Новые требования ФСТЭК - 2026: готовьте кадры по-новому

С 1 марта 2026 года вступил в силу Приказ №117 ФСТЭК России. Регулятор изменил подход к защите информации: вместо «галочек» — управление рисками, вместо формального наличия специалистов — строгие требования к их квалификации.

Если раньше ответственность за знания ИБ-персонала оставалась на совести работодателя, то теперь она закреплена нормативно. Разбираем ключевые изменения.

3 главных изменения для бизнеса

1. Квота на образование

Не менее 30% сотрудников подразделения ИБ обязаны иметь профильное образование или пройти профессиональную переподготовку (от 250 часов). Остальные должны проходить обучение с проверкой знаний не реже 1 раза в 3 года.
Штраф: до 100 000 руб. на организацию.

2. Импортозамещение в компетенциях

С 2026 года запрещено использовать иностранное ПО на значимых объектах КИИ. Специалисты обязаны работать на российском стеке: Astra Linux, UserGate, ViPNet, S-Terra. Навыки работы с зарубежными системами больше не являются достаточными.

3. Новая методология: управление рисками

Выбор средств защиты теперь диктуется моделью угроз, а не классом системы. Специалист должен уметь анализировать бизнес-процессы и аргументировать архитектуру защиты перед регулятором.

Что изменилось в работе ИБ-специалиста?

• Уязвимости
  Критические — устранять за 24 часа, высокого риска — за 7 дней.

• АСУ ТП (промышленность)
  Знание промышленных протоколов (Modbus, МЭК 61850) и навык расследования инцидентов на технологических объектах.

• Безопасная разработка
  Внедрение ГОСТ Р 56939-2024, контроль состава ПО (SBOM).

• ГосСОПКА
  Обязательная интеграция и знание регламентов взаимодействия с НКЦКИ.