Перегрузка и формальное обучение: почему сотрудники становятся риском ИБ

Как организациям, чья главная задача — обеспечивать предоставление государственных и муниципальных услуг, лечить людей или обеспечивать безопасную перевозку пассажиров, одновременно выполнять все новые требования ФСТЭК по отчетности, обучению персонала и реагированию на угрозы, если в их штате не более двух-трех ИТ-специалистов? 

Для большинства новых операторов информационных систем (транспортных предприятий, больниц, администраций, предприятий сферы ЖКХ) информационная безопасность — непрофильная функция, а ресурсы минимальны. Отсутствие автоматизации приводит к перегрузке и без того маленькой команды, а формальное обучение сотрудников не спасает от инцидентов. О том, как разобраться в тонкостях новых требований и выстроить работающую систему кибербезопасности без перегрузки команды, расскажет эксперт УЦСБ, менеджер по продуктам в сфере автоматизации управления ИБ Михаил Колпаков.

Расширение границ: что требует Приказ 117

Напомним юридический контекст (полные детали в первой статье цикла). Приказ 117, вступивший в силу в 2026 году, распространяется не только на государственные информационные системы, но и на все ИС госорганов, унитарных предприятий, учреждений и муниципалитетов. Это значит, что региональные администрации, школы, больницы, транспортные предприятия и водоканалы обязаны не просто установить средства защиты, но и выстроить системные процессы: назначить ответственных, регулярно отчитываться о защищенности (показатели КЗИ и ПЗИ), управлять уязвимостями и, что особенно важно, контролировать знания персонала. Однако у большинства из них информационная безопасность — вторичная функция, а штат ИБ ограничен. Именно здесь возникают две ключевые проблемы.

Две бизнес-проблемы, ведущие к инцидентам

Перегрузка персонала. Небольшие команды ИБ (2–3 человека) физически не успевают вручную собирать данные, контролировать лицензии, проводить плановые мероприятия, реагировать на инциденты и одновременно учить сотрудников. Перегрузка ведет к выгоранию, текучке и критическим ошибкам. При этом по новым правилам за каждое нарушение отвечает назначенное должностное лицо — персонально.

Человеческий фактор. Даже самые современные средства защиты бесполезны, если персонал не обучен или обучен формально. Приказ 117 требует регулярного повышения осведомленности сотрудников, но без автоматизации это превращается в редкие рассылки памяток, которые никто не читает. Результат — фишинговые атаки, утечки паролей, случайные действия, ведущие к инцидентам. Регулятор фиксирует невыполнение требований и выписывает штраф.

В практике сопровождения муниципальных организаций мы видим, что обучение по вопросам информационной безопасности не всегда носит системный характер. Зачастую оно сводится к периодическим рассылкам материалов, но без контроля усвоения и регулярности. Такой подход не позволяет сформировать устойчивые навыки безопасного поведения у сотрудников. Автоматизация процессов обучения помогает выстроить непрерывный цикл: от ознакомления до проверки знаний, с фиксацией результатов. Это снимает лишнюю нагрузку с небольших ИБ-команд и реально снижает риски инцидентов, связанных с человеческим фактором.

По опыту УЦСБ, именно отсутствие системного контроля и автоматизации приводит к тому, что даже при наличии регламентов организация оказывается неготовой к проверке: нет доказательств обучения, не выстроен учет инцидентов, показатели для регулятора считаются вручную с ошибками. Решением становится разработка и внедрение специализированной системы автоматизации (например, САОБ на базе ePlat4m), которая берет на себя контроль регламентов, обучение с проверкой знаний, учет инцидентов и расчет метрик. В результате нагрузка на ИБ-команду снижается, обучение становится измеримым, а проверки проходят без штрафов и предписаний.

Заключение

Перегрузка персонала и человеческий фактор — прямой результат отсутствия автоматизации. Приказ 117 требует регулярного контроля и доказательств выполнения требований, но вручную это обеспечить очень сложно: сотрудники выгорают, инциденты множатся, штрафы растут. Кейс региональной администрации показывает: автоматизация на базе ePlat4m (САОБ) снимает нагрузку с людей, делает обучение реальным инструментом защиты и позволяет проходить проверки без санкций.

Эта статья — вторая часть цикла. В первой мы разобрали, к чему приводят неактуальные реестры и потерянные лицензии. Две статьи, два разных кейса, одна общая проблема. Без автоматизации требования регулятора либо игнорируются (что ведет к штрафам), либо выполняются формально (что не дает реальной защиты). С автоматизацией и учет активов, и нагрузка на персонал, и обучение сотрудников перестают быть источниками риска. Приказ 117 требует не героизма, а системности, которой проще всего достичь с помощью проверенных ИТ-решений.