Информационная безопасность и комплексное управление ИТ в медицинской организации: стандарты, интеграция и стратегия развития
Информационная безопасность и комплексное управление ИТ в медицинской организации: стандарты, интегрированный подход и стратегия развития
Медицинская информация — одна из наиболее чувствительных категорий данных о человеке. Она затрагивает здоровье, личную жизнь и финансовую историю пациента одновременно. При этом российские МО работают в условиях нарастающего регуляторного давления: требования к защите персональных данных ужесточились, обязательства по ЕГИСЗ расширились, законодательство о КИИ претерпело существенные изменения с 1 сентября 2025 года. Параллельно растут угрозы — здравоохранение стабильно входит в число наиболее атакуемых отраслей.
Цель этого материала — дать руководству и специалистам МО системное понимание нормативной среды, международных стандартов и практики их применения, а также показать, как управление ИБ и ИТ-инфраструктурой встраивается в общую систему менеджмента качества медицинской организации.
📌 Для кого этот материал
Для четырёх ключевых групп. Высшему руководству — чтобы понять управленческую и правовую значимость темы и принять осознанные решения о стратегии. ИТ-службам — чтобы видеть место технических решений в нормативном и управленческом контексте. Руководителям подразделений — чтобы понимать, как требования ИБ касаются их процессов. Службам качества — чтобы встроить управление информационной безопасностью в существующую СМК и ВКК.
⚠️ О достоверности
Все нормативные ссылки и факты о стандартах основаны на официальных источниках: тексты федеральных законов, нормативные акты ФСТЭК, ФСБ, Минздрава, официальный сайт ISO. Данные актуальны на начало 2026 года. Там, где приводится авторская интерпретация практики, это явно обозначено.
Часть 1. Российская нормативная база: обязательный контур ИБ для МО
Информационная безопасность медицинской организации в России регулируется несколькими взаимосвязанными блоками законодательства. Понимание их логики важнее, чем механическое перечисление реквизитов.
1.1. Три уровня обязательных требований
Уровень 1: Защита персональных данных
Медицинские данные — специальная категория персональных данных (ст. 10 152-ФЗ). Это наиболее жёстко регулируемая категория. Любая МО, обрабатывающая сведения о состоянии здоровья пациентов, является оператором персональных данных и несёт весь объём обязательств по 152-ФЗ. Постановление Правительства № 1119 устанавливает, что ИСПДн, обрабатывающие медицинские данные, должны обеспечивать не ниже 3-го уровня защищённости. Приказ ФСТЭК № 21 определяет конкретные организационные и технические меры защиты для таких систем. Приказ ФСБ № 378 устанавливает требования к криптографической защите информации.
Уровень 2: Требования ЕГИСЗ
МО, подключённые к ЕГИСЗ (а к ней обязаны подключиться все МО, в том числе частные), должны выполнять требования ИБ, установленные для ГИС субъекта РФ. Нормативная база: 323-ФЗ (ст. 91.1), Постановление Правительства № 555, Приказ ФСТЭК № 17. Способ подключения к ЕГИСЗ (через РМИС региона, через аттестованного облачного оператора или напрямую) определяет объём требований, которые ложатся непосредственно на МО. При подключении через РМИС часть ответственности несёт оператор системы; при прямом подключении — в полном объёме МО.
Уровень 3: КИИ (критическая информационная инфраструктура)
187-ФЗ «О безопасности КИИ» прямо относит здравоохранение к сферам КИИ. Это означает, что любая МО, имеющая в своём владении информационные системы, функционирующие в сфере здравоохранения, является субъектом КИИ. С 1 сентября 2025 года вступили в силу обновлённые требования 187-ФЗ (законопроект принят 25 марта 2025 года). Для значимых объектов КИИ действуют требования Приказа ФСТЭК № 239. Ключевое изменение 2024–2025 годов: государственные органы получили полномочия утверждать отраслевые перечни типовых объектов КИИ — для здравоохранения такой перечень утверждён.
| Нормативный акт | Регулятор | Ключевые требования для МО |
|---|---|---|
| 152-ФЗ «О персональных данных» | Роскомнадзор | Обеспечение защиты ПДн пациентов и персонала; уведомление об утечках; соответствие уровню защищённости |
| ПП РФ № 1119 | Правительство РФ | Классификация ИСПДн и определение уровня защищённости: для медицинских данных — не ниже УЗ-3 |
| Приказ ФСТЭК № 21 | ФСТЭК России | Организационные и технические меры защиты в ИСПДн: управление доступом, аудит, антивирусная защита, защита от НСД, обнаружение вторжений и другие |
| Приказ ФСБ № 378 | ФСБ России | Требования к использованию криптографических средств защиты информации при обработке ПДн |
| 149-ФЗ «Об информации, информационных технологиях и о защите информации» | Минцифры / ФСТЭК | Общая рамка для защиты информации в ГИС; для МО, взаимодействующих с ЕГИСЗ, — применяются требования к защите ГИС |
| Приказ ФСТЭК № 17 | ФСТЭК России | Требования по защите информации, содержащейся в ГИС; применяется к ГИСЗ субъектов РФ, с которыми взаимодействует МО |
| 187-ФЗ «О безопасности КИИ» (ред. от 01.09.2025) | ФСТЭК России, ФСБ России | Обязанность категорирования объектов КИИ; для значимых объектов — создание системы защиты по Приказу ФСТЭК № 239; переход на отечественное ПО |
| Приказ ФСТЭК № 239 | ФСТЭК России | Требования по обеспечению безопасности значимых объектов КИИ; четыре блока мер: организационные, технические, поддерживающие, оценочные |
| Приказ Минздрава № 911н | Минздрав России | Требования к МИС и порядку взаимодействия с ЕГИСЗ; смежный с ИБ документ в части обеспечения целостности и достоверности медицинских данных |
📎 Практический вывод по нормативной базе
Большинство МО одновременно являются операторами ПДн, участниками ЕГИСЗ и субъектами КИИ. Это означает пересечение трёх регуляторных контуров с разными регуляторами (Роскомнадзор, ФСТЭК, ФСБ), разными системами проверок и разными последствиями за нарушения. Выстраивать ИБ «под один закон» — методологически неверно. Нужна единая система, охватывающая все три контура и управляемая из одной точки.
Часть 2. Международные стандарты: добровольный контур с управленческой ценностью
Российская нормативная база определяет минимальные обязательные требования — «нижнюю границу» соответствия. Международные стандарты ИБ помогают выстроить систему управления, а не просто «закрыть» регуляторные требования. Разница существенная: соответствие требованиям можно сымитировать документами; система управления — работает или не работает.
| Стандарт | Назначение | Применимость к МО |
|---|---|---|
| ИСО/МЭК 27001:2022 «СМИБ. Требования» | Первый сертифицируемый международный стандарт на систему менеджмента информационной безопасности. Третье издание опубликовано 25 октября 2022 года. Построен по HLS-структуре (как ИСО 9001, ИСО 14001), что обеспечивает интеграцию с другими системами менеджмента. Охватывает 93 меры безопасности в 4 тематических блоках | Универсальный стандарт для любой организации, обрабатывающей чувствительную информацию. Для МО — базовая рамка для управления ИБ, интегрируемая с СМК по ИСО 9001 и ИСО 7101:2023 |
| ИСО/МЭК 27002:2022 «Меры обеспечения информационной безопасности» | Практическое руководство по выбору и реализации мер ИБ. Сопутствующий документ к ИСО/МЭК 27001. Содержит детальные рекомендации по каждому из 93 контролей | Практический инструмент для ИТ-служб и специалистов ИБ: что именно делать для выполнения каждого требования |
| ИСО 27799:2016 «Информационная безопасность в здравоохранении» | Отраслевое руководство по применению ИСО/МЭК 27002 в здравоохранении. Действующая версия опубликована в 2016 году; в разработке находится редакция ИСО/DIS 27799:2025. Технологически нейтральный документ. Содержит Приложение C — чек-лист для проверки соответствия. Вместе с ИСО/МЭК 27002 формирует полное описание требований к ИБ в здравоохранении: первый отвечает «что», второй — «как» | Специализированная «медицинская линза» для ИСО/МЭК 27001/27002. Учитывает специфику здравоохранения: конфиденциальность медицинских записей, клиническая целостность данных, непрерывность доступа при угрозах жизни пациента, телемедицина, медицинские изображения |
| ИСО/МЭК 27005:2022 «Управление рисками ИБ» | Обновлено в 2022 году. Методология оценки и обработки рисков ИБ, основанная на ИСО 31000. Описывает процесс идентификации активов, угроз, уязвимостей и оценки вероятности и последствий реализации рисков | Методологическая основа для формирования Реестра рисков ИБ МО; обязательна для корректного выполнения требований ИСО/МЭК 27001 |
| ИСО/МЭК 27701:2019 «Расширение СМИБ для управления конфиденциальностью» | Расширение ИСО/МЭК 27001/27002 для управления персональными данными и конфиденциальностью. Учитывает требования GDPR и аналогичных регуляций | Полезен МО для системного управления защитой ПДн пациентов в рамках СМИБ, не создавая отдельной структуры |
📎 Логика применения стандартов
ИСО/МЭК 27001:2022 — сертифицируемый стандарт на систему управления. ИСО/МЭК 27002:2022 — практическое руководство по реализации мер. ИСО 27799:2016 — отраслевая адаптация 27002 для здравоохранения. ИСО/МЭК 27005:2022 — методология оценки рисков. Применяются совместно: 27001 задаёт структуру, 27002 и 27799 — конкретные меры, 27005 — процесс управления рисками. Российские требования (152-ФЗ, КИИ) и международные стандарты не противоречат, а дополняют друг друга — при правильной архитектуре системы.
Часть 3. Специфика ИБ в здравоохранении: почему стандартный подход недостаточен
Здравоохранение — не «просто ещё одна отрасль» для целей информационной безопасности. У него есть несколько принципиальных особенностей, которые определяют как характер угроз, так и требования к мерам защиты.
Недоступность данных = угроза жизни
В большинстве отраслей недоступность данных — это операционный или финансовый ущерб. В здравоохранении отсутствие доступа к истории болезни, результатам анализов или назначениям может привести к ошибке в лечении. ИСО 27799:2016 явно указывает: в здравоохранении доступность данных имеет критическое значение, и меры ИБ не должны блокировать экстренный доступ к клинической информации даже при инциденте безопасности.
Медицинские данные — высокоценная цель
По данным исследований российских компаний в области ИБ, в структуре похищенных данных при атаках на здравоохранение персональные данные пациентов и медицинская информация занимают лидирующие позиции. Медицинская запись на чёрном рынке стоит существенно дороже, чем данные банковской карты — в ней содержатся идентифицирующие данные, история заболеваний, страховые сведения. Это устойчиво привлекает злоумышленников.
Сложная инфраструктура с медицинскими устройствами
МО — это не только компьютеры и серверы. Это МРТ-аппараты с сетевыми интерфейсами, инфузионные помпы, мониторы пациентов, системы PACS, медицинские изделия с ИИ. Многие из них работают на устаревших ОС, имеют фиксированный жизненный цикл без возможности обновления. Управление безопасностью таких устройств принципиально отличается от управления корпоративными ИС.
Персонал не является ИБ-специалистами
Медицинский персонал — профессионалы в клинической области, но не в информационной безопасности. При этом именно они являются основными пользователями систем, обрабатывающих медицинские данные. Баланс между удобством работы и требованиями ИБ — критическая управленческая задача: слишком жёсткие ограничения снижают эффективность медицинской помощи, слишком мягкие — создают уязвимости.
Часть 4. Интегрированная система управления: ИБ, качество и ВКК в единой логике
Российские МО традиционно воспринимают ИБ и управление качеством как два независимых направления деятельности: первое — «для ИТ-службы», второе — «для службы качества». Это ошибочная организационная модель, которая ведёт к дублированию работ, конфликту требований и образованию зон ответственности, за которые никто не отвечает.
Международные стандарты, построенные по единой High Level Structure (HLS), изначально разработаны с расчётом на интеграцию. ИСО 9001 (СМК), ИСО/МЭК 27001 (СМИБ), ИСО 7101:2023 (СМК медицинских организаций), ИСО/МЭК 42001:2023 (управление ИИ) — все используют единый управленческий цикл PDCA, единую структуру разделов и единый подход к управлению рисками. Это не случайность: ИСО целенаправленно выстраивает семейство стандартов как интегрируемую систему.
| Элемент системы | ИСО/МЭК 27001 (СМИБ) | ИСО 7101:2023 (СМК МО) | Приказ № 785н (ВКК) |
|---|---|---|---|
| Управление рисками | Оценка рисков ИБ (угрозы, уязвимости, активы) | Управление рисками для безопасности пациентов | Выявление нежелательных событий, управление инцидентами |
| Управление доступом | Контроль доступа к информационным системам (мера A.5–A.8) | Управление доступом к медицинской информации с позиций качества помощи | Не регулирует напрямую, но инциденты доступа — предмет ВКК |
| Инциденты | Управление инцидентами ИБ: фиксация, расследование, устранение | Управление нежелательными событиями; сообщение о нежелательных событиях как элемент безопасности пациентов | Комиссия по разбору нежелательных событий; CAPA |
| Документация | Политика ИБ, Реестр рисков, Заявление о применимости, процедуры | Документированные процессы жизненного цикла медицинских услуг | Регламенты и журналы ВКК, план внутренних аудитов |
| Внутренний аудит | Аудит СМИБ по ИСО/МЭК 27007 | Внутренний аудит СМК | Плановые и внеплановые проверки ВКК |
| Анализ со стороны руководства | Обязательный элемент СМИБ; результаты — решения об улучшении | Анализ со стороны высшего руководства по СМК | Отчёты ВКК руководству МО |
Практический вывод: значительная часть управленческой работы по ИБ, качеству и ВКК пересекается по содержанию. Построение трёх независимых систем с тремя независимыми наборами документов и тремя независимыми аудитами — это избыточные затраты. Интегрированная система менеджмента (ИСМ), охватывающая ИБ, качество и ВКК в едином управленческом цикле, даёт значительный эффект: единый реестр рисков, единый цикл внутреннего аудита, единый анализ со стороны руководства.
Часть 5. Разработка ИТ-стратегии медицинской организации: от аудита к программе действий
ИТ-стратегия МО — это не список закупаемых систем. Это управленческий документ, который описывает, как информационные технологии и управление ИБ поддерживают стратегические цели МО, выполнение нормативных требований и обеспечение качества медицинской помощи. Разработка стратегии начинается с аудита текущего состояния.
Алгоритм разработки ИТ-стратегии
Аудит текущего состояния ИТ и ИБ
Первый шаг — понять, где организация находится сейчас. Аудит охватывает пять направлений. Во-первых, инвентаризация ИТ-активов: все системы, сети, устройства, включая медицинское оборудование с сетевыми интерфейсами. Во-вторых, оценка соответствия нормативным требованиям: чек-лист по 152-ФЗ, ЕГИСЗ, 187-ФЗ. В-третьих, инвентаризация угроз: актуальные угрозы для конкретного типа МО (программы-вымогатели, утечки ПДн, атаки на веб-интерфейсы МИС). В-четвёртых, оценка уровня зрелости процессов ИБ: есть ли политика ИБ, работает ли она, понимает ли её персонал. В-пятых, выявление критических зависимостей: от каких ИТ-систем зависит оказание медицинской помощи в режиме реального времени.
Оценка рисков: информационные активы и угрозы МО
На основе результатов аудита проводится оценка рисков по методологии ИСО/МЭК 27005:2022 (или аналогичной) с учётом отраслевой специфики ИСО 27799:2016. Для каждого значимого актива (МИС, ПАКС, ЛИС, ЕГИСЗ-интеграция, медицинские устройства) определяются угрозы, уязвимости, вероятность реализации и возможный ущерб — как для ИБ, так и для безопасности пациентов.
Критически важный принцип здравоохранения, сформулированный в ИСО 27799:2016: меры ИБ должны быть откалиброваны с учётом последствий для клинической деятельности. Полная блокировка доступа к МИС в случае инцидента может быть опаснее самого инцидента.
Разработка политики ИБ и Заявления о применимости
Политика ИБ — фундаментальный управленческий документ, который закрепляет цели, принципы и обязательства МО в области информационной безопасности. Заявление о применимости (Statement of Applicability, SoA) — документ, в котором для каждого из 93 контролей ИСО/МЭК 27001:2022 обосновывается включение или исключение и описан способ реализации. Эти документы одновременно выполняют нормативную функцию (демонстрация выполнения требований регуляторам) и управленческую (фиксация принятых решений в области ИБ).
Определение целевой архитектуры ИТ и ИБ
На основе результатов аудита и оценки рисков определяется целевое состояние ИТ-инфраструктуры и системы защиты информации. Для государственных МО здесь принципиально важен вопрос импортозамещения: с 2025 года требования к переходу на отечественное ПО на объектах КИИ существенно ужесточились. Переход требует планирования: замена МИС, смена операционных систем, миграция с иностранных СУБД — сложные, длительные и дорогостоящие проекты.
Разработка программы мероприятий с приоритетами и бюджетом
Стратегия без программы мероприятий — декларация о намерениях. Программа строится по трём горизонтам: краткосрочные мероприятия (до 6 месяцев) — устранение критических уязвимостей, выполнение обязательных нормативных требований; среднесрочные (6–18 месяцев) — выстраивание системы управления ИБ, обучение персонала, модернизация ключевых систем; долгосрочные (18+ месяцев) — импортозамещение, построение интегрированной системы менеджмента, возможная сертификация по ИСО/МЭК 27001.
Согласование стратегии с руководством и встраивание в СМК
ИТ-стратегия должна быть утверждена высшим руководством МО — это не технический документ, а управленческий. Требования ИСО/МЭК 27001:2022 и 187-ФЗ прямо предусматривают демонстрацию лидерства со стороны высшего руководства в вопросах ИБ. Без этого стратегия останется документом ИТ-службы без реального влияния на деятельность МО.
Типичные разрывы: что выявляет аудит ИБ в МО
На основе практики работы с медицинскими организациями можно выделить несколько паттернов, которые встречаются систематически. Это обобщённые наблюдения.
Документы без системы
Политика ИБ и инструкции пользователей есть, но они разработаны под проверку и не используются в реальной работе. Персонал не знает о них. Отсутствует механизм ознакомления и контроля исполнения.
Проблема привилегированного доступа
Права администратора у слишком широкого круга сотрудников. Общие учётные записи для нескольких пользователей. Отсутствие процедуры отзыва доступа при увольнении. Это стабильно выявляемая уязвимость в МО независимо от размера.
Резервное копирование без проверки
Резервные копии создаются, но их восстановление не тестируется. При атаке программы-вымогателя выясняется, что резервные копии либо устарели, либо повреждены, либо зашифрованы вместе с основными данными.
Неуправляемые личные устройства
Медицинский персонал использует личные смартфоны для работы с МИС, просмотра медицинских изображений, мессенджеров с данными пациентов. Политика использования личных устройств (BYOD) отсутствует или не выполняется.
Вопросы и ответы
Обязана ли частная МО выполнять требования 187-ФЗ о КИИ?
Да, если она является российским юридическим лицом, которому принадлежат информационные системы, функционирующие в сфере здравоохранения — а это условие выполняется для любой МО с лицензией и собственной МИС. При этом требования зависят от результата категорирования: если объектам КИИ не присвоена категория значимости, объём требований минимальный. Значимые объекты КИИ (категории 1, 2 или 3) подпадают под полный объём требований Приказа ФСТЭК № 239. Первый шаг — провести категорирование.
Что изменилось в 187-ФЗ с 1 сентября 2025 года?
Принятый в марте 2025 года закон (вступил в силу 01.09.2025) расширил полномочия государственных органов в части формирования отраслевых перечней типовых объектов КИИ — для здравоохранения такой перечень утверждён. Усилены требования к переходу на отечественное ПО и аппаратные комплексы на значимых объектах КИИ. Субъекты КИИ обязаны руководствоваться общим порядком категорирования (ПП № 127) до утверждения отраслевых особенностей.
Нужна ли сертификация по ИСО/МЭК 27001 для МО в России?
Нет, она не является обязательной. Применение стандарта добровольное. Однако ИСО/МЭК 27001 даёт структуру, которая помогает системно выполнить обязательные российские требования (152-ФЗ, ФСТЭК, 187-ФЗ) без создания трёх независимых документных систем. Для частных МО сертификация может быть конкурентным преимуществом при работе со страховщиками, корпоративными клиентами и при участии в международных программах. Для государственных МО сертификация менее актуальна; важнее выстроить систему управления, соответствующую российским обязательным требованиям.
Как совместить требования по ИБ с требованиями ВКК и СМК?
Именно для этого нужна интегрированная система менеджмента. Практический первый шаг: при разработке очередного цикла документации ВКК включить в него управление инцидентами ИБ как особую категорию нежелательных событий. При разработке плана внутренних аудитов включить аудиты ИБ как отдельный раздел. При анализе со стороны руководства рассматривать результаты ИБ-мониторинга наряду с показателями качества медицинской помощи. Это даёт синергию без создания отдельных управленческих структур.
Как мы помогаем
🔍 Аудит ИБ и соответствия требованиям
Проводим комплексный аудит состояния ИБ МО: инвентаризация активов, проверка соответствия 152-ФЗ / ЕГИСЗ / 187-ФЗ, оценка рисков. Результат — матрица рисков и приоритизированный план мероприятий.
- Аудит по трём регуляторным контурам
- Оценка рисков ИБ по ИСО/МЭК 27005
- Приоритизация по критичности и срочности
📋 Разработка СМИБ
Разрабатываем систему менеджмента информационной безопасности на основе ИСО/МЭК 27001:2022 с учётом отраслевой специфики ИСО 27799:2016. Документация создаётся под реальную деятельность МО, а не под «проверку».
- Политика ИБ и Заявление о применимости
- Процедуры управления инцидентами и доступом
- Реестр рисков и программа мероприятий
🗺 Разработка ИТ-стратегии
Разрабатываем ИТ-стратегию МО, интегрированную с планом развития и требованиями нормативной базы. Стратегия включает план импортозамещения, дорожную карту развития ИТ-инфраструктуры и систему управления ИБ.
- Целевая архитектура ИТ и ИБ
- Трёхгоризонтная программа мероприятий
- Согласование с руководством МО
🔗 Интеграция СМИБ, СМК и ВКК
Помогаем встроить управление ИБ в существующую систему менеджмента МО — без создания параллельных структур. Работаем совместно со службами качества и ИТ-специалистами.
- Единый реестр рисков
- Интегрированный план аудитов
- Анализ со стороны руководства
Готовы системно разобраться с ИБ и ИТ-стратегией вашей МО?
Нормативные требования к ИБ в здравоохранении усложняются. Три регуляторных контура — 152-ФЗ, ЕГИСЗ, 187-ФЗ — требуют согласованного подхода. Первый шаг — аудит текущего состояния: он занимает несколько недель и даёт полную картину того, что нужно делать в первую очередь. Свяжитесь с нами — разберём вашу ситуацию бесплатно.
Связаться с экспертами
📱 Телефон / WhatsApp / Telegram: +7 920-898-17-18
📧 Email: reestrgarant@mail.ru
Работаем с медицинскими организациями по всей России. Консультируем онлайн и очно.
Международная сертификация, экспорт, ISO