ГрамотаИБ ГрамотаИБ

Документы по защите информации: ПДн, ИСПДн, ГИС, КИИ и СКЗИ — какой комплект нужен

25.06.2026

Обзор документов по защите информации в разрезе режимов: персональные данные (152-ФЗ), ИСПДн (ПП-1119 и приказ ФСТЭК №21), государственные информационные системы (приказ ФСТЭК №117, ранее №17), критическая информационная инфраструктура (187-ФЗ, ПП-127, приказы №235 и №239) и СКЗИ (ПКЗ-2005, Инструкция ФАПСИ №152, приказ ФСБ №378). Что обязательно у любого оператора, что добавляется при автоматизированной обработке, в ГИС, у субъекта КИИ и при использовании криптографии. Перечни базовые и уточняются по конкретной системе, классу и уровню защищённости.

Один из самых частых вопросов — «какой комплект документов нужен по защите информации». Универсального списка нет: набор зависит от того, какие режимы у вас включены. Персональные данные обрабатывают почти все, ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств. появляется при автоматизированной обработке, ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК. — у государственных и муниципальных систем, КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ. — у субъектов критической инфраструктуры, а блок СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ. — как только вы применяете сертифицированную криптографию. Ниже — карта документов по каждому режиму со ссылками на подробные разборы. Главный принцип: документы должны соответствовать реально внедрённым мерам, а не лежать «для галочки».

Обзор: какой режим — какие документы

РежимКогда применяетсяКлючевая нормативка
ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн).Обрабатываются персональные данные (практически любой бизнес)152-ФЗ, ПП-687
ИСПДнПДн обрабатываются с использованием средств автоматизацииПП-1119, приказ ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. №21
ГИСГосударственная или муниципальная информационная системаприказ ФСТЭК №117 (ранее №17)
КИИОрганизация — субъект критической информационной инфраструктуры187-ФЗ, ПП-127, приказы ФСТЭК №235 и №239
СКЗИИспользуются сертифицированные средства криптозащитыПКЗ-2005, Инструкция ФАПСИ №152, приказ ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА. №378

Важно: перечни ниже — базовые ориентиры. Конкретный состав документов зависит от уровня защищённости, класса и категории ваших систем, состава данных и модели угроз, поэтому итоговый комплект уточняется индивидуально.

ПДн — базовый комплект для любого оператора

Это фундамент, который нужен всем, кто обрабатывает персональные данные, даже без информационных систем. По 152-ФЗ и Положению ПП-687 оформляют:

  • Политику обработки персональных данных (публикуемый документ) — см. как её разработать.
  • Приказ о назначении ответственного за организацию обработки ПДн.
  • Положение об обработке и защите ПДн, перечень обрабатываемых данных и целей.
  • Типовые формы согласий — для случаев, когда обработка основана на согласии (согласие не единственное основание по статье 6 152-ФЗ); какие именно нужны, разобрано в статье «Согласие на обработку ПДн».
  • Правила обработки без средств автоматизации (бумажные носители) и журналы учёта — какие именно смотрит регулятор, в материале «Какие журналы проверяет Роскомнадзор».
  • Уведомление об обработке ПДн в Роскомнадзор (с учётом сократившихся исключений статьи 22 152-ФЗ).
  • Поручения на обработку, если данные передаются подрядчикам, — см. «Поручение на обработку ПДн».
  • Оценка вреда, который может быть причинён субъектам ПДн, и документ о внутреннем контроле (аудите) соответствия обработки требованиям (статья 18.1 152-ФЗ).
  • Порядок реагирования на запросы субъектов и порядок уничтожения либо обезличивания ПДн по достижении цели — см. сроки и уничтожение данных.
  • Документы о локализации баз данных с ПДн граждан РФ на территории России (и об условиях трансграничной передачи, если она есть).

ИСПДн — добавляется при автоматизированной обработке

Как только ПДн обрабатываются в информационной системе, к базовому комплекту добавляются документы по ПП-1119 и приказу ФСТЭК №21:

  • Акт определения уровня защищённости ПДн (УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер. 1–4) — как его определить, в статье «Уровни защищённости ПДн».
  • Модель угроз безопасности информации.
  • Техническое задание и проектная документация на систему защиты.
  • Приказ о вводе в эксплуатацию, документы оценки эффективности принятых мер.
  • Перечень ИСПДн, назначение администраторов и ответственных за защиту информации, матрица (правила) разграничения доступа.
  • Эксплуатационные регламенты: управление доступом, парольная политика, антивирусная защита, учёт машинных носителей, резервное копирование и восстановление, реагирование на инциденты.

Какие технические меры закрывают требования — в обзоре «Минимальные технические меры для РКН и ФСТЭК».

ГИС — государственные и муниципальные системы

Для государственных информационных систем (приказ ФСТЭК №117, пришёл на смену приказу №17) состав похож на ИСПДн, но строже и с обязательной аттестацией:

  • Акт классификации ГИС (класс защищённости К1, К2 или К3) — как он определяется, в статье «Класс защищённости ГИС».
  • Модель угроз, техническое задание и проект системы защиты.
  • Программа и методики аттестационных испытаний, протоколы и заключение, аттестат соответствия требованиям безопасности (для ГИС аттестация обязательна).
  • Приказ о вводе ГИС и системы защиты в эксплуатацию, организационно-распорядительные документы по защите и эксплуатации.

КИИ — для субъектов критической инфраструктуры

Если организация отнесена к субъектам КИИ (187-ФЗ, ПП-127), нужны документы категорирования по всем объектам и — для значимых объектов — система безопасности по приказам ФСТЭК №235 (организация системы безопасности) и №239 (технические меры). Важно различать документы субъекта КИИ и документы значимого объекта: требования №235 и №239 применяются к значимым объектам, а не ко всем объектам субъекта.

  • Приказ о создании комиссии по категорированию, перечень объектов КИИ, акты категорирования (или решения об отсутствии категории по незначимым объектам) и направление сведений во ФСТЭК — порядок в статье «Категорирование КИИ пошагово».
  • Модель угроз и требования к системе безопасности значимых объектов.
  • Организационно-распорядительные документы по обеспечению безопасности ЗОКИИ.
  • Порядок реагирования на компьютерные инциденты и взаимодействия с ГосСОПКАГосударственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак — Система ФСБ для мониторинга и реагирования на компьютерные атаки, прежде всего на объекты КИИ..

СКЗИ — при использовании криптографии

Как только применяются сертифицированные средства криптозащиты (VPN, электронная подпись, шифрование каналов), добавляется блок по ПКЗ-2005 (приказ ФСБ №66), Инструкции ФАПСИ №152 и — для защиты ПДн в ИСПДн — приказу ФСБ №378. Учтите: электронная подпись не всегда требует отдельного аппаратного токена-СКЗИ — может использоваться программное СКЗИ и обычный носитель:

  • Приказ о назначении ответственного за СКЗИ (органа криптографической защиты).
  • Журнал поэкземплярного учёта СКЗИ и ключевых документов.
  • Правила пользования и инструкции, перечень помещений и список допущенных лиц.
  • Акты установки, ввода в эксплуатацию и уничтожения СКЗИ и ключей.

Подробно — в статьях «Учёт и хранение СКЗИ» и «Как хранить токены электронной подписи».

Как не утонуть в документах

Не нужно делать всё сразу и для всех режимов. Сначала определите свой профиль: какие данные обрабатываете, есть ли информационные системы, относитесь ли к ГИС или КИИ, используете ли криптографию. Дальше берите только применимые блоки и следите, чтобы документы отражали реальные меры. Может ли небольшая организация справиться сама — разобрано в статье «Может ли малый бизнес сам выполнить требования РКН, ФСТЭК и ФСБ», а зачем вообще нужна организационная часть — в материале «Зачем нужна бумажная безопасность».

Главное

Комплект документов по защите информации собирается по режимам: базовый блок ПДн нужен всем, ИСПДн добавляется при автоматизации, ГИС и КИИ — для государственных систем и субъектов критической инфраструктуры, СКЗИ — при использовании криптографии. Состав каждого блока задаёт своя нормативка, а документы должны соответствовать внедрённым мерам. ГрамотаИБ определяет ваш профиль и формирует нужный комплект документов, журналов и приказов под применимые режимы — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Организация и комплаенс» →

Как не допустить утечку персональных данных и коммерческой тайны

Профилактика утечек персональных данных и коммерческой тайны: почему большинство утечек идёт от своих сотрудников и небрежности, а не от хакеров, и какие организационные и технические меры реально снижают риск. Разграничение доступа, режим коммерческой тайны, NDA, контроль носителей и подрядчиков, обучение людей и порядок при увольнении.

Может ли малый бизнес сам выполнить требования РКН, ФСТЭК и ФСБ

Честный разбор: что в защите персональных данных малый бизнес реально делает своими силами и бесплатно, а где нужен лицензиат. По трём регуляторам — Роскомнадзор (организационная часть), ФСТЭК (техническая защита ИСПДн, лицензия и аттестация) и ФСБ (СКЗИ и криптография). Когда подрядчик действительно необходим, а когда это лишние расходы.

Зачем нужна «бумажная безопасность»: организационные меры, а не только антивирус

Почему для защиты персональных данных недостаёт технических средств (антивирус, резервное копирование), и закон требует организационных мер — политик, приказов, регламентов и журналов. Что в первую очередь проверяют Роскомнадзор и ФСТЭК.

Режим коммерческой тайны по 98-ФЗ: пошаговое введение

Как ввести режим коммерческой тайны по 98-ФЗ: меры статьи 10, перечень сведений, учёт допущенных лиц и документы. Без режима убытки за разглашение взыскать нельзя.