутки. Полное сканирование рабочих станций и серверов проводится не реже одного раза в неделю.
4.2. Межсетевое экранирование: не применяется. Межсетевой экран обеспечивает фильтрацию входящего и исходящего трафика согласно утверждённым правилам. Все неиспользуемые порты и протоколы заблокированы.
4.3. Система обнаружения и предотвращения вторжений (IDS/IPS): не применяется.
4.4. Шифрование при передаче данных: применяется. Для передачи персональных данных по открытым каналам связи применяется TLS 1.2 или выше.
4.5. Шифрование данных на хранении: не применяется. Базы данных, содержащие персональные данные, хранятся в зашифрованном виде.
4.6. Резервное копирование: не применяется. Резервные копии создаются автоматически не реже одного раза в сутки. Хранение резервных копий — не менее 30 дней. Проверка восстановления — не реже одного раза в квартал.
4.7. Система предотвращения утечек данных (DLP): не применяется.
4.8. Физическая безопасность серверных помещений: не реализована. Доступ в серверные помещения ограничен — разрешён только авторизованным лицам по утверждённому перечню.
6. Управление уязвимостями и обновлениями
6.1. 5.1. Обновления операционных систем и программного обеспечения устанавливаются в течение 72 часов с момента выхода критических патчей безопасности, некритических — в плановом порядке (не реже одного раза в месяц).
5.2. Сканирование уязвимостей информационных систем проводится не реже одного раза в квартал с использованием сертифицированных ФСТЭК инструментальных средств.
5.3. Пентест (тест на проникновение) проводится не реже одного раза в год привлечёнными специалистами или службой ИБ.
7. Ответственность работников
7.1. 6.1. Каждый работник, имеющий доступ к персональным данным и иной охраняемой информации, обязан: соблюдать требования настоящей Политики и локальных нормативных актов по защите ПДн; не допускать несанкционированного разглашения, копирования или уничтожения данных; незамедлительно сообщать о выявленных инцидентах ИБ ответственному __________.
6.2. За нарушение требований настоящей Политики работник несёт дисциплинарную, административную (ст. 13.11 КоАП РФ — штраф до 18 млн рублей для юрлиц по 572-ФЗ от 30.11.2024) и уголовную ответственность (ст. 137 УК РФ).
6.3. Инструктаж работников по вопросам информационной безопасности проводится при приёме на работу и не реже одного раза в год.
8. Реагирование на инциденты
8.1. 7.1. При обнаружении инцидента информационной безопасности работник обязан немедленно уведомить __________ по адресу __________ или телефону __________.
7.2. В случае если инцидент связан с утечкой или несанкционированным доступом к персональным данным, Оператор уведомляет Роскомнадзор в течение 24 часов после обнаружения инцидента, а результаты расследования — в течение 72 часов (ч. 3.1 ст. 21 ФЗ-152; Приказ РКН № 276 от 25.07.2024).
7.3. Все инциденты ИБ регистрируются в Журнале учёта инцидентов безопасности ПДн.
9. Аудит информационной безопасности
9.1. 8.1. Внутренний аудит ИБ проводится не реже одного раза в год ответственным __________ или привлечённой организацией.
8.2. По результатам аудита составляется акт с перечнем выявленных несоответствий и планом корректирующих мероприятий.
8.3. Оценка эффективности принятых мер защиты ПДн проводится не реже одного раза в три года в соответствии с ч. 4 ст. 19 ФЗ-152.
10. Пересмотр Политики
10.1. 9.1. Настоящая Политика пересматривается не реже одного раза в год или при существенном изменении состава информационных систем, нормативно-правовых требований либо по результатам аудита ИБ.
9.2. Актуальная версия Политики доводится до сведения всех работников Организации под подпись.
Генеральный директор _________________ / ________________ /
11. Реквизиты и подписи сторон
Оператор персональных данных Оператор персональных данных: __________
Дата рождения: __________
Паспорт: __________, выдан __________ __________
Адрес места жительства: __________ | |
| Оператор персональных данных ____________ / ________ | |