С 1 марта 2026 года для всех государственных информационных систем начинает действовать обновленный регламент безопасности. Новая редакция Приказа ФСТЭК России 117 заменяет Приказ 17 и вносит серьезные изменения в защиту данных.
Одно из ключевых обязательных требований — обучение персонала. Все сотрудники, которые работают с информационными системами и данными, должны проходить обучение по правилам безопасности.
В этой статье расскажем, как выполнить это требование эффективно и измерить реальный уровень знаний сотрудников.
Основные изменения в Приказе ФСТЭК 117
Приказ 117 расширяет зону ответственности. Теперь требования касаются не только самой государственной информационной системы, но и всей ИТ-инфраструктуры, на которой она работает. Это включает средства подрядчиков, личные устройства сотрудников и системы удаленного доступа.
Появились новые категории требований. В них входит построение безопасной работы с подрядчиками, организация защищенного удаленного доступа и управление мобильными устройствами.
Система оценки соответствия стала другой. Показатель защищенности нужно контролировать каждые шесть месяцев. Показатель зрелости проверяется раз в два года.
С 1 марта 2026 года любая новая аттестация ГИС проводится только по требованиям Приказа 117.
Человеческий фактор как обязательное требование
Раньше основное внимание уделяли технической защите. Приказ 117 делает обязательным системный подход к подготовке людей. Обучение персонала перестает быть формальностью. Нужно не просто провести лекцию, но и убедиться, что сотрудники применяют знания на практике.
Это логично. Современные угрозы, такие как фишинг или социальная инженерия, направлены на человека. Даже самая совершенная техническая защита может стать бесполезной, если сотрудник перешлет учетные данные злоумышленнику.
Приказ прямо обязывает организации обучать всех, кто работает с данными и системами. Теперь это проверяемое требование, а не рекомендация.
Проблема формального подхода к обучению
Традиционное обучение часто выглядит так: сотрудники смотрят презентацию или читают документ, затем ставят галочку о ознакомлении. Такой подход имеет два серьезных недостатка.
- Во-первых, он не измеряет реальные знания. Сотрудник мог просто пролистать материалы, не вникая в суть.
- Во-вторых, он не проверяет поведение в рабочей ситуации. Теоретическое знание правил не гарантирует, что человек отличит фишинговое письмо от настоящего в потоке рабочих задач.
В результате организация формально выполняет требование, но ее уровень реальной защищенности не повышается. Риск утечки данных из-за ошибки сотрудника остается высоким.
Решение: оценка знаний через моделирование атак и точечное обучение
Как сделать обучение практичным и измеримым? Нужно начать не с лекции, а с проверки. Сначала оценить текущий уровень осведомленности сотрудников в условиях, близких к реальным.
Это можно сделать с помощью контролируемого моделирования фишинговой атаки. Специальный сервис, например, stopphish.ru, позволяет отправить сотрудникам тренировочные письма, похожие на настоящие атаки. Цель — увидеть, кто распознает угрозу, а кто нет.
Этот метод дает объективные данные. Вы получаете не отчет об изучении материала, а статистику по действиям сотрудников в смоделированной рисковой ситуации.
Практическое применение метода
Процесс строится в несколько этапов.
- Первый этап — базовая проверка. Вы запускаете первую фишинговую кампанию для всех сотрудников, которые работают с данными. Это срез знаний без предварительного предупреждения. Он показывает реальную картину.
- Второй этап — анализ. Сервис предоставляет детальную аналитику. Вы видите, какие сотрудники или отделы наиболее уязвимы, на какие типы писем чаще всего попадаются, кто переходит по ссылкам или вводит данные.
- Третий этап — точечное обучение. На основе этих данных вы не обучаете всех подряд. Вы назначаете обязательные курсы по информационной безопасности только тем сотрудникам, которые не прошли проверку. Обучение становится адресным и мотивированным. Сотрудник уже понимает, почему это важно — он только что увидел свою ошибку в безопасной среде.
- Четвертый этап — повторная проверка и цикл. Через некоторое время проводится новая проверка. Это позволяет оценить эффективность обучения и поддерживать высокий уровень осведомленности.
Преимущества подхода для выполнения Приказа 117
Такой подход решает сразу несколько задач.
- Он обеспечивает выполнение прямого требования Приказа 117 об обучении персонала. При этом у вас есть документальное подтверждение — отчеты о проведении проверок и последующем обучении.
- Он повышает реальную, а не формальную безопасность. Сотрудники начинают на практике распознавать угрозы, что снижает риски утечек и инцидентов.
- Он оптимизирует ресурсы. Вы не тратите время и бюджет на обучение тех, кто уже обладает нужными знаниями. Обучение направлено именно на закрытие слабых мест.
- Он создает измеримую метрику. Вы можете отслеживать динамику. Например, видеть, что процент попадающихся на фишинг сотрудников снижается с 25% до 5% за полгода. Это понятный показатель для отчетности.
Приказ ФСТЭК 117 смещает акцент с формального соблюдения правил на реальную эффективность мер безопасности. Обучение сотрудников — центральный элемент этой новой логики.
Использование современных методов, таких как моделирование фишинговых атак через сервис stopphish.ru, позволяет превратить это требование из бюрократической задачи в инструмент для настоящего укрепления защиты. Вы получаете подготовленных сотрудников, измеримые результаты и уверенность в выполнении требований регулятора с 1 марта 2026 года.
Проверьте знания своих сотрудников как можно раньше
Поможем организовать процесс и получить показательные результаты.
Оставить заявку
 1.png){kind=icon}
.png){kind=icon}