Бесплатный пилот
Приказ ФСТЭК №117: Что теперь обязана делать ваша организация
Практический гайд · 2026

Приказ ФСТЭК №117:
что теперь обязана делать
ваша организация

Разбираем новые требования к обучению сотрудников по информационной безопасности

Документ-основаниеПриказ ФСТЭК России от 11.04.2025 №117
Кому полезноCISO, ИБ-специалисты, HR, руководители ИТ
ПлатформаStopPhish
Коротко о главном: С апреля 2025 года в России действует приказ ФСТЭК №117. Он впервые так подробно и конкретно описывает, как именно организация обязана обучать сотрудников кибербезопасности. И теперь это обязательные требования с конкретными мерами и проверками. В этом гайде мы переводим официальный текст на человеческий язык.
1

Кого это касается?

Требования распространяются на государственные органы, государственные учреждения и предприятия, которые эксплуатируют информационные системы. Если в вашей организации есть ИС с информацией ограниченного доступа — эти правила для вас.

Оператор (обладатель информации) должен обеспечивать защиту информации в соответствии с Требованиями на всех стадиях (этапах) обработки и хранения информации, создания и развития (модернизации), эксплуатации и вывода из эксплуатации информационных систем… — Приказ ФСТЭК №117, п. 9

Это означает, что организация должна выстраивать комплексную систему защиты, включающую не только технические средства, но и организационные меры, включая подготовку пользователей.

2

Что обязана сделать организация: системный взгляд

Приказ требует создания управляемой системы защиты информации, включая внутренние регламенты и обучение пользователей. Ключевые моменты:

«Организация деятельности по защите информации должна включать… разработку и утверждение внутренних регламентов по защите информации…»

В частности, внутренние регламенты должны содержать:

«порядок повышения уровня знаний и информированности пользователей по вопросам защиты информации» — Приказ ФСТЭК №117, п. 14

⚠️ Это уже не рекомендация, а обязанность

Организация обязана утвердить конкретный порядок обучения сотрудников: кто учится, как часто, по каким темам, кто проверяет результаты. Без утверждённого регламента — нарушение требований приказа.

3

Повышение осведомленности пользователей - обязательное мероприятие защиты

Приказ прямо устанавливает необходимость проведения мероприятий по обучению сотрудников:

«Для достижения целей защиты информации оператором (обладателем информации) должны проводиться следующие мероприятия… …п) повышение уровня знаний и информированности пользователей по вопросам защиты информации.» — Приказ ФСТЭК №117, п. 34

Таким образом, обучение пользователей является обязательным элементом системы защиты информации, а не дополнительной инициативой.

4

Конкретные форматы обучения: что говорит закон

Приказ прямо описывает, какие именно мероприятия должны проводиться для повышения осведомленности сотрудников.

«Мероприятия по повышению уровня знаний и информированности пользователей информационных систем по вопросам защиты информации должны включать:
а) доведение до пользователей информационных материалов…
б) проведение лекций, семинаров, обучающих игр по вопросам защиты информации;
в) проведение имитационных рассылок электронных писем… с целью оценки устойчивости пользователей к методам социальной инженерии;
г) проведение тренировок с пользователями… и формированию навыков по защите информации.» — Приказ ФСТЭК №117, п. 56
📋

Информационные материалы

Памятки, инструкции, рассылки — всё, что повышает базовую грамотность сотрудников в области ИБ.

🎓

Лекции, семинары, игры

Очные и онлайн-форматы обучения. Интерактивные курсы и обучающие игры — тоже засчитываются.

🎣

Фишинговые симуляции

Имитационные рассылки теперь прямо прописаны в законе. Это не опция — это обязательный инструмент.

🛡️

Практические тренировки

Формирование реальных навыков противодействия атакам. Знания без практики — не считаются.

5

Обязательная проверка знаний: сроки и последствия

Мало обучить — нужно ещё и проверить. Приказ устанавливает конкретные требования:

«Оценка уровня знаний должна проводиться не реже одного раза в три года или после компьютерного инцидента... Для пользователей, у которых отсутствуют знания по вопросам защиты информации, должно быть организовано повторное прохождение обучающих курсов.» — Приказ ФСТЭК №117, п. 57
  • Проверка знаний — минимум раз в три года (или немедленно после инцидента)
  • Сотрудники, не прошедшие проверку, обязаны пройти повторное обучение
  • Результаты проверок должны документироваться — для аудита и отчётности
  • Сам факт проведения обучения тоже нужно фиксировать
Проверки ФСТЭК интересуются не только техническими средствами. На аудите вас могут спросить: когда последний раз проверяли знания сотрудников? Есть ли документация? Что сделали с теми, кто не прошёл? Отсутствие ответов — это нарушение.
6

Сотрудник — не объект защиты, а участник

Приказ меняет сам подход к роли рядовых сотрудников в системе ИБ. Раньше люди воспринимались как «слабое звено», которое нужно ограничивать. Теперь — как активные участники защиты:

«Подразделения (работники), использующие информационные системы, должны участвовать в проведении мероприятий и принятии мер по защите информации...» — Приказ ФСТЭК №117, п. 22

Это означает: каждый сотрудник, у которого есть доступ к корпоративным системам, является активным элементом системы защиты. И должен быть к этой роли подготовлен.

7

Выводы и план действий

Вот минимальный набор шагов, который нужно сделать для соответствия требованиям приказа:

1

Разработать и утвердить регламент обучения

Документ с описанием: кто учится, по каким темам, с какой периодичностью, кто отвечает за организацию.

2

Провести базовое обучение всех сотрудников

Курсы по информационной безопасности обязательны для всех пользователей ИС, не только для ИТ-отдела.

3

Запустить фишинговые симуляции

Имитационные рассылки теперь обязательны. Это инструмент как обучения, так и оценки реальной устойчивости персонала.

4

Провести оценку знаний

Тестирование с фиксацией результатов. Те, кто не сдал — направляются на повторное обучение.

5

Настроить регулярность и отчётность

Весь цикл должен повторяться минимум раз в три года. Документация хранится для возможного аудита.

StopPhish автоматизирует всё это

Платформа StopPhish создана именно для выполнения требований приказа №117 — без ручной рутины и головной боли с отчётностью.

📚 Обучение пользователей ИБ 🎣 Фишинговые симуляции 📊 Отчётность и аналитика ✅ Контроль уровня знаний
Узнать больше → stopphish.ru
Гайд подготовлен на основании Приказа ФСТЭК России от 11.04.2025 №117 StopPhish · stopphish.ru