Кратко о главном: кто, что, кому и почему

Политика защиты информации

Политика защиты информации — полный текст по Приказу ФСТЭК №117

📋 Соответствие требованиям Приказа ФСТЭК России №117

Требование Приказа №117Как реализовано в настоящей Политике
Определение целей и задач защиты информации (п. 2, п. 11)Раздел 2 «Цели и задачи защиты информации» чётко формулирует цель (конфиденциальность, целостность, доступность) и перечень задач (управление уязвимостями, мониторинг, реагирование на инциденты).
Утверждение организационной структуры и распределение обязанностей (п. 10, п. 12)Разделы 5 и 6: закреплены категории лиц (руководитель, ответственный за организацию ЗИ, администратор безопасности, ответственный за ПДн, СКЗИ, системный администратор, пользователи) с детальными обязанностями, правами и персональной ответственностью.
Применение организационных и технических мер защиты (п. 16, п. 18)Раздел 8 «Меры защиты информации» описывает организационные (структура управления, локальные акты, обучение) и технические меры (идентификация, аутентификация, разграничение доступа, регистрация событий, антивирус, межсетевое экранирование, резервное копирование и др.).
Управление уязвимостями и конфигурациями (п. 18.5)В разделе 2 «Задачи защиты информации» и разделе 5 (обязанности администратора безопасности) предусмотрены выявление, оценка и устранение уязвимостей, контроль конфигураций ИС.
Непрерывный мониторинг и реагирование на инциденты (п. 18.7, п. 19)Разделы 2, 5 и 7 устанавливают непрерывный мониторинг событий безопасности, обязанность администратора безопасности выявлять инциденты и принимать меры, а также информировать руководство.
Требования к подрядным организациям (п. 13)В разделе 1 «Общие положения» указано, что требования Политики обязательны для подрядных организаций и третьих лиц, что обеспечивается включением обязательств в договорную документацию.
Привлечение лицензиата ФСТЭК при совмещении ролей (п. 14)Раздел 6 «Условия совмещения ролей» и «Условия привлечения лицензиата» содержат чёткие критерии, когда требуется привлечение лицензиата для независимого аудита и компенсации совмещения.
Персональная ответственность должностных лиц (п. 15)Раздел 9 «Ответственность» устанавливает персональную ответственность каждого работника и должностного лица, включая руководителя, за нарушение требований, а также последствия совмещения ролей.
Реализация процессов защиты на всех этапах жизненного цикла ИС (п. 17)Раздел 7 «Мероприятия (процессы) по защите информации» декларирует системный подход и охват всех этапов: от проектирования до вывода из эксплуатации.
📌 Дисклеймер
Сайт носит информационный характер и не является официальным разъяснением уполномоченного органа. Изучите, осмыслите, адаптируйте, внедряйте.

Приложение № 1
к приказу __________
от __________ № __________

ПОЛИТИКА ЗАЩИТЫ ИНФОРМАЦИИ
На ___ листах
Действует с «___» ___________ 202__ г.

1. Общие положения

💡 Пояснение для специалиста Раздел «Общие положения» задаёт правовой и организационный фундамент всей системы защиты информации. Здесь критически важно, что политика обязательна для всех сотрудников и подрядчиков — это прямое требование пункта 13 Приказа №117. Перечень нормативных актов включает именно те документы, которые указаны в приказе, а также методические рекомендации ФСТЭК 2026 года. Единая терминология, ссылающаяся на ГОСТы и федеральные законы, исключает разночтения при внедрении и проверках. Обратите внимание: область действия охватывает не только ИС, но и всю сопутствующую инфраструктуру, включая помещения — это соответствует требованиям пункта 18 о защите всех компонентов.

1.1. Назначение и область действия документа

Настоящая Политика защиты информации (далее – Политика) определяет цели, задачи, принципы, организационную структуру и основные направления деятельности по защите информации, обрабатываемой в информационных системах (далее – ИС) __________ (далее – Организация).

Политика устанавливает единые подходы к формированию, функционированию и развитию системы защиты информации, а также является обязательной для применения при разработке иных локальных нормативных актов, регламентирующих вопросы информационной безопасности.

Требования Политики также обязательны для подрядных организаций и иных третьих лиц, привлекаемых к выполнению работ или оказанию услуг, связанных с доступом к ИС Организации либо к информации, обрабатываемой в них. Соблюдение указанных требований обеспечивается посредством включения соответствующих обязательств в договорную документацию и контроля их исполнения.

Действие настоящей Политики распространяется на:

  • всех работников Организации независимо от занимаемой должности и характера выполняемых обязанностей, в части, касающейся их участия в обработке информации и эксплуатации ИС;
  • все ИС Организации, а также связанные с ними сегменты сети, площадки размещения, программно-аппаратные средства и элементы информационно-телекоммуникационной инфраструктуры, перечень которых утверждается Руководителем Организации.

1.2. Нормативно-правовые акты, методические документы, национальные стандарты

Политика разработана в соответствии с:

  • Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (при обработке ПДн);
  • Федеральным законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
  • Указом Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»;
  • Приказом ФСТЭК России от 11 апреля 2025 г. № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений»;
  • Методическим документом ФСТЭК России «Мероприятия и меры по защите информации, содержащейся в информационных системах» (2026 г.);
  • Трудовым кодексом Российской Федерации (в части регулирования обязанностей работников по соблюдению требований защиты информации);
  • национальными стандартами Российской Федерации в области защиты информации и информационной безопасности;
  • иными нормативными и методическими документами ФСТЭК России, ФСБ России, а также внутренними организационно-распорядительными документами.

1.3. Термины и определения

Термины и определения, используемые в настоящей Политике, применяются в значениях, установленных нормативными правовыми актами Российской Федерации и нормативными документами, указанными в пункте 1.2 настоящего документа.

При отсутствии специальных определений в указанных нормативных правовых актах используются термины и определения, закрепленные в национальных стандартах Российской Федерации, в том числе:

  • ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»;
  • ГОСТ Р 56545-2015 «Защита информации. Информация и информационные технологии. Термины и определения»;
  • ГОСТ Р 56546-2015 «Защита информации. Обеспечение информационной безопасности. Термины и определения».

В случае расхождения формулировок приоритет имеют определения, установленные федеральными законами и иными нормативными правовыми актами Российской Федерации.

Использование терминов в настоящей Политике осуществляется в целях обеспечения единообразного понимания требований по защите информации и недопущения неоднозначного толкования положений документа.

2. Цели и задачи защиты информации

💡 Пояснение для специалиста Цель сформулирована через классическую триаду «конфиденциальность, целостность, доступность», что соответствует пункту 2 Приказа №117, где установлены основные принципы защиты информации. Задачи напрямую вытекают из требований пунктов 16–18 приказа. Особенно важно выделение управления уязвимостями (п. 18.5) и непрерывного мониторинга и реагирования на инциденты (п. 18.7) — это ключевые нововведения №117. Без чёткого закрепления этих задач в политике невозможно доказать регулятору, что организация выстроила системную защиту.

2.1. Цели защиты информации

Целью обеспечения защиты информации в Организации является поддержание установленного уровня конфиденциальности, целостности и доступности информации, обрабатываемой в ИС, а также обеспечение устойчивости и непрерывности их функционирования посредством предупреждения и нейтрализации актуальных угроз безопасности информации и недопущения наступления неприемлемых последствий (ущерба) для деятельности Организации.

2.2. Задачи защиты информации

Для достижения поставленной цели защиты информации Организация решает следующие задачи:

  • определение недопустимых событий, связанных с нарушением безопасности информации;
  • систематическое выявление и оценка угроз безопасности информации;
  • реализация организационных и технических мер защиты информации, адекватных актуальным угрозам и классу защищённости ИС;
  • управление конфигурациями ИС и их уязвимостями;
  • непрерывный мониторинг информационной безопасности и реагирование на инциденты;
  • обеспечение физической защиты компонентов ИС;
  • поддержание необходимого уровня знаний пользователей по вопросам защиты информации.

3. Принципы защиты информации

💡 Пояснение для специалиста Принципы — это «конституция» системы защиты. Каждый из них напрямую коррелирует с требованиями Приказа №117. Например, «Минимизация прав» реализует п. 18.2 приказа (разграничение доступа на основе ролей). «Многоуровневость» соответствует требованию эшелонированной защиты (п. 18.8). «Персональная ответственность» — это отсылка к п. 15 приказа, который требует закрепления обязанностей за конкретными должностными лицами. Без этих принципов любая техническая защита будет несистемной и не сможет обеспечить выполнение требований.

Деятельность по обеспечению защиты информации в Организации осуществляется на основе следующих принципов:

  1. Законность – соблюдение требований законодательства Российской Федерации, нормативных правовых актов уполномоченных органов и локальных нормативных актов Организации при организации и реализации мер защиты информации.
  2. Непрерывность – обеспечение защиты информации на всех этапах жизненного цикла ИС (проектирование, создание, ввод в эксплуатацию, эксплуатация, модернизация и вывод из эксплуатации), а также во всех режимах их функционирования.
  3. Адекватность – соответствие применяемых мер защиты характеру актуальных угроз безопасности информации, категории и уровню защищенности ИС, а также потенциальным возможностям нарушителя.
  4. Минимизация прав и привилегий – предоставление субъектам доступа исключительно тех прав и полномочий, которые необходимы для выполнения возложенных на них функций (принцип минимально необходимых прав, «необходимо знать»).
  5. Многоуровневость (эшелонированность) – построение системы защиты информации по принципу последовательных и взаимодополняющих уровней защиты с использованием различных по типу и назначению средств и механизмов.
  6. Персональная ответственность – закрепление обязанностей по обеспечению защиты информации за конкретными работниками в соответствии с их должностными обязанностями и локальными нормативными актами Организации.
  7. Управляемость и контролируемость – обеспечение возможности планирования, мониторинга и оценки эффективности реализуемых мер защиты информации, а также своевременного выявления и устранения выявленных недостатков.

4. Объекты защиты

💡 Пояснение для специалиста Чёткое определение объектов защиты — это выполнение требований п. 18.1 Приказа №117, который обязывает определить перечень защищаемых ресурсов. На практике часто забывают про съёмные носители, каналы связи и физические помещения, что приводит к пробелам в защите. Данный перечень охватывает все возможные компоненты, а локальный акт, утверждающий конкретный список, позволяет детализировать его под особенности организации.

Защите подлежат:

  • информационные ресурсы (информация ограниченного доступа, включая персональные данные, служебную информацию и т.д.), обрабатываемые в ИС;
  • программные, программно-аппаратные и технические средства, входящие в состав ИС (серверы, автоматизированные рабочие места, сетевое оборудование, средства хранения данных, средства защиты);
  • информационно-телекоммуникационная инфраструктура, на базе которой функционирует ИС (включая каналы связи, активное оборудование);
  • машинные носители информации (съёмные и стационарные);
  • помещения (контролируемая зона), где размещены компоненты ИС.

5. Категории лиц, участвующих в защите информации, их обязанности (функции) и полномочия

💡 Пояснение для специалиста Приказ №117 (п. 10, 12, 14) требует чёткого распределения обязанностей и определения организационной структуры. Здесь представлены все ключевые роли, включая ответственного за организацию ЗИ, администратора безопасности, ответственного за ПДн и СКЗИ. Даже если в организации один специалист, совмещение ролей допускается, но с обязательными компенсирующими мерами, что соответствует п. 14 приказа. Привлечение лицензиата ФСТЭК — это одна из таких мер, позволяющая подтвердить корректность защиты при ограниченном штате. Иерархическая структура (стратегический, координационный, функциональный уровни) обеспечивает управляемость и разделение полномочий.

5.1. Состав действующих лиц

Деятельность по защите информации в Организации осуществляется с участием следующих категорий лиц:

  • руководитель Организации;
  • ответственный за организацию защиты информации;
  • ответственный за защиту информации в ИС (администратор безопасности);
  • ответственный за обеспечение безопасности ПДн;
  • ответственный за эксплуатацию СКЗИ;
  • ответственный за техническое обслуживание ИС (администратор системы);
  • пользователи ИС (работники Организации, внешние пользователи).

Для Организации, отнесённой к субъектам критической информационной инфраструктуры (далее – КИИ), функции ответственного за организацию защиты информации возлагаются на заместителя руководителя Организации в соответствии с требованиями Указа Президента Российской Федерации от 01.05.2022 № 250.

Распределение обязанностей и полномочий между указанными лицами закрепляется настоящей Политикой, а также приказами руководителя Организации, должностными инструкциями и иными внутренними локальными актами Организации.

5.2. Обязанности (функции) и полномочия действующих лиц

5.2.1. Руководитель организации

Руководитель Организации в рамках наделенных полномочий осуществляет общее руководство деятельностью по обеспечению защиты информации и несёт персональную ответственность за организацию работ по защите информации в соответствии с требованиями законодательства Российской Федерации.

Основные обязанности (функции): утверждает Политику защиты информации и иные локальные нормативные акты; назначает ответственных лиц в области защиты информации; определяет структуру управления; осуществляет ресурсное обеспечение мероприятий по защите информации, в том числе обеспечивает приобретение необходимых средств для реализации мер защиты информации; осуществляет общий контроль за состоянием защищенности; принимает решения по результатам расследований серьезных инцидентов информационной безопасности; обеспечивает взаимодействие с уполномоченными государственными органами по вопросам защиты информации.

Руководитель вправе: назначать ответственных лиц и допускать пользователей; утверждать внутренние локальные акты по защите информации; распределять бюджетные средства на мероприятия по защите информации; инициировать служебные проверки и применять дисциплинарные взыскания.

5.2.2. Ответственный за организацию защиты информации

Ответственный за организацию защиты информации является должностным лицом, обеспечивающим координацию деятельности по защите информации в Организации и организационно-методическое сопровождение функционирования системы защиты информации. Указанное лицо осуществляет управление текущей деятельностью по обеспечению информационной безопасности, организует реализацию требований законодательства Российской Федерации и локальных нормативных актов, обеспечивает взаимодействие всех участников процесса защиты информации, а также осуществляет контроль полноты и своевременности выполнения установленных мероприятий. Ответственный за организацию защиты информации выступает центральным координирующим звеном системы управления информационной безопасностью и обеспечивает целостность, непрерывность и управляемость процессов защиты информации.

Основные обязанности (функции): организует выполнение организационных и технических мер защиты; контролирует соблюдение нормативно-правовых актов; координирует деятельность работников по защите информации; организует проведение оценки состояния защиты; организует обучение работников; планирует мероприятия по повышению уровня защищенности; взаимодействует с подрядными организациями по вопросам защиты информации; докладывает руководителю о состоянии защищенности, а также о необходимости дополнительных ресурсов (кадровых, технических средств, средств защиты информации и иных).

Ответственный вправе: запрашивать у подразделений информацию, необходимую для выполнения задач; давать обязательные для исполнения указания в пределах своей компетенции; инициировать служебные расследования инцидентов; приостанавливать работу ИС при выявлении критических угроз (с незамедлительным уведомлением руководителя); представлять Организацию в вопросах защиты информации перед третьими лицами; вносить предложения о совершенствовании системы защиты информации, разработке или актуализации локальных актов, закупке средств защиты для реализации мер, проведении дополнительного обучения работников.

5.2.3. Ответственный за защиту информации в ИС (администратор безопасности)

Ответственный за защиту информации в ИС является должностным лицом, обеспечивающим практическую реализацию организационных и технических мер защиты информации в ИС Организации. Указанное лицо осуществляет администрирование средств защиты информации, контроль конфигураций, управление доступом пользователей, выявление и устранение уязвимостей, а также мониторинг состояния защищенности ИС.

Основные обязанности (функции): реализует организационные и технические меры защиты информации в закрепленных за ним ИС; разрабатывает и актуализирует локальные акты по защите информации в ИС; управляет учетными записями в соответствии с установленными правилами; настраивает и эксплуатирует средства защиты информации; осуществляет управление уязвимостями (выявление, устранение (нейтрализация)); контролирует конфигурации ИС, выявляет и устраняет уязвимости, управляет обновлениями программного обеспечения; осуществляет мониторинг событий безопасности, выявляет инциденты и принимает меры по реагированию; контролирует процедуры резервного копирования; выполняет оценку показателей защищенности; уведомляет о выявленных инцидентах ответственного за организацию защиты информации.

Ответственный вправе: проводить настройку средств защиты информации; блокировать доступ пользователей при нарушении требований безопасности; требовать от пользователей соблюдения правил работы в ИС; инициировать внеочередные проверки защищенности; запрашивать у подразделений, обеспечивающих техническое обслуживание, информацию, необходимую для выполнения обязанностей; вносить предложения о совершенствовании системы защиты информации, разработке или актуализации локальных актов, закупке средств защиты для реализации мер, проведении дополнительного обучения работников.

5.2.4. Ответственный за обеспечение безопасности ПДн

Ответственный за обеспечение безопасности персональных данных является должностным лицом, организующим и контролирующим деятельность по защите персональных данных, обрабатываемых в Организации. Указанное лицо обеспечивает соблюдение требований законодательства Российской Федерации в области персональных данных, организует разработку и актуализацию локальных актов по защите персональных данных, контролирует законность обработки персональных данных и соблюдение принципов их обработки.

Основные обязанности (функции): разрабатывает и актуализирует локальные акты по защите ПДн; контролирует законность обработки ПДн, в том числе наличия согласий; работает с обращениями субъектов ПДн; обеспечивает конфиденциальность бумажных и электронных носителей, содержащих ПДн; информирует о нарушениях ответственного за организацию защиты информации и руководителя Организации.

Ответственный вправе: получать доступ к ИС, базам данных и документам, содержащим персональные данные, в объеме, необходимом для выполнения контрольных функций; требовать от подразделений соблюдения правил обработки ПДн; инициировать служебные проверки по фактам нарушений; представлять Организацию во взаимодействии с Роскомнадзором (при необходимости); вносить предложения о совершенствовании системы защиты ПДн, разработке или актуализации локальных актов, проведении дополнительного обучения работников.

5.2.5. Ответственный за эксплуатацию СКЗИ

Ответственный за эксплуатацию СКЗИ является должностным лицом, обеспечивающим организацию и контроль эксплуатации криптографических средств защиты информации в соответствии с требованиями законодательства Российской Федерации и нормативных документов уполномоченных органов. Указанное лицо осуществляет учет и хранение СКЗИ, организует инструктаж пользователей, контролирует соблюдение условий эксплуатации и ведение необходимой документации.

Основные обязанности (функции): разрабатывает и актуализирует локальные акты по защите информации с применением СКЗИ; настраивает СКЗИ в соответствии с требованиями по эксплуатации; осуществляет ведение журналов учета СКЗИ; проводит инструктаж пользователей СКЗИ; контролирует условия эксплуатации СКЗИ; подготавливает заключения о возможности допуска пользователей к самостоятельной работе с СКЗИ, а также о возможности эксплуатации СКЗИ; информирует о нарушениях ответственного за организацию защиты информации, ответственного за защиту информации в ИС, а также в случае серьезных нарушений руководителя Организации.

Ответственный вправе: осуществлять учет и контроль использования криптографических средств; отказывать в допуске к работе с СКЗИ при несоответствии требованиям (с незамедлительным уведомлением ответственного за защиту информации в ИС и ответственного за организацию защиты информации); инициировать замену или обновление криптографических средств; требовать соблюдения правил хранения ключевой информации; приостанавливать эксплуатацию СКЗИ при нарушении условий их применения; запрашивать сведения, необходимые для оценки корректности эксплуатации; вносить предложения по совершенствованию порядка эксплуатации СКЗИ, замене или обновлению криптосредств, повышению уровня защиты ключевой информации.

5.2.6. Ответственный за техническое обслуживание ИС (администратор системы)

Ответственный за техническое обслуживание ИС является должностным лицом, обеспечивающим работоспособность программных и программно-аппаратных средств ИС. Указанное лицо осуществляет установку, настройку и сопровождение технических средств, обеспечивает стабильность функционирования серверного и пользовательского оборудования, контролирует целостность программно-аппаратной среды.

Основные обязанности (функции): проводит инвентаризацию активов; выполняет установку и настройку оборудования и программных средств; осуществляет обслуживание сетевого оборудования, серверов и рабочих станций; контролирует целостность программно-аппаратной среды; устраняет технические неисправности и ошибки в работе ПО; информирует о нарушениях ответственного за организацию защиты информации и ответственного за защиту информации в ИС.

Ответственный вправе: получать доступ к оборудованию и системному программному обеспечению; изменять конфигурации технических средств в рамках утвержденных процедур; приостанавливать эксплуатацию оборудования при выявлении угроз безопасности (с незамедлительным уведомлением ответственного за защиту информации в ИС и ответственного за организацию защиты информации); запрашивать у подразделений и пользователей информацию, необходимую для технического обслуживания и устранения неисправностей; вносить предложения по модернизации технических средств, закупке оборудования и программного обеспечения, повышению надежности и отказоустойчивости ИС.

5.2.7. Пользователи ИС

Пользователи ИС являются участниками системы защиты информации и обязаны соблюдать установленные правила обработки и защиты информации. Пользователи осуществляют доступ к ИС исключительно в рамках предоставленных им полномочий, обеспечивают сохранность учетных данных и обязаны незамедлительно информировать ответственных лиц о выявленных признаках нарушений информационной безопасности.

Основные обязанности (функции): соблюдать требования настоящей Политики, регламентов и инструкций при работе в ИС; использовать ИС исключительно для выполнения служебных задач; сохранять конфиденциальность учетных данных (паролей, токенов) и не передавать их третьим лицам; незамедлительно уведомлять ответственного за организацию защиты информации или администратора безопасности о подозрительных событиях, попытках несанкционированного доступа, утрате носителей информации или компрометации учетных записей; проходить инструктажи и обучение по вопросам информационной безопасности; не устанавливать несанкционированное программное обеспечение, не изменять настройки средств защиты информации.

Пользователи вправе: получать доступ к ИС, ресурсам и данным в объеме, необходимом для выполнения должностных обязанностей; использовать предоставленные программные и технические средства в соответствии с их назначением; запрашивать и получать информацию о действующих правилах обработки информации и политиках безопасности (в части, их касающейся); подавать заявки на предоставление, изменение или продление прав доступа к информационным ресурсам в установленном порядке; сообщать руководству и ответственным лицам о выявленных нарушениях, уязвимостях, инцидентах и подозрительной активности; получать результаты рассмотрения своих сообщений об инцидентах.

6. Организационная система управления деятельностью по защите информации

💡 Пояснение для специалиста Иерархическая модель (стратегический, координационный, функциональный, исполнительный уровни) обеспечивает чёткое разделение стратегии, координации и исполнения. Такая структура позволяет быстро принимать решения и оперативно реагировать на инциденты. При совмещении ролей (например, когда один специалист отвечает и за защиту, и за администрирование) обязательным условием является привлечение лицензиата ФСТЭК для независимого аудита — это компенсирующая мера, признаваемая регулятором.

6.1. Организационная структура

В Организации применяется централизованная модель управления деятельностью по защите информации, при которой стратегическое руководство осуществляется руководителем Организации, а оперативная реализация мероприятий распределяется между назначенными ответственными лицами.

Система управления деятельностью по защите информации функционирует на основе процессного подхода и принципов, изложенных в настоящей Политике, и охватывает все этапы жизненного цикла ИС.

Уровни управления:

УровеньСоставОсновные задачи
1СтратегическийРуководитель ОрганизацииОпределение стратегических целей, утверждение политики и документов, выделение ресурсов, общий контроль
2КоординационныйОтветственный за организацию защиты информацииПланирование, координация процессов, контроль исполнения, взаимодействие с подразделениями, подготовка отчетности
3ФункциональныйОтветственный за защиту информации в ИС, за обеспечение безопасности ПДн, за эксплуатацию СКЗИ, за техническое обслуживание ИСРеализация и настройка средств защиты, управление доступом, мониторинг и расследование инцидентов, контроль уязвимостей, ведение документации
4ИсполнительныйПользователи ИССоблюдение установленных правил, информирование об инцидентах, использование ИС в рамках полномочий
Стратегический уровень
Руководитель организацииОбщее руководство, выделение ресурсов, утверждение политики
Координационный уровень
Ответственный за организацию ЗИКоординация, планирование, контроль, взаимодействие с регуляторами и подрядчиками
Функциональный уровень
Администратор безопасностиНастройка СЗИ, управление доступом, мониторинг инцидентов
Ответственный за ПДнКонтроль обработки персональных данных
Ответственный за СКЗИУчет, хранение, инструктаж по криптосредствам
Системный администраторТехобслуживание, резервное копирование, целостность среды
Исполнительный уровень
Пользователи ИССоблюдение правил, информирование об инцидентах
Взаимодействие: вертикальные связи (отчетность) — от исполнительного к координационному и далее к стратегическому уровню; горизонтальные связи — между функциональными специалистами. При совмещении ролей — обязательное привлечение лицензиата ФСТЭК для независимого аудита.

6.2. Механизмы взаимодействия и контроля

6.2.1. Вертикальные связи — в порядке подчиненности и отчетности: ответственный за организацию защиты информации отчитывается перед руководителем Организации о состоянии защищенности и эффективности принятых мер; функциональные специалисты отчитываются перед ответственным за организацию защиты информации о результатах работы, выявленных инцидентах и проблемах; пользователи информируют ответственных лиц о подозрительных событиях и нарушениях.

6.2.2. Горизонтальные связи — между функциональными специалистами: ответственный за защиту информации в ИС (администратор безопасности) взаимодействует с ответственным за техническое обслуживание ИС (администратор системы); ответственный за ПДн взаимодействует с администратором безопасности по вопросам технической защиты персональных данных; ответственный за СКЗИ взаимодействует с администратором безопасности и системным администратором по вопросам эксплуатации криптосредств.

6.2.3. Условия совмещения ролей — в целях обеспечения рационального распределения кадровых ресурсов в Организации допускается возложение на одного работника обязанностей по нескольким направлениям деятельности в области защиты информации. Совмещение ролей допускается исключительно при невозможности их разделения и при условии реализации компенсирующих мер, включая: участие руководителя Организации в оценке эффективности защиты и контроле деятельности совмещающего лица; оценка состояния защиты должна проводиться с привлечением постоянно действующей комиссии по вопросам защиты информации; работник должен иметь необходимую квалификацию, знания и навыки; при необходимости привлечение лицензиата ФСТЭК России для проведения периодических проверок. Работник, совмещающий несколько ролей, несёт ответственность по каждому направлению деятельности в полном объёме. Совмещение обязанностей не освобождает работника от персональной ответственности за нарушение требований законодательства и настоящей Политики.

6.2.4. Коллегиальные органы — для решения сложных вопросов и обеспечения независимой оценки руководителем Организации создается постоянно действующая комиссия по защите информации в составе: председателя комиссии; секретаря (при необходимости); не менее 2-х членов комиссии; приглашенных экспертов (при необходимости). Комиссия рассматривает результаты проверок, анализирует угрозы, риски и инциденты, утверждает планы мероприятий, дает рекомендации по совершенствованию системы защиты.

6.2.5. Формы контроля — мониторинг информационной безопасности (непрерывно); периодический контроль уровня защищенности (показатели Кзи, Пзи); внутренние проверки (аудиты); внешний аудит с привлечением лицензиата ФСТЭК России.

6.3. Условия привлечения лицензиата

В целях обеспечения независимой оценки состояния защиты информации Организация вправе привлекать юридическое лицо, имеющее лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации. Привлечение лицензиата рекомендуется при: совмещении ключевых ролей (например, ответственного за защиту информации и ответственного за техническое обслуживание); отсутствии в штате независимого компетентного специалиста по ИБ, имеющего образование по специальности или направлению подготовки в области информационной безопасности (или прошедшего профессиональную подготовку в области ИБ по согласованной программе ФСТЭК России); подготовке к аттестации ИС; существенных изменениях архитектуры ИС; выявлении инцидентов ИБ; необходимости проведения оценки эффективности защиты или аттестации ИС. Лицензиат ФСТЭК может привлекаться для: проведения независимого аудита состояния защищенности; проверки выполнения требований Приказа ФСТЭК России № 117 и иных нормативно-правовых актов в области защиты информации; анализа угроз безопасности информации; оценки корректности реализованных мер защиты; проведения тестирования на проникновение; проверки конфигураций средств защиты; оценки условий эксплуатации СКЗИ (при наличии соответствующих лицензий ФСБ России). ИС, для которых законодательством Российской Федерации предусмотрена обязательная оценка соответствия требованиям по защите информации, подлежат аттестации до ввода в эксплуатацию либо до начала обработки защищаемой информации.

7. Мероприятия (процессы) по защите информации

💡 Пояснение для специалиста Процессный подход — это требование п. 17 Приказа №117, который обязывает реализовывать защиту информации на всех этапах жизненного цикла. Вместо разовых действий (установил антивирус и забыл) здесь вводится непрерывное выполнение процессов: управление уязвимостями, мониторинг, реагирование на инциденты. Все процессы должны быть задокументированы, что позволяет доказывать регулятору их наличие и эффективность.

Обеспечение защиты информации в Организации осуществляется на основе системного подхода и достигается не разовым применением отдельных технических или организационных средств, а посредством непрерывной реализации комплекса взаимосвязанных мероприятий (процессов), охватывающих все этапы жизненного цикла ИС — от их проектирования и ввода в эксплуатацию до модернизации и вывода из эксплуатации.

Эффективность защиты информации зависит от полноты внедрения установленных процессов, уровня компетенции работников, участвующих в их реализации, а также от актуальности и достаточности организационно-распорядительной и эксплуатационной документации.

Каждый процесс защиты информации подлежит регламентации внутренними нормативными документами Организации, определяющими: цели и задачи процесса; порядок выполнения мероприятий; сроки и периодичность их осуществления; формы документирования и контроля. Реализация мероприятий по защите информации осуществляется ответственными лицами в пределах предоставленных им полномочий и координируется ответственным за организацию защиты информации.

8. Меры защиты информации

💡 Пояснение для специалиста Разделение на организационные и технические меры — это прямое следование п. 16 и 18 Приказа №117. Организационные меры создают «правила игры» (регламенты, обучение, контроль), а технические — инструменты их выполнения. Без организационных мер даже самые дорогие средства защиты не дадут эффекта. Конкретный перечень технических мер (идентификация, регистрация событий, антивирус, межсетевое экранирование, резервное копирование) полностью соответствует минимальному набору требований, установленных в п. 18 приказа.

8.1. Состав мер защиты

В Организации применяются организационные и технические меры защиты информации, обеспечивающие установленный уровень защищенности и исключающие возможность совершения в отношении информации неправомерных действий, включая несанкционированный доступ, изменение, уничтожение, блокирование, копирование или распространение.

Для ИС состав и объём реализуемых мер защиты информации определяется с учетом: результатов классификации; характера обрабатываемой информации; актуальных угроз безопасности информации; особенностей архитектуры; требований нормативных правовых актов Российской Федерации.

Реализация мер защиты осуществляется на постоянной основе и обеспечивается: внедрением и эксплуатацией средств защиты информации; разработкой и применением внутренних организационно-распорядительных документов; распределением ответственности между должностными лицами; проведением мониторинга, контроля и анализа эффективности применяемых мер. Выполнение организационных и технических мер защиты информации подтверждается документально. Результаты контроля и оценки соответствия оформляются в установленном порядке и используются для принятия решений о совершенствовании системы защиты информации. Система защиты информации поддерживается в состоянии, обеспечивающем соответствие установленным требованиям на протяжении всего жизненного цикла ИС.

8.2. Организационные меры

В Организации функционирует система организационных мер защиты информации, обеспечивающая планирование, координацию, контроль и совершенствование деятельности в области информационной безопасности. Организационные меры направлены на создание управляемой системы защиты информации, в рамках которой определены структура управления, распределены обязанности и установлена персональная ответственность должностных лиц. Организационные меры применяются на постоянной основе и актуализируются с учетом изменений законодательства, структуры ИС и выявленных угроз безопасности информации.

В целях реализации организационных мер: действует утвержденная структура управления защитой информации, включающая назначенных ответственных лиц; применяются локальные нормативные акты, регламентирующие обработку информации, порядок предоставления доступа, эксплуатацию ИС и средств защиты; осуществляется предоставление, изменение и прекращение доступа работников к информационным ресурсам в установленном порядке; проводится ознакомление работников с требованиями по защите информации и обеспечивается подтверждение их обязательств по соблюдению установленных правил; организуется регулярное обучение и инструктаж работников по вопросам информационной безопасности; осуществляется внутренний контроль соблюдения требований защиты информации, включая проведение проверок и анализ выявленных нарушений; обеспечивается документирование процессов защиты информации и хранение соответствующей документации; при привлечении подрядных организаций требования информационной безопасности закрепляются в договорных обязательствах и контролируются в ходе выполнения работ.

8.3. Технические меры

В ИС Организации применяется комплекс технических мер защиты информации, обеспечивающий установленный уровень защищенности и устойчивость функционирования информационной инфраструктуры. Технические меры реализуются с учетом оценки угроз, категории и уровня защищенности ИС, а также особенностей их архитектуры и эксплуатации.

В рамках реализации технических мер: обеспечивается идентификация и аутентификация пользователей и администраторов, включая применение усиленных механизмов аутентификации для привилегированных учетных записей; действует разграничение доступа к информационным ресурсам в соответствии с установленными ролями и принципом минимально необходимых прав; осуществляется регистрация и анализ событий безопасности, обеспечивается защита журналов регистрации; применяются средства антивирусной защиты, поддерживается актуальность их баз и программных компонентов; функционируют средства межсетевого экранирования и сегментации сети, обеспечивается фильтрация сетевого трафика; используются средства обнаружения вторжений и выявления аномальной активности; осуществляется контроль целостности программных средств и конфигураций ИС; выполняется резервное копирование информации, обеспечивается хранение резервных копий и возможность восстановления данных; передача информации осуществляется с использованием защищённых протоколов и, при необходимости, средств криптографической защиты; ограничивается физический доступ к средствам обработки информации, применяются средства контроля и управления доступом в защищаемые помещения; обеспечивается устойчивость функционирования ИС, включая резервирование критически важных компонентов. Реализация технических мер защиты информации в ИС Организации осуществляется посредством применения сертифицированных и (или) допущенных к использованию средств защиты информации, настройки их параметров безопасности, а также внедрения регламентированных процедур эксплуатации.

9. Ответственность за нарушение требований о защите информации

💡 Пояснение для специалиста Раздел об ответственности делает требования не просто рекомендациями, а обязательными к исполнению. Это соответствует п. 15 Приказа №117, где установлена персональная ответственность должностных лиц. Перечисление конкретных видов ответственности (дисциплинарная, административная, уголовная) и конкретных нарушений мотивирует сотрудников соблюдать политику. Для руководителя это инструмент влияния, для проверяющих — подтверждение, что организация серьёзно относится к информационной безопасности.

Работники Организации, а также иные лица, допущенные к обработке информации и эксплуатации ИС, несут ответственность за соблюдение требований законодательства Российской Федерации в области защиты информации, настоящей Политики и иных локальных нормативных актов Организации.

Нарушение требований о защите информации влечёт ответственность в соответствии с трудовым законодательством Российской Федерации, гражданским, административным и уголовным законодательством Российской Федерации.

Привлечение к ответственности осуществляется независимо от занимаемой должности и уровня доступа к ИС. Ответственность может наступать как при наличии наступивших негативных последствий, так и при создании угрозы их возникновения.

Основанием для привлечения к ответственности является установление факта нарушения требований о защите информации, выразившегося в: несоблюдении требований настоящей Политики; нарушении порядка обработки информации ограниченного доступа (конфиденциальной информации, в том числе ПДн); разглашении конфиденциальной информации; несанкционированном доступе к ИС; передаче учетных данных третьим лицам; несанкционированном изменении конфигураций программных, программно-аппаратных средств и средств защиты информации; несвоевременном уведомлении о выявленных инцидентах информационной безопасности; нарушении требований эксплуатации средств защиты информации и средств криптографической защиты информации; использовании ИС в целях, не связанных с исполнением должностных обязанностей.

Ответственные лица в области защиты информации несут персональную ответственность за: неисполнение или ненадлежащее исполнение возложенных обязанностей; отсутствие должного контроля в пределах своей компетенции; несвоевременное принятие мер по устранению выявленных нарушений; непринятие мер реагирования при выявлении инцидентов информационной безопасности. Совмещение обязанностей не освобождает должностное лицо от ответственности по каждому направлению деятельности.

Пожаловаться на контент cайта в Битрикс24