Политика информационной безопасности ПДн: образец 2026

• 

Обновлено 22.04.2026 03:34

 

Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я помог сотням компаний разработать Политику ИБ ПДн, соответствующую требованиям 152 ФЗ и Роскомнадзора. В этой статье — готовый образец на 2026 год и пошаговое объяснение, как его адаптировать под вашу организацию.

Зачем нужна Политика ИБ ПДн?

По ст. 18.1 152 ФЗ, оператор ПДн обязан:

•             определить цели обработки ПДн;

•             установить меры защиты;

•             назначить ответственных;

•             разработать внутренние документы, включая Политику ИБ.

На практике: в 2025 году компанию в Екатеринбурге оштрафовали на 500 000 руб. за отсутствие Политики ИБ при обработке ПДн клиентов. Роскомнадзор провёл плановую проверку и выявил нарушение.

Мой совет: не откладывайте разработку — сделайте это сейчас, пока не пришла проверка.

Какие разделы обязательно включить?

Типовая структура Политики:

1.            Общие положения (цели, область применения).

2.            Термины и определения (ПДн, оператор, субъект, инцидент и т. д.).

3.            Цели и принципы обработки ПДн (законность, конкретность, минимизация).

4.            Меры защиты (организационные, технические).

5.            Права и обязанности сотрудников (доступ, хранение, передача).

6.            Порядок реагирования на инциденты (фиксация, уведомление РКН).

7.            Ответственность за нарушения.

8.            Порядок актуализации и контроля (ревизии, аудиты).

Важно: с 2026 года Роскомнадзор требует отдельный раздел по обработке биометрических ПДн, если они есть.

Как утвердить и внедрить?

Пошагово:

1.            Разработайте проект Политики (можно использовать наш образец ниже).

2.            Согласуйте с юридическим отделом и службой ИБ.

3.            Утвердите приказом руководителя (с указанием даты вступления в силу).

4.            Ознакомьте всех сотрудников под подпись.

5.            Разместите на сайте компании в разделе «Защита ПДн».

6.            Проведите тренинг для ответственных лиц.

Пример из практики: в 2024 году компания в Новосибирске избежала штрафа, потому что вовремя обновила Политику под новые требования РКН и провела обучение персонала.

Образец фрагмента Политики ИБ ПДн (2026)

Раздел 4. Меры защиты ПДн

4.1. Организационные меры:

•             назначение ответственного за обработку ПДн;

•             разграничение прав доступа;

•             обучение сотрудников;

•             контроль соблюдения требований.

4.2. Технические меры:

•             антивирусная защита;

•             межсетевое экранирование;

•             резервное копирование;

•             протоколирование событий ИБ.

Типичные ошибки

Чего избегать:

•             использовать устаревшие шаблоны (до 2025 года);

•             не учитывать специфику компании (например, обработку биометрии);

•             не обновлять после изменений в законодательстве;

•             не знакомить сотрудников под подпись.

Мой совет: раз в год проводите аудит Политики — сверяйте с актуальными требованиями РКН и ФСТЭК.

Заключение

Политика ИБ ПДн — не формальность, а обязанность по 152 ФЗ и защита компании от штрафов. Чтобы всё сделать правильно:

•             используйте актуальный образец (с учётом требований 2026 года);

•             включите все обязательные разделы (особенно про биометрию, если обрабатываете);

•             утвердите приказом руководителя и ознакомьте сотрудников под подпись;

•             разместите на сайте компании в открытом доступе;

•             проводите регулярный аудит (минимум раз в год);

•             обновляйте после изменений в законодательстве.

Не откладывайте разработку Политики — сделайте это сейчас, пока не началась плановая проверка Роскомнадзора.

Скачайте полный образец Политики ИБ ПДн 2026

Поделитесь статьёй с ответственным за ИБ в вашей компании

Подпишитесь на legascom.ru — разбираем сложное просто