ОРГАНИЗАЦИОННО-ПРАВОВАЯ ЗАЩИТА ИНФОРМАЦИИ НА ПРЕДПРИЯТИЯХ МАЛОГО И СРЕДНЕГО БИЗНЕСА

ORGANIZATIONAL AND LEGAL PROTECTION OF INFORMATION IN SMALL AND MEDIUM-SIZED BUSINESSES

Anisimova Alicia Alexandrovna

student, Department of Information Systems Security, Samara State University, Russia, Samara

Patsyuk Alexander Dmitrievich

PhD in Technical Sciences, Associate Professor, Department of Information Systems Security, Samara State University,

Russia, Samara

АННОТАЦИЯ

Рассмотрены вопросы организационно-правовой защиты информации в организациях малого и среднего бизнеса.

Представлена иерархия документов по информационной безопасности.

Показаны роль и значение организационных документов, разрабатываемых на предприятии.

ABSTRACT

The article discusses the organizational and legal protection of information in small and medium-sized businesses.

It presents the hierarchy of information security documents.

The article highlights the role and significance of organizational documents developed at the enterprise.

Ключевые слова: информационная безопасность, организационно-правовая защита информации.

Keywords: information security, restricted access information, information protection.

Введение

На любом предприятии должны быть документы, которые регламентируют меры по защите информации, обеспечивают соответствие требованиям законодательства, регламентируют деятельность сотрудников и устанавливают их ответственность.

Конкретный перечень может варьироваться в зависимости от вида деятельности организации, масштаба и специфики обработки данных, но есть базовый набор документов, который обычно требуется.

Иерархия правовых документов в области защиты информации

Конкретный перечень может варьироваться в зависимости от вида деятельности организации, масштаба и специфики обработки данных, но есть базовый набор документов, который обычно требуется.

Правовые документы Российской Федерации в области защиты информации имеют свою иерархию (Рисунок 1).

Высшим уровнем является Конституция РФ [2] и «Доктрина информационной безопасности Российской Федерации» [6]

Далее идут законы:

• Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [7].
• Закон Российской Федерации от 21 июля 1993 г. № 5485-1 «О государственной тайне» [1].
• Федеральный закон от 29 июля 2004 года № 98-ФЗ "О коммерческой тайне" [9].
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» [8].

Рисунок 1. Иерархия нормативно-правовых документов в области информационной безопасности

Следующим уровнем идут нормативные документы Регуляторов (Правительство, ФСБ, ФСТЭК, и т.д.):

• Постановление Правительства РФ от 01.11.2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" [3].
•  Приказ ФСТЭК от 18.02.2013 г. № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" [5].
• Приказ ФСБ России от 10.07.2014 г. № 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" [4].

Иерархия организационно-правовых документов на уровне предприятия

Документы, разрабатываемые предприятием, так же имеют свою иерархию (Рисунок 2).

Обязательные документы

1. Политика информационной безопасности (ИБ). Основной документ, в котором закрепляются цели, принципы, требования к защите информации, процедуры и ссылки на другие документы. Определяет общие подходы к обеспечению ИБ в организации.

2. Модель угроз безопасности — документ, в котором описаны потенциальные угрозы, нарушители и объекты защиты (информационные ресурсы, системы и т. д.).

3. Модель нарушителя – может быть разделом в Модели угроз, либо отдельным документом.

4. Приказы:

• о назначении ответственного за обеспечение информационной безопасности — формализует ответственность за соблюдение требований, разработку и обновление документации, организацию обучения и контроля;
• о введении в действие политики ИБ;
• о назначении ответственного за обработку персональных данных (если организация работает с ПДн);
• о проведении внутреннего аудита ИБ (при подготовке к проверке или сертификации);
• о внедрении новых ИТ-средств защиты (антивирусов, VPN, систем предотвращения утечек данных и т. д.).

5. Положения и регламенты:

• положение об ИБ — распределяет роли и уровни доступа, описывает структуру управления ИБ;
• регламент обработки информации — описывает все этапы работы с данными: от сбора до уничтожения (обязателен при работе с ПДн);
• порядок разграничения прав доступа — определяет, кто и к каким ресурсам имеет доступ в ИТ-системах;
• регламент резервного копирования — устанавливает частоту, объёмы и условия хранения резервных копий данных;
• положение о защите персональных, секретных, конфиденциальных сведений;
• положение о правилах пользования внутренней информационной сетью, использования интернет-ресурсов.

6. Инструкции:

• инструкция по работе с конфиденциальной информацией — разъясняет, какие данные считаются конфиденциальными, как с ними обращаться, где хранить и кому передавать;
• инструкция по работе с персональными данными — регламентирует действия при сборе, хранении, передаче и удалении ПДн, включая сроки хранения и порядок уничтожения;
• инструкция по использованию электронной почты, уничтожению носителей и т. д.;
• инструкция по работе с носителями (USB, HDD, бумажные носители и т. д.) — для исключения утечек через физические носители.

7. Журналы учёта:

• журнал ознакомления с ИБ-документами — для фиксации того, что сотрудники ознакомились с инструкциями (подписи обязательны);
• журналы входа в информационные системы, инструктажей, проверок, инцидентов, уничтожения документов.

8. Соглашения о конфиденциальности (NDA) — юридически закрепляют обязанность сотрудников не разглашать служебную информацию.

9. План мероприятий по ИБ на год — перечень конкретных действий по обеспечению безопасности с указанием сроков и ответственных.

10. План реагирования на инциденты (BCP/DRP) — пошаговый алгоритм действий при утечке данных, DDoS-атаке, вирусном заражении и т. д.

11. Технические паспорта информационных систем, схемы сетей, перечень оборудования и помещений с ИТ-инфраструктурой.

Дополнительные документы уровня предприятия

В зависимости от специфики деятельности могут потребоваться:

• документы, связанные с использованием криптографических средств;
• локальные акты по обработке, использованию и хранению персональных данных (на основе ФЗ № 152);
• акты проверки;
• памятки для сотрудников.

Рисунок. 2 Иерархия документов уровня предприятий

Общие требования к разрабатываемым документам

Все документы должны:

• быть утверждены руководителем организации;
• быть доступны сотрудникам;
• актуализироваться при изменениях в законодательстве, структуре компании, внедрении нового ПО или технологий;
• соответствовать реальной практике работы организации.

При проверках Роскомнадзор и ФСТЭК оценивают не только наличие документов, но и их реализацию на практике.

Для разработки и адаптации документов рекомендуется привлекать специалистов по информационной безопасности, чтобы избежать ошибок, которые могут привести к штрафам или утечкам данных.

Выводы

1. Организационно-правовые документы уровня предприятия разрабатываются на основе положений изложенных в документах Регуляторов (Правительство, ФСБ. ФСТЭК) и имеют свою иерархию.
2. Разработка документов уровня предприятия является важным элементом обеспечения информационной безопасности.
3. Наличие и полнота внутренних документов необходимы для прохождения аттестации на соответствие нормам защиты информации.

Список литературы:

1. Закон Российской Федерации от 21.07.1993 № 5485-1 «О государственной тайне» [Электронный ресурс].  URL: http://publication.pravo.gov.ru/document/0001032300020001 (дата обращения: 25.01.2026).
2. Конституция Российской Федерации, статья 79 [Электронный ресурс].  URL: http://www.consultant.ru/document/cons_doc_LAW_28399/ (дата обращения: 27.01.2026).
3. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [Электронный ресурс]. – URL: https://base.garant.ru/70252506/ (дата обращения: 20.01.2026).
4. Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» [Электронный ресурс]. – URL: https://base.garant.ru/70727118/ (дата обращения: 28.01.2026).
5. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» [Электронный ресурс]. – URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/spetsialnaya-dokumentatsiya/114-prikazy/330-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21 (дата обращения: 25.01.2026).
6. Указ Президента Российской Федерации от 05.12.2016 № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации» [Электронный ресурс].  URL: http://publication.pravo.gov.ru/document/0001201612060002 (дата обращения: 21.01.2026).
7. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [Электронный ресурс].URL: http://publication.pravo.gov.ru/document/0001200607310018 (дата обращения: 21.01.2026).
8. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» [Электронный ресурс].  URL: http://publication.pravo.gov.ru/document/0001200607310016 (дата обращения: 21.01.2026).
9. Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне» [Электронный ресурс].  URL: http://publication.pravo.gov.ru/document/0001200408020021 (дата обращения: 25.01.2026).