ГрамотаИБ ГрамотаИБ

Квалификационные требования к специалистам по информационной безопасности (Указ №250, КИИ)

Редакция ГрамотаИБ · Опубликовано 29.06.2026

Какие требования к квалификации предъявляются к сотрудникам по информационной безопасности: профстандарты, лицензионные требования, силы безопасности значимых объектов КИИ (приказ ФСТЭК №235) и Указ Президента №250 с типовым положением (ПП №1272). Какое образование нужно заместителю руководителя по ИБ и работникам подразделения, зачем нужны профессиональная переподготовка и повышение квалификации и при чём здесь перечень программ, согласованных с ФСТЭК.

Единого обязательного «диплома по информационной безопасности», который требовался бы каждому, кто отвечает за защиту информации, в законодательстве нет. Требования к квалификации сотрудников по ИБИнформационная безопасность — Состояние защищённости информации и поддерживающей инфраструктуры от угроз. разбросаны по нескольким документам и зависят от роли работника и режима, в котором работает организация. Для обычного оператора ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств. жёстких требований к образованию ответственного почти нет, а для субъектов КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ. и организаций из Указа Президента №250 они есть и вполне конкретны. Разберём, кому какое образование и обучение нужно и при чём здесь согласованные с ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. программы переподготовки.

Откуда берутся требования к квалификации

Требования к квалификации работников по защите информации задаются сразу несколькими источниками, и они адресованы разным категориям:

  • Профессиональные стандарты Минтруда — описывают трудовые функции специалистов по ИБ и требования к их образованию и опыту. Это ориентир для штатного расписания и должностных инструкций.
  • Лицензионные требования ФСТЭК и ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА. — обязательны для организаций, которые оказывают услуги по технической защите информации или работают со средствами криптозащиты: у лицензиата должны быть штатные специалисты с профильным образованием и стажем.
  • Требования к силам обеспечения безопасности значимых объектов КИИ — приказ ФСТЭК №235 для субъектов критической информационной инфраструктуры.
  • Указ Президента №250 и типовое положение (постановление Правительства №1272) — для широкого круга государственных органов и организаций, а также субъектов КИИ: назначить заместителя руководителя по ИБ и создать подразделение по ИБ с квалифицированными работниками.

Поэтому правильный вопрос не «какой диплом нужен специалисту по ИБ вообще», а «какая роль у работника и под какой режим попадает организация».

Указ №250: кому он адресован

Указ Президента РФ от 1 мая 2022 года №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» обязывает руководителей перечисленных в нём органов и организаций:

  • возложить на одного из заместителей руководителя полномочия по обеспечению ИБ, включая обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на инциденты;
  • создать структурное подразделение по обеспечению ИБ либо возложить эти функции на существующее подразделение;
  • привлекать к мероприятиям по оценке защищённости только организации, имеющие лицензии ФСТЭК и (или) ФСБ;
  • с 1 января 2025 года не использовать средства защиты информации из недружественных государств.

Действие Указа распространяется на федеральные и региональные органы власти, государственные фонды, госкорпорации, стратегические и системообразующие организации и — что важно для бизнеса — на субъектов критической информационной инфраструктуры. Если ваша организация является субъектом КИИ (как это проверить — в статье «Субъект КИИ: касается ли это вас»), требования Указа №250 и связанные с ним квалификационные требования к сотрудникам по ИБ вас касаются.

Заместитель руководителя по ИБ: какое образование нужно

Полномочия, права и квалификацию заместителя руководителя по ИБ конкретизирует типовое положение, утверждённое постановлением Правительства РФ от 15 июля 2022 года №1272. По нему на эту должность назначается лицо, которое имеет:

  • высшее образование (не ниже специалитета или магистратуры) по направлению подготовки в области информационной безопасности, либо
  • высшее образование по другому направлению и прошедшее профессиональную переподготовку по направлению «Информационная безопасность».

Кроме того, заместитель руководителя по ИБ должен регулярно повышать квалификацию в области информационной безопасности. То есть назначить ответственным заместителя без профильного образования и без переподготовки нельзя — это прямое несоответствие типовому положению.

Подразделение по ИБ и силы безопасности значимых объектов КИИ

Для субъектов КИИ требования к работникам, обеспечивающим безопасность, детальнее всего описаны в приказе ФСТЭК России от 21 декабря 2017 года №235 (в редакции приказа №69 от 20 апреля 2023 года). Он вводит понятие «силы обеспечения безопасности значимых объектов» и предъявляет к ним такие требования (пункт 12):

  • Руководитель подразделения по безопасности — высшее образование по направлению «Информационная безопасность» либо иное высшее образование с профессиональной переподготовкой по этому направлению; стаж работы в сфере ИБ не менее 3 лет.
  • Штатные работники подразделения по безопасности — профессиональное образование в области ИБ либо высшее образование по иному направлению с прохождением обучения по программе повышения квалификации по направлению «Информационная безопасность».
  • Повышение квалификации по направлению ИБ — не реже одного раза в 3 года.

Работники со средним профессиональным образованием в области ИБ могут выполнять отдельные функции по обеспечению безопасности значимых объектов в соответствии с полученной специальностью. Кроме того, приказ №235 ограничивает совмещение: на работников, обеспечивающих безопасность, не должны возлагаться функции, мешающие решению задач защиты. Создавать отдельное подразделение обязательно не всегда — для небольших субъектов КИИ функции можно возложить на отдельных работников.

Переподготовка и повышение квалификации — в чём разница

В требованиях постоянно встречаются два вида дополнительного профессионального образования, и их важно не путать:

  • Профессиональная переподготовка даёт право вести новый вид деятельности — по существу, профильное образование для тех, у кого высшее по другому направлению. По порядку организации дополнительного профессионального образования (приказ Минобрнауки России №499) минимальный объём программы переподготовки — 250 часов; лицензионные требования ФСТЭК по технической защите информации ориентируются на не менее 360 часов, а реальные согласованные с ФСТЭК программы переподготовки по ИБ рассчитаны на больший объём — порядка 504 часов.
  • Повышение квалификации обновляет знания в рамках уже имеющейся квалификации. Минимальный объём такой программы — 16 часов, а согласованные с ФСТЭК курсы для ИБ — это, как правило, от 72 до 216 часов. Именно повышение квалификации нужно проходить периодически (для сил безопасности значимых объектов КИИ — не реже одного раза в 3 года).

Проще говоря: если у работника нет профильного диплома по ИБ, недостаточно сходить на короткий курс — нужна именно переподготовка. А поддерживать квалификацию потом помогают курсы повышения квалификации.

Реестр программ, согласованных с ФСТЭК

Не любой диплом о переподготовке «по информационной безопасности» одинаково ценен. Для задач защиты информации значимы программы, согласованные с ФСТЭК России. ФСТЭК ведёт и публикует на своём сайте «Перечень организаций, осуществляющих образовательную деятельность, имеющих дополнительные профессиональные программы в области информационной безопасности, согласованные с Федеральной службой по техническому и экспортному контролю» — это и есть реестр учебных центров и их программ. В перечне по каждой организации указаны конкретные программы, срок освоения в часах и форма обучения.

Среди согласованных программ, например:

  • профессиональная переподготовка «Информационная безопасность. Техническая защита конфиденциальной информации» — 504 часа;
  • профессиональная переподготовка «Информационная безопасность. Обеспечение безопасности значимых объектов критической информационной инфраструктуры» — 504 часа (профильная программа для субъектов КИИ);
  • повышение квалификации специалистов, работающих в области обеспечения безопасности значимых объектов КИИ, — 216 часов;
  • повышение квалификации «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных» — 72 часа.

Практический вывод: выбирая, где переподготовить или повысить квалификацию специалиста по ИБ, проверьте, есть ли учебный центр и его программа в перечне на сайте ФСТЭК России. Диплом организации из перечня снимает вопросы и при лицензировании, и при проверке соответствия требованиям к силам безопасности КИИ. Программы по линии криптографической защиты (СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ.) аналогично согласует ФСБ России.

Профстандарты как ориентир

Базовые требования к образованию и опыту специалистов по ИБ задают профессиональные стандарты Минтруда. Среди них — «Специалист по защите информации в автоматизированных системах», «Специалист по технической защите информации», «Специалист по безопасности компьютерных систем и сетей», «Специалист по противодействию иностранным техническим разведкам» и другие. По каждой трудовой функции профстандарт указывает требуемый уровень образования и, при необходимости, опыт. Профстандарты удобно использовать как основу для должностных инструкций и для понимания, какой именно специалист нужен под конкретные задачи.

Что делать небольшой организации

Большинство небольших компаний под Указ №250 не подпадают: он адресован конкретному кругу органов и организаций и субъектам КИИ. Если вы обычный оператор ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). и не являетесь субъектом КИИ, жёстких требований именно к диплому вашего ответственного за организацию обработки ПДн (статья 22.1 152-ФЗ) закон не предъявляет — это организационная роль, которую может выполнять и руководитель. Как распределить роли в небольшой организации — в статье «Как распределить обязанности по ИБ».

Где квалификация всё же важна даже для малого бизнеса: когда вы привлекаете подрядчика для технической защиты информации или работ со СКЗИ. У такого лицензиата ФСТЭК или ФСБ должны быть штатные специалисты с профильным образованием и стажем — это и есть гарантия, что работу выполнят квалифицированно. Поэтому для оператора квалификационные требования чаще закрываются не своим штатом, а выбором лицензированного исполнителя.

Главное

Единого обязательного «диплома по ИБ» для всех нет — требования зависят от роли и режима. Для субъектов КИИ и организаций из Указа Президента №250 они конкретны: заместитель руководителя по ИБ и работники подразделения по безопасности должны иметь профильное высшее образование по информационной безопасности либо профессиональную переподготовку по этому направлению, а повышать квалификацию нужно периодически — для сил безопасности значимых объектов КИИ не реже одного раза в 3 года. Переподготовка (от 360 часов, на практике порядка 504) и повышение квалификации (от 72 часов) должны идти по программам из перечня организаций, согласованного с ФСТЭК России. Для обычного оператора ПДн жёстких требований к образованию ответственного нет, но квалификация важна при выборе лицензированного подрядчика по защите информации. Образцы документов под Указ №250 — должностная инструкция заместителя руководителя по ИБ и положение о подразделении по ИБ.

Частые вопросы

Нужен ли специалисту по ИБ профильный диплом?

Зависит от роли и режима. Для заместителя руководителя по ИБ (Указ №250, ПП №1272) и для сил безопасности значимых объектов КИИ (приказ ФСТЭК №235) нужно профильное высшее образование по информационной безопасности либо профессиональная переподготовка по этому направлению. Для ответственного за организацию обработки ПДн (ст. 22.1 152-ФЗ) специального требования к диплому нет.

Чем профессиональная переподготовка отличается от повышения квалификации?

Переподготовка даёт новую квалификацию (для ИБ — от 360 часов по лицензионным требованиям ФСТЭК, у согласованных программ порядка 504 часов) и нужна тем, у кого высшее по другому направлению. Повышение квалификации (от 16 часов, обычно 72–216) обновляет знания и проходится периодически — для сил безопасности КИИ не реже одного раза в 3 года.

Что такое реестр образовательных программ, согласованных с ФСТЭК?

Это «Перечень организаций, осуществляющих образовательную деятельность, имеющих дополнительные профессиональные программы в области информационной безопасности, согласованные с ФСТЭК России», который публикуется на сайте fstec.ru. Учебный центр и программу переподготовки или повышения квалификации стоит выбирать из этого перечня.

Как часто повышать квалификацию работникам по безопасности значимых объектов КИИ?

Не реже одного раза в 3 года по программам повышения квалификации по направлению «Информационная безопасность» (приказ ФСТЭК России №235).

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Читайте также

Все по теме «ФСТЭК: ИСПДн, ГИС, КИИ» →

Банки уязвимостей: какие существуют и на что ориентируется ФСТЭК (БДУ, CVE, NVD)

Какие базы (банки) уязвимостей существуют — БДУ ФСТЭК (bdu.fstec.ru), CVE (MITRE), NVD (NIST), стандарты CVSS и CWE: чем они отличаются, на какой источник ориентируется ФСТЭК России и какой банк уязвимостей первичен для российских операторов ИСПДн, ГИС и объектов КИИ.

Оценка показателя защищённости КЗИ (методика ФСТЭК 2025): как считать

Приказ ФСТЭК №117 ввёл показатель состояния технической защиты информации КЗИ, а методика ФСТЭК от 11 ноября 2025 года объясняет, как его считать. Разбираем: что такое КЗИ и его нормированное значение, четыре группы частных показателей с весами, формулу расчёта, зоны защищённости (зелёная, оранжевая, красная), периодичность оценки и отчётность во ФСТЭК. С примером расчёта и калькулятором.

Приказ ФСТЭК №117 вместо №17: что изменилось в защите ГИС (сравнение)

С 1 марта 2026 года защиту информации в государственных информационных системах регулирует приказ ФСТЭК России №117 — он заменил приказ №17. Подробный сравнительный разбор: что осталось прежним (классы К1–К3, аттестация), а что изменилось принципиально — переход от базового набора мер по классу к целям защиты и актуальным угрозам, новые показатели защищённости (Кзи) и зрелости (Пзи) с отчётностью во ФСТЭК, расширение сферы действия и непрерывное управление защитой. С какой целью проведена реформа и что делать оператору ГИС. Отдельно — что приказ №117 требует по резервному копированию и обеспечению доступности информации в ГИС.

Приказ ФСТЭК № 117: что меняется в защите государственных информационных систем

Что такое приказ ФСТЭК России № 117, который с 1 марта 2026 года пришёл на смену приказу № 17: к кому применяется, как определяется класс защищённости ГИС (К1–К3), роль модели угроз и аттестации, и что учесть операторам государственных информационных систем при переходе.