Если вы отвечаете за ИБ в госкомпании/КИИ, то «обучение сотрудников» почти всегда всплывает не по плану, а по внешнему триггеру: инцидент, письмо из ведомства, проверка, запрос «предоставьте отчетность».
В этом случае имитационные рассылки (фишинг‑симуляции) — самый понятный для регулятора и отчетности формат. Так, приказ ФСТЭК РФ №117, вступающий в силу с 1.03.2026, прямо называет их инструментом оценки устойчивости к социальной инженерии.
Но одной рассылки недостаточно: регуляторная логика строится вокруг регламентов, оценки знаний и повторного обучения. Для госорганизаций это проявляется особенно жёстко: важна не «галочка», а способность персонала распознать атаку и быстро сообщить в ИБ, чтобы не довести до простоя или утечки данных.
Эта статья рассказывает: что именно меняется в обучении сотрудников ИБ по приказу ФСТЭК РФ №117 и что обычно просят показать при проверке.
Фишинг‑симуляции (имитационные рассылки) в Приказе ФСТЭК РФ №117
Имитационные рассылки перечислены в приказе как одна из форм повышения осведомлённости пользователей: рассылки по служебной почте и другим служебным средствам коммуникаций для оценки устойчивости пользователей к методам социальной инженерии (п. 56).
Важный нюанс: приказ не задаёт частоту имитационных рассылок и не диктует сценарии. Это вы фиксируете в своих внутренних регламентах.
Зато сама форма рассылок — прямо “легитимизирована” текстом требований (п. 56). Практичный «первый сценарий» — имитация письма/сообщения, которое ведёт к компрометации учётной записи и доступу к критичным отраслевым системам (например, МИС/ЕГИСЗ в медучреждении) или к утечке данных: важно не содержание “легенды письма”, а доказуемая реакция пользователя и ваш процесс дообучения.
Что должно быть в программе awareness
Чтобы соблюсти приказ в части обучения пользователей, ориентируйтесь на перечень форм из п. 56. Начинать программу логично с имитационных рассылок, потому что они дают измеримость (и дальше увязываются с оценкой знаний и повторным обучением).
Перечень форм обучения согласно приказу:
- имитационные рассылки (фишинг‑симуляции) — оценка устойчивости к социнженерии;
- информационные материалы (памятки, баннеры, буклеты);
- лекции/семинары/обучающие игры;
- тренировки по практической отработке мер из ваших внутренних регламентов.
Если у вас сейчас есть только «лекция раз в год», это не выдержит вопросов “а где доказательства устойчивости к социнженерии и что вы делаете с теми, кто не усвоил материал?”.
Фишинг-симуляции и документы: что обязательно закрепить во внутренних регламентах
Фишинговые симуляции (имитационные рассылки) хорошо выглядят в отчёте, но только если они встроены в процесс. Приказ прямо требует, чтобы во внутренних регламентах был установлен:
- порядок повышения уровня знаний и информированности пользователей (п. 14(д));
- способы повышения знаний, периодичность и формы оценки уровня знаний (п. 57);
- порядок действий, если знаний недостаточно (повторное обучение) (п. 57).
То есть, по логике регулятора, важны не только формы (п. 56), но и управляемость: как фиксируются результаты, как назначается дообучение и как быстро собирается пакет доказательств.
Практически это почти всегда сводится к простому, но жёсткому порядку: как сообщать о фишинге/подозрении, кто принимает сообщение, что считается инцидентом и какие действия запрещены (например, пересылка подозрительных вложений коллегам).
Фишинг-симуляции и регулярность: что обязательно, что рекомендовано
Для оценки знаний в приказе закреплена обязательная регулярность:
- оценка уровня знаний проводится не реже 1 раза в 3 года или после компьютерного инцидента (п. 57);
- для пользователей, у которых отсутствуют знания, должно быть организовано повторное прохождение обучающих курсов (п. 57).
Частота фишинг-симуляций, лекций и тренировок в приказе не “нормирована” — но должна быть определена вами в регламентах (п. 57).
На практике это означает: если вы не зафиксировали периодичность, любой вопрос «а почему так редко/нерегулярно?» превращается в спор, который может привести к нежелательным последствиям в виде предписаний или штрафов. Триггер «после инцидента» должен запускать внеплановую проверку знаний и дообучение по вашему порядку (п. 57).
Имитационные рассылки и проверка: что обычно требуют предоставить
Проверка по обучению почти всегда начинается с вопроса: “покажите доказательства”. И тут фишинг-симуляции — удобная отправная точка, потому что они дают измеримый результат. Однако проверяющему важно увидеть, что это часть процесса.
Согласно требованиям приказа нужно иметь на руках:
- документ, где описан порядок повышения осведомлённости и оценка знаний (регламент) (п. 14(д), п. 57);
- доказательства, что формы обучения из п. 56 реально проводятся (включая имитационные рассылки и тренировки);
- результаты оценки знаний и факт повторного обучения для “не прошедших” (п. 57);
- отчёт/выгрузку, где это сводится в понятную картину (для руководства/протокола/проверки).
Как AVAREANGE помогает закрыть требования приказа ФСТЭК РФ №117
AVAREANGE помогает выстроить цикл вокруг фишинг‑симуляций и связать его с обучением и отчётностью:
- проводить симуляции атак: готовые шаблоны фишинга, групповые назначения, расписание, критерии успеха, сбор метрик по рассылкам;
- обучение (LMS): курсы/тесты, поддержка SCORM, дедлайны и пороги прохождения;
- отчётность и доказательства: дашборды, выгрузки (XLSX/CSV), автоматическая отправка регулярных отчётов на почту;
- автоматическое назначение микротестов и микротренингов.
Платформа не заменяет политику ИБ (её всё равно нужно утвердить), но закрывает её самую рутинную часть — проведение симуляций и ручную сборку отчетности.
Скачать технический обзор платформы Avareange
