Вы отвечаете за ИБ в организации, которая относится к КИИ или к госсектору. Рано или поздно встаёт вопрос: что именно ФСТЭК РФ требует от вас по обучению сотрудников и какие приказы вообще применять? Запутаться легко: есть приказы 235 и 239 про КИИ, есть приказ 117, который с 1 марта 2026 года заменяет старый приказ № 17, и сильно расширяет круг тех, кто обязан выполнять требования по защите информации и обучению пользователей.
В этой статье без воды рассказываем: кто под какие приказы попадает, что нужно сделать по обучению и как не промахнуться, если вы и КИИ, и госучреждение одновременно.
Сначала разберёмся: вы КИИ, госсектор или оба варианта
От этого зависит, какие требования к обучению сотрудников вы обязаны выполнять.
Если вы субъект КИИ (эксплуатируете значимые объекты критической информационной инфраструктуры), для вас действуют приказы ФСТЭК № 235 и № 239. В приказе 239 среди прочего есть мера «Информирование и обучение персонала» (ИПО).
По сути это и есть те самые требования ФСТЭК к обучению персонала КИИ: нужно регламентировать процесс, информировать людей об угрозах, обучать правилам безопасной работы, проводить практические занятия (для объектов 1 и 2 категории) и проверять, насколько сотрудники в теме.
Если вы госорган, ГУП или госучреждение, с 1 марта 2026 года на вас распространяется приказ ФСТЭК № 117. Важно: под него подпадают не только «классические» государственные информационные системы (ГИС), но и любые другие ИС, где обрабатывается информация ограниченного доступа — СЭД, кадровые системы, бухгалтерия и т.п. Обучение пользователей таких систем тоже регламентируется приказом 117.
Если вы и то, и другое (например, госучреждение и при этом субъект КИИ), придётся учитывать оба набора требований: и приказ 239 по мере ИПО, и приказ 117 по порядку повышения знаний. Регламенты и программы обучения лучше сразу писать так, чтобы закрывать и то и другое.
Приказ 117: что изменится с 2026 года в части обучения
Приказ № 117 принят в апреле 2025 года и вступает в силу 1 марта 2026 года. Это не «дополнение» к приказу 17, а его замена с другим подходом: расширена зона действия, появился акцент на процессах и мероприятиях, становятся жёстче требования к документам и к квалификации специалистов по защите информации.
Кого касается приказ 117
Государственные информационные системы плюс иные информационные системы госорганов, ГУП и госучреждений на территории РФ. То есть под требования по обучению пользователей попадает заметно больше организаций, чем раньше.
Что именно требуется по обучению
В приказе закреплены мероприятия «повышение уровня знаний и информированности пользователей по вопросам защиты информации» (п. 56, 57). От ИБ-специалистов ждут не просто лекции раз в год, а оформленный порядок во внутренних регламентах и реальное его выполнение.
Конкретно:
- В регламентах должен быть прописан порядок: как вы повышаете знания и информированность пользователей, кто за это отвечает, как часто что проводите.
- Формы обучения могут быть разными: рассылки с материалами, обучение, тренировки по регламентам и имитационные (фишинговые) рассылки — они в приказе прямо названы как способ оценки устойчивости к социнженерии
- Проверять знания пользователей нужно не реже одного раза в 3 года или сразу после компьютерного инцидента. Раньше в приказе 17 было «не реже раз в 2 года» — сейчас срок мягче, но обязанность осталась.
- Тех, кто не прошёл проверку или показал недостаточный уровень, нужно направлять на повторное обучение — и это тоже должно быть зафиксировано в ваших процедурах.
Как часто проводить фишинг-рассылки и лекции, приказ не диктует — периодичность вы задаёте сами в регламентах. Эксперты советуют делать программы более практичными и сразу прописывать в ОРД, как часто и что делаете, как оцениваете результат — чтобы при проверке не пришлось оправдываться «мы как-то по-разному».
Отдельно про специалистов по защите информации
Для сотрудников вашего подразделения по ЗИ в приказе 117 явно прописано: не менее 30% таких сотрудников должны иметь профильное образование по защите информации или пройти переподготовку в области ИБ. Это про кадры самой службы ИБ, а не про рядовых пользователей; обучение пользователей регулируется пунктами про повышение знаний и информированность.
КИИ: что требуют приказы 235 и 239 по обучению
Для субъектов КИИ обучение сотрудников задаётся приказом 239 — мера «Информирование и обучение персонала» (ИПО). В неё входят:
- регламентация правил и процедур (как и кого информируем и обучаем);
- информирование персонала об угрозах и правилах безопасной работы;
- обучение правилам безопасной работы;
- практические занятия (обязательны для объектов 1 и 2 категории значимости);
- контроль осведомлённости (по сути — проверка знаний).
На практике это чаще всего оформляют как инструктажи (регулярное ознакомление с правилами ИБ и регламентами) и проверку знаний (насколько люди готовы противостоять актуальным угрозам). Приказ 235 задаёт общую систему безопасности значимых объектов КИИ и кадровое обеспечение — обучение в неё встроено.
Если вы одновременно под 117 и под 239, при подготовке регламентов и программ учитывайте оба приказа: и меру ИПО по 239, и по 117 — порядок повышения знаний, формы (включая имитационные рассылки), оценку не реже раза в 3 года и повторное обучение.
Что сделать по обучению до марта 2026 и после
Краткий план действий:
- Понять, под какой вариант вы подпадаете. Госорган/ГУП/госучреждение? Тогда с 2026 года — приказ 117. Субъект КИИ? Тогда 235 и 239. Оба варианта — учитываете оба набора требований.
- Прописать в ОРД порядок повышения знаний. Кто отвечает, какие формы используете (обучение, тренировки, имитационные рассылки), как часто проводите оценку знаний (по 117 — не реже раза в 3 года плюс после инцидента), как организуете повторное обучение для тех, кто не справился.
- Сделать упор на практику. Фишинговые (имитационные) рассылки и тренировки по регламентам в приказе 117 прямо упомянуты и дают понятные доказательства для проверяющих — их имеет смысл ввести или усилить.
- Собирать доказательства. Регламенты, протоколы и отчёты по обучению и проверке знаний, результаты имитационных рассылок, факты назначения и прохождения повторного обучения — всё это может понадобиться при проверке.
Подробно рассмотреть требования приказа 117 к обучению и имитационным рассылкам по пунктам и получить чек-лист документов можно в статье "Приказ ФСТЭК РФ №117: как меняются требования к обучению сотрудников ИБ с 1 марта 2026 года".
Метрики и шаблоны отчётов для руководства мы ранее публиковали в статье "Метрики обучения по ИБ: 5 рабочих показателей и шаблон отчёта для руководителя".
Резюме
Требования по обучению сотрудников сводятся к трём приказам ФСТЭК РФ:
- 239 — для КИИ: информирование, обучение, практические занятия, контроль осведомлённости (мера ИПО).
- 117 — для ГИС и иных ИС госорганов/ГУП/учреждений с марта 2026: порядок в ОРД, формы (обучение, тренировки, имитационные рассылки), оценка знаний не реже раза в 3 года или после инцидента, повторное обучение.
- 235 — для КИИ: общая система безопасности и кадры, внутри неё — и обучение персонала.
Если вы попадаете и под 117, и под 239, регламенты и программы обучения лучше сразу писать с учётом обоих требований. Начните с актуализации ОРД и чёткого закрепления периодичности и форм — так вы и закроете требования к обучению сотрудников по КИИ и ФСТЭК, и подготовитесь к приказу 117 к марту 2026 года.
Как AVAREANGE помогает закрыть требования приказа ФСТЭК РФ №117
AVAREANGE помогает выстроить цикл вокруг фишинг‑симуляций и связать его с обучением и отчётностью:
- проводить симуляции атак: готовые шаблоны фишинга, групповые назначения, расписание, критерии успеха, сбор метрик по рассылкам;
- обучение (LMS): курсы/тесты, поддержка SCORM, дедлайны и пороги прохождения;
- отчётность и доказательства: дашборды, выгрузки (XLSX/CSV), автоматическая отправка регулярных отчётов на почту;
- автоматическое назначение микротестов и микротренингов.
Платформа не заменяет политику ИБ (её всё равно нужно утвердить), но закрывает её самую рутинную часть — проведение симуляций и ручную сборку отчетности.
Скачать технический обзор платформы Avareange
Записаться на демо платформы Avareange
