Приказ о назначении CISO: образец для малого бизнеса в 2026 году

• 

Обновлено 12.05.2026 03:47

 

Я - Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я помог десяткам малых предприятий выстроить систему информационной безопасности. В этой статье - чёткий план: зачем нужен CISO, как оформить приказ и какие обязанности прописать.

Малый бизнес часто считает, что информационная безопасность (ИБ) - это проблема крупных корпораций. Но это ошибка: если у вас есть сайт, клиентская база или платёжные данные, вы обязаны защищать их по 152 ФЗ и 187 ФЗ. Первый шаг - назначить CISO (Chief Information Security Officer), даже если это совмещённая должность.

Вопрос 1. Зачем малому бизнесу CISO?

Ответ: по ст. 19 152 ФЗ, оператор ПДн обязан принимать меры по защите данных. CISO отвечает за:

•             организацию защиты ПДн;

•             выполнение требований регуляторов (ФСТЭК, ФСБ, ЦБ РФ);

•             реагирование на инциденты ИБ;

•             обучение сотрудников основам кибербезопасности.

Мой совет: даже в малом бизнесе назначьте ответственного. Это может быть IT специалист, бухгалтер или директор - главное, чтобы человек понимал основы ИБ.

Вопрос 2. Обязательно ли оформлять приказ?

Ответ: да, приказ - это официальный документ, который:

•             фиксирует назначение ответственного;

•             определяет его обязанности;

•             подтверждает выполнение требований закона;

•             нужен для проверок ФСТЭК и Роскомнадзора.

Важно: без приказа вы не сможете доказать, что меры по ИБ приняты.

Вопрос 3. Какие обязанности прописать в приказе?

Ответ: включите минимум:

•             обеспечение защиты ПДн и иных конфиденциальных данных;

•             контроль доступа к информационным системам;

•             проведение инструктажей по ИБ для сотрудников;

•             мониторинг и реагирование на инциденты (утечки, атаки);

•             взаимодействие с регуляторами (подача уведомлений в РКН).

Пример формулировки: «CISO обязан ежеквартально проводить аудит уязвимостей информационных систем и представлять отчёт генеральному директору».

Вопрос 4. Как оформить приказ?

Ответ: приказ составляется в свободной форме, но должен содержать:

•             дату и номер документа;

•             ФИО и должность назначаемого CISO;

•             перечень обязанностей;

•             указание на совмещение (если CISO - не отдельная ставка);

•             подпись генерального директора.

Мой комментарий: используйте фирменный бланк компании. Подпишите приказ у назначенного лица - это подтвердит его согласие.

Вопрос 5. Где взять образец приказа?

Ответ: ниже - готовый шаблон для малого бизнеса:

Приказ № [номер] от [дата]

О назначении лица, ответственного за обеспечение информационной безопасности

В соответствии со ст. 19 152 ФЗ «О персональных данных»,

ПРИКАЗЫВАЮ:

1.            Назначить [ФИО], [должность], ответственным за обеспечение информационной безопасности в компании.

2.            Возложить на [ФИО] следующие обязанности:

               организация защиты персональных данных и иных конфиденциальных сведений;

               контроль доступа к информационным системам компании;

               проведение инструктажей по информационной безопасности для сотрудников не реже 1 раза в год;

               мониторинг и реагирование на инциденты информационной безопасности (утечки, кибератаки);

               взаимодействие с регуляторами (подача уведомлений в Роскомнадзор);

               ежеквартальный аудит уязвимостей информационных систем и предоставление отчёта генеральному директору.

3.            Контроль за исполнением настоящего приказа оставляю за собой.

Генеральный директор [подпись] [ФИО]

С приказом ознакомлен: [подпись] [ФИО CISO] [дата]

Вопрос 6. Нужно ли обучать назначенного CISO?

Ответ: да, даже если это совмещённая должность. Рекомендую:

•             пройти курсы по основам ИБ (например, на платформах Stepik, GeekBrains);

•             изучить требования 152 ФЗ, 187 ФЗ, приказы ФСТЭК;

•             ознакомиться с ГОСТ Р ИСО/МЭК 27001 (основы управления ИБ);

•             регулярно отслеживать обновления на сайте ФСТЭК и Роскомнадзора.

Пример из практики: владелец кафе назначил CISO своего IT специалиста. После обучения тот выявил уязвимость в системе оплаты - предотвратил потенциальную утечку данных 5 000 клиентов.

Заключение

Даже малому бизнесу нужен CISO - это требование закона и защита от киберугроз. Чтобы оформить приказ:

1.            Определите, кто будет CISO (директор, IT специалист, бухгалтер).

2.            Пропишите чёткие обязанности в приказе.

3.            Используйте готовый шаблон выше.

4.            Подпишите приказ у генерального директора и назначенного лица.

5.            Обеспечьте обучение CISO основам ИБ.

Помните: отсутствие ответственного за ИБ - это риск штрафов (до 6 млн руб. по ст. 13.11 КоАП РФ) и репутационных потерь. Лучше сделать всё правильно с первого раза.

Нужна помощь в настройке ИБ для малого бизнеса? Команда «ЛЕГАС» готова проконсультировать и помочь привести процессы в соответствие с законом.

•             Скачайте образец приказа о назначении CISO.

•             Поделитесь статьёй с коллегами из малого бизнеса.

•             Подпишитесь на legascom.ru - разбираем сложное просто.