Приказ ФСТЭК № 117: новые требования к киберграмотности сотрудников

Операторам государственных информационных систем (ГИС) теперь нужно заботиться о киберграмотности своих сотрудников: регулярно проводить обучение и проверять знания на практике. Разбираемся, какие правила диктует новый документ и что нужно делать уже сейчас. В конце статьи — методология ФСТЭКФСТЭК — федеральная служба по техническому и экспортному контролю. Отвечает за защиту гостайны, обеспечение информационной безопасности, противодействие техническим разведкам и экспортный контроль. к Приказу: пошаговый план мероприятий, календарные планы для бизнеса разного масштаба и чек-лист соответствия требованиям.

Новый Приказ — новые правила

Нормативный документ заменяет устаревший Приказ ФСТЭК № 17 и устанавливает новые правила защиты информации, не относящейся к гостайне. Под его действие подпадают государственные и муниципальные информационные системы, системы госорганов, а также подведомственных организаций.

Команда Solar MSS

Разбор пунктов 56 и 57 Приказа ФСТЭК № 117 от 11.04 2025

Самый уязвимый элемент любой информационной системы — человек. Чтобы минимизировать риски при работе с государственными данными, новый Приказ обязывает обучать сотрудников основам кибербезопасности. Это регламентируется пунктами 56 и 57 Приказа. Разберем их подробнее.

Пункт 56: обязанность обучать персонал действиям при кибератаках

Как распознать фишинговое письмо, что делать в первую очередь при утечке данных, кому сообщить об угрозе — этому и многому другому важно научить сотрудников, чтобы они не растерялись при реальном инциденте.

Пунктом 56 Приказа регламентируются следующие мероприятия:

Формирование устойчивых практических навыков — ключевое требование, которое отличает новый порядок от прежнего, допускавшего формальное информирование.

Пункт 57: требования к регулярности и формату проверок навыков

Провести обучение и предоставить наглядные материалы — это только первый шаг. Дальше важно проверить, насколько сотрудники усвоили полученные знания.

Что об этом говорит пункт 57 Приказа ФСТЭК № 117:

• Оператор обязан разработать локальный акт, где прописаны способы, периодичность и формы проверки знаний сотрудников.
• Оценку знаний необходимо проводить не реже одного раза в три года.
• Любой компьютерный инцидент — повод для внеочередной проверки действий сотрудников. Особенно тех, кто мог быть к нему причастен.
• Если сотрудник не подтвердил знания, он обязан пройти обучение заново.

Эти требования направлены на то, чтобы сотрудники компании не просто изучали материалы для галочки, но действительно были готовы к инцидентам.

Как перейти к зрелой киберкультуре?

Смотрите запись вебинара от экспертов «Солара»: подробно разобрали новые требования и рассказали, кому нужно их соблюдать.

Получить материалы вебинара

Риски неисполнения требований и человеческий фактор

Зачастую именно человек становится главной точкой входа для кибератак. Показательный пример: команда Solar 4RAYS расследовала инцидент, в котором сотрудник компании пять раз открыл фишинговое письмо. В результате злоумышленники без труда получили доступ к инфраструктуре. Этот случай еще раз доказывает: отсутствие базовых навыков кибербезопасности может привести к серьезным последствиям. С развитием нейросетей и активным использованием ИИ-помощников риски утечек по неосторожности становятся еще выше. Согласно исследованиям «Солара», почти две трети компаний не контролируют утечки данных через нейросети.

Именно для минимизации таких угроз Приказ ФСТЭК № 117 вводит жесткие требования к обучению персонала. Логика проста: если сотрудник не умеет распознавать угрозы, никакие файрволы не дадут полной гарантии безопасности.

К каким последствиям может привести игнорирование Приказа:

• Административные штрафы по статье 13.12 КоАП РФ: для должностных лиц — от 3000 до 5000 рублей, для юридических — до 300 000 рублей.
• Приостановка эксплуатации ГИС по решению ФСТЭК — до полного устранения нарушений.
• Уголовная ответственность при утечке данных или нарушении работы критической инфраструктуры. Наличие утвержденных, но не выполненных требований Приказа может стать отягчающим обстоятельством.

Как организовать обучение по новым правилам: комплексный подход

Повышение киберграмотности сотрудников требует комплексного подхода. Просто провести обучение недостаточно: важно выявить уязвимые места, проанализировать результаты и при необходимости скорректировать стратегию. Только так выполнение требований регулятора превратится из формальности в действенный механизм защиты от киберпреступников.

Как злоумышленники атакуют через сотрудников и почему персонал попадается на их уловки — рассказали в отдельной статье. Теперь рассмотрим пошаговый план, который поможет организовать эффективный процесс обучения и укрепить знания в области информационной безопасности.

Решение Security Awareness от ГК «Солар»

Низкий уровень базовых знаний в области кибербезопасности — одна из распространенных причин возникновения инцидентов. Аналитики «Солара» отмечают: в более чем 50% пентестовПентест — тестирование на проникновение. Это моделирование реальной кибератаки с целью найти уязвимости, через которые злоумышленник может проникнуть в инфраструктуру. специалистам удалось проникнуть в инфраструктуру, взломав слабый пароль. Более того, большинство сотрудников оказались не готовы к фишинговым атакам.

Эффективно организовать процесс обучения сотрудников и выполнить требования Приказа ФСТЭК № 117 поможет решение Security AwarenessSecurity Awareness — комплексный подход к формированию навыков противодействия фишингу.. Это комплексный инструмент для повышения уровня осведомленности сотрудников в области информационной безопасности.

Преимущества сервиса:

• Комплексный подход: от теории к практике. Обучающие материалы предоставляются в дистанционном формате, регулярно проводятся фишинговые имитации и тренировки. Сотрудники учатся без отрыва от работы.
• Реалистичные тренировки. Сценарии учебных фишинговых рассылок созданы на основе реальных угроз, выявленных центром мониторинга и реагирования на кибератаки Solar JSOC. Сотрудники учатся не на абстрактных примерах, а на схемах, которые злоумышленники используют прямо сейчас.
• Эффективность. Разнообразные сценарии и актуальная теория помогают повысить навыки противодействия фишингу в девять раз.
• Методология обучения. Для повышения киберграмотности с учетом когнитивных особенностей. Обучающие программы подстраиваются под сотрудников за счет разных форматов и индивидуального подхода.
• Поддержка экспертов. Специалисты Solar JSOC помогают на всех этапах обучения.
• Детальные отчеты для руководства. В личном кабинете хранятся подробные отчеты, с помощью которых можно оценить эффективность обучения и выявить слабые места.

Ваши сотрудники под защитой

Повышайте киберграмотность в соответствии с Приказом ФСТЭК № 117.

Отправить заявку

Форматы реализации и соответствие регуляторам

Security Awareness доступен в трех форматах внедрения:

1. MSS — управляемый сервис. Эксперты «Солара» берут на себя всю организацию обучения: от подбора теоретических материалов до проведения практических тренировок и подготовки отчетности. Включена техническая поддержка. Оптимальный вариант для компаний, которые хотят сосредоточиться на основной деятельности, а процесс повышения киберграмотности делегировать специалистам.
2. SaaS — самообслуживание. Компания получает доступ ко всем материалам платформы и самостоятельно организует обучение. Специалисты «Солара» оказывают только техническую поддержку. Подходит для организаций, у которых есть собственная команда для управления процессом.
3. On-premise. Платформа со всем экспертным контентом разворачивается в инфраструктуре компании. Обслуживание осуществляется силами заказчика. Вариант для компаний с высокими требованиями к безопасности данных и необходимостью полного контроля над средой.

Решение соответствует требованиям:

• 152-ФЗ: о персональных данных.
• 187-ФЗ: о безопасности критической информационной инфраструктуры.
• Приказы ФСТЭК № 235, 239.
• ГОСТы и стандарт PCI DSS.

Как подключить сервис

Для подключения сервиса Security Awareness нужно сделать пять простых шагов:

• Заполнить опросный лист, чтобы обозначить задачи и потребности компании.
• Выбрать вариант реализации: MSS, SaaS или On-premise.
• Заключить договор, в котором прозрачно прописаны все условия, сроки и стоимость.
• Специалисты сформируют техническое решение в соответствии с выбранным форматом.
• Получить доступ. В зависимости от варианта реализации компания получает доступ к облачной платформе или платформа устанавливается на сервер заказчика.

После выполнения этих шагов вы получите готовое решение, которое позволит запустить процесс обучения сотрудников и соответствовать требованиям регуляторов.

Защитите информацию в соответствии с новыми правилами. Скачайте подборку решений «Солара», которые помогут соблюдать требования Приказа ФСТЭК № 117.

Скачать подборку

Методические рекомендации по выполнению требований Приказа ФСТЭК № 117 помогают компаниям обратить должное внимание на уровень знаний сотрудников в области информационной безопасности. Теперь важно не просто рассказать команде о серьезности фишинга, утечек и других угроз, но и сформировать устойчивые практические навыки. Сделать процесс обучения легким и эффективным поможет Security Awareness от ГК «Солар». В решение заложен многолетний опыт расследования инцидентов, который обеспечивает актуальность знаний. А гибкие форматы внедрения позволяют выбрать оптимальный сценарий для любой компании.

Что делать уже сегодня? Скачайте методические рекомендации ФСТЭК. Внутри — пошаговый план внедрения, готовые календарные графики для компаний разного размера и чек‐лист для проверки соответствия требованиям Приказа ФСТЭК № 117.

Скачать методику

Часто задаваемые вопросы по Приказу ФСТЭК № 117