.PNG)
1Какие требования к персоналу устанавливает ФСТЭК №117
Приказ ФСТЭК №117 и методика оценки КЗИ (утв. ФСТЭК 11.11.2025) предъявляют конкретные требования к компетенциям специалистов, которые проводят оценку показателя защищенности. Это не формальные рекомендации — без подготовленного персонала невозможно корректно рассчитать КЗИ и подготовить подтверждающие документы.
4
Компетенции
обязательных (п. 21)
3
Роли
в процессе оценки
6 мес
Цикл оценки
повторяется регулярно
30 дней
На ответ
по запросу ФСТЭК
2Четыре обязательные компетенции из методики
Методика (п. 21) рекомендует назначать для сбора и анализа исходных данных наиболее подготовленных специалистов с конкретными компетенциями:
а) Цели и задачи ИБ
Знание целей, задач, основ организации защиты информации и обеспечения безопасности значимых объектов КИИ
б) Знание ОРД
Знание состава и содержания организационно-распорядительных документов по вопросам защиты информации
в) Процессы защиты
Знание процессов организации защиты информации и умение их внедрять на практике
г) Методы и способы
Знание основных методов и способов защиты информации и умение их практически реализовывать
Для сбора и анализа исходных данных назначаются наиболее подготовленные специалисты из состава структурного подразделения, осуществляющего функции по обеспечению информационной безопасности органа (организации).
3Три роли в процессе оценки
Методика выделяет три ключевые роли, каждая из которых требует своей подготовки:
| Роль | Кто выполняет | Что должен знать / уметь |
|---|---|---|
| Организатор оценки | Заместитель руководителя, ответственный за ИБ (п. 14) | Порядок проведения оценки, требования Методики, взаимодействие с ФСТЭК |
| Специалист по сбору данных | Сотрудники подразделения ИБ (п. 21) | Все 4 компетенции: цели ИБ, ОРД, процессы защиты, методы и способы защиты |
| Работники подразделений | Сотрудники ИТ, HR и других подразделений (п. 24) | Порядок работы в ИС, правила ИБ, действия при инцидентах |
Требование независимости
4Что включить в программу обучения
На основе требований Методики рекомендуем включить в программу подготовки следующие блоки:
Блок 1: Нормативная база
| Тема | Для кого | Источник |
|---|---|---|
| Приказ ФСТЭК №117: структура, требования, сроки | Все участники оценки | Приказ № 117 |
| Методика оценки КЗИ: формула, критерии, весовые коэффициенты | Специалисты по сбору данных | Методика от 11.11.2025 |
| Приложение 1: перечень подтверждающих документов | Специалисты по сбору данных | Методика, Прил. 1 |
| Указ Президента № 250: ответственность замруководителя | Замруководителя по ИБ | Указ № 250 |
Блок 2: Практические навыки
| Тема | Для кого | Связь с критериями |
|---|---|---|
| Работа со сканерами уязвимостей (MaxPatrol VM, RedCheck, Сканер-ВС) | Специалисты ИБ | k21, k23, k32, k33 |
| Настройка и анализ SIEM (сбор событий, оповещения) | Специалисты ИБ | k41, k42 |
| Администрирование МСЭ L3/L4 и правил фильтрации | Сетевые администраторы | k31 |
| Управление централизованным АВЗ и обновление баз | Специалисты ИБ | k34, k35 |
| Подготовка скриншотов и отчётов для ФСТЭК | Специалисты по сбору данных | Все критерии |
Блок 3: Процедуры для всех сотрудников
Парольная политика
Требования к паролям (≥12 символов, состав, запрет персональной информации). Связь с критерием k21.
Многофакторная аутентификация
Порядок использования MFA для привилегированных пользователей. Связь с критерием k22.
Действия при увольнении / смене роли
Порядок уведомления ИБ-подразделения для блокировки УЗ. Связь с критерием k24.
Реагирование на инциденты
Что делать при обнаружении инцидента ИБ, кому сообщать, как документировать. Связь с критерием k43.
5Периодичность обучения
Методика не устанавливает отдельного графика обучения, но логика процесса подсказывает привязку к циклу оценки КЗИ:
| Событие | Периодичность | Основание |
|---|---|---|
| Плановая оценка КЗИ | Каждые 6 месяцев | п. 12 Методики |
| Инструктаж перед оценкой | Перед каждой оценкой | Рекомендация |
| Обучение новых сотрудников ИБ | При назначении | п. 21 — требования к компетенциям |
| Обновление знаний при изменениях | При изменении НПА, архитектуры ИС | п. 19 — внеочередная оценка |
Рекомендация
6Содействие подразделений — обязанность, не просьба
Методика устанавливает, что подразделения организации обязаны содействовать специалистам по сбору данных (п. 24):
Подразделения и специалисты органа (организации), привлекаемые для сбора исходных данных, оказывают содействие и принимают исчерпывающие меры для предоставления документов и материалов, требуемых для анализа.
Последствия отказа
Эта статья подготовлена командой КРЕДО-С в рамках проекта по приказу ФСТЭК №117. Используйте наш бесплатный калькулятор КЗИ для расчёта показателя защищённости, а также ознакомьтесь с полным руководством по 117 приказу ФСТЭК.
Юрий Вишняков
Руководитель отдела практической информационной безопасности
Мониторинг ИТ-инфраструктуры клиентов и оперативное реагирование на инциденты.