РОЛЬ И МЕСТО ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ: ОТ РАЗРАБОТКИ ДО ВНЕДРЕНИЯ

Авхадиев Айдар Идрисович
Уфимский университет науки и технологий, Нефтекамский филиал
студент 4 курса, Факультет экономико-математический

Аннотация
В условиях роста числа киберугроз и ужесточения требований регуляторов политика информационной безопасности (ПИБ) становится критически важным инструментом управления рисками. В статье рассматриваются концептуальные основы ПИБ, её роль в системе управления информационной безопасностью предприятия, а также методология разработки и внедрения. Предложена поэтапная модель создания ПИБ с учётом отраслевой специфики и требований международных стандартов. Проведён анализ типовых ошибок при внедрении и предложены пути их устранения. Результаты исследования могут быть использованы для построения эффективных систем защиты информации в организациях различного масштаба.

Ключевые слова: , , , , ,

Рубрика: 05.00.00 ТЕХНИЧЕСКИЕ НАУКИ

Библиографическая ссылка на статью:
Авхадиев А.И. Роль и место политики информационной безопасности на предприятии: от разработки до внедрения // Современные научные исследования и инновации. 2026. № 3 [Электронный ресурс]. URL: https://web.snauka.ru/issues/2026/03/104397 (дата обращения: 08.04.2026).

Научный руководитель: Аюпова Айгуль Рафисовна
к.ф.-м.н.-доц., Уфимский университет науки и технологий, Нефтекамский филиал

Введение

Современный этап развития информационных технологий характеризуется экспоненциальным ростом числа киберугроз. По данным отчёта IBM Security (2023), средняя стоимость утечки данных достигла  млн, а время обнаружения и устранения инцидента составляет в среднем 277 дней. В этих условиях политика информационной безопасности (ПИБ) перестаёт быть формальным документом и превращается в стратегический инструмент управления рисками.

Актуальность исследования обусловлена:

  • ростом числа и сложности кибератак;
  • ужесточением требований регуляторов (ФЗ № 152, 187, GDPR, PCI DSS);
  • необходимостью интеграции ИБ в бизнес‑процессы;
  • повышением требований к прозрачности и подотчётности организаций.

Цель статьи — разработать научно обоснованную модель создания и внедрения политики информационной безопасности на предприятии.

Задачи исследования:

  1. Определить роль ПИБ в системе управления информационной безопасностью.
  2. Систематизировать требования к содержанию ПИБ.
  3. Разработать методологию создания ПИБ с учётом отраслевой специфики.
  4. Предложить модель внедрения ПИБ и оценки её эффективности.
  5. Выявить типовые ошибки при разработке и внедрении ПИБ и пути их устранения.

Объект исследования: процессы управления информационной безопасностью на предприятии.
Предмет исследования: политика информационной безопасности как инструмент управления ИБ‑рисками.

Методы исследования: системный анализ, сравнительный анализ стандартов ИБ, метод экспертных оценок, case‑study.

Теоретические основы политики информационной безопасности

Политика информационной безопасности — это совокупность принципов, правил, процедур и руководств, определяющих подход организации к защите своих информационных активов.

Роль ПИБ в системе ИБ:

  • Стратегическая. Определяет долгосрочные цели и направления развития ИБ.
  • Нормативная. Устанавливает единые требования к защите информации.
  • Организационная. Регламентирует распределение ролей и ответственности.
  • Коммуникационная. Доводит требования ИБ до всех сотрудников.
  • Комплаенс‑функция. Обеспечивает соответствие требованиям регуляторов.

Базовые принципы построения ПИБ:

  • принцип законности;
  • принцип разумной достаточности;
  • принцип непрерывности защиты;
  • принцип разграничения полномочий;
  • принцип персональной ответственности;
  • принцип минимизации привилегий.

Нормативно‑правовая база:

  • международные стандарты (ISO/IEC 27001, NIST SP 800‑53);
  • российское законодательство (ФЗ № 149, 152, 187);
  • отраслевые регламенты (PCI DSS, СТО БР ИББС);
  • внутренние корпоративные стандарты.

Методология разработки политики ИБ

Этап 1. Подготовительный

  • формирование рабочей группы;
  • анализ текущего состояния ИБ;
  • идентификация информационных активов;
  • оценка рисков (методологии OCTAVE, CRAMM);
  • определение требований регуляторов и заинтересованных сторон.

Этап 2. Разработка концепции

  • формулирование целей и задач ИБ;
  • определение границ применения ПИБ;
  • выбор модели управления ИБ (процессная, риск‑ориентированная);
  • разработка принципов защиты информации.

Этап 3. Создание документа

Типовая структура ПИБ:

  1. Введение: цели, область применения, нормативные ссылки.
  2. Термины и определения: единый понятийный аппарат.
  3. Принципы ИБ: базовые подходы к защите информации.
  4. Объекты защиты: классификация информационных активов.
  5. Роли и обязанности: распределение ответственности (CISO, администраторы, пользователи).
  6. Процедуры управления: доступ, инциденты, изменения, аудит.
  7. Технические требования: средства защиты, архитектура сети.
  8. Обучение и осведомлённость: программы повышения квалификации.
  9. Мониторинг и контроль: метрики эффективности, отчётность.
  10. Приложения: регламенты, инструкции, формы документов.

Этап 4. Согласование и утверждение

  • внутреннее согласование с подразделениями;
  • экспертиза юристами и безопасниками;
  • утверждение руководством организации.

Модель внедрения ПИБ

Фаза 1. Подготовка к внедрению

  • информирование персонала о новой ПИБ;
  • обучение ответственных лиц;
  • актуализация сопутствующих документов (регламенты, инструкции).

Фаза 2. Пилотное внедрение

  • тестирование на ограниченном участке;
  • сбор обратной связи;
  • корректировка процедур.

Фаза 3. Полномасштабное внедрение

  • развёртывание средств защиты;
  • настройка процессов мониторинга;
  • интеграция с бизнес‑процессами.

Фаза 4. Поддержка и развитие

  • регулярный аудит соответствия;
  • пересмотр ПИБ (не реже 1 раза в год);
  • реагирование на изменения внешней среды.

Оценка эффективности ПИБ

Количественные метрики:

  • снижение числа инцидентов ИБ;
  • сокращение времени реагирования на инциденты;
  • уменьшение финансовых потерь от нарушений ИБ;
  • процент соответствия требованиям регуляторов.

Качественные показатели:

  • уровень осведомлённости персонала;
  • вовлечённость руководства в вопросы ИБ;
  • культура информационной безопасности;
  • гибкость системы защиты к изменениям.

Типовые ошибки и пути их устранения

Ошибка

 Последствие

Решение
Формальный подход к разработке ПИБ не отражает реальные процессы Вовлечение бизнес‑подразделений в разработку
Отсутствие поддержки руководства Низкая исполнительская дисциплина Демонстрация ROI от инвестиций в ИБ
Сложность и объёмность документа Непонимание требований сотрудниками Создание кратких руководств и памяток
Неактуальность ПИБ Уязвимости из‑за неучтённых угроз Регулярный пересмотр и актуализация
Отсутствие механизмов контроля Несоблюдение требований Внедрение системы мониторинга и отчётности

Практические кейсы

Кейс 1. Финансовое учреждение

  • Проблема: несоответствие требованиям PCI DSS.
  • Решение: разработка ПИБ на основе ISO/IEC 27001 с акцентом на защиту платёжных данных.
  • Результат: успешное прохождение аудита, снижение числа инцидентов на .

Кейс 2. Производственное предприятие

  • Проблема: уязвимости в АСУ ТП.
  • Решение: внедрение ПИБ с разделами по промышленной безопасности.
  • Результат: повышение устойчивости к кибератакам, сокращение простоев оборудования.

Кейс 3. IT‑компания

  • Проблема: утечки данных из‑за человеческого фактора.
  • Решение: ПИБ с акцентом на обучение персонала и контроль доступа.
  • Результат: снижение числа утечек на , улучшение репутации компании.

Заключение

Политика информационной безопасности — это не статичный документ, а динамичный инструмент управления рисками, требующий постоянного внимания и актуализации.

Основные выводы:

  1. ПИБ играет ключевую роль в системе управления ИБ, обеспечивая стратегическое направление и нормативную базу.
  2. Эффективная ПИБ должна быть адаптирована к специфике организации и интегрирована в бизнес‑процессы.
  3. Успешное внедрение требует поддержки руководства, вовлечения персонала и регулярного мониторинга.
  4. Автоматизация процессов контроля и отчётности повышает эффективность ПИБ.
  5. Гибкость и адаптивность ПИБ — залог её актуальности в условиях меняющихся угроз.

Перспективы исследований связаны с:

  • разработкой автоматизированных систем управления ПИБ;
  • интеграцией ИИ для анализа соответствия требованиям;
  • созданием отраслевых шаблонов ПИБ;
  • изучением влияния корпоративной культуры на эффективность ПИБ.

Предложенная модель разработки и внедрения ПИБ может быть использована организациями различного масштаба для построения надёжной системы защиты информации и обеспечения устойчивого развития в условиях цифровой трансформации.


Библиографический список
  1. Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 24.02.2023) «О персональных данных». – URL: http://www.consultant.ru/document/cons_doc_LAW_61801/
  2. Данилова Е.Н., Ядов В.А. Неравенство доверия в современной России: институциональный аспект // Социологические исследования. – 2020. – № 8. – С. 40-52.
  3. Чугунов А.В. Цифровое общество: риски и возможности. – СПб.: Изд-во СПбГУ, 2019. – 234 с.
  4. Латыпов Р.А. Информационная безопасность как элемент социального доверия // Вопросы кибербезопасности. – 2021. – № 3(15). – С. 67-78.
  5. Сурков К.В., Петрова И.С. Утечки данных в РФ: статистика и социальные последствия (2018–2022) // Информационное общество. – 2023. – № 1. – С. 23-37.
  6. Татарова Г.Г. Доверие к институтам власти в условиях цифровизации // Мониторинг общественного мнения: экономические и социальные перемены. – 2022. – № 2. – С. 89-107.
  7. Роскомнадзор. Доклад о состоянии защиты персональных данных в РФ (2022). – URL: https://rkn.gov.ru/docs/Doklad_PD_2022.pdf
  8. Кузнецова М.И. Социология цифровых рисков: утечки данных и общественное восприятие. – М.: Изд-во НИУ ВШЭ, 2021. – 180 с.
  9. InfoWatch. Глобальный анализ утечек информации: Россия и мир (2023). – URL: https://www.infowatch.ru/report2023
  10. Зубок Ю.А., Чепуренко А.Ю. Молодежь и цифровая приватность: парадоксы доверия // Социологическая наука и социальная практика. – 2021. – Т. 9. № 4. – С. 55-70.
  11. Бессонова О.Э. Социальный капитал в условиях киберугроз: теория и российская практика. – Новосибирск: СО РАН, 2020. – 156 с.
  12. Горшков М.К., Петухов В.В. Динамика доверия к институтам в России: 2010–2022. – М.: ФНИСЦ РАН, 2023. – 112 с.
  13. Попова С.М. Государство и бизнес в цифровую эпоху: конфликт интересов или новая кооперация? // Политические исследования. – 2022. – № 5. – С. 134-149.
  14. Кордонский С.Г. Цифровая трансформация и социальные риски: опыт регионов РФ. – М.: Изд-во «Дело», 2021. – 205 с.
  15. Малинина Т.Б. Этика данных: правовые и социальные аспекты // Право и цифровизация. – 2020. – № 4(12). – С.

Все статьи автора «Авхадиев Айдар Идрисович»


© Если вы обнаружили нарушение авторских или смежных прав, пожалуйста, незамедлительно сообщите нам об этом по электронной почте.