23 документа ОРД для ИСПДн — полный перечень 2026
23 обязательных организационно-распорядительных документа для ИСПДн по 152-ФЗ и № 21 ФСТЭК. Для каждого — назначение, минимальный объём, частота пересмотра, кто подписывает.
Обновлено на 17.04.2026. Список актуален для категорий К1–К4. Для спецкатегорий ПДн добавляются ещё 4 документа (см. п. 24 в конце).
I. Базовые документы оператора ПДн
| № | Документ | Объём | Пересмотр |
|---|
| 1 | Политика в отношении обработки персональных данных | 4–8 стр. | 1 раз в 2 года |
| 2 | Приказ о назначении ответственного за организацию обработки ПДн | 1 стр. | при смене ответственного |
| 3 | Приказ об утверждении перечня ИСПДн | 1–2 стр. | при изменении состава ИСПДн |
| 4 | Приказ о назначении ответственного за обеспечение безопасности ПДн | 1 стр. | при смене ответственного |
| 5 | Согласие на обработку ПДн (шаблон) | 1–2 стр. | по мере необходимости |
II. Классификация и модель угроз
- 6. Акт определения уровня защищённости ИСПДн — 2–4 стр., пересматривается при изменении ИСПДн
- 7. Модель угроз безопасности ПДн — 15–40 стр., по ФСТЭК БДУ, обновление 1 раз в год
- 8. Модель нарушителя — 4–8 стр., обновление 1 раз в 2 года
- 9. Техническое задание на создание СЗПДн — 10–20 стр., разово
- 10. Технический проект СЗПДн — 30–80 стр., разово
III. Организационные меры защиты
- 11. Правила обработки ПДн без средств автоматизации
- 12. Положение о комиссии по контролю защищённости ПДн
- 13. Регламент доступа в помещения обработки ПДн
- 14. Положение об учётных записях пользователей ИСПДн
- 15. Регламент реагирования на инциденты безопасности
- 16. Инструкция пользователя ИСПДн
- 17. Инструкция администратора ИСПДн
- 18. Инструкция администратора безопасности ИСПДн
IV. Учёт и контроль
- 19. Журнал учёта носителей ПДн
- 20. Журнал учёта средств защиты информации
- 21. Журнал регистрации инцидентов ИБ
- 22. Журнал обучения персонала вопросам безопасности ПДн
- 23. Акты уничтожения носителей ПДн
V. Дополнительно для спецкатегорий ПДн
Для ИСПДн, обрабатывающих сведения о состоянии здоровья, расовой принадлежности, политических убеждениях и т.п. (см. ст. 10 152-ФЗ):
- 24a. Письменное согласие субъекта ПДн на обработку специальных категорий
- 24b. Положение о порядке обработки спецкатегорий
- 24c. Акт уничтожения спецкатегорий ПДн (отдельно от обычных)
- 24d. Уведомление РКН об обработке спецкатегорий (если применимо)
Типичные ошибки при оформлении ОРД
- Копирование шаблонов из интернета без адаптации — РКН при проверке это видит моментально.
- Отсутствие дат и подписей — формально документ недействителен.
- Несоответствие фактическим бизнес-процессам — модель угроз описывает «среднюю по больнице» ИСПДн, а не вашу.
- Единоразовое оформление без пересмотра — через 2 года документы устаревают на 40–60%.
- Отсутствие инструкций для реальных пользователей — только для «администраторов» и «ответственных».