После выхода нового перечня типовых объектов критической информационной инфраструктуры (Распоряжение Правительства № 360-р от 26 февраля 2026 года) под регулирование попали и медицинские организации. Информационные системы, которые раньше считались обычными рабочими инструментами, теперь требуют категорирования и защиты.
В этой статье разберём, какие системы в медицине относятся к КИИ, почему вопрос часто остаётся без внимания, к каким последствиям это может привести и что делать, чтобы привести свою организацию в соответствие с требованиями.
Какие системы в медицине относятся к КИИ
Новый перечень типовых объектов КИИ включает несколько категорий, напрямую связанных с деятельностью медицинских организаций:
-
Медицинские информационные системы (МИС) – любые программные комплексы, в которых хранятся и обрабатываются данные пациентов, ведётся учёт медицинской помощи и автоматизируются процессы лечения.
-
Системы, подключённые к ЕГИСЗ – любые информационные системы, осуществляющие обмен данными с единой государственной информационной системой в сфере здравоохранения или с региональными МИС.
-
Системы управления медицинским оборудованием – сюда относятся аппараты лучевой диагностики (МРТ, КТ, рентген, маммографы), оборудование лучевой терапии, системы искусственной вентиляции лёгких, оборудование интенсивного наблюдения пациентов (реанимация, палаты интенсивной терапии), а также системы, обеспечивающие проведение хирургических вмешательств.
-
Системы в сфере обязательного медицинского страхования – любые информационные системы, ведущие персонифицированный учёт застрахованных лиц и оказанной медицинской помощи.
Если в медицинской организации используется хотя бы одна из перечисленных систем, она признаётся субъектом КИИ, а сама система – объектом критической информационной инфраструктуры. Это автоматически накладывает обязанности по категорированию и защите.
К чему может привести бездействие
По нашей практике, многие медицинские учреждения впервые обращаются за помощью в категорировании КИИ после получения предписания от регулирующих органов. Это понятная ситуация: внимание к вопросу возникает тогда, когда появляется официальный запрос или требование.
Однако такой сценарий создаёт дополнительные сложности.
Во-первых, штрафные санкции за нарушения в сфере КИИ могут достигать 1 миллиона рублей для юридических лиц. Во-вторых, предписание обычно содержит жёсткие сроки на устранение недостатков – от нескольких недель до нескольких месяцев. В-третьих, в некоторых случаях систематическое нарушение требований может привести к приостановке деятельности. Для медицинской организации, где каждая минута простоя критична, это самый нежелательный сценарий.
Кроме того, отсутствие проведённого категорирования и внедрённых мер защиты может быть выявлено при плановой проверке, что увеличивает частоту контрольных мероприятий со стороны регулятора.
Что нужно сделать для соблюдения требований
Чтобы привести свою организацию в соответствие с законодательством о КИИ, необходимо выполнить несколько последовательных шагов:
Первое – провести инвентаризацию. Нужно понять, какие информационные системы эксплуатируются в организации, и сопоставить их с перечнем типовых объектов КИИ. Это базовая работа, без которой невозможно двигаться дальше.
Второе – провести категорирование. Для каждой системы, попавшей под перечень, необходимо определить категорию значимости – первую, вторую или третью. Категория зависит от возможного ущерба в случае нарушения безопасности.
Третье – разработать и направить акт категорирования. Документ утверждается руководителем организации и направляется в ФСТЭК России в установленном порядке.
Четвёртое – внедрить меры защиты. В зависимости от категории объекта необходимо установить сертифицированные средства защиты информации (СЗИ), настроить их в соответствии с требованиями и обеспечить постоянный мониторинг безопасности.
Пятое – обеспечить взаимодействие с ГосСОПКА. Это государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Подключение к ней – обязательное требование для субъектов КИИ.
Важное уточнение: кто имеет право проводить категорирование
Согласно пункту 19.3 Правил категорирования объектов КИИ, утверждённых постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127, для проверки правильности переданных во ФСТЭК России сведений о категорировании привлекаются организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации в части оказания услуг по контролю защищённости конфиденциальной информации от несанкционированного доступа и её модификации в средствах и системах информатизации и (или) услуг по мониторингу информационной безопасности средств и систем информатизации.
Это означает, что формально процедура категорирования может быть проведена и собственными силами организации, но передача сведений во ФСТЭК и подтверждение их корректности должны выполняться с участием лицензированного подрядчика. На практике большинство медицинских организаций предпочитают сразу привлекать лицензированного подрядчика для всего процесса – это снижает риск ошибок и сокращает время на согласование.
Как DATA POOL помогает медицинским учреждениям
Мы имеем лицензии ФСТЭК и ФСБ России, что подтверждает наше право на оказание услуг в области защиты информации. Наша команда – это сертифицированные эксперты по информационной безопасности с успешным опытом проведения полного цикла работ для объектов разных категорий значимости.
Что входит в нашу работу по КИИ:
-
Определение принадлежности к значимым объектам КИИ. Проводим анализ деятельности организации, определяем объекты информационной инфраструктуры и оцениваем необходимость категорирования.
-
Категорирование объектов КИИ. Консультируем по созданию и работе комиссии по категорированию, помогаем в составлении акта и подготовке документации для направления в ФСТЭК России.
-
Построение системы безопасности. Помогаем выстроить систему защиты значимого объекта КИИ (организационные и технические меры по приказу ФСТЭК № 239), подобрать средства защиты информации и оценить уровень защищённости объекта (согласно п. 12.7 приказа ФСТЭК № 239).
Работа с требованиями 187-ФЗ и приказами ФСТЭК включает в себя не только технические настройки, но и юридические, организационные и методические аспекты. Для их корректного выполнения необходимо знание нормативной базы, понимание процедур категорирования и опыт взаимодействия с регуляторами. Наша команда специалистов помогает медицинским организациям пройти этот процесс с минимальной нагрузкой на штатный IT-отдел и снизить риски ошибок при подготовке документов.