Документы по информационной безопасности: полный перечень и требования

Во время проверок аудиторы требуют политику, модель угроз, акты классификации, журналы и регламенты. Руководство ждёт понятного плана, а инженеры не успевают оформлять документы. Статья поможет разобраться, какой пакет документов по информационной безопасности нужен организации.

Какие документы по ИБ нужны компании: полный перечень

Минимальный пакет, который нужен любой организации, состоит из нескольких обязательных групп документов. Они закрывают базовые риски, помогают пройти проверку и фиксируют реальные процессы.

В стандартный перечень входят следующие документы:

1. Политика безопасности — фиксирует цели защиты и распределяет ответственность.
2. Модель угроз — показывает, от кого компания защищает данные и какие меры применяет.
3. Положение об обработке ПДн — определяет порядок сбора, хранения и передачи персональных данных.
4. Акт классификации информационной системы — подтверждает класс ИС или уровень защищённости.
5. Регламент управления доступом — описывает порядок выдачи, блокировки и учёта прав.
6. Регламент резервного копирования — фиксирует расписание копий, хранение и восстановление.
7. Регламент реагирования на инциденты — определяет роли, сроки и порядок действий при нарушениях.
8. Журнал инцидентов — фиксирует факты событий безопасности и меры реагирования.
9. Журнал учёта носителей — отслеживает внешний и внутренний перенос данных.
10. План проверки уязвимостей — задаёт периодичность сканирования и порядок исправления.
11. Должностные инструкции специалистов ИБ — закрепляют обязанности администраторов и ответственных лиц.
12. Программа обучения сотрудников — описывает порядок обучения и проверки знаний.
13. Перечень информационных ресурсов — структурирует ИТ-активы и упрощает аудит.

Конкретный набор документов зависит от режима обработки. Компании, которые работают только со списком сотрудников и клиентов, оформляют пакет по №152-ФЗ. Им достаточно политики ПДн, модели угроз, регламентов доступа, журналов, инструкции для ответственного и программы обучения. Уровень защищённости таких ИС обычно невысокий и не требует сложных технических мер.

С государственными информационными системами ситуация сложнее. Для ГИС нужны акты классификации, модель угроз по методике ФСТЭК, документы по уровню защищённости, регламент администрирования, схема ИС, порядок применения криптографии и журналирование по требованиям ФСБ.

Критически важная инфраструктура требует самого объёмного пакета. Компании с КИИ оформляют акт категорирования, план реагирования, документы по выполнению мер из Приказа ФСТЭК №235, профиль угроз, журналы событий и инструкции по поддержанию защищённости. Набор всегда зависит от значимости объекта и типа технологических процессов.

Документацию по ИБ удобнее рассматривать как трёхуровневую систему. Каждый уровень выполняет свою задачу и формирует опору для следующего.

Организационно-распорядительный уровень: стратегия и ответственность

Этот уровень определяет, как компания понимает безопасность, какие цели ставит и кто отвечает за выполнение требований.

К этому уровню относятся следующие документы ИБ:

• Политика ИБ — базовый документ, отражает принципы защиты, распределение ролей и общие требования к работе с информацией.
• Концепция ИБ — описание модели защиты, актуальных угроз и общих подходов к построению СУИБ.
• Приказы — назначение ответственных за ИБ, ПДн, эксплуатацию систем, порядок создания комиссий, ввод в действие регламентов.

Документы этого уровня проверяют в первую очередь, потому что здесь фиксируется ответственность и контур управления.

Операционный уровень: процедуры, исполнение, контроль

Документы операционного уровня описывают как выполняются процессы, предусмотренные политикой и приказами. На этом уровне формируют предписывающие правила для сотрудников, администраторов и отдельных подразделений.

В состав входят:

• Регламенты: реагирование на инциденты, управление доступом, резервное копирование, ведение журналов, управление изменениями.
• Положения: обработка ПДн, порядок работы с носителями, порядок удалённого доступа, правила администрирования.
• Инструкции пользователей и администраторов — конкретные требования по безопасной работе в системе, работе со средствами защиты, работе с журналами.
• Журналы и формы учёта — подтверждение исполнения процедур (инциденты, носители, действия администраторов, обращения субъектов ПДн).

Документы операционного уровня показывают, что процессы выполняются.

Технический уровень: эксплуатация и обоснование мер защиты

Это документы опираются на требования регуляторов и отражают конкретные технические действия:

• Модель угроз — основной документ, определяет актуальные угрозы и обосновывает выбор мер защиты.
• Акты классификации и категорирования — результаты определения класса ГИС, уровня защищённости ИСПДн или категории значимости объекта КИИ.
• Инструкции по эксплуатации СЗИ — работа с межсетевыми экранами, СКЗИ, средствами контроля целостности.
• Программа и методика испытаний — порядок проверки защищённости или выполнения требований защитных мер.
• Технические паспорта и формуляры — сведения об архитектуре, точках контроля, настройках СЗИ, схемах сетевого взаимодействия.

На техническом уровне детализируются и утверждаются материалы, подтверждающие техническую реализацию мер защиты.

Информационная безопасность — НПА

Нормативная база состоит из трёх уровней: федеральных законов, приказов регуляторов и стандартов. Каждый уровень задаёт свои требования к документам и процессам защиты.

Федеральные законы

№ 149-ФЗ об информации
Закон задаёт общие обязанности по защите информации. На его основе компании оформляют документы по разграничению доступа, защите от несанкционированного доступа и контролю действий сотрудников.

№ 152-ФЗ о персональных данных
Закон требует оформлять политику обработки ПДн, модель угроз, акты разграничения прав, программу обучения, регистры субъектов, порядок реагирования и план регулярных проверок. Эти документы проверяет Роскомнадзор.

№ 187-ФЗ о безопасности КИИ
Закон вводит требования для значимых объектов КИИ. Нужны документы по категорированию, модели угроз, реагированию, журналам событий и выполнению мер защиты. Проверку выполняет ФСТЭК.

Приказы ФСТЭК России

Приказы детализируют требования к мерам защиты и составу документации. Основные документы:

• Приказ №21 — требования к защите ПДн;
• Приказ №17 / №117 (вступает в силу с 01.03.2026) — требования для ГИС;
• Приказ №239 — правила категорирования объектов КИИ;
• Приказ №235 — меры защиты КИИ;
• Приказ №98 — методики определения угроз и нарушителей.

Эти приказы определяют, какие документы компания должна иметь при работе с ПДн, ГИС или КИИ.

Приказы ФСБ России

ФСБ регулирует использование средств криптографической защиты:

• Приказ № 152 устанавливает требования к использованию СКЗИ и формированию соответствующих организационно-технических документов.
• Приказ № 796 описывает правила эксплуатации средств шифрования и криптозащиты каналов передачи данных.
• Приказ №378 устанавливает порядок взаимодействия с ГосСОПКА для объектов КИИ

Однако эти документы применяются только теми организациями, которые используют сертифицированные средства защиты, установленные ФСБ России.

Стандарты ГОСТ и ISO

ГОСТы и международные стандарты не заменяют обязательные требования. Но они дают готовую логику и понятные требования к документам. В них описаны роли, процедуры, порядок контроля, формы журналов, типовые политики и последовательность действий при инцидентах.

Стандарты, на которые можно опираться при подготовке документов:

• ГОСТ Р 57580: Действительно относится к финансовым учреждениям, устанавливая минимальные требования по защите банковской информации.
• ГОСТ Р ИСО/МЭК 27001-2021: Стандартизирует подходы к созданию и поддержке системы управления информационной безопасностью (СУИБ).
• ГОСТ 56939: методика реагирования и управления инцидентами ИБ.
• ГОСТ 57283: Обеспечивает руководство по проведению внутреннего контроля и аудита информационной безопасности.

Международные стандарты типа серии ISO/IEC 27000 часто используются для подтверждения соответствия международным требованиям и помогают внедрять лучшие практики управления рисками и защитой информации.

Обязательные документы зависят от режима обработки данных. Нормативные акты определяют набор НПА по информационной безопасности компании.

Персональные данные

Организация, обрабатывающая персональные данные, обязана оформить определённый пакет документов, подтверждающих соблюдение норм закона о персональных данных.

Согласно приказу ФСТЭК России № 21 и постановлению правительства РФ № 1119, минимальный пакет включает:

1.  Политику обработки персональных данных: Документ, определяющий принципы и процедуры обработки и защиты ПДн.
2. Акт разграничения полномочий: Утверждение круга должностных лиц, имеющих право обрабатывать ПДн.
3. Регламент обработки и защиты персональных данных: Процедура хранения, изменения, уничтожения и обработки ПДн.
4. Акты разграничения прав доступа: Определение прав доступа сотрудников к личным данным.
5. Модель угроз: Анализ возможных угроз конфиденциальности, целостности и доступности данных.
6. Программа обучения сотрудников: Программа подготовки сотрудников по вопросам обработки и защиты ПДн.
7. Регламенты реагирования на инциденты: Правила поведения при нарушении конфиденциальности данных.
8. Журналы регистрации доступа и инцидентов: Учет доступа к ПДн и фиксация случаев нарушений.
9. Перечни информационных систем: Список используемых систем, обрабатывающих личные данные.
10. План внутреннего контроля обработки ПДн: график проверок, ответственные, порядок устранения нарушений;
11. Порядок уничтожения ПДн: как удаляют данные, кто отвечает, какие сроки применяются;
12. Журнал регистрации обращений субъектов ПДн: фиксирует запросы на доступ, уточнение, блокировку или удаление данных.

Также, согласно новым поправкам к закону, операторы обязаны провести DPIA (Data Protection Impact Assessment) — это оценка воздействия на обработку персональных данных. Это нужно не для всех случаев, а при наличии рисков нарушения прав субъектов.

Государственные информационные системы ГИС

Для ГИС пакет документов по ИБ более объёмный. Организация должна подтвердить правильность классификации ИС и выполнение мер защиты. При создании и эксплуатации ГИС нужны следующие документы:

• Классификация уровня защищенности: акт оценки класса защищенности ИС.
• Система управления доступом: модель разграничения прав доступа к ресурсам ИС.
• Описание схемы ИС: диаграмма структуры и взаимосвязей элементов системы.
• Регламент администрирования: правила технического обслуживания и сопровождения ИС.
• Операционные журналы: протоколы фиксации событий и изменений в системе.
• Документация по криптографической защите: применение средств криптографии для защиты информации.

Эти документы подлежат регулярному контролю со стороны органов власти, особенно Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ).

Критическая инфраструктура КИИ

Для значимых объектов КИИ предусмотрен отдельный состав документации по ИБ.

Он должен подтверждать категорию объекта и выполнение мер защиты уровня 1–3. В список входят:

• Акт категорирования: оценка важности объекта КИИ для государства.
• Модель угроз: идентификация потенциальных опасностей и рисков.
• План реагирования: процедуры ликвидации последствий инцидентов.
• Порядок мониторинга событий: система учёта и отслеживания инцидентов ИБ.
• Документы по выполнению мер защиты: подтверждения выполнения установленных государством мер по защите КИИ.

Ошибка в определении категорий или несоблюдение процедур грозит санкциями вплоть до приостановления деятельности объекта.

Указанные перечни документов корректны, но мы рекомендуем регулярно проверять требования официальных документов и разъясняющих писем регуляторов, поскольку законодательные акты периодически уточняются и дополняются новыми правилами.

Как поддерживать документацию по ИБ в актуальном состоянии

Документация должна меняться вместе с инфраструктурой и рисками. Документы по информационной безопасности обновляют сразу после событий, которые меняют модель угроз или состав мер защиты:

• ввод новых сервисов, доменов, систем хранения
• смена архитектуры (миграция в облако, сегментация сети, внедрение СКЗИ/NGFW/EDR)
• изменение ролей и зон ответственности сотрудников
• инцидент ИБ с установлением причин и слабых мест
• изменение требований ФСТЭК, ФСБ, Роскомнадзора

Если событие влияет на риск-профиль системы — обновляется модель угроз, регламенты, акты классификации/категорирования и эксплуатационные документы.

Типичные ошибки при подготовке документов

Главное

Документы по ИБ — обязательная часть работы любой организации.
Они подтверждают выполнение требований законов и показывают, как устроены процессы защиты.

Пакет документов зависит от режима обработки данных.
Для ПДн, ГИС и КИИ набор различается: меняются меры, уровни защищённости и требования регуляторов.

Документацию удобно выстраивать по трём уровням.
Организационный, операционный и технический уровни помогают системно распределить материалы и ответственность.

Нормативная база задаёт минимальные требования.
В неё входят законы, приказы ФСТЭК и ФСБ, а также ГОСТы и стандарты, которые помогают оформить процессы в рабочем виде.

Ошибки в документах приводят к нарушениям.
Чаще всего проблемы возникают из-за формальных моделей угроз, неверной классификации и устаревших регламентов.

Документы нужно регулярно обновлять.
Любое изменение инфраструктуры, состава пользователей, требований регуляторов или результатов аудита должно отражаться в документации.