Приказ ФСТЭК №117:
что теперь обязана делать
ваша организация
Разбираем новые требования к обучению сотрудников по информационной безопасности
Кого это касается?
Требования распространяются на государственные органы, государственные учреждения и предприятия, которые эксплуатируют информационные системы. Если в вашей организации есть ИС с информацией ограниченного доступа — эти правила для вас.
Это означает, что организация должна выстраивать комплексную систему защиты, включающую не только технические средства, но и организационные меры, включая подготовку пользователей.
Что обязана сделать организация: системный взгляд
Приказ требует создания управляемой системы защиты информации, включая внутренние регламенты и обучение пользователей. Ключевые моменты:
В частности, внутренние регламенты должны содержать:
«порядок повышения уровня знаний и информированности пользователей по вопросам защиты информации» — Приказ ФСТЭК №117, п. 14
⚠️ Это уже не рекомендация, а обязанность
Организация обязана утвердить конкретный порядок обучения сотрудников: кто учится, как часто, по каким темам, кто проверяет результаты. Без утверждённого регламента — нарушение требований приказа.