Обучение по информационной безопасности — обязательная процедура для организаций, которые работают с персональными данными, конфиденциальной информацией или государственными информационными системами. С 1 марта 2026 года вступил в силу приказ ФСТЭК 117, который заменил приказ 17 тринадцатилетней давности и ужесточил требования к подготовке персонала. Оборотные штрафы за утечки персональных данных по ст. 13.11 КоАП РФ достигают 1-3% годовой выручки при повторных нарушениях — и в большинстве инцидентов виноват человеческий фактор. В этом материале разберем, какие программы обучения нужны для разных категорий сотрудников, как выстроить систему обучения и какие сроки установлены нормативами. Тема связана с более широким вопросом проверки сотрудников при трудоустройстве, где обучение ИБ — один из элементов комплексной работы с персоналом.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Зачем нужно обучение информационной безопасности и кто обязан его проходить
Нормативная база, которая регулирует обучение ИБ в организациях, включает 152-ФЗ «О персональных данных», 149-ФЗ «Об информации», приказ ФСТЭК 117 (для государственных ИС) и приказ ФСБ 378 (для криптографической защиты). Каждый из этих документов предъявляет требования к подготовке сотрудников — но для разных категорий персонала объем и глубина подготовки отличаются.
Ключевой момент, который многие кадровики упускают: обучение ИБ — не разовое мероприятие. Приказ ФСТЭК 117 прямо устанавливает периодичность — не реже одного раза в три года и после каждого инцидента. Плюс фиксирует требование: не менее 30% работников подразделения по защите информации обязаны иметь профильное образование или пройти переподготовку. В практике Добыто мы регулярно сталкиваемся с ситуацией, когда компания внедряет КЭДО, подключает электронные подписи — а обучение сотрудников по ИБ вообще не проведено. И это первое, на что обращает внимание ГИТ при проверке.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Мы закладываем блок по ИБ в каждый проект внедрения КЭДО. Когда сотрудники понимают, что такое ПЭП, УКЭП, зачем нужна двухфакторная аутентификация — количество обращений в техподдержку падает в 3-4 раза. А главное — снижаются риски компрометации подписей. Не было ни одного случая, чтобы обученный сотрудник передал свой пароль от ЭП коллеге.»
Сотрудники, которые работают с персональными данными, обязаны знать положения 152-ФЗ, порядок обработки и хранения ПДн, правила реагирования на инциденты. С 30 мая 2025 года штрафы за утечки ПДн выросли: первичная утечка данных 1000-100000 субъектов грозит штрафом от 3 до 5 млн руб. для юридических лиц, а повторная утечка — оборотным штрафом от 1 до 3% годовой выручки (но не менее 20 млн руб.).
Три уровня доступа и три программы обучения
На практике всех сотрудников организации разделяют на три категории по уровню доступа к информации ограниченного распространения. И для каждой категории — своя программа обучения, свой объем знаний, свои контрольные мероприятия.
Уровень 1: рядовые пользователи (операционный персонал)
Линейный персонал — кассиры, менеджеры, специалисты отделов продаж, логисты. Эти сотрудники работают в информационных системах, но не имеют расширенных прав. Они вводят данные клиентов, обрабатывают заявки, работают с CRM и учетными системами. Программа обучения для них — базовая, от 4 до 8 академических часов.
Содержание программы: основы парольной политики (требования к длине, сложности, периодичности смены), распознавание фишинговых писем и сообщений, правила работы с персональными данными по 152-ФЗ, порядок действий при обнаружении инцидента (кому сообщить, что не трогать, что зафиксировать), правила использования съемных носителей и мобильных устройств. Формат — вводный инструктаж при приеме на работу плюс ежегодная проверка знаний.
Нюанс, который часто упускают: рядовые пользователи — главный вектор атак через социальную инженерию. По данным Positive Technologies за 2025 год, 76% успешных кибератак на российские компании начинались с фишингового письма сотруднику. Обучение этой категории — не формальность, а реальная защита периметра.
Уровень 2: привилегированные пользователи (кадровики, бухгалтеры, руководители подразделений)
Сотрудники с расширенным доступом — кадровики, бухгалтеры, HR-специалисты, руководители отделов. Они работают с полными массивами персональных данных: паспортные данные, СНИЛС, ИНН, данные о заработной плате, медицинские сведения. Программа обучения — расширенная, от 16 до 40 академических часов.
Содержание программы: все из уровня 1 плюс классификация информации ограниченного доступа (ПДн, коммерческая тайна, служебная информация), требования 152-ФЗ в полном объеме (правовые основания обработки, согласия субъектов, трансграничная передача), работа с электронной подписью (ПЭП, НЭП, УКЭП — отличия, область применения, ответственность за компрометацию), правила работы в системе КЭДО (маршруты согласования, хранение документов, архивирование), порядок уведомления Роскомнадзора об инцидентах (в течение 24 часов с момента обнаружения утечки и в течение 72 часов — результаты расследования).
Мария Ж, судебный эксперт по трудовому праву:
«В судебных спорах, связанных с утечкой ПДн, суд первым делом запрашивает документы об обучении сотрудника. Если журнал инструктажа пустой, если нет подписи сотрудника под обязательством о неразглашении — виноват работодатель. Даже если сотрудник слил базу умышленно. Потому что работодатель не обеспечил организационные меры защиты.»
В сервисе Добыто мы реализовали автоматическое ознакомление сотрудников с ЛНА по информационной безопасности через КЭДО. Кадровик формирует документ, запускает маршрут — система сама определяет, кому направить на подпись, и фиксирует факт ознакомления с отметкой времени. При проверке ГИТ или Роскомнадзора не нужно искать бумажные журналы — все в электронном архиве.
Уровень 3: администраторы и специалисты по ИБ
Системные администраторы, администраторы безопасности, сотрудники подразделений по защите информации. У них полный доступ к системам, включая управление правами других пользователей. Программа обучения — профессиональная переподготовка от 250 часов или повышение квалификации от 72 часов.
Содержание программы: техническая защита конфиденциальной информации (требования ФСТЭК), криптографическая защита (требования ФСБ), управление инцидентами ИБ (SOC-процессы), аудит и мониторинг ИС, нагрузочное тестирование и анализ уязвимостей, работа с СКЗИ (установка, настройка, обновление КриптоПро CSP и аналогов). Формат — профильные курсы в лицензированных учебных центрах, согласованных с ФСТЭК.
Приказ ФСТЭК 117 устанавливает: не менее 30% сотрудников подразделения по защите информации обязаны иметь профильное образование в области ИБ либо пройти профессиональную переподготовку. Документ об образовании учитывается при расчете этой доли. Если условие не выполнено — аттестация информационной системы под вопросом.
Приказ ФСТЭК 117: что изменилось для обучения с 1 марта 2026 года
Приказ ФСТЭК 117 заменил приказ 17 от 2013 года и ввел процессный подход к управлению защитой информации. Для организаций, которые работают с государственными информационными системами, изменения существенные.
Регулярное обучение пользователей ИС и проверка знаний — не реже одного раза в три года и после каждого инцидента. Зафиксировать внутренние требования к обучению по ИБ и проверке знаний в ЛНА организации. Обеспечить не менее 30% специалистов с профильным образованием в подразделении по защите информации. Ввести метрики КЗИ (коэффициент защищенности информации) и ПЗИ (показатель защищенности информации) для измерения эффективности системы защиты. По сути, ФСТЭК перешел от разовой аттестации к непрерывному мониторингу. Это значит, что обучение тоже становится непрерывным процессом — с журналами, протоколами проверки знаний, планами обучения.
Для коммерческих организаций, которые не работают с ГИС, приказ 117 формально не обязателен. Но 152-ФЗ о персональных данных распространяется на всех операторов ПДн без исключений. А с учетом оборотных штрафов (до 500 млн руб. при повторных утечках) — вопрос обучения сотрудников ИБ перестал быть факультативным.
Мария Ж, HR-эксперт с 13-летним стажем:
«Когда мы проводим аудит кадрового делопроизводства перед внедрением КЭДО, в 4 из 5 компаний нет ни одного документа по обучению ИБ. Ни положения, ни журнала, ни протоколов. При этом кадровики каждый день работают с паспортными данными, СНИЛС, медицинскими справками. Все это ПДн специальной категории. И если завтра произойдет утечка — отвечать будет работодатель.»
Образцы документов для организации обучения по информационной безопасности
Открыть список документов
| Документ | Скачать |
|---|---|
| Правила обработки персональных данных | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Примерная форма трудового договора | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
Как построить систему обучения ИБ в организации: практические шаги
Система обучения ИБ строится вокруг трех процессов: первичное обучение при приеме на работу, периодическое обучение (не реже раза в три года по ФСТЭК 117, рекомендуется — ежегодно), внеплановое обучение после инцидентов или изменения нормативной базы.
Первый шаг — назначить ответственного за организацию обучения. В компаниях до 250 сотрудников это обычно совмещение: кадровик или IT-специалист. В компаниях от 250 — выделенная роль (DPO — ответственный за защиту персональных данных или специалист по ИБ). Второй шаг — разработать ЛНА: Положение об обучении информационной безопасности. В нем фиксируются: категории сотрудников и программы обучения для каждой, периодичность, формат (очное, дистанционное, самоподготовка с тестированием), порядок проверки знаний, ответственность за непрохождение.
Третий шаг — разработать программы обучения для каждого уровня доступа. Не нужно придумывать с нуля: ГОСТ Р ИСО/МЭК 27001 содержит рекомендации по содержанию обучения, а ГОСТ Р ИСО/МЭК ТО 13335-3-2007 прямо указывает, что степень обучения зависит от уровня важности ИБ для организации и должна варьироваться с учетом выполняемой работы. Четвертый шаг — организовать журнал учета обучения: дата, ФИО сотрудника, тема, результат проверки знаний, подпись. В электронном виде это реализуется через КЭДО — сотрудник подписывает факт прохождения обучения электронной подписью.
Организация обучения ИБ — процесс, который требует и юридической, и технической экспертизы. Если в штате нет специалиста по информационной безопасности, а кадровик не справляется с нормативами ФСТЭК и Роскомнадзора — сервис Добыто берет на себя формирование пакета ЛНА, настройку маршрутов ознакомления и автоматический контроль сроков.
Типичные ошибки при организации обучения по информационной безопасности
Ошибка 1: формальное обучение «для галочки». Кадровик распечатывает общий текст инструкции на 2 страницы, сотрудник расписывается, бумага ложится в папку. При проверке Роскомнадзора оказывается, что инструкция не содержит конкретных процедур реагирования на инциденты, не привязана к должностным обязанностям сотрудника и не учитывает специфику ИС, с которыми он работает. Стоимость такой ошибки — штраф от 100 000 до 300 000 руб. за непринятие мер по защите ПДн (ч. 6 ст. 13.11 КоАП).
Ошибка 2: одна программа для всех. Линейного кассира учат тому же, чему системного администратора. В результате кассир не понимает половину терминов, а администратор не получает нужной глубины по техническим мерам защиты. Разделение программ по уровням доступа — требование здравого смысла и рекомендация ГОСТ.
Ошибка 3: отсутствие проверки знаний. Обучение без тестирования — деньги на ветер. Сотрудник прослушал лекцию, через неделю забыл 80% материала. Тестирование фиксирует уровень усвоения и создает доказательную базу для проверяющих. Ошибка 4: игнорирование обучения при увольнении. Увольняемый сотрудник — зона риска. Он знает пароли, имеет доступы, возможно — обиду на работодателя. Процедура отключения доступов и напоминание об ответственности за разглашение (ст. 183 УК РФ за разглашение коммерческой тайны) должны быть частью обучающей программы.
Роль КЭДО в обучении информационной безопасности
Система КЭДО решает сразу несколько задач в контексте обучения ИБ. Автоматическое ознакомление с ЛНА: положение об информационной безопасности, инструкция по работе с ПДн, обязательство о неразглашении — все эти документы направляются сотруднику через систему КЭДО, подписываются электронной подписью. Факт ознакомления фиксируется с точностью до секунды. Контроль сроков: система автоматически напоминает кадровику, когда у сотрудника истекает срок повторного обучения. Если с момента последнего обучения прошло 3 года — система генерирует задачу на организацию обучения.
Наши специалисты в Добыто настраивают маршруты так, что при приеме нового сотрудника комплект документов по ИБ формируется автоматически. Кадровик не тратит время на сборку пакета вручную — система сама определяет, какие документы нужны для конкретной должности. Для кассира — базовая инструкция. Для бухгалтера — расширенный пакет с обязательством о неразглашении ПДн. Для IT-администратора — полный комплект включая NDA и акт ознакомления с криптографическими средствами.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«На одном из наших проектов (производство, 1800 сотрудников) обучение ИБ через КЭДО позволило сократить время ознакомления с 3 недель до 4 дней. Раньше кадровик бегал по цехам с бумажками — теперь сотрудник получает пуш на телефон, читает инструкцию и подписывает ПЭП. Всё. И главное — в электронном архиве хранится каждый факт ознакомления. Проверяющим показываем за 2 минуты.»
Как организовать обучение по ИБ: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Проведите аудит: определите, какие информационные системы используются в организации, какие категории данных обрабатываются (ПДн, коммерческая тайна, служебная информация), какие сотрудники имеют к ним доступ.
- Шаг 2. Разделите сотрудников по уровням доступа: рядовые пользователи, привилегированные пользователи (кадры, бухгалтерия, руководители), администраторы и специалисты ИБ. Для каждого уровня — отдельная программа обучения.
- Шаг 3. Разработайте и утвердите Положение об обучении ИБ: категории, программы, периодичность (не реже 1 раза в 3 года), формат проверки знаний, ответственные лица.
- Шаг 4. Подготовьте учебные материалы для каждого уровня: презентации, тесты, кейсы, инструкции. Для рядовых пользователей — 4-8 часов, для привилегированных — 16-40 часов, для администраторов — курсы повышения квалификации от 72 часов в лицензированном учебном центре.
- Шаг 5. Организуйте первичное обучение для всех сотрудников с фиксацией в журнале (бумажном или электронном через КЭДО). Проведите тестирование и оформите протоколы проверки знаний.
- Шаг 6. Настройте систему контроля сроков: автоматические напоминания о повторном обучении, мониторинг непрошедших тестирование, формирование отчетов для руководства.
- Шаг 7. Проводите внеплановое обучение после каждого инцидента ИБ (утечка, попытка фишинга, компрометация учетной записи) с разбором конкретного случая и обновлением инструкций.
Стоимость обучения и внедрения КЭДО для организации обучения ИБ
Стоимость обучения ИБ складывается из нескольких компонентов: разработка программ и материалов, проведение обучения (внутреннее или внешнее), тестирование и контроль, автоматизация процесса через КЭДО. Для внешних курсов повышения квалификации (72 часа) стоимость составляет от 15 000 до 45 000 руб. за одного специалиста. Профессиональная переподготовка (250+ часов) — от 35 000 до 120 000 руб. Внутреннее обучение рядовых пользователей организация проводит самостоятельно — затраты сводятся к рабочему времени ответственного специалиста.
Для автоматизации процесса ознакомления с ЛНА по ИБ и контроля сроков обучения организации используют системы КЭДО. Стоимость подключения сервиса Добыто:
| Тариф | Стоимость | Что входит |
|---|---|---|
| Старт (до 25 сотрудников) | от 30 ₽ за сотрудника / мес | ПЭП и УНЭП подписи, базовые шаблоны, email-поддержка |
| Бизнес (неограниченно сотрудников) | от 50 ₽ за сотрудника / мес | ПЭП, УНЭП и УКЭП, кастомные шаблоны, интеграция с 1С, электронный архив |
| Корпорация | По запросу | Выделенный сервер, SLA 99.9%, персональный менеджер, API и кастомные интеграции |
Итоговая сумма зависит от численности персонала, выбранного тарифа и объема настройки маршрутов ознакомления — актуальные тарифы сервиса Добыто помогут рассчитать бюджет точнее. Минимальная оплата по тарифу Бизнес — 50 сотрудников за 30 000 руб. в год.
Проверка сотрудников и обучение ИБ: связь процессов
Обучение ИБ — неотъемлемая часть проверки персонала при трудоустройстве. Служба безопасности (или HR в компаниях без отдельной СБ) проверяет не только судимости, долги и аффилированность кандидата, но и его готовность работать с конфиденциальной информацией. Для должностей с доступом к ПДн, коммерческой тайне или государственным ИС первичное обучение ИБ и подписание обязательства о неразглашении — обязательный этап оформления.
Через форму выше вы можете провести базовую проверку сотрудника перед допуском к информационным системам. Проверка включает сверку паспортных данных, проверку по базам ФССП, розыска и действительности документов.
Мария Ж, юрист со стажем более 20 лет:
«Регламент проверки кандидатов и обучение ИБ — два документа, которые работают в связке. Если кандидат прошел проверку СБ, но не прошел обучение ИБ до допуска к рабочему месту — это нарушение. Роскомнадзор при проверке смотрит именно последовательность: прием -> обучение -> допуск к ИС с ПДн. Не наоборот.»
Выводы: обучение по информационной безопасности для разных уровней доступа
Обучение по информационной безопасности — процесс, который регулируется 152-ФЗ, приказом ФСТЭК 117 (для ГИС), ГОСТ Р ИСО/МЭК 27001 и внутренними ЛНА организации. С 1 марта 2026 года требования ужесточились: периодичность — не реже раза в три года, не менее 30% специалистов ИБ-подразделения с профильным образованием, обязательная проверка знаний после инцидентов. Штрафы за утечки ПДн достигают 1-3% годовой выручки при повторных нарушениях — и обучение сотрудников документально подтверждает, что организация приняла организационные меры защиты.
Разделение программ обучения по трем уровням доступа (рядовые пользователи, привилегированные пользователи, администраторы) — рекомендация ГОСТ и требование здравого смысла. Базовое обучение для линейного персонала занимает 4-8 часов и покрывает парольную политику, фишинг, правила работы с ПДн. Расширенная программа для кадровиков и бухгалтеров — 16-40 часов с акцентом на 152-ФЗ и работу с ЭП. Профессиональная подготовка для специалистов ИБ — от 72 часов повышения квалификации в лицензированном учебном центре.
Автоматизация обучения через КЭДО снижает трудозатраты кадровика и создает доказательную базу для проверяющих: каждый факт ознакомления фиксируется электронной подписью с отметкой времени, система контролирует сроки повторного обучения, а архив хранится на протяжении всего жизненного цикла трудовых отношений.
Часто задаваемые вопросы
Обязательно ли обучение по информационной безопасности для коммерческих организаций?
Какой штраф грозит за отсутствие обучения сотрудников по ИБ?
Как часто нужно проводить обучение по информационной безопасности?
Можно ли проводить обучение ИБ дистанционно?
Какие документы нужны для подтверждения обучения ИБ при проверке Роскомнадзора?
Что включает базовое обучение ИБ для линейного персонала?
Нужно ли обучение ИБ для удаленных сотрудников?
Как организовать обучение ИБ для сотрудников на ГПХ и самозанятых?
Сколько стоит курс повышения квалификации по ИБ для специалиста?
Что делать после инцидента ИБ: какое обучение провести?
Можно ли вести журнал обучения ИБ в электронном виде?
Кто несет ответственность за организацию обучения ИБ в компании?
Обучение по информационной безопасности — процесс, который затрагивает кадровую службу, IT-отдел и руководство одновременно. Сервис КЭДО Добыто помогает выстроить его как систему: от автоматического формирования пакета документов при приеме до контроля сроков повторного обучения. За время работы мы подключили более 500 компаний к КЭДО, и в каждом проекте блок ИБ — обязательная часть внедрения.
Для проверки сотрудников при трудоустройстве — включая сверку документов, проверку по базам ФССП и розыска — Добыто предоставляет автоматизированный сервис, интегрированный с кадровым документооборотом.
- Поддержка всех трех видов подписей — ПЭП, УНЭП, УКЭП — для подписания обязательств о неразглашении и журналов обучения
- Автосбор комплекта документов под должность — система сама определяет, какие инструкции по ИБ подписывать конкретному сотруднику
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках Роскомнадзора и ГИТ
- Юридическая обвязка из коробки: шаблоны ЛНА об ИБ, обязательства о неразглашении, журналы обучения
- Работа со штатными сотрудниками, самозанятыми и ГПХ в одном сервисе
- Защищенные каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ
- Виджеты исполнительской дисциплины — кадровик видит, кто не прошел обучение, у кого истекает срок