Медицинские организации обязаны обеспечивать кибербезопасность в соответствии с требованиями законодательства о критической информационной инфраструктуре
С 1 сентября 2025 года вступили в силу поправки к Федеральному закону № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», которые актуализировали подходы к категорированию информационных систем и усилили требования к использованию российского программного обеспечения в медицинских организациях. Нормы закона не распространяются на частные медицинские кабинеты, зарегистрированные как индивидуальные предприниматели, — они исключены из перечня субъектов КИИ с указанной даты.
Все остальные медицинские учреждения обязаны провести категорирование своих информационных систем как объектов КИИ. В 2024 году Минздрав России совместно с ФСТЭК России утвердил перечень типовых информационных систем, подлежащих категорированию: в него входят Единая государственная информационная система в сфере здравоохранения (ЕГИСЗ), медицинские информационные системы (МИС), программное обеспечение клинико-диагностических лабораторий, аппараты для лучевой терапии, анестезии, хирургии, а также телемедицинские платформы. В настоящее время находятся на согласовании проекты расширенного перечня типовых систем — с включением ГИС ОМС и систем обработки персональных данных — и отраслевых методических рекомендаций по категорированию.
Категорирование проводится специальной комиссией, созданной приказом руководителя учреждения. В её состав обязательно входят главный врач, заместитель по вопросам информационной безопасности и иные сотрудники, компетентные в оценке рисков. Комиссия оценивает потенциальные последствия кибератак по четырём группам критериев: социальным, экономическим, политическим и экологическим. Для большинства лечебных учреждений ключевыми являются социальные риски — в частности, возможный вред здоровью пациентов и нарушение доступности государственных услуг. По итогам оценки каждой системе присваивается одна из трёх категорий значимости, а результаты направляются в ФСТЭК России в течение 10 рабочих дней.
Законодательство обязывает субъектов КИИ внедрять комплекс мер по обеспечению кибербезопасности: ограничивать физический и логический доступ к серверам и ИТ-системам, внедрять разграничение прав доступа, регулярно обновлять учётные данные, а также создавать штатные подразделения информационной безопасности. С 1 сентября 2025 года дополнительно требуется использовать только российское программное обеспечение, включённое в единый реестр Минцифры России или реестр ЕАЭС. Это касается как операционных систем и баз данных, так и антивирусных решений. Закупка иностранного ПО возможна только после согласования с уполномоченным органом и при отсутствии российских аналогов.
Организации также обязаны наладить взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), обеспечив оперативное информирование о любых инцидентах информационной безопасности. Невыполнение требований уже влечёт за собой правовые последствия: так, в 2024 году Руднянский районный суд Волгоградской области обязал ЦРБ нанять специалиста по кибербезопасности после выявления нарушений прокуратурой — в учреждении отсутствовало штатное лицо, ответственное за защиту значимой информационной системы, несмотря на наличие присвоенной категории значимости. Это решение основано на Указе Президента РФ № 250 от 01.05.2022 и Постановлении Правительства № 1272 от 15.07.2022, которые требуют создания в организациях — субъектах КИИ — профильного подразделения под руководством заместителя руководителя.
