Приказ ФСТЭК России №117 вступает в силу: как изменится защита данных с 1 марта

С 1 марта 2026 года вступает в силу обновленный регламент безопасности для всех государственных информационных систем. Новая редакция Приказа ФСТЭК России № 117, которая приходит на смену Приказу № 17, вводит существенные коррективы в подходы к защите данных.

Ключевым нововведением становится обязательное обучение персонала. Теперь каждый сотрудник, имеющий доступ к информационным системам и данным, обязан проходить подготовку по правилам информационной безопасности.

В этом материале разберем, как грамотно реализовать это требование на практике и оценить реальный уровень компетенций сотрудников.

Что меняет Приказ ФСТЭК № 117 в работе организаций

Документ существенно расширяет границы ответственности. Требования больше не ограничиваются только государственной информационной системой — они распространяются на всю ИТ-инфраструктуру, задействованную в ее работе. Это касается оборудования подрядчиков, личных гаджетов сотрудников и систем удаленного подключения.

Вводятся новые категории требований:

• организация безопасного взаимодействия с подрядчиками;

• обеспечение защищенного удаленного доступа;

• управление мобильными устройствами.

Корректируется и система оценки: уровень защищенности теперь необходимо контролировать каждые полгода, а оценку зрелости систем проводить раз в два года.

Важно: с 1 марта 2026 года любая новая аттестация ГИС будет проводиться исключительно по нормам Приказа № 117.

Человеческий фактор становится обязательным пунктом проверок

Если раньше фокус делался на технических средствах защиты, то новый приказ вводит обязательный системный подход к обучению персонала. Формальное проведение инструктажа больше не работает: нужно не просто прочитать лекцию, а убедиться, что сотрудники способны применять знания в реальной работе.

Это оправдано реалиями сегодняшнего дня. Большинство угроз — фишинг, социальная инженерия — нацелены именно на человека. Даже самая надежная техническая защита окажется бесполезной, если сотрудник по невнимательности отправит пароли злоумышленникам.

Приказ прямо обязывает обучать всех, кто взаимодействует с данными и системами. Из рекомендации это требование перешло в разряд контролируемых и проверяемых.

Почему формальный подход к обучению неэффективен

Традиционная схема выглядит просто: персонал знакомится с презентацией или инструкцией и ставит подпись. Но у такого подхода есть два ключевых минуса:

1. Отсутствие проверки знаний. Галочка о просмотре материала не гарантирует, что человек его понял и запомнил.

2. Невозможность оценить поведение в бою. Теория не дает ответа на вопрос, сможет ли сотрудник отличить фишинговое письмо от обычного в рабочей суете.

В итоге организация создает видимость выполнения требований, но уровень реальной защиты не растет. Риск утечки данных по вине человеческой ошибки остается высоким.

Как сделать обучение практичным и измеримым

Эффективнее всего начинать не с лекции, а с диагностики. Нужно оценить реальную осведомленность сотрудников в обстановке, максимально приближенной к реальной.

Для этого используется контролируемое моделирование фишинговой атаки. Специализированные сервисы, такие как stopphish.ru, позволяют рассылать учебные письма, имитирующие настоящие угрозы. Задача — увидеть, кто распознает опасность, а кто нет.

Такой подход дает объективную картину: вы получаете не статистику по просмотру материалов, а данные о реальных действиях людей в стрессовой, но безопасной ситуации.

Как это работает на практике

Процесс строится поэтапно.

1. Исходная диагностика. Запускается первая фишинг-кампания для всех сотрудников, имеющих доступ к данным. Проверка проводится без предупреждения и дает объективный срез текущего уровня знаний.

2. Анализ результатов. Сервис формирует детальную аналитику. Становится видно, какие отделы или конкретные сотрудники наиболее уязвимы, на какие типы писем они реагируют, кто переходит по ссылкам или вводит свои данные.

3. Адресное обучение. На основе этих данных обучение проходят не все подряд, а только те, кто не справился с проверкой. Такой подход точечно закрывает слабые места. Сотрудник получает мотивацию к учебе, так только что на практике убедился в своей уязвимости (пусть и в учебной ситуации).

4. Повторный контроль. Через определенное время проводится новая проверка. Это позволяет отследить прогресс

Преимущества нового подхода в контексте Приказа № 117

Данная методика позволяет решить определенный комплекс задач.

• Соответствие регулятору. Выполняется прямое требование Приказа № 117, подкрепленное документальными отчетами о проведенных проверках и обучении.

• Реальная, а не мнимая безопасность. Сотрудники на практике учатся распознавать угрозы, что напрямую снижает вероятность инцидентов и утечек.

• Экономия ресурсов. Средства и время тратятся не на массовое обучение, а на работу над ошибками с конкретными людьми.

• Прозрачная метрика эффективности. Появляется четкий показатель для отчетности. Например, динамика снижения числа сотрудников, переходящих по фишинговым ссылкам, с 25% до 5% за полгода.

Приказ ФСТЭК № 117 меняет приоритеты: формальное соблюдение инструкций уступает место реальной эффективности защиты. Обучение сотрудников становится центральным звеном этой новой системы.

Использование современных инструментов — таких как моделирование фишинга через сервис stopphish — превращает бюрократическое требование в действенный механизм усиления безопасности. Вы получаете подготовленный персонал, объективные показатели и уверенность в том, что с 1 марта 2026 года ваша организация полностью готова к новым правилам проверки ФСТЭК.