Обучение по информационной безопасности 2026: что требует ФСТЭК

С 1 марта 2026 года в России действуют новые правила защиты информации в государственных информационных системах. Приказ ФСТЭК № 117 заменил сразу несколько документов, которые регулировали эту сферу больше десяти лет: приказы № 17, № 27, № 106 и № 61. Изменения затрагивают технические требования к системам, вводят кадровые стандарты: кто должен работать в ИБ-подразделении, какое обучение по информационной безопасности должны проходить специалисты и ответственность за нарушения требований. 

Кого касается приказ ФСТЭК

Приказ № 117 распространяется на организации, которые эксплуатируют государственные информационные системы (ГИС). Под требования документа к обучению специалистов по информационной безопасности попадает персонал:

• федеральных и региональных органов государственной власти; 
• органов местного самоуправления; 
• ГУП и бюджетных учреждений, которые получают из ГИС информацию ограниченного доступа.

Новый приказ расширил рамки действия. Надзорный орган предъявляет требования к обучению по информационной безопасности и к специалистам, которые работают с региональными и муниципальными ИС. 

Кто должен проходить обучение по информационной безопасности

Обучение по ИБ должны проходить все, кто взаимодействует с ИС. При этом в штатном подразделении организации минимум 30% сотрудников обязаны иметь профильную подготовку. Это может быть либо базовое образование по направлению работы, либо профпереподготовка для обучения на специалиста по информационной безопасности с нуля. 

Помимо этого, организация обязана проводить дополнительное обучение по инфобезопасности в разных форматах. Это могут быть:

• семинары и лекции;
• информационные рассылки;
• симуляции ситуаций, приводящих к утечке данных или нарушению работы ИС.
• курсы по обеспечению безопасности информации для повышения квалификации;
• практические тренировки для отработки действий, предусмотренных ЛНА.

Знания персонала надо проверять каждые три года или после происшествия. Тех специалистов, которые проверку не прошли, нужно снова направить на курс по информационной безопасности и защите информации. 

Что должен знать после курса специалист по информационной безопасности

Конкретный требований к знаниям приказ не устанавливает. Однако они вытекают из перечня мероприятий, которые организация обязана проводить. Он определен в третьем разделе НПА. После обучения по обеспечению безопасности информационных систем специалист должен уметь:

• выявлять и оценивать актуальные угрозы безопасности информации, расставлять приоритеты и принимать меры по нейтрализации;
• организовывать контроль конфигураций ИС и управление уязвимостями — включая устранение критических уязвимостей в срок до 24 часов; 
• управлять обновлениями программных и программно-аппаратных средств, не допуская бесконтрольной установки; 
• обеспечивать защиту конечных устройств, мобильных устройств и каналов удаленного доступа;
• организовывать мониторинг ИБ — сбор и анализ событий, выявление инцидентов и реагирование на них; 
• обеспечивать непрерывность работы систем и восстановление при нештатных ситуациях; 
• организовывать защиту при использовании ИИ и контролировать взаимодействие с подрядными организациями; 
• разрабатывать внутренние стандарты и регламенты по защите информации, которые теперь являются обязательными.

Специалист, который прошел профессиональную переподготовку по информационной безопасности, должен уметь выстраивать и поддерживать систему защиты в рабочем состоянии — от организации процессов до технического контроля. Именно поэтому обучение на курсе по ИБ должно быть практикоориентированным. 

Где и по каким программам проходить переподготовку по информационной безопасности

Проходить обучение по информационной безопасности в организации можно только программам, которые согласованы с ФСТЭК. Учить специалистов разрешено в учебных заведениях, которые включены в перечень регулятора. Курсы по информационной безопасности предлагают вузы, НКО ДПО, компании, которые специализируются на безопасности ИТ, и образовательные центры ДПО. 

При выборе курса надо обращать внимание на его объем. Профпереподготовка по информационной безопасности должна занимать не меньше 250 часов. В противном случае, диплом не выдают. Средний объем курса для обучения специалиста по защите информации с нуля — 500-700 часов. Программы образовательных организаций разработаны на основе единых требований, поэтому основная разница формате и цене. 

Можно ли пройти обучение по информационной безопасности дистанционно

Да, такой формат допустим. Образовательные организации предлагают учиться очно, очно-заочно и онлайн. Дистанционная переподготовка по информационной безопасности удобна для тех, кто работает. Слушатели получают доступ к учебным материалам в ЛК на образовательной платформе, проходит курс в удобном темпе и сдает итоговую аттестацию через интернет. 

Для организаций, которым нужно выполнить требования регулятора, дистанционный формат —практичное решение. Учебу реально совместить с полноценной занятостью. Если в подразделении надо направить на переквалификацию по информационной безопасности несколько человек, то образовательные организации обычно предоставляют скидку на корпоративное обучение.

Диплом специалиста по информационной безопасности 

После обучения выпускник получает диплом о профессиональной переподготовке в области информационной безопасности установленного образца. В нем указывают объем в часах и присвоенную квалификацию. Диплом вносят в ФРДО. Там его проверяет надзорный орган. 

Диплом, подтверждающий учебу по информационной безопасности, позволяет работать в структурных ИБ-подразделениях. Можно занимать должности инженера по защите информации и ответственного специалиста, если подразделения в компании нет. То, что проходило обучение по информационной безопасности онлайн, в дипломе не указывают. 

Форма обучения не имеет значения для работы. 

Штрафы за нарушение требований к обучению на курсах по защите информации

Наказания за нарушение требований приказа №117 предусмотрены ст. 13.12 КоАП РФ. Они предусмотрены не только за игнорирование технических норм, но и нарушения правил защиты информации в целом. Отсутствие профессиональной подготовки или переподготовки у специалистов по информационной безопасности наказывается штрафами:

• для должностных лиц компании до 50 тысяч рублей;
• для организации до 100 тысяч рублей. 

Что надо сделать: от оценки подготовки персонала до выбора курсов компьютерной безопасности

Приказ уже вступил в силу. Сейчас важно сделать базовые шаги, чтобы выполнить новые требования регулятора. Важно:

• Проверить долю квалифицированных сотрудников ИБ-подразделения. Если порог в 30% не достигнут, надо направить сотрудников на переподготовку. Программа обучения по информационной безопасности должна быть одобрена ФСТЭК, образовательная организация — быть в реестре надзорного органа.
• Выстроить систему обучения и проверки знаний пользователей. В организации должны быть разработаны внутренние регламенты. В них фиксируют, как учить персонал, каким образом и с какой периодичностью проверять знания для оценки профессиональной подготовки по информационной безопасности.

Отлаженная работа: своевременное обучение, поддержание уровня квалификации и контроль знания защищает организацию от претензий со стороны регулятора, штрафов и ошибок персонала.