С 1 марта 2026 года меняются правила безопасности для всех государственных информационных систем. Приказ ФСТЭК России 117 приходит на смену приказу 17 и вносит серьезные изменения в требования к защите данных.
Одно из ключевых новшеств касается обучения персонала. Все сотрудники, которые имеют доступ к информационным системам и данным, должны проходить подготовку по правилам безопасности. Причем теперь это не рекомендация, а прямое требование, которое будут проверять.
Разберемся, как выполнить это требование с пользой для дела и как понять, действительно ли сотрудники усвоили материал.
Что меняет новый приказ
Приказ 117 расширяет зону ответственности организаций. Требования теперь распространяются не только на саму государственную информационную систему, но и на всю инфраструктуру, где она работает. Сюда входят средства подрядчиков, личные устройства сотрудников и системы удаленного доступа.
- Появились новые разделы требований. Они касаются безопасной работы с подрядчиками, организации защищенного удаленного доступа и управления мобильными устройствами.
- Изменилась и система оценки. Показатель защищенности нужно контролировать каждые полгода. Показатель зрелости проверяют раз в два года.
С 1 марта 2026 года любую новую аттестацию ГИС будут проводить только по требованиям приказа 117.
Почему обучение персонала вышло на первый план
Раньше основное внимание уделяли технической защите: средствам шифрования, межсетевым экранам, системам обнаружения атак. Приказ 117 делает обязательным системный подход к подготовке людей. Просто провести лекцию и собрать подписи теперь недостаточно. Нужно убедиться, что сотрудники действительно применяют знания на практике.
Это логичное требование. Современные угрозы, такие как фишинг или социальная инженерия, направлены именно на человека. Самая совершенная техническая защита становится бесполезной, если сотрудник сам передает данные злоумышленнику или переходит по вредоносной ссылке.
Приказ прямо обязывает организации обучать всех, кто работает с данными и системами. Это проверяемое требование, а не просто рекомендация.
В чем проблема обычного подхода к обучению
Традиционное обучение часто выглядит так: сотрудники смотрят презентацию или читают документ, затем ставят отметку об ознакомлении. У такого подхода два серьезных недостатка.
Первый: он не показывает реальный уровень знаний. Сотрудник мог просто пролистать материалы, не вникая в суть.
Второй: он не проверяет поведение в рабочей ситуации. Знание правил в теории не гарантирует, что человек отличит фишинговое письмо от настоящего в потоке повседневных задач.
В результате организация формально выполняет требование, но реальный уровень защищенности не повышается. Риск утечки данных из-за ошибки сотрудника остается высоким.
Как оценить знания через моделирование ситуаций и провести адресное обучение
Как сделать обучение практичным и измеримым? Лучше начать не с лекции, а с проверки. Сначала нужно оценить текущий уровень осведомленности сотрудников в условиях, близких к реальным.
Для этого можно использовать контролируемое моделирование фишинговой атаки. Специальный сервис, например stopphish.ru, позволяет отправить сотрудникам тренировочные письма, похожие на настоящие атаки. Задача — увидеть, кто распознает угрозу, а кто нет.
Этот метод дает объективные данные. Вы получаете не отчет об изучении материала, а статистику по действиям сотрудников в смоделированной рисковой ситуации.
Как это работает на практике
Процесс строится в несколько этапов.
- Первый этап — базовая проверка. Вы запускаете первую фишинговую кампанию для всех сотрудников, которые работают с данными. Это срез знаний без предварительного предупреждения. Он показывает реальную картину.
- Второй этап — анализ. Сервис предоставляет детальную статистику. Вы видите, какие сотрудники или отделы наиболее уязвимы, на какие типы писем они чаще попадаются, кто переходит по ссылкам или вводит свои данные.
- Третий этап — адресное обучение. На основе этих данных вы не обучаете всех подряд. Вы назначаете обязательные курсы по информационной безопасности только тем сотрудникам, которые не прошли проверку. Обучение становится направленным и осмысленным. Сотрудник уже понимает, почему это важно — он только что увидел свою ошибку в безопасной для себя ситуации.
- Четвертый этап — повторная проверка. Через некоторое время проводится новая проверка. Это позволяет оценить эффективность обучения и поддерживать высокий уровень осведомленности.
Почему такой подход удобен для выполнения приказа 117
Такой подход решает несколько задач одновременно.
- Он обеспечивает выполнение прямого требования приказа 117 об обучении персонала. При этом у вас есть документальное подтверждение — отчеты о проведении проверок и последующем обучении.
- Он повышает реальную, а не формальную безопасность. Сотрудники начинают на практике распознавать угрозы, что снижает риски утечек и инцидентов.
- Он экономит ресурсы. Вы не тратите время и бюджет на обучение тех, кто уже обладает нужными знаниями. Обучение направлено именно на закрытие слабых мест.
- Он создает измеримый показатель. Вы можете отслеживать динамику. Например, видеть, что доля сотрудников, попадающихся на фишинг, снижается с 25 до 5 процентов за полгода. Это понятный показатель для отчетности.
Приказ ФСТЭК 117 смещает акцент с формального соблюдения правил на реальную эффективность мер безопасности. Обучение сотрудников — центральный элемент этой новой логики.
Использование современных методов, таких как моделирование фишинговых атак через сервис stopphish, позволяет превратить это требование из бюрократической задачи в инструмент для настоящего укрепления защиты. Вы получаете подготовленных сотрудников, измеримые результаты и уверенность в выполнении требований регулятора с 1 марта 2026 года.
Проверьте знания своих сотрудников заранее, а мы поможем организовать процесс и получить показательные результаты – достаточно оставить заявку на консультацию.