7 шагов, чтобы обезопасить клинику от кибератак и штрафов: полный чек-лист по КИИ

2026-06-15 15:35:23 Время чтения 8 мин 153

Какие объекты КИИ в здравоохранении нужно защищать и как, какие штрафы за нарушения предусмотрены и как провести категорирование — читайте более подробно в статье.

Что такое объекты КИИ в здравоохранении: ключевые понятия

Под КИИ в здравоохранении в первую очередь подразумеваются критически важные IT-системы, связанные с автоматизацией процессов и хранением данных в медицинских учреждениях. По сути, это IT-инфраструктура вашей клиники: от локальной медицинской информационной системы и цифрового рентгена до портала записи пациентов и региональной базы ОМС.

Для каждого руководителя важно понимать, что объекты КИИ в сфере здравоохранения — это те активы, которые в случае кибератаки могут реально угрожать жизни людей (если отключатся томографы) или стабильности системы здравоохранения (если «ляжет» единая база службы крови).

Полный перечень типовых объектов КИИ в сфере здравоохранения

Теперь о том, что относится к КИИ. Перечень определен Распоряжением Правительства РФ от 26.02.2026 № 360-р. Он обязателен для всех субъектов КИИ, включая частные клиники. Рассмотрим несколько примеров, какие объекты КИИ в сфере здравоохранения в него входят:

  1. Государственный уровень:
  1. Единая государственная информационная система (ЕГИСЗ) и региональные сегменты.
  2. Системы Федерального фонда ОМС и территориальных фондов ОМС.
  3. Региональные медицинские информационные системы (РМИС).
  1. Оборудование и системы управления:
  1. Медицинские информационные системы (МИС) любой клиники — от частного диагностического центра до городской больницы.
  2. Аптечные системы (автоматизация отпуска и учета лекарств).
  3. Лабораторные информационные системы (ЛИС).
  4. Автоматизированные системы управления (АСУ) диагностическим оборудованием. Например, система управления рентген-аппаратом с функцией формирования изображения является полноценным объектом КИИ, так как влияет на качество диагностики.

Категорирование объектов КИИ: пошаговая инструкция

Категорирование — это процедура, благодаря которой можно рассчитать, как взлом системы отразится на жизни пациентов или государственных услугах. Итогом станет присвоение категории (1, 2, 3) или признание объекта незначимым. Здесь нужно придерживаться Методических рекомендаций, утвержденных Минздравом от 05.04.2021 г.

Шаг 1. Создайте комиссию

Издайте приказ, куда войдут ваш IT-специалист, врач (технолог), юрист и сотрудник безопасности. Если нет своих специалистов, пригласите внешнюю лицензированную организацию.

Шаг 2. Опишите бизнес-процессы

Определите, какие процессы у вас автоматизированы: например, запись через колл-центр, управление томографом, выписка рецептов, перевод кардиограммы и т.д.

Шаг 3. Определите критичные процессы

Проанализируйте, какой ущерб наступит при остановке процесса:

  1. Социальная значимость: угроза жизни пациента? (если «ляжет» томограф или ИВЛ из-за того, что вышла из строя АСУ).
  2. Политическая значимость: нарушится ли работа госорганов, если, например, не будут переданы сведения о заболеваемости?
  3. Экономическая значимость: понесет ли клиника прямой или косвенный ущерб от остановки процесса? 
  4. Экологическая значимость: может ли авария в системе привести к вреду для окружающей среды? 
  5. Значимость для обеспечения обороны страны, безопасности государства и правопорядка: повлияет ли остановка процесса на обороноспособность или правопорядок? 

Шаг 4. Соберите реестр и проведите ревизию систем

Найдите все договоры на внедрение софта, данные бухгалтерии о серверах. Сравните список систем с утвержденным перечнем Типовых отраслевых объектов КИИ (Распоряжение Правительства РФ № 360-р). Если система совпадает с перечнем, она должна быть включена в вашу работу по категорированию, даже если вам кажется, что она «не очень важная».

Шаг 5. Оцените влияние на бизнес-процессы

Установите, может ли система управлять процессом без возможности перехода на «ручной режим» в ближайшие часы. Если может — это значимый объект, которому нужно присвоить категорию. Обязательно проведите высокоуровневую оценку негативных последствий от нарушения каждого бизнес-процесса и сформируйте перечень критических процессов, которые могут повлиять на безопасность пациентов, работу системы здравоохранения или другие значимые аспекты.

Шаг 6. Утвердите перечень и расчеты

Составьте перечень объектов КИИ, подлежащих категорированию. Проведите расчет по каждому объекту: подпадает ли он под критерии социальной или политической значимости. При присвоении категории руководствуйтесь Постановлением Правительства РФ от 08.02.2018 г. № 127 — там указаны все критерии подробно. 

После присвоения категории оформите итоговый акт категорирования.

Шаг 7. Отправьте данные во ФСТЭК

У вас есть 10 рабочих дней со дня утверждения акта категорирования , чтобы отправить во ФСТЭК сведения о присвоенных категориях или уведомление об отсутствии необходимости присвоения категории значимости.

Ответственность за нарушения в сфере КИИ

Мы подготовили таблицу штрафов за нарушения в сфере КИИ:

Если нарушение правил эксплуатации или неправомерный доступ привели к уничтожению, блокированию или модификации информации на объекте КИИ, наступает уголовная ответственность по ст. 274.1 УК РФ. Наказание по этой статье — вплоть до 10 лет лишения свободы, если атака совершена организованной группой или привела к тяжким последствиям. 

                                                        Что в итоге

Чтобы защитить КИИ в медицинской организации и свой бюджет от штрафов, нужно выполнить целый ряд действий:

  1. Провести инвентаризацию автоматизированных систем (МИС, АСУ томографов, аптечный софт).
  2. Провести категорирование (оценить, какая система жизненно важна для пациентов, а какая — нет) и отправить результаты в ФСТЭК.
  3. Внедрить защиту (установить сертифицированные средства, российское ПО и подключить свою МИС к системе ГосСОПКА для отражения атак).

       Если вы относитесь к своей IT-системе как к «просто компьютеру», а не к объекту КИИ в сфере здравоохранения, — вы рискуете. Штраф в 500 000 рублей за сокрытие утечки или уголовное дело за падение системы жизнеобеспечения — это риски, которые страховка не покрывает. Кроме того, за утечку персональных данных (например, данных пациентов) организацию могут оштрафовать по ст. 13.11 КоАП РФ на сумму до 20 млн рублей, а при повторном нарушении — до 500 млн рублей. Это отдельный состав правонарушения, который также напрямую касается информационной безопасности клиники.

Категории: Бизнес (тендеры, слияния, поглощения, партнерства, ценные бумаги, акционеры, финансы и отчетность)
Другие материалы блога
Вестник государственной регистрации: как опубликовать объявление в 2026 году
2026-06-18 09:29:08 193
Уведомление в Роскомнадзор об обработке персональных данных: пошаговая инструкция для бизнеса
2026-06-16 13:01:54 493
Бухгалтерская отчетность в Федресурсе: кто обязан публиковать сведения и как избежать штрафов в 2026 году
2026-06-11 10:56:09 279
Публикация в Федресурсе в 2026 году: как и когда размещать сообщения
2026-06-05 10:20:23 393
Документы по персональным данным в 2026 году: какие должны быть у ИП и организаций
2026-06-04 14:34:38 285
Регистрация в Роскомнадзоре: как блогерам, ИП и организациям зарегистрироваться в РКН в 2026 году
2026-06-03 12:30:21 615