Политика информационной безопасности: образец 2026
Как выглядит «Политика информационной безопасности» и что важно в каждом пункте. Соберите свой вариант онлайн или скачайте бланк.
Политика информационной безопасности — базовый документ системы защиты информации оператора, определяющий цели, принципы и распределение ответственности.
Структура документа
Так выглядит документ: на месте ваших данных — прочерки «______». Заполните онлайн — подставятся ваши реквизиты.
Политика информационной безопасности
1. Наименование и реквизиты
______
ИНН ______, ОГРН ______
______
УТВЕРЖДЕНО
Приказом ______
от ______ № [№]
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
______
ИНН ______, ОГРН ______
______
УТВЕРЖДЕНО
Приказом ______
от ______ № [№]
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
______
2. Общие положения
1.1. Настоящая Политика информационной безопасности (далее — Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152), Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных».
1.2. Политика распространяется на все информационные системы, бизнес-процессы, структурные подразделения и работников ______ (далее — Организация), а также на третьих лиц, которым предоставлен доступ к информационным ресурсам Организации на основании договора.
1.3. Цели Политики: обеспечение конфиденциальности, целостности и доступности информационных активов Организации; снижение рисков несанкционированного доступа, утечки, уничтожения или модификации персональных данных и коммерческой тайны; соблюдение требований действующего законодательства в сфере информационной безопасности.
1.4. Ответственным за реализацию настоящей Политики является ______ (Генеральный Директор), контакт: ______.
1.2. Политика распространяется на все информационные системы, бизнес-процессы, структурные подразделения и работников ______ (далее — Организация), а также на третьих лиц, которым предоставлен доступ к информационным ресурсам Организации на основании договора.
1.3. Цели Политики: обеспечение конфиденциальности, целостности и доступности информационных активов Организации; снижение рисков несанкционированного доступа, утечки, уничтожения или модификации персональных данных и коммерческой тайны; соблюдение требований действующего законодательства в сфере информационной безопасности.
1.4. Ответственным за реализацию настоящей Политики является ______ (Генеральный Директор), контакт: ______.
3. Классификация информационных активов
2.1. Все информационные активы Организации подразделяются на следующие категории:
4. Управление доступом
3.1. Доступ к информационным системам Организации предоставляется по принципу минимально необходимых привилегий (need-to-know / least privilege). Матрица доступа утверждается приказом руководителя и пересматривается не реже одного раза в год.
3.2. Двухфакторная аутентификация (2FA): не применяется. Для систем, содержащих персональные данные, применение 2FA является обязательным требованием Приказа ФСТЭК № 21 (мера ИАФ.2).
3.3. Учётные записи уволенных и переведённых работников блокируются в течение одного рабочего дня с момента издания соответствующего приказа.
3.4. Пароли должны соответствовать требованиям: длина не менее 8 символов, наличие букв верхнего и нижнего регистра, цифр и специальных символов; срок действия пароля — не более 90 дней; запрет повторного использования последних 5 паролей.
3.5. Журналы событий доступа к информационным системам: не ведутся.
3.2. Двухфакторная аутентификация (2FA): не применяется. Для систем, содержащих персональные данные, применение 2FA является обязательным требованием Приказа ФСТЭК № 21 (мера ИАФ.2).
3.3. Учётные записи уволенных и переведённых работников блокируются в течение одного рабочего дня с момента издания соответствующего приказа.
3.4. Пароли должны соответствовать требованиям: длина не менее 8 символов, наличие букв верхнего и нижнего регистра, цифр и специальных символов; срок действия пароля — не более 90 дней; запрет повторного использования последних 5 паролей.
3.5. Журналы событий доступа к информационным системам: не ведутся.
5. Технические меры защиты
4.1. Антивирусная защита: не применяется. Антивирусные базы обновляются не реже одного раза в сутки. Полное сканирование рабочих станций и серверов проводится не реже одного раза в неделю.
4.2. Межсетевое экранирование: не применяется. Межсетевой экран обеспечивает фильтрацию входящего и исходящего трафика согласно утверждённым правилам. Все неиспользуемые порты и протоколы заблокированы.
4.3. Система обнаружения и предотвращения вторжений (IDS/IPS): не применяется.
4.4. Шифрование при передаче данных: применяется. Для передачи персональных данных по открытым каналам связи применяется TLS 1.2 или выше.
4.5. Шифрование данных на хранении: не применяется. Базы данных, содержащие персональные данные, хранятся в зашифрованном виде.
4.6. Резервное копирование: не применяется. Резервные копии создаются автоматически не реже одного раза в сутки. Хранение резервных копий — не менее 30 дней. Проверка восстановления — не реже одного раза в квартал.
4.7. Система предотвращения утечек данных (DLP): не применяется.
4.8. Физическая безопасность серверных помещений: не реализована. Доступ в серверные помещения ограничен — разрешён только авторизованным лицам по утверждённому перечню.
4.2. Межсетевое экранирование: не применяется. Межсетевой экран обеспечивает фильтрацию входящего и исходящего трафика согласно утверждённым правилам. Все неиспользуемые порты и протоколы заблокированы.
4.3. Система обнаружения и предотвращения вторжений (IDS/IPS): не применяется.
4.4. Шифрование при передаче данных: применяется. Для передачи персональных данных по открытым каналам связи применяется TLS 1.2 или выше.
4.5. Шифрование данных на хранении: не применяется. Базы данных, содержащие персональные данные, хранятся в зашифрованном виде.
4.6. Резервное копирование: не применяется. Резервные копии создаются автоматически не реже одного раза в сутки. Хранение резервных копий — не менее 30 дней. Проверка восстановления — не реже одного раза в квартал.
4.7. Система предотвращения утечек данных (DLP): не применяется.
4.8. Физическая безопасность серверных помещений: не реализована. Доступ в серверные помещения ограничен — разрешён только авторизованным лицам по утверждённому перечню.
6. Управление уязвимостями и обновлениями
5.1. Обновления операционных систем и программного обеспечения устанавливаются в течение 72 часов с момента выхода критических патчей безопасности, некритических — в плановом порядке (не реже одного раза в месяц).
5.2. Сканирование уязвимостей информационных систем проводится не реже одного раза в квартал с использованием сертифицированных ФСТЭК инструментальных средств.
5.3. Пентест (тест на проникновение) проводится не реже одного раза в год привлечёнными специалистами или службой ИБ.
5.2. Сканирование уязвимостей информационных систем проводится не реже одного раза в квартал с использованием сертифицированных ФСТЭК инструментальных средств.
5.3. Пентест (тест на проникновение) проводится не реже одного раза в год привлечёнными специалистами или службой ИБ.
7. Ответственность работников
6.1. Каждый работник, имеющий доступ к персональным данным и иной охраняемой информации, обязан: соблюдать требования настоящей Политики и локальных нормативных актов по защите ПДн; не допускать несанкционированного разглашения, копирования или уничтожения данных; незамедлительно сообщать о выявленных инцидентах ИБ ответственному ______.
6.2. За нарушение требований настоящей Политики работник несёт дисциплинарную, административную (ст. 13.11 КоАП РФ — штраф до 18 млн рублей для юрлиц по 572-ФЗ от 30.11.2024) и уголовную ответственность (ст. 137 УК РФ).
6.3. Инструктаж работников по вопросам информационной безопасности проводится при приёме на работу и не реже одного раза в год.
6.2. За нарушение требований настоящей Политики работник несёт дисциплинарную, административную (ст. 13.11 КоАП РФ — штраф до 18 млн рублей для юрлиц по 572-ФЗ от 30.11.2024) и уголовную ответственность (ст. 137 УК РФ).
6.3. Инструктаж работников по вопросам информационной безопасности проводится при приёме на работу и не реже одного раза в год.
8. Реагирование на инциденты
7.1. При обнаружении инцидента информационной безопасности работник обязан немедленно уведомить ______ по адресу ______ или телефону ______.
7.2. В случае если инцидент связан с утечкой или несанкционированным доступом к персональным данным, Оператор уведомляет Роскомнадзор в течение 24 часов после обнаружения инцидента, а результаты расследования — в течение 72 часов (ч. 3.1 ст. 21 ФЗ-152; Приказ РКН № 276 от 25.07.2024).
7.3. Все инциденты ИБ регистрируются в Журнале учёта инцидентов безопасности ПДн.
7.2. В случае если инцидент связан с утечкой или несанкционированным доступом к персональным данным, Оператор уведомляет Роскомнадзор в течение 24 часов после обнаружения инцидента, а результаты расследования — в течение 72 часов (ч. 3.1 ст. 21 ФЗ-152; Приказ РКН № 276 от 25.07.2024).
7.3. Все инциденты ИБ регистрируются в Журнале учёта инцидентов безопасности ПДн.
9. Аудит информационной безопасности
8.1. Внутренний аудит ИБ проводится не реже одного раза в год ответственным ______ или привлечённой организацией.
8.2. По результатам аудита составляется акт с перечнем выявленных несоответствий и планом корректирующих мероприятий.
8.3. Оценка эффективности принятых мер защиты ПДн проводится не реже одного раза в три года в соответствии с ч. 4 ст. 19 ФЗ-152.
8.2. По результатам аудита составляется акт с перечнем выявленных несоответствий и планом корректирующих мероприятий.
8.3. Оценка эффективности принятых мер защиты ПДн проводится не реже одного раза в три года в соответствии с ч. 4 ст. 19 ФЗ-152.
10. Пересмотр Политики
9.1. Настоящая Политика пересматривается не реже одного раза в год или при существенном изменении состава информационных систем, нормативно-правовых требований либо по результатам аудита ИБ.
9.2. Актуальная версия Политики доводится до сведения всех работников Организации под подпись.
Генеральный директор _________________ / ________________ /
9.2. Актуальная версия Политики доводится до сведения всех работников Организации под подпись.
Генеральный директор _________________ / ________________ /
Пояснения к пунктам
Наименование и реквизиты
Политика ИБ работает в связке с моделью угроз и приказами о доступе: документ без назначенных ответственных и процедур реагирования на инциденты — декларация. Пересматривайте после каждого инцидента и изменения инфраструктуры.