Дата публикации: 28.05.2026

187-ФЗ прямо называет здравоохранение одной из сфер критической информационной инфраструктуры. Больница, лаборатория, региональный минздрав, частная клиника — субъекты КИИ. Со всеми вытекающими: категорирование, реестр объектов, ФСТЭК, ГосСОПКА. Разбираем, кого это касается, что становится объектом КИИ и с чего начинать.

Здравоохранение в 187-ФЗ: кто является субъектом КИИ

Субъектами КИИ признаются организации, которым принадлежат информационные системы, сети или АСУ, функционирующие в сфере здравоохранения (187-ФЗ ст. 2 п. 8). Сфера трактуется широко: в неё попадают организации, оказывающие медицинскую помощь, органы управления здравоохранением, организации, обеспечивающие обращение лекарственных средств.

На практике субъектами КИИ в здравоохранении являются:

  • больницы, клиники, поликлиники, медицинские центры — государственные и частные;
  • службы скорой медицинской помощи с диспетчерскими системами;
  • клинико-диагностические лаборатории;
  • региональные министерства и департаменты здравоохранения;
  • организации, обеспечивающие лекарственное обеспечение населения.

Размер организации не освобождает от требований. Районная больница с медицинской информационной системой — тот же субъект КИИ, что и федеральный медицинский центр. Форма собственности тоже не имеет значения: частная клиника попадает под те же нормы, что государственная.

Какие системы являются объектами КИИ в здравоохранении

Объекты КИИ — те ИС, сети и АСУ, которые обеспечивают критические процессы субъекта. В здравоохранении критический процесс — оказание медицинской помощи. Объектами КИИ могут стать:

  • Медицинские информационные системы (МИС) — ведение электронных медицинских карт, регистратура, запись к врачу, истории болезней. Остановка МИС во многих медорганизациях означает невозможность оказания плановой помощи и переход на бумажные процессы, который занимает часы.
  • Лабораторные информационные системы (ЛИС) — управление анализаторами, передача результатов врачам. Нарушение ЛИС задерживает диагностику и лечение.
  • Системы диспетчеризации скорой помощи — программно-аппаратные комплексы приёма вызовов и маршрутизации бригад. Остановка — прямой риск для жизни.
  • Региональные медицинские информационные системы (РМИС) — компоненты ЕГИСЗ, которые ведут органы управления здравоохранением.
  • Системы управления медицинским оборудованием — аппараты ИВЛ с цифровым управлением, системы хранения и передачи медицинских изображений (PACS/RIS), мониторинга пациентов в реанимации.
  • Инфраструктурные системы в критических зонах — управление электроснабжением операционных и реанимационных отделений, системы кислородоснабжения с цифровыми контроллерами.

Частая ошибка — включить в перечень только МИС и забыть про ЛИС, диспетчерские системы и инфраструктурные объекты. ФСТЭК при проверке сравнивает перечень с реальной архитектурой.

Категорирование КИИ в здравоохранении

«Кредо-С» проводит категорирование объектов КИИ для медицинских организаций. Инвентаризация систем, работа комиссии, оформление актов, направление сведений во ФСТЭК. Лицензиат ФСТЭК.

Узнать подробнее

Категорирование КИИ в здравоохранении: отраслевая специфика

Категорирование в здравоохранении проводится по общим правилам ПП РФ от 08.02.2018 № 127 (ред. от 07.11.2025 № 1762). Но отраслевая специфика влияет на оценку значимости.

Социальный критерий — основной. Нарушение работы МИС или диспетчерской системы скорой помощи затрагивает жизни людей напрямую. Комиссия должна ответить на конкретные вопросы: сколько пациентов окажутся без медицинской помощи при остановке системы? Сколько времени займёт переход на бумажный режим — и есть ли он вообще? Пострадает ли экстренная или только плановая помощь?

Показатели значимости для здравоохранения (ПП-127, приложение). Для социального критерия нарушение жизнеобеспечения населения оценивается в том числе через количество пострадавших людей — порог первой категории значимости начинается с крупного регионального масштаба. Для большинства районных больниц объекты КИИ попадут в 3-ю категорию или будут признаны незначимыми. Для федеральных центров и региональных систем управления — выше.

Незначимые объекты тоже фиксируются. Если по итогам категорирования МИС признана незначимым объектом КИИ — во ФСТЭК всё равно направляют сведения с обоснованием. Отсутствие категории не означает отсутствия обязанностей.

Кто проверяет медицинские организации как субъектов КИИ

Надзор в сфере КИИ — у ФСТЭК России и ФСБ России. ФСТЭК проверяет категорирование, выполнение требований приказов №235 и №239. ФСБ — взаимодействие с ГосСОПКА, порядок информирования об инцидентах (первичные сведения — в течение 3 часов с момента обнаружения, подробные — в течение 24 часов).

Периодичность плановых проверок ФСТЭК: раз в 3 года для всех значимых объектов КИИ независимо от категории (187-ФЗ ст. 13 ч. 2). Внеплановые — без ограничений по срокам: после инцидента, по жалобе, по поручению прокуратуры.

При инциденте, затронувшем данные пациентов или нарушившем оказание медицинской помощи, медорганизация может получить одновременные проверки от ФСТЭК, ФСБ и Роскомнадзора. Отсутствие системы безопасности значимых объектов КИИ в этот момент означает нарушения сразу по нескольким составам.

Персональные данные и КИИ: два регулятора одновременно

Медицинские организации работают на пересечении двух режимов регулирования.

187-ФЗ и требования ФСТЭК — обязанности субъекта КИИ: категорирование, создание системы безопасности значимых объектов (приказ ФСТЭК №235, ред. от 20.04.2023), реализация мер защиты (приказ ФСТЭК №239, ред. от 28.08.2024), подключение к ГосСОПКА.

152-ФЗ и требования Роскомнадзора — защита персональных данных пациентов. Медицинские данные — особая категория ПДн (152-ФЗ ст. 10), для которой установлены повышенные требования к обработке и защите.

Закон от 30.11.2024 № 420-ФЗ ввёл оборотные штрафы за нарушения в сфере персональных данных — до 15 млн руб. или процент от выручки. Это не требование 187-ФЗ, но при инциденте с утечкой данных пациентов медорганизация получает проверки одновременно от ФСТЭК, ФСБ и Роскомнадзора.

Если значимый объект КИИ является одновременно информационной системой персональных данных — при создании системы безопасности применяются и приказ ФСТЭК №239, и требования к защите ПДн (ПП РФ № 1119). Приказ №239 прямо это предусматривает.

Типичные ошибки медицинских организаций при выполнении 187-ФЗ

  • «Мы небольшая больница, на нас это не распространяется». Распространяется. 187-ФЗ не устанавливает пороговых значений по коечному фонду, численности персонала или объёму обслуживаемых пациентов.
  • Перечень составлен только из «основных» ИС. МИС включена, ЛИС — нет. Система диспетчеризации скорой — нет. Инфраструктурные системы операционного блока — нет. ФСТЭК при проверке запрашивает схему архитектуры и сравнивает.
  • В комиссию включён только айтишник. ПП-127 п. 11 требует специалистов по информационной безопасности, по профилю деятельности субъекта и по эксплуатации оборудования. Для медорганизации — специалист, понимающий организацию медицинской деятельности, а не только ИТ-инфраструктуру.
  • Категория присвоена заниженная. Последствия остановки МИС для пациентов недооцениваются. «Перейдём на бумагу» — не аргумент для ФСТЭК, если «бумажный» режим реально нарушает непрерывность медицинской помощи.
  • После категорирования ничего не делается. Сведения направлены во ФСТЭК, объект вошёл в реестр значимых — и на этом работа прекращается. Но для значимых объектов дальше нужны система безопасности (приказ №235) и меры защиты (приказ №239). Это отдельная работа, не входящая в категорирование.

С чего начать: практические шаги

  • Составить реестр всех информационных систем: МИС, ЛИС, диспетчерские комплексы, PACS/RIS, системы управления инфраструктурой критических зон.
  • Для каждой системы задать вопрос: что произойдёт с пациентами, если она выйдет из строя на сутки? На неделю? Ответ на этот вопрос — основа оценки значимости.
  • Сформировать комиссию по категорированию с участием специалиста по ИБ и специалиста по медицинской деятельности.
  • Провести категорирование честно — не занижать последствия ради снижения объёма требований.
  • Направить сведения во ФСТЭК в течение 10 рабочих дней после утверждения актов (ПП-127 п. 17; 187-ФЗ ст. 7 ч. 5).

Подробный порядок категорирования — в статье «Как провести категорирование объектов КИИ». О составе перечня объектов КИИ — в материале «Перечень объектов КИИ: как составить и направить во ФСТЭК». Об ответственности за нарушения 187-ФЗ — в статье «Ответственность за нарушение требований 187-ФЗ».

Помощь в категорировании КИИ для медицинских организаций

В штате медорганизации нет специалиста по 187-ФЗ. Есть сисадмин и специалист по ИБ. Ни у кого из них, как правило, нет опыта категорирования и работы с ФСТЭК — это другая дисциплина. Категорирование МИС с нуля — это 2–4 месяца работы, даже если всё идёт гладко.

«Кредо-С» проводит категорирование объектов КИИ для медицинских организаций: инвентаризация систем, формирование перечня, работа комиссии, оформление актов, направление сведений во ФСТЭК. Обзор требований 187-ФЗ и системы КИИ в целом — в материале «Критическая информационная инфраструктура».

КИИ и персональные данные: две параллельные ответственности

Большинство субъектов КИИ обрабатывают персональные данные — медицинские записи, данные сотрудников, сведения о клиентах. Выполнение 187-ФЗ не освобождает от 152-ФЗ: это два независимых набора обязательств с разными регуляторами.

Как разграничить требования

КИИ (187-ФЗ)Персональные данные (152-ФЗ)
РегуляторФСТЭК, ФСБ, отраслевые органыРоскомнадзор + ФСТЭК (технические меры)
Основной приказ№ 239 — меры защиты, № 235 — организация№ 21 — меры для ИСПДн
Ответственность ЮЛКоАП ст. 13.12.1: 50–100 тыс. (нарушение требований), 100–500 тыс. (нарушение информирования об инцидентах)КоАП ст. 13.11: до 15 млн руб. за первичную утечку ПДн (ч. 14); оборотный штраф 1-3% выручки (20-500 млн руб.) — только за повторную (ч. 15)

Приказ № 239 частично перекрывает технические меры для ИСПДн. Но правовая часть — основания обработки, согласия субъектов, уведомление Роскомнадзора — остаётся отдельной обязанностью по 152-ФЗ.

С 30 мая 2025 года действуют оборотные штрафы за повторную утечку персональных данных: от 1% до 3% годовой выручки (не менее 20 млн и не более 500 млн рублей, ч. 15 ст. 13.11 КоАП РФ); за первичную утечку — фиксированный штраф для юрлиц до 15 млн руб. (ч. 14). Субъект КИИ при инциденте может получить одновременно административный штраф по ст. 13.12.1 и оборотный по ст. 13.11.

Кредо-С совмещает оба направления: аудит КИИ и ИСПДн проводится параллельно, меры выбираются с учётом требований обоих регуляторов. Защита персональных данных →

Остались вопросы? Оставьте заявку

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных