187-ФЗ прямо называет здравоохранение одной из сфер критической информационной инфраструктуры. Больница, лаборатория, региональный минздрав, частная клиника — субъекты КИИ. Со всеми вытекающими: категорирование, реестр объектов, ФСТЭК, ГосСОПКА. Разбираем, кого это касается, что становится объектом КИИ и с чего начинать.
Субъектами КИИ признаются организации, которым принадлежат информационные системы, сети или АСУ, функционирующие в сфере здравоохранения (187-ФЗ ст. 2 п. 8). Сфера трактуется широко: в неё попадают организации, оказывающие медицинскую помощь, органы управления здравоохранением, организации, обеспечивающие обращение лекарственных средств.
На практике субъектами КИИ в здравоохранении являются:
Размер организации не освобождает от требований. Районная больница с медицинской информационной системой — тот же субъект КИИ, что и федеральный медицинский центр. Форма собственности тоже не имеет значения: частная клиника попадает под те же нормы, что государственная.
Объекты КИИ — те ИС, сети и АСУ, которые обеспечивают критические процессы субъекта. В здравоохранении критический процесс — оказание медицинской помощи. Объектами КИИ могут стать:
Частая ошибка — включить в перечень только МИС и забыть про ЛИС, диспетчерские системы и инфраструктурные объекты. ФСТЭК при проверке сравнивает перечень с реальной архитектурой.
Категорирование КИИ в здравоохранении
«Кредо-С» проводит категорирование объектов КИИ для медицинских организаций. Инвентаризация систем, работа комиссии, оформление актов, направление сведений во ФСТЭК. Лицензиат ФСТЭК.
Категорирование в здравоохранении проводится по общим правилам ПП РФ от 08.02.2018 № 127 (ред. от 07.11.2025 № 1762). Но отраслевая специфика влияет на оценку значимости.
Социальный критерий — основной. Нарушение работы МИС или диспетчерской системы скорой помощи затрагивает жизни людей напрямую. Комиссия должна ответить на конкретные вопросы: сколько пациентов окажутся без медицинской помощи при остановке системы? Сколько времени займёт переход на бумажный режим — и есть ли он вообще? Пострадает ли экстренная или только плановая помощь?
Показатели значимости для здравоохранения (ПП-127, приложение). Для социального критерия нарушение жизнеобеспечения населения оценивается в том числе через количество пострадавших людей — порог первой категории значимости начинается с крупного регионального масштаба. Для большинства районных больниц объекты КИИ попадут в 3-ю категорию или будут признаны незначимыми. Для федеральных центров и региональных систем управления — выше.
Незначимые объекты тоже фиксируются. Если по итогам категорирования МИС признана незначимым объектом КИИ — во ФСТЭК всё равно направляют сведения с обоснованием. Отсутствие категории не означает отсутствия обязанностей.
Надзор в сфере КИИ — у ФСТЭК России и ФСБ России. ФСТЭК проверяет категорирование, выполнение требований приказов №235 и №239. ФСБ — взаимодействие с ГосСОПКА, порядок информирования об инцидентах (первичные сведения — в течение 3 часов с момента обнаружения, подробные — в течение 24 часов).
Периодичность плановых проверок ФСТЭК: раз в 3 года для всех значимых объектов КИИ независимо от категории (187-ФЗ ст. 13 ч. 2). Внеплановые — без ограничений по срокам: после инцидента, по жалобе, по поручению прокуратуры.
При инциденте, затронувшем данные пациентов или нарушившем оказание медицинской помощи, медорганизация может получить одновременные проверки от ФСТЭК, ФСБ и Роскомнадзора. Отсутствие системы безопасности значимых объектов КИИ в этот момент означает нарушения сразу по нескольким составам.
Медицинские организации работают на пересечении двух режимов регулирования.
187-ФЗ и требования ФСТЭК — обязанности субъекта КИИ: категорирование, создание системы безопасности значимых объектов (приказ ФСТЭК №235, ред. от 20.04.2023), реализация мер защиты (приказ ФСТЭК №239, ред. от 28.08.2024), подключение к ГосСОПКА.
152-ФЗ и требования Роскомнадзора — защита персональных данных пациентов. Медицинские данные — особая категория ПДн (152-ФЗ ст. 10), для которой установлены повышенные требования к обработке и защите.
Закон от 30.11.2024 № 420-ФЗ ввёл оборотные штрафы за нарушения в сфере персональных данных — до 15 млн руб. или процент от выручки. Это не требование 187-ФЗ, но при инциденте с утечкой данных пациентов медорганизация получает проверки одновременно от ФСТЭК, ФСБ и Роскомнадзора.
Если значимый объект КИИ является одновременно информационной системой персональных данных — при создании системы безопасности применяются и приказ ФСТЭК №239, и требования к защите ПДн (ПП РФ № 1119). Приказ №239 прямо это предусматривает.
Подробный порядок категорирования — в статье «Как провести категорирование объектов КИИ». О составе перечня объектов КИИ — в материале «Перечень объектов КИИ: как составить и направить во ФСТЭК». Об ответственности за нарушения 187-ФЗ — в статье «Ответственность за нарушение требований 187-ФЗ».
В штате медорганизации нет специалиста по 187-ФЗ. Есть сисадмин и специалист по ИБ. Ни у кого из них, как правило, нет опыта категорирования и работы с ФСТЭК — это другая дисциплина. Категорирование МИС с нуля — это 2–4 месяца работы, даже если всё идёт гладко.
«Кредо-С» проводит категорирование объектов КИИ для медицинских организаций: инвентаризация систем, формирование перечня, работа комиссии, оформление актов, направление сведений во ФСТЭК. Обзор требований 187-ФЗ и системы КИИ в целом — в материале «Критическая информационная инфраструктура».
Большинство субъектов КИИ обрабатывают персональные данные — медицинские записи, данные сотрудников, сведения о клиентах. Выполнение 187-ФЗ не освобождает от 152-ФЗ: это два независимых набора обязательств с разными регуляторами.
| КИИ (187-ФЗ) | Персональные данные (152-ФЗ) | |
|---|---|---|
| Регулятор | ФСТЭК, ФСБ, отраслевые органы | Роскомнадзор + ФСТЭК (технические меры) |
| Основной приказ | № 239 — меры защиты, № 235 — организация | № 21 — меры для ИСПДн |
| Ответственность ЮЛ | КоАП ст. 13.12.1: 50–100 тыс. (нарушение требований), 100–500 тыс. (нарушение информирования об инцидентах) | КоАП ст. 13.11: до 15 млн руб. за первичную утечку ПДн (ч. 14); оборотный штраф 1-3% выручки (20-500 млн руб.) — только за повторную (ч. 15) |
Приказ № 239 частично перекрывает технические меры для ИСПДн. Но правовая часть — основания обработки, согласия субъектов, уведомление Роскомнадзора — остаётся отдельной обязанностью по 152-ФЗ.
С 30 мая 2025 года действуют оборотные штрафы за повторную утечку персональных данных: от 1% до 3% годовой выручки (не менее 20 млн и не более 500 млн рублей, ч. 15 ст. 13.11 КоАП РФ); за первичную утечку — фиксированный штраф для юрлиц до 15 млн руб. (ч. 14). Субъект КИИ при инциденте может получить одновременно административный штраф по ст. 13.12.1 и оборотный по ст. 13.11.
Кредо-С совмещает оба направления: аудит КИИ и ИСПДн проводится параллельно, меры выбираются с учётом требований обоих регуляторов. Защита персональных данных →
Остались вопросы? Оставьте заявку
Я соглашаюсь на обработку персональных данных
300034, г. Тула, ул. Демонстрации, 27
офисы: Тула, Москва
ООО «КРЕДО-С»ИНН 7106014366КПП 710601001ОГРН 1027100747596300034, г. Тула, ул. Демонстрации, 27офисы: Тула, Москвана рынке с 1993 года