Закрыть.
Выбор города
АлфавитРегион

    Консалтинговая группа Astels.

    Федеральный

    8(800) 70-70-144

    Оставить заявку

    Заказать звонок

    Главная  /  База знаний  /  Категорирование объектов критической информационной инфраструктуры (КИИ)  /  Объекты КИИ в здравоохранении: новые типовые перечни и приказы Минздрава

    Объекты КИИ в здравоохранении: новые типовые перечни и приказы Минздрава

    Типовой перечень объектов КИИ здравоохранения, методические рекомендации Минздрава и дорожная карта категорирования для медицинских организаций.

    Главная  /  База знаний  /  Категорирование объектов критической информационной инфраструктуры (КИИ)  /  Объекты КИИ в здравоохранении: новые типовые перечни и приказы Минздрава

    Объекты КИИ в здравоохранении: новые типовые перечни и приказы Минздрава

    Здравоохранение входит в число 13 отраслей критической информационной инфраструктуры, и Минздрав России совместно со ФСТЭК утвердил перечень типовых отраслевых объектов КИИ. Разбираем, какие медицинские информационные системы подлежат категорированию, как выполнить требования 187-ФЗ и какую роль играет Отраслевой центр информационной безопасности.

    Содержание

    1. Почему здравоохранение — одна из самых уязвимых отраслей КИИ
    2. Какие медорганизации являются субъектами КИИ по 187-ФЗ
    3. Перечень типовых отраслевых объектов КИИ: 5 групп Минздрава
    4. Методические рекомендации Минздрава: пошаговый алгоритм категорирования
    5. Концепция ИБ здравоохранения и Отраслевой центр компетенций
    6. Особенности определения категории значимости для медицинских ИС
    7. Дорожная карта: от инвентаризации до подачи сведений во ФСТЭК
    8. Типичные ошибки медучреждений при категорировании и как их избежать

    Почему здравоохранение — одна из самых уязвимых отраслей КИИ

    Здравоохранение занимает особое место среди 13 отраслей критической информационной инфраструктуры. Медицинские информационные системы хранят персональные данные десятков миллионов пациентов, обеспечивают работу лабораторного и диагностического оборудования, управляют цепочками лекарственного обеспечения. Сбой любого звена — и под угрозой оказывается жизнь и здоровье людей.

    Статистика кибератак подтверждает: отрасль находится под прицелом. По данным аналитических отчётов за 2024–2025 гг., число кибератак на организации здравоохранения в России выросло более чем на 30% год к году. В I квартале 2025 года зафиксирован рост на 24% по сравнению с аналогичным периодом 2024-го, причём почти половина инцидентов пришлась на январь. Каждая пятая атака квалифицирована как критическая — приводящая к утечке данных, уничтожению инфраструктуры или полной остановке работы учреждения.

    В конце 2025 года «Лаборатория Касперского» обнаружила волну целевых вредоносных рассылок на российские медучреждения от имени страховых компаний и больниц. 63 письма содержали бэкдор BrockenDoor, позволяющий атакующим полностью контролировать заражённый компьютер. Это уже не хулиганство, а целенаправленные операции, предположительно координируемые из-за рубежа.

    Фактор риска Почему здравоохранение особенно уязвимо Уровень критичности
    Персональные данные пациентов Диагнозы, результаты анализов, данные ОМС — ценнее финансовых данных на чёрном рынке Критический
    Связь МИС с медоборудованием Атака на МИС может нарушить работу аппаратов ИВЛ, мониторов, лабораторных анализаторов Критический
    Кадровый дефицит ИБ-специалистов Большинство клиник не имеют выделенного специалиста по кибербезопасности Высокий
    Низкие бюджеты на ИТ Государственные медучреждения ограничены рамками госзакупок и скромных ИТ-бюджетов Высокий
    Устаревшее ПО и оборудование Многие системы работают на неподдерживаемых ОС без обновлений безопасности Высокий
    Интеграция с ЕГИСЗ и РМИС Компрометация одного учреждения может дать доступ к региональному сегменту Средний

    По нашему опыту работы с медучреждениями, ситуация с информационной безопасностью в большинстве клиник далека от идеала: нет ни отдельных ИБ-подразделений, ни утверждённых политик реагирования на инциденты, ни сегментации сетей. Именно поэтому государство усиливает регуляторное давление через механизм типовых перечней и обязательного категорирования.

    Какие медорганизации являются субъектами КИИ по 187-ФЗ

    Субъектом КИИ в сфере здравоохранения признаётся любая организация, которая осуществляет деятельность в данной отрасли и которой принадлежат (на праве собственности, аренды или ином законном основании) информационные системы, информационно-телекоммуникационные сети или автоматизированные системы управления. Это определение вытекает из статьи 2 Федерального закона 187-ФЗ.

    На практике субъектами КИИ в здравоохранении являются:

    • Государственные и муниципальные больницы, поликлиники, диспансеры, родильные дома, станции скорой помощи
    • Частные клиники и медицинские центры, использующие МИС для ведения электронных медкарт
    • Фармацевтические организации — аптечные сети, производители лекарственных препаратов
    • Организации, управляющие РМИС (региональными медицинскими информационными системами)
    • Научно-исследовательские центры и медицинские ВУЗы, ведущие клиническую деятельность
    • Лаборатории, использующие ЛИС (лабораторные информационные системы)
    • Санаторно-курортные учреждения, ведущие медицинскую деятельность

    Важный нюанс, который часто упускают из виду: формальным критерием является не размер учреждения, а факт осуществления деятельности в отрасли здравоохранения и наличие информационных систем. Даже небольшая частная стоматология, использующая МИС с электронными медкартами, юридически является субъектом КИИ и обязана провести категорирование.

    После вступления в силу Постановления Правительства № 1762 от 07.11.2025 акцент сместился с самостоятельного определения «критических процессов» на использование типовых перечней, утверждённых отраслевым регулятором — Минздравом России. Теперь медорганизация обязана сопоставить свою ИТ-инфраструктуру с директивным перечнем, а не изобретать собственную классификацию.

    Перечень типовых отраслевых объектов КИИ: 5 групп Минздрава

    Минздрав России совместно со ФСТЭК утвердил «Перечень типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сфере здравоохранения». Документ согласован заместителем директора ФСТЭК России Виталием Лютиковым и утверждён заместителем Министра здравоохранения Павлом Пугачёвым. Перечень опубликован на портале оперативного взаимодействия участников ЕГИСЗ.

    Все типовые отраслевые объекты КИИ здравоохранения разделены на 5 групп:

    Группа типовых ОКИИ Примеры конкретных систем Кому принадлежат
    1 ГИС в сфере здравоохранения субъектов РФ РМИС (региональная МИС), подсистемы ЕГИСЗ регионального уровня, ВИМИС Органы власти субъектов РФ, МИАЦ
    2 Медицинские информационные системы (МИС) МИС МО, электронные медицинские карты, системы записи на приём, управления коечным фондом Медицинские организации
    3 ИС фармацевтических организаций Системы учёта оборота лекарственных средств, МДЛП, складские ИС Аптечные сети, фармпроизводители
    4 Системы автоматизации медицинской деятельности ЛИС (лабораторные ИС), PACS/RIS (радиологические), АСУ медоборудованием Лаборатории, диагностические центры
    5 Информационно-телекоммуникационная инфраструктура Сети передачи данных, каналы связи с ЕГИСЗ, VPN-тоннели, защищённые сегменты Все медорганизации с сетевой инфраструктурой

    Для каждого типового объекта в перечне указаны:

    • Наименование типового отраслевого объекта КИИ
    • Виды деятельности (по ОКВЭД), в рамках которых используется объект
    • Критические процессы, которые объект обеспечивает

    Это принципиальное отличие от прежнего подхода: раньше медорганизация самостоятельно определяла, какие из её процессов «критические», что открывало пространство для занижения значимости и ухода от ответственности. Теперь перечень критических процессов зафиксирован на уровне отрасли и не подлежит произвольному толкованию. Если же конкретная медицинская система не вписывается в типовой перечень, применяется механизм «снизу вверх».

    Подробнее о механизме применения типовых перечней во всех отраслях читайте в статье «Перечни типовых отраслевых объектов КИИ: где искать и как применять на практике».

    Методические рекомендации Минздрава: пошаговый алгоритм категорирования

    Помимо перечня типовых ОКИИ, Минздрав России утвердил «Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения» (согласованы со ФСТЭК). Документ разработан в рамках федерального проекта «Создание единого цифрового контура в здравоохранении на основе ЕГИСЗ» и доступен на сайте Минздрава.

    Методические рекомендации определяют следующий алгоритм действий:

    1. Определение субъекта КИИ. Проверить, осуществляет ли организация деятельность в сфере здравоохранения и владеет ли ИС, ИТКС или АСУ.
    2. Формирование комиссии по категорированию. Создать постоянно действующую комиссию приказом руководителя. В состав включить представителей ИТ, ИБ, медицинской и административной служб, юриста.
    3. Выявление критических процессов. Сопоставить управленческие, технологические и производственные процессы организации с перечнем критических процессов из типового перечня Минздрава.
    4. Формирование перечня ОКИИ. Определить информационные системы, которые обеспечивают выявленные критические процессы. Именно эти ИС становятся объектами КИИ.
    5. Оценка масштаба последствий. Для каждого объекта оценить возможный ущерб от компьютерного инцидента по критериям значимости (социальная значимость, ущерб жизни и здоровью, нарушение предоставления медпомощи).
    6. Присвоение категории значимости. На основании оценки присвоить категорию: 1 (высшая), 2, 3 или «без категории значимости».
    7. Оформление результатов. Составить акт категорирования и направить сведения о результатах во ФСТЭК.

    По нашему опыту сопровождения медучреждений, наибольшие сложности возникают на этапах 3–5: комиссии часто путают «процессы организации» с «функциями ИС», что приводит либо к завышению числа объектов, либо, наоборот, к их невыявлению. Подробный разбор процедуры — в нашем пошаговом руководстве по категорированию КИИ.

    Для кого эта услуга

    Связь

    Связь

    Топливно-энергетический комплекс

    Топливно-энергетический комплекс

    Химическая промышленность

    Химическая промышленность

    Оборонная промышленность

    Оборонная промышленность

    Энергетика

    Энергетика

    Атомная энергия

    Атомная энергия

    Здравоохранение

    Здравоохранение

    Горнодобывающая промышленность

    Горнодобывающая промышленность

    Транспорт

    Транспорт

    О нашей компании

    Постоянно сотрудничаем с крупными государственными и международными корпорациями

    Четко выполняем требования контролирующих организаций

    Непрерывно работаем над улучшением нашего профессионализма

    Послепродажная поддержка в правовых аспектах

    Беспроцентная рассрочка (до 4 месяцев)

    Бесплатная доставка документации по регионам России лично к заказчику

    Клиенты

    Фуд-торг
    Гринлайт
    ЭНТЦ
    Ловозерский ГОК
    ГеоПромИнжиниринг
    Присоединиться

    Благодарственные письма

    Благодарственное письмо от СМУ № 5
    Благодарственное письмо от Взрывстрой
    Благодарственное письмо от УРГЭУ-СИНХ
    Благодарственное письмо от Казино Оракул
    Благодарственное письмо от Наш Продукт
    Благодарственное письмо от ГАПОУ Уральский политехнический колледж
    Благодарственное письмо от СоюзПромЭкспо
    Благодарственное письмо от УО Сысерть
    Благодарственное письмо от ХАЯТТ

    Концепция ИБ здравоохранения и Отраслевой центр компетенций

    В июне 2022 года Президиум Правительственной комиссии по цифровому развитию утвердил «Концепцию информационной безопасности в сфере здравоохранения», подготовленную Минздравом России. Документ определяет архитектуру отраслевой системы ИБ и вводит механизм координации, которого ранее не существовало.

    Ключевые элементы Концепции

    • Создание отраслевого Центра ИБ. На базе ФГБУ «ЦНИИОИЗ» Минздрава России создан «Отраслевой Центр информационной безопасности и импортозамещения программного обеспечения». Центр координирует взаимодействие участников единой системы ИБ в здравоохранении.
    • Система реагирования на инциденты. Концепция предусматривает архитектуру и эскизные решения по построению системы обнаружения и реагирования на компьютерные атаки в медицинских ИС.
    • Единые стандарты защиты. Определены направления развития системы ИБ и набор обязательных мер защиты информации, обрабатываемой медицинскими информационными системами.
    • Интеграция с ГосСОПКА. Значимые объекты КИИ здравоохранения обязаны направлять информацию о компьютерных инцидентах в НКЦКИ и взаимодействовать с отраслевым центром.

    Что это значит на практике для медучреждений

    Концепция устанавливает обязанность медицинских организаций создавать подразделения (или назначать ответственных) по информационной безопасности. Это не рекомендация, а прямое следствие требований 187-ФЗ и приказов ФСТЭК (в частности, Приказа ФСТЭК № 236 и Приказа № 235). Медучреждение обязано:

    • Назначить заместителя руководителя, ответственного за ИБ
    • Создать структурное подразделение по ИБ или назначить специалиста
    • Подчиняться координации Отраслевого центра компетенций на базе ЦНИИОИЗ
    • Обеспечить передачу данных об инцидентах в отраслевой центр

    На практике это означает, что CISO или CIO медицинской организации должен выстроить двустороннюю коммуникацию: с одной стороны — со ФСТЭК и ГосСОПКА (включая оценку по новой методике КЗИ), с другой — с отраслевым центром Минздрава. Это дополнительная нагрузка, которую многие учреждения пока не учитывают в своих планах.

    Особенности определения категории значимости для медицинских ИС

    Категория значимости объекта КИИ в здравоохранении определяется по критериям, установленным Постановлением Правительства № 1762, но с учётом отраслевых особенностей, утверждённых Минздравом. Для медицинских ИС особую роль играют социальные критерии и критерии ущерба жизни и здоровью.

    Дерево решений: определение категории значимости МИС

    Сценарий инцидента Возможная категория Пример
    Инцидент может привести к гибели людей или массовой угрозе здоровью 1 категория АСУ медоборудованием реанимации в крупном стационаре
    Инцидент создаёт угрозу жизни и здоровью отдельных лиц, нарушает оказание медпомощи более чем на 6 часов 2 категория РМИС субъекта РФ, ЛИС крупного диагностического центра
    Инцидент нарушает доступность медуслуг, ведёт к утечке ПДн пациентов 3 категория МИС поликлиники, система электронной записи
    Инцидент не влияет на оказание медпомощи, данные можно восстановить из бумажных носителей Без категории Вспомогательная ИС для формирования статистической отчётности

    Типичная ошибка при категорировании — попытка отнести МИС, которая ведёт полноценный электронный документооборот пациентов, к категории «без значимости». ФСТЭК возвращает такие сведения на доработку, поскольку МИС с электронными медкартами по определению обеспечивает критический процесс «оказание медицинской помощи». Подробнее о причинах возврата сведений — в нашей статье «Ошибки при взаимодействии со ФСТЭК».

    Что меняет Постановление № 1762

    С вступлением в силу ПП № 1762 изменился сам механизм оценки: теперь отраслевые особенности Минздрава устанавливают конкретные правила расчёта показателей значимости и порядок их сопоставления с критериями. Аналогичные отраслевые особенности утверждены для банковской сферы и энергетики. Это означает, что все ранее выполненные акты категорирования, основанные на устаревших правилах, требуют пересмотра.

    Дорожная карта: от инвентаризации до подачи сведений во ФСТЭК

    На основе нашего опыта сопровождения более 7000 проектов мы выработали оптимальную последовательность действий для медучреждений, проходящих категорирование впервые или пересматривающих результаты после обновления нормативной базы.

    Этап Действие Срок Ответственный Результат
    1 Приказ о создании комиссии по категорированию 1–2 дня Главный врач Приказ, состав комиссии
    2 Инвентаризация ИТ-активов: серверы, ПО, сети, медтехника с IP 5–10 дней ИТ-отдел Реестр ИТ-активов
    3 Сопоставление с типовым перечнем Минздрава 3–5 дней Комиссия Перечень ОКИИ
    4 Оценка последствий по критериям значимости 5–7 дней Комиссия + ИБ Матрица оценки
    5 Присвоение категорий и составление акта 2–3 дня Комиссия Акт категорирования
    6 Подготовка и направление сведений во ФСТЭК 3–5 дней ИБ-специалист Заполненная форма сведений
    7 Разработка мер защиты для значимых ОКИИ от 14 дней ИБ-подразделение / подрядчик Проект СОИБ, модель угроз

    Общий срок: от 4 до 8 недель при наличии собственных специалистов. Привлечение внешнего подрядчика сокращает срок до 2–3 недель за счёт готовых шаблонов и опыта взаимодействия со ФСТЭК.

    При выборе подрядчика для медучреждения важно убедиться, что исполнитель имеет опыт именно в отрасли здравоохранения и знаком с отраслевым перечнем Минздрава. Подробнее о критериях выбора — в материале «Как выбрать лицензиата ФСТЭК и ФСБ для КИИ».

    Типичные ошибки медучреждений при категорировании и как их избежать

    За годы работы с медицинскими организациями из 60+ городов мы выявили повторяющиеся ошибки, которые приводят к возврату сведений ФСТЭК, предписаниям по итогам проверок и штрафам.

    Ошибка Последствие Как избежать
    1 «У нас нет КИИ, мы просто больница» Невыполнение требований 187-ФЗ, штраф до 500 тыс. руб. Если есть МИС — вы субъект КИИ. Проведите формальную проверку
    2 Занижение категории для экономии на мерах защиты Возврат сведений ФСТЭК, повторная процедура Использовать отраслевые критерии Минздрава, а не «своё видение»
    3 Невключение ЛИС и PACS в перечень ОКИИ Невыявленные объекты — отдельное правонарушение Сопоставлять каждую ИС с типовым перечнем, включая «системы автоматизации»
    4 В комиссию не включён медперсонал Некорректная оценка критичности процессов В комиссию входит зам. по лечебной работе — он знает, какая ИС критична для пациентов
    5 Использование старых актов без учёта ПП № 1762 Акты недействительны с 18.11.2025 Пересмотреть все результаты категорирования по новым правилам
    6 Отсутствие сведений о доменах и IP-адресах Нарушение Приказа ФСТЭК № 236 Провести инвентаризацию сетевых атрибутов и включить в сведения

    Представьте ситуацию: Руководитель ИТ-отдела районной больницы решил самостоятельно провести категорирование и указал «без категории значимости» для МИС, которая обслуживает 50 000 прикреплённых пациентов и ведёт полный электронный документооборот. ФСТЭК возвратил сведения с указанием, что данная МИС обеспечивает критический процесс оказания медицинской помощи и не может быть отнесена к незначимым объектам. Итог — 3 месяца потерянного времени и необходимость заново проводить всю процедуру.

    Итог

    Сфера здравоохранения находится в эпицентре регуляторных изменений по КИИ. Утверждение типового перечня Минздрава, выход Постановления № 1762, создание Отраслевого центра ИБ, рост штрафов по ст. 13.12.1 КоАП РФ и увеличение числа проверок ФСТЭК в 2026 году — все эти факторы делают откладывание категорирования крайне рискованным.

    Ключевые выводы для CIO и CISO медицинских организаций:

    • Любая организация с МИС — субъект КИИ. Независимо от размера и формы собственности.
    • Старые акты категорирования нужно пересмотреть с учётом ПП № 1762 и типового перечня Минздрава.
    • Отраслевой центр на базе ЦНИИОИЗ — не абстрактная структура, а реальный координатор, которому придётся отчитываться.
    • Стоимость категорирования значительно ниже суммы возможных штрафов и репутационных потерь от утечки данных пациентов.
    • Привлечение профильного подрядчика сокращает сроки и минимизирует риск возврата сведений ФСТЭК.

    Нужна помощь с категорированием объектов КИИ в медицинской организации? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей ситуации и подготовят индивидуальную дорожную карту.

    Медиа

    Работы 1
    Работы 2
    Работы 3
    Работы 4
    Работы 5
    Работы 6
    Работы 7

    Была ли полезна вам данная статья?

    Да Нет

    Расчет стоимости

    Нажимая кнопку «Отправить», я подтверждаю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности

    Отправить запрос

    Нажимая кнопку «Отправить», я подтверждаю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности

    Ваш менеджер
    Кирилл Соколов

    Кирилл Соколов

    8(800) 70-70-144

    info@sertifikat.bz


    Услуги

    ООО «Астелс» - Центр стандартизации и экспертизы

    8(800) 70-70-144

    info@sertifikat.bz

    Мы в соц. сетях:

    Политика конфеденциальности
    Карта сайта

    г. Екатеринбург

    г. Москва

    г. Челябинск

    г. Казань

    г. Пермь

    г. Волгоград

    г. Нижний Новгород

    г. Омск

    г. Новосибирск

    г. Воронеж

    г. Санкт-Петербург

    г. Ростов-на-Дону

    г. Самара

    г. Красноярск

    г. Уфа

    Города

    * Обязательная добровольная сертификация, классификация гостиниц, СМК, ХАССП, ISO 22000. 

    © ООО «Астелс» - Консалтинговая группа» 2012 - 2024

      8(800) 70-70-144 Москва, Санкт-Петербург, Екатеринбург, Новосибирск, Нижний Новгород, Казань, Челябинск, Омск, Самара, Ростов-на-Дону, Уфа, Красноярск, Пермь, Воронеж, Волгоград  

    * На нашем сайте мы используем cookie для сбора информации технического характера. Продолжая использовать этот сайт, вы даете согласие на использование файлов cookies и обработку персональных данных в соответствии с Политикой конфиденциальности

    Последнее обновление сайта: 17.03.2026