Добавить в корзинуПозвонить
Найти в Дзене
Синтез закона и технологий
25 подписчиков

Внутренние документы: что должно быть у вас на столе

10
3 мин
Требования №117 — это не про «купить железо и забыть». В основе лежат документы. Без них вы не докажете проверяющим, что защита информации вообще организована. Регулятор прямо сказал: разработать внутренние документы в первоочередном порядке. То есть сразу после назначения ответственного. Вот минимум, без которого нельзя: Все три документа утверждает руководитель или ответственный за защиту информации. Стандарты — это технические и организационные правила. Они не про «кто нажимает кнопки», а про «как должно быть настроено и что разрешено». Обязательные разделы стандартов (по пункту 14 Требований №117): Регламенты — это пошаговые процедуры. Они отвечают на вопрос «кто, когда и в каком порядке делает». Что должно быть прописано в регламентах (по пункту 14 Требований №117): Регулятор (ФСТЭК) в официальном разъяснении от 12 марта 2026 года подчеркнул: Политику защиты информации, внутренние стандарты и регламенты необходимо разработать в первоочередном порядке. Без этих документов вы не смо
Оглавление

Требования №117 — это не про «купить железо и забыть». В основе лежат документы. Без них вы не докажете проверяющим, что защита информации вообще организована.

Регулятор прямо сказал: разработать внутренние документы в первоочередном порядке. То есть сразу после назначения ответственного.

Какие документы нужны обязательно

Вот минимум, без которого нельзя:

  1. Политика защиты информации — главный документ. Мы о ней рассказывали в предыдущей статье.
  2. Внутренние стандарты по защите информации — описывают как именно вы защищаете информацию с учётом вашей специфики.
  3. Внутренние регламенты по защите информации — описывают процедуры и порядок действий.

Все три документа утверждает руководитель или ответственный за защиту информации.

Что прописать в стандартах

Стандарты — это технические и организационные правила. Они не про «кто нажимает кнопки», а про «как должно быть настроено и что разрешено».

Обязательные разделы стандартов (по пункту 14 Требований №117):

  • Идентификация пользователей — как узнаём, кто заходит в систему.
  • Модели доступа — кто и к каким данным имеет доступ.
  • Перечень разрешённого ПО — что можно устанавливать.
  • Перечень запрещённого ПО — что нельзя.
  • Типовые конфигурации — как должны быть настроены серверы, рабочие места, сетевое оборудование.
  • Настройки для доступа в Интернет из ИС — что можно, а что блокируется.
  • Настройки для удалённого доступа — как безопасно работать из дома.
  • Запрещённые действия пользователей — что нельзя делать в системе (например, подключать личные флешки).
  • Защита конечных устройств (компьютеры, ноутбуки с постоянным выходом в Интернет).
  • Защита мобильных устройств (телефоны, планшеты, если они используются для доступа к ИС).
  • Требования к непрерывности — какие функции ИС должны работать без сбоев и за сколько времени нужно восстановиться.
  • Резервное копирование — как часто, на какие носители, где хранить.
  • Сбор и анализ событий безопасности — что логируем, как храним, как анализируем.

Что прописать в регламентах

Регламенты — это пошаговые процедуры. Они отвечают на вопрос «кто, когда и в каком порядке делает».

Что должно быть прописано в регламентах (по пункту 14 Требований №117):

  • Порядок создания, изменения, блокировки и удаления учётных записей — обычных и привилегированных (администраторских).
  • Порядок работы с аутентификационной информацией (паролями, ключами).
  • Порядок предоставления удалённого доступа — как оформляется заявка, кто согласовывает, как контролируется.
  • Порядок предоставления доступа подрядчикам — какие документы подписываем, как контролируем.
  • Управление уязвимостями — как выявляем, как оцениваем критичность, в какие сроки устраняем (критические — 24 часа, высокие — 7 дней).
  • Управление обновлениями — как получаем, тестируем, применяем обновления ПО.
  • Обучение пользователей — как часто, в какой форме, как проверяем знания.
  • Мониторинг информационной безопасности — кто следит за событиями, как часто готовим отчёты.
  • Физическая защита — кто имеет доступ в серверную, как учитываются съёмные носители.
  • Восстановление после сбоев — как и в какие сроки поднимаем значимые функции ИС.

Сроки: когда всё это делать

Регулятор (ФСТЭК) в официальном разъяснении от 12 марта 2026 года подчеркнул: Политику защиты информации, внутренние стандарты и регламенты необходимо разработать в первоочередном порядке.

Без этих документов вы не сможете:

  • провести классификацию ИС (определить класс защищённости);
  • построить модель угроз;
  • отчитаться перед ФСТЭК.

Поэтому не откладывайте. Начните с Политики — она задаёт рамки. Потом разработайте стандарты и регламенты. Их можно делать параллельно.

Что делать, если нет штатных специалистов

Документы может разработать назначенный ответственный (даже если он юрист или сисадмин). Это не требует глубоких технических знаний — есть примерные формы и методики.

На нашем сайте вы найдёте:

  • тест готовности вашей организации к проверке
  • можете заказать разработку Политики защиты информации (в том числе для медицинских организаций);
  • можете заказать разработку должностных инструкций и приказов.

👉 synlawtech.ru

Если нужна помощь — оставляйте заявку на бесплатную консультацию. Поможем составить документы «под ключ».

В следующей статье: разберём, как определить класс защищённости вашей ИС и оформить акт классификации (это обязательно для каждой системы).

Подписывайтесь, чтобы не пропустить.