Политика ИБ для компании: шаблон 2026 года
Я - Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я помог сотням компаний привести политику информационной безопасности в соответствие с законом. В этой статье - готовый шаблон на 2026 год: что включить, как оформить, какие нормы учесть.
Вопрос 1: Зачем компании нужна Политика ИБ?
Ответ: Политика ИБ - это не формальность, а основа защиты данных и бизнеса. Она:
• Выполняет требования 152 ФЗ (ст. 18.1, 19), GDPR (ст. 32), приказов ФСТЭК.
• Снижает риски утечек и кибератак.
• Помогает избежать штрафов (до 6 млн руб. по 152 ФЗ).
• Регламентирует действия сотрудников при инцидентах.
Мой совет: не копируйте чужие шаблоны без адаптации. Политика должна отражать реальные процессы вашей компании.
Вопрос 2: Какие разделы обязательно включить в Политику ИБ 2026?
Базовый шаблон:
1. Общие положения: цели, сфера действия, нормативные ссылки (152 ФЗ, GDPR, ГОСТ Р 57580).
2. Термины и определения: ПДн, ИБ, инцидент, уязвимость и т. д.
3. Объекты защиты: базы данных, серверы, облачные сервисы, мобильные устройства.
4. Угрозы ИБ: фишинг, DDoS, утечки, внутренние риски.
5. Меры защиты:
Шифрование (AES 256, RSA 2048+).
Контроль доступа (ролевая модель).
Резервное копирование (правило 3 2 1).
6. Обязанности сотрудников: правила работы с ПДн, паролями, устройствами.
7. Реагирование на инциденты: алгоритм действий при утечке.
8. Аудит и контроль: периодичность проверок, ответственные.
9. Ответственность: дисциплинарная, административная, уголовная.
Вопрос 3: Какие нормы закона учесть в 2026 году?
Ключевые требования:
• 152 ФЗ: защита ПДн, уведомление Роскомнадзора об утечках (в течение 24 часов).
• Приказы ФСТЭК № 21, 17: классы защиты, шифрование, контроль доступа.
• GDPR: права субъектов данных, трансграничная передача.
• ГОСТ Р 57580: требования к ИБ финансовых организаций (актуально для банков, МФО).
• Новые поправки 2026: усиленная защита биометрических данных, требования к облачным сервисам.
Пример: в 2025 году Роскомнадзор оштрафовал сеть клиник на 4 млн руб. за отсутствие политики ИБ и неуведомление об утечке.
Вопрос 4: Как внедрить Политику ИБ в компании?
Пошаговый алгоритм:
1. Разработайте документ с учётом специфики бизнеса.
2. Согласуйте с ИТ отделом, юристом, службой безопасности.
3. Утвердите приказом руководителя.
4. Ознакомьте всех сотрудников под подпись.
5. Проведите обучение: раз в год + при изменениях.
6. Назначьте ответственного за ИБ (например, CISO или ИТ директора).
7. Регулярно обновляйте политику (минимум раз в год или при изменениях в законе).
8. Проводите аудит ИБ - раз в 6 месяцев или после инцидентов.
Мой совет: создайте рабочую группу из ИТ, юристов и HR. Так вы учтёте все аспекты: технические, юридические и кадровые.
Вопрос 5: Что проверить перед утверждением Политики ИБ?
Чек лист готовности:
• Соответствует ли документ актуальным нормам: 152 ФЗ, GDPR, приказам ФСТЭК, ГОСТ Р 57580?
• Описаны ли все объекты защиты: серверы, облачные сервисы, мобильные устройства, бэкапы?
• Чётко ли прописаны роли и обязанности: кто отвечает за ИБ, кто реагирует на инциденты?
• Есть ли алгоритм действий при утечке (уведомление Роскомнадзора в течение 24 часов)?
• Предусмотрены ли меры шифрования (AES 256, RSA 2048+), контроля доступа, резервного копирования?
• Включены ли требования к паролям, двухфакторной аутентификации, обновлению ПО?
• Указаны ли санкции за нарушения (дисциплинарные, административные)?
• Есть ли план обучения сотрудников и график аудитов?
Важно: если компания работает с зарубежными клиентами, проверьте соответствие GDPR.
Вопрос 6: Как часто обновлять Политику ИБ?
Рекомендации:
• Раз в год - плановая актуализация.
• При изменениях в законодательстве (например, новые поправки к 152 ФЗ).
• После крупных инцидентов (утечка, кибератака) - проанализируйте уязвимости.
• При смене ИТ инфраструктуры (переход в облако, внедрение нового ПО).
• При расширении географии работы (выход на новые рынки, трансграничная передача данных).
Пример: в 2025 году компания Y обновила политику ИБ после перехода в Yandex Cloud - добавила требования к шифрованию и доступу провайдера.
Вопрос 7: Какие ошибки чаще всего допускают?
Топ 5 ошибок:
1. Копируют шаблон без адаптации под бизнес.
2. Не обновляют политику годами.
3. Не знакомят сотрудников под подпись.
4. Не проводят обучение - сотрудники не знают правил.
5. Игнорируют требования к уведомлению об утечках (24 часа по 152 ФЗ).
Как избежать: используйте чек лист выше и консультируйтесь с юристами по ИБ.
Заключение
Ключевые элементы современной Политики ИБ 2026:
• Соответствие 152 ФЗ, GDPR, приказам ФСТЭК, ГОСТ Р 57580.
• Чёткое описание угроз, объектов защиты, мер безопасности.
• Алгоритм реагирования на инциденты (включая уведомление Роскомнадзора).
• Обязанности сотрудников и ответственность за нарушения.
• График аудитов и обучения.
• Регулярное обновление (минимум раз в год).
Действие: проведите экспресс аудит вашей текущей Политики ИБ по чек листу выше. Если документ устарел или отсутствует - обновите его до конца 2026 года.
Если нужна помощь в разработке, аудите или внедрении Политики ИБ, обращайтесь в «ЛЕГАС». Мы поможем:
• Создать индивидуальный шаблон с учётом специфики вашего бизнеса.
• Привести документ в соответствие с 152 ФЗ и GDPR.
• Провести обучение сотрудников.
• Подготовить документы для проверок Роскомнадзора.
• Скачайте шаблон Политики ИБ 2026 (2026) - адаптируйте под свою компанию.
• Поделитесь статьёй с ИТ директором, юристом или ответственным за ИБ.
• Подпишитесь на legascom.ru - разбираем сложное просто: защита ПДн, кибербезопасность, соответствие законам.
• Запишитесь на консультацию - мы проанализируем вашу систему ИБ и дадим рекомендации.
Юридические основания, упомянутые в статье:
• 152 ФЗ (ст. 18.1, 19) - требования к защите ПДн и уведомлению об утечках.
• Приказы ФСТЭК № 21, 17 - классы защиты, шифрование, контроль доступа.
• GDPR (ст. 32) - меры безопасности для ПДн.
• ГОСТ Р 57580 - требования к ИБ финансовых организаций.
• КоАП РФ (ст. 13.11) - штрафы за нарушения в области ПДн (до 6 млн руб.).
