Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Приказ о назначении CISO: образец для малого бизнеса в 2026 году

  • Печать
Обновлено 12.05.2026 03:47

 

Я - Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я помог десяткам малых предприятий выстроить систему информационной безопасности. В этой статье - чёткий план: зачем нужен CISO, как оформить приказ и какие обязанности прописать.

Малый бизнес часто считает, что информационная безопасность (ИБ) - это проблема крупных корпораций. Но это ошибка: если у вас есть сайт, клиентская база или платёжные данные, вы обязаны защищать их по 152 ФЗ и 187 ФЗ. Первый шаг - назначить CISO (Chief Information Security Officer), даже если это совмещённая должность.

Вопрос 1. Зачем малому бизнесу CISO?

Ответ: по ст. 19 152 ФЗ, оператор ПДн обязан принимать меры по защите данных. CISO отвечает за:

•             организацию защиты ПДн;

•             выполнение требований регуляторов (ФСТЭК, ФСБ, ЦБ РФ);

•             реагирование на инциденты ИБ;

•             обучение сотрудников основам кибербезопасности.

Мой совет: даже в малом бизнесе назначьте ответственного. Это может быть IT специалист, бухгалтер или директор - главное, чтобы человек понимал основы ИБ.

Вопрос 2. Обязательно ли оформлять приказ?

Ответ: да, приказ - это официальный документ, который:

•             фиксирует назначение ответственного;

•             определяет его обязанности;

•             подтверждает выполнение требований закона;

•             нужен для проверок ФСТЭК и Роскомнадзора.

Важно: без приказа вы не сможете доказать, что меры по ИБ приняты.

Вопрос 3. Какие обязанности прописать в приказе?

Ответ: включите минимум:

•             обеспечение защиты ПДн и иных конфиденциальных данных;

•             контроль доступа к информационным системам;

•             проведение инструктажей по ИБ для сотрудников;

•             мониторинг и реагирование на инциденты (утечки, атаки);

•             взаимодействие с регуляторами (подача уведомлений в РКН).

Пример формулировки: «CISO обязан ежеквартально проводить аудит уязвимостей информационных систем и представлять отчёт генеральному директору».

Вопрос 4. Как оформить приказ?

Ответ: приказ составляется в свободной форме, но должен содержать:

•             дату и номер документа;

•             ФИО и должность назначаемого CISO;

•             перечень обязанностей;

•             указание на совмещение (если CISO - не отдельная ставка);

•             подпись генерального директора.

Мой комментарий: используйте фирменный бланк компании. Подпишите приказ у назначенного лица - это подтвердит его согласие.

Вопрос 5. Где взять образец приказа?

Ответ: ниже - готовый шаблон для малого бизнеса:

Приказ № [номер] от [дата]

О назначении лица, ответственного за обеспечение информационной безопасности

В соответствии со ст. 19 152 ФЗ «О персональных данных»,

ПРИКАЗЫВАЮ:

1.            Назначить [ФИО], [должность], ответственным за обеспечение информационной безопасности в компании.

2.            Возложить на [ФИО] следующие обязанности:

               организация защиты персональных данных и иных конфиденциальных сведений;

               контроль доступа к информационным системам компании;

               проведение инструктажей по информационной безопасности для сотрудников не реже 1 раза в год;

               мониторинг и реагирование на инциденты информационной безопасности (утечки, кибератаки);

               взаимодействие с регуляторами (подача уведомлений в Роскомнадзор);

               ежеквартальный аудит уязвимостей информационных систем и предоставление отчёта генеральному директору.

3.            Контроль за исполнением настоящего приказа оставляю за собой.

Генеральный директор [подпись] [ФИО]

С приказом ознакомлен: [подпись] [ФИО CISO] [дата]

Вопрос 6. Нужно ли обучать назначенного CISO?

Ответ: да, даже если это совмещённая должность. Рекомендую:

•             пройти курсы по основам ИБ (например, на платформах Stepik, GeekBrains);

•             изучить требования 152 ФЗ, 187 ФЗ, приказы ФСТЭК;

•             ознакомиться с ГОСТ Р ИСО/МЭК 27001 (основы управления ИБ);

•             регулярно отслеживать обновления на сайте ФСТЭК и Роскомнадзора.

Пример из практики: владелец кафе назначил CISO своего IT специалиста. После обучения тот выявил уязвимость в системе оплаты - предотвратил потенциальную утечку данных 5 000 клиентов.

Заключение

Даже малому бизнесу нужен CISO - это требование закона и защита от киберугроз. Чтобы оформить приказ:

1.            Определите, кто будет CISO (директор, IT специалист, бухгалтер).

2.            Пропишите чёткие обязанности в приказе.

3.            Используйте готовый шаблон выше.

4.            Подпишите приказ у генерального директора и назначенного лица.

5.            Обеспечьте обучение CISO основам ИБ.

Помните: отсутствие ответственного за ИБ - это риск штрафов (до 6 млн руб. по ст. 13.11 КоАП РФ) и репутационных потерь. Лучше сделать всё правильно с первого раза.

Нужна помощь в настройке ИБ для малого бизнеса? Команда «ЛЕГАС» готова проконсультировать и помочь привести процессы в соответствие с законом.

•             Скачайте образец приказа о назначении CISO.

•             Поделитесь статьёй с коллегами из малого бизнеса.

•             Подпишитесь на legascom.ru - разбираем сложное просто.

 

 

 

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.