Информационная безопасность и комплексное управление ИТ в медицинской организации: стандарты, интегрированный подход и стратегия развития

Медицинская информация — одна из наиболее чувствительных категорий данных о человеке. Она затрагивает здоровье, личную жизнь и финансовую историю пациента одновременно. При этом российские МО работают в условиях нарастающего регуляторного давления: требования к защите персональных данных ужесточились, обязательства по ЕГИСЗ расширились, законодательство о КИИ претерпело существенные изменения с 1 сентября 2025 года. Параллельно растут угрозы — здравоохранение стабильно входит в число наиболее атакуемых отраслей.

Главное, что должен вынести читатель: этот материал даёт руководству и специалистам МО системное понимание нормативной среды, международных стандартов и практики их применения, а также показывает, как управление ИБ и ИТ-инфраструктурой встраивается в общую систему менеджмента качества медицинской организации.

📌 Для кого этот материал

Для четырёх ключевых групп. Высшему руководству — чтобы понять управленческую и правовую значимость темы и принять осознанные решения о стратегии. ИТ-службам — чтобы видеть место технических решений в нормативном и управленческом контексте. Руководителям подразделений — чтобы понимать, как требования ИБ касаются их процессов. Службам качества — чтобы встроить управление информационной безопасностью в существующую СМК и ВКК.

⚠️ О достоверности

Все нормативные ссылки и факты о стандартах проверены по официальным источникам: мы сверяли тексты федеральных законов, поднимали нормативные акты ФСТЭК, ФСБ и Минздрава, читали официальный сайт ISO. Данные актуальны на начало 2026 года. Там, где приводится авторская интерпретация практики, это явно обозначено.

Часть 1. Российская нормативная база: обязательный контур ИБ для МО

Информационная безопасность медицинской организации в России регулируется несколькими взаимосвязанными блоками законодательства. Понимание их логики важнее, чем механическое перечисление реквизитов.

1.1. Три уровня обязательных требований

🔐

Уровень 1: Защита персональных данных

Медицинские данные — специальная категория персональных данных (ст. 10 152-ФЗ). Это наиболее жёстко регулируемая категория. Любая МО, обрабатывающая сведения о состоянии здоровья пациентов, является оператором персональных данных и несёт весь объём обязательств по 152-ФЗ. Постановление Правительства № 1119 устанавливает, что ИСПДн, обрабатывающие медицинские данные, должны обеспечивать не ниже 3-го уровня защищённости. Приказ ФСТЭК № 21 определяет конкретные организационные и технические меры защиты для таких систем. Приказ ФСБ № 378 устанавливает требования к криптографической защите информации. Актуализация: с 30 мая 2025 года действуют оборотные штрафы за повторную утечку персональных данных — для организаций это 1–3% годовой выручки (ст. 13.11 КоАП РФ), что кардинально меняет цену ошибки в этом контуре.

🏥

Уровень 2: Требования ЕГИСЗ

МО, подключённые к ЕГИСЗ (а к ней обязаны подключиться все МО, в том числе частные), должны выполнять требования ИБ, установленные для ГИС субъекта РФ. Нормативная база: 323-ФЗ (ст. 91.1), Постановление Правительства № 555, Приказ ФСТЭК № 17. Способ подключения к ЕГИСЗ (через РМИС региона, через аттестованного облачного оператора или напрямую) определяет объём требований, которые ложатся непосредственно на МО. При подключении через РМИС часть ответственности несёт оператор системы; при прямом подключении — в полном объёме МО.

Уровень 3: КИИ (критическая информационная инфраструктура)

187-ФЗ «О безопасности КИИ» прямо относит здравоохранение к сферам КИИ. Это означает, что любая МО, имеющая в своём владении информационные системы, функционирующие в сфере здравоохранения, является субъектом КИИ. С 1 сентября 2025 года вступили в силу обновлённые требования (Госдума приняла законопроект в третьем чтении 25 марта 2025 года, президент подписал его как Федеральный закон № 58-ФЗ от 7 апреля 2025 года). Для значимых объектов КИИ действуют требования Приказа ФСТЭК № 239. Ключевое изменение: отраслевой перечень типовых объектов КИИ для здравоохранения утверждён распоряжением Правительства РФ от 26 февраля 2026 года № 360-р — из почти 400 позиций общего перечня 12 относятся непосредственно к сфере здравоохранения (МИС, РМИС, ГИСЗ субъектов РФ, системы управления медоборудованием).

Нормативный акт Регулятор Ключевые требования для МО
152-ФЗ «О персональных данных» Роскомнадзор Обеспечение защиты ПДн пациентов и персонала; уведомление об утечках; соответствие уровню защищённости
ПП РФ № 1119 Правительство РФ Классификация ИСПДн и определение уровня защищённости: для медицинских данных — не ниже УЗ-3
Приказ ФСТЭК № 21 ФСТЭК России Организационные и технические меры защиты в ИСПДн: управление доступом, аудит, антивирусная защита, защита от НСД, обнаружение вторжений и другие
Приказ ФСБ № 378 ФСБ России Требования к использованию криптографических средств защиты информации при обработке ПДн
149-ФЗ «Об информации, информационных технологиях и о защите информации» Минцифры / ФСТЭК Общая рамка для защиты информации в ГИС; для МО, взаимодействующих с ЕГИСЗ, — применяются требования к защите ГИС
Приказ ФСТЭК № 17 ФСТЭК России Требования по защите информации, содержащейся в ГИС; применяется к ГИСЗ субъектов РФ, с которыми взаимодействует МО
187-ФЗ «О безопасности КИИ» (ред. от 01.09.2025) ФСТЭК России, ФСБ России Обязанность категорирования объектов КИИ; для значимых объектов — создание системы защиты по Приказу ФСТЭК № 239; переход на отечественное ПО
Приказ ФСТЭК № 239 ФСТЭК России Требования по обеспечению безопасности значимых объектов КИИ; четыре блока мер: организационные, технические, поддерживающие, оценочные
Приказ Минздрава № 911н Минздрав России Требования к МИС и порядку взаимодействия с ЕГИСЗ; смежный с ИБ документ в части обеспечения целостности и достоверности медицинских данных

📎 Практический вывод по нормативной базе

Большинство МО одновременно являются операторами ПДн, участниками ЕГИСЗ и субъектами КИИ. Это означает пересечение трёх регуляторных контуров с разными регуляторами (Роскомнадзор, ФСТЭК, ФСБ), разными системами проверок и разными последствиями за нарушения. Выстраивать ИБ «под один закон» — методологически неверно. Нужна единая система, охватывающая все три контура и управляемая из одной точки.

Часть 2. Международные стандарты: добровольный контур с управленческой ценностью

Российская нормативная база определяет минимальные обязательные требования — «нижнюю границу» соответствия. Международные стандарты ИБ помогают выстроить систему управления, а не просто «закрыть» регуляторные требования. Разница существенная: соответствие требованиям можно сымитировать документами; система управления — работает или не работает.

Стандарт Назначение Применимость к МО
ИСО/МЭК 27001:2022 «СМИБ. Требования» Первый сертифицируемый международный стандарт на систему менеджмента информационной безопасности. Третье издание опубликовано 25 октября 2022 года. Построен по единой структуре стандартов ИСО на системы менеджмента (Harmonized Structure — так она официально называется с 2021 года; как ИСО 9001, ИСО 14001), что обеспечивает интеграцию с другими системами менеджмента. Охватывает 93 меры безопасности в 4 тематических блоках Универсальный стандарт для любой организации, обрабатывающей чувствительную информацию. Для МО — базовая рамка для управления ИБ, интегрируемая с СМК по ИСО 9001 и ИСО 7101:2023
ИСО/МЭК 27002:2022 «Меры обеспечения информационной безопасности» Практическое руководство по выбору и реализации мер ИБ. Сопутствующий документ к ИСО/МЭК 27001. Содержит детальные рекомендации по каждому из 93 контролей Практический инструмент для ИТ-служб и специалистов ИБ: что именно делать для выполнения каждого требования
ИСО 27799:2025 «Информационная безопасность в здравоохранении» Отраслевое руководство по применению ИСО/МЭК 27002 в здравоохранении. Третье издание отменяет и заменяет версию 2016 года (а также смежный ИСО/TS 14441:2013), приведено в соответствие со структурой ИСО/МЭК 27002:2022. Технологически нейтральный документ, охват расширен на программное обеспечение медицинских изделий. Вместе с ИСО/МЭК 27002 формирует полное описание требований к ИБ в здравоохранении: первый отвечает «что», второй — «как» Специализированная «медицинская линза» для ИСО/МЭК 27001/27002. Учитывает специфику здравоохранения: конфиденциальность медицинских записей, клиническая целостность данных, непрерывность доступа при угрозах жизни пациента, телемедицина, медицинские изображения
ИСО/МЭК 27005:2022 «Управление рисками ИБ» Обновлено в 2022 году. Методология оценки и обработки рисков ИБ, основанная на ИСО 31000. Описывает процесс идентификации активов, угроз, уязвимостей и оценки вероятности и последствий реализации рисков Методологическая основа для формирования Реестра рисков ИБ МО; обязательна для корректного выполнения требований ИСО/МЭК 27001
ИСО/МЭК 27701:2019 «Расширение СМИБ для управления конфиденциальностью» Расширение ИСО/МЭК 27001/27002 для управления персональными данными и конфиденциальностью. Учитывает требования GDPR и аналогичных регуляций Полезен МО для системного управления защитой ПДн пациентов в рамках СМИБ, не создавая отдельной структуры

📎 Логика применения стандартов

ИСО/МЭК 27001:2022 — сертифицируемый стандарт на систему управления. ИСО/МЭК 27002:2022 — практическое руководство по реализации мер. ИСО 27799:2025 — отраслевая адаптация 27002 для здравоохранения. ИСО/МЭК 27005:2022 — методология оценки рисков. Применяются совместно: 27001 задаёт структуру, 27002 и 27799 — конкретные меры, 27005 — процесс управления рисками. Российские требования (152-ФЗ, КИИ) и международные стандарты не противоречат, а дополняют друг друга — при правильной архитектуре системы. Здесь есть нюанс, о котором часто забывают: национальный ГОСТ Р ИСО/МЭК 27001-2021 (приказ Росстандарта № 1653-ст) идентичен международной редакции 2013 года, а не 2022-й — при выборе схемы сертификации в России это стоит уточнять отдельно, до подписания договора с органом по сертификации.

Часть 3. Специфика ИБ в здравоохранении: почему стандартный подход недостаточен

Здравоохранение — не «просто ещё одна отрасль» для целей информационной безопасности. У него есть несколько принципиальных особенностей, которые определяют как характер угроз, так и требования к мерам защиты.

💊

Недоступность данных = угроза жизни

В большинстве отраслей недоступность данных — это операционный или финансовый ущерб. В здравоохранении отсутствие доступа к истории болезни, результатам анализов или назначениям может привести к ошибке в лечении. ИСО 27799:2025 явно указывает: в здравоохранении доступность данных имеет критическое значение, и меры ИБ не должны блокировать экстренный доступ к клинической информации даже при инциденте безопасности.

🎯

Медицинские данные — высокоценная цель

По данным исследований российских компаний в области ИБ, в структуре похищенных данных при атаках на здравоохранение персональные данные пациентов и медицинская информация занимают лидирующие позиции. Медицинская запись на чёрном рынке стоит существенно дороже, чем данные банковской карты — в ней содержатся идентифицирующие данные, история заболеваний, страховые сведения. Это устойчиво привлекает злоумышленников.

🔗

Сложная инфраструктура с медицинскими устройствами

Парк техники МО выходит далеко за пределы компьютеров и серверов: сюда входят МРТ-аппараты с сетевыми интерфейсами, инфузионные помпы, мониторы пациентов, системы PACS, медицинские изделия с ИИ. Многие из них работают на устаревших ОС, имеют фиксированный жизненный цикл без возможности обновления. Управление безопасностью таких устройств принципиально отличается от управления корпоративными ИС.

👨‍⚕️

Персонал не является ИБ-специалистами

Медицинский персонал — профессионалы в клинической области, но не в информационной безопасности. При этом именно они являются основными пользователями систем, обрабатывающих медицинские данные. Баланс между удобством работы и требованиями ИБ — критическая управленческая задача: слишком жёсткие ограничения снижают эффективность медицинской помощи, слишком мягкие — создают уязвимости.

Часть 4. Интегрированная система управления: ИБ, качество и ВКК в единой логике

Российские МО традиционно воспринимают ИБ и управление качеством как два независимых направления деятельности: первое — «для ИТ-службы», второе — «для службы качества». Это ошибочная организационная модель, которая ведёт к дублированию работ, конфликту требований и образованию зон ответственности, за которые никто не отвечает.

Международные стандарты, построенные по единой Harmonized Structure, изначально разработаны с расчётом на интеграцию. ИСО 9001 (СМК), ИСО/МЭК 27001 (СМИБ), ИСО 7101:2023 (СМК медицинских организаций), ИСО/МЭК 42001:2023 (управление ИИ) — все используют единый управленческий цикл PDCA, единую структуру разделов и единый подход к управлению рисками. Тот же принцип лежит в основе оценки цифровой зрелости по ИСО/МЭК 38503 и EFQM — это ещё один инструмент для того же интегрированного взгляда, но со стороны управления ИТ в целом, а не только ИБ. Это не случайность: ИСО целенаправленно выстраивает семейство стандартов как интегрируемую систему.

Элемент системы ИСО/МЭК 27001 (СМИБ) ИСО 7101:2023 (СМК МО) Приказ № 785н (ВКК)
Управление рисками Оценка рисков ИБ (угрозы, уязвимости, активы) Управление рисками для безопасности пациентов Выявление нежелательных событий, управление инцидентами
Управление доступом Контроль доступа к информационным системам (мера A.5–A.8) Управление доступом к медицинской информации с позиций качества помощи Не регулирует напрямую, но инциденты доступа — предмет ВКК
Инциденты Управление инцидентами ИБ: фиксация, расследование, устранение Управление нежелательными событиями; сообщение о нежелательных событиях как элемент безопасности пациентов Комиссия по разбору нежелательных событий; CAPA
Документация Политика ИБ, Реестр рисков, Заявление о применимости, процедуры Документированные процессы жизненного цикла медицинских услуг Регламенты и журналы ВКК, план внутренних аудитов
Внутренний аудит Аудит СМИБ по ИСО/МЭК 27007 Внутренний аудит СМК Плановые и внеплановые проверки ВКК
Анализ со стороны руководства Обязательный элемент СМИБ; результаты — решения об улучшении Анализ со стороны высшего руководства по СМК Отчёты ВКК руководству МО

Практический вывод: значительная часть управленческой работы по ИБ, качеству и ВКК пересекается по содержанию. Построение трёх независимых систем с тремя независимыми наборами документов и тремя независимыми аудитами — это избыточные затраты. Интегрированная система менеджмента (ИСМ), охватывающая ИБ, качество и ВКК в едином управленческом цикле, даёт значительный эффект: единый реестр рисков, единый цикл внутреннего аудита, единый анализ со стороны руководства.

Часть 5. Разработка ИТ-стратегии медицинской организации: от аудита к программе действий

ИТ-стратегия МО — это не список закупаемых систем. Это управленческий документ, который описывает, как информационные технологии и управление ИБ поддерживают стратегические цели МО, выполнение нормативных требований и обеспечение качества медицинской помощи. Разработка стратегии начинается с аудита текущего состояния.

Алгоритм разработки ИТ-стратегии

1

Аудит текущего состояния ИТ и ИБ

Первый шаг — понять, где организация находится сейчас. Аудит охватывает пять направлений. Во-первых, инвентаризация ИТ-активов: все системы, сети, устройства, включая медицинское оборудование с сетевыми интерфейсами. Во-вторых, оценка соответствия нормативным требованиям: чек-лист по 152-ФЗ, ЕГИСЗ, 187-ФЗ. В-третьих, инвентаризация угроз: актуальные угрозы для конкретного типа МО (программы-вымогатели, утечки ПДн, атаки на веб-интерфейсы МИС). В-четвёртых, оценка уровня зрелости процессов ИБ: есть ли политика ИБ, работает ли она, понимает ли её персонал. В-пятых, выявление критических зависимостей: от каких ИТ-систем зависит оказание медицинской помощи в режиме реального времени.

2

Оценка рисков: информационные активы и угрозы МО

На основе результатов аудита проводится оценка рисков по методологии ИСО/МЭК 27005:2022 (или аналогичной) с учётом отраслевой специфики ИСО 27799:2025. Для каждого значимого актива (МИС, ПАКС, ЛИС, ЕГИСЗ-интеграция, медицинские устройства) определяются угрозы, уязвимости, вероятность реализации и возможный ущерб — как для ИБ, так и для безопасности пациентов.

Критически важный принцип здравоохранения, сформулированный в ИСО 27799:2025: меры ИБ должны быть откалиброваны с учётом последствий для клинической деятельности. Полная блокировка доступа к МИС в случае инцидента может быть опаснее самого инцидента.

3

Разработка политики ИБ и Заявления о применимости

Политика ИБ — фундаментальный управленческий документ, который закрепляет цели, принципы и обязательства МО в области информационной безопасности. Заявление о применимости (Statement of Applicability, SoA) — документ, в котором для каждого из 93 контролей ИСО/МЭК 27001:2022 обосновывается включение или исключение и описан способ реализации. Эти документы одновременно выполняют нормативную функцию (демонстрация выполнения требований регуляторам) и управленческую (фиксация принятых решений в области ИБ).

4

Определение целевой архитектуры ИТ и ИБ

На основе результатов аудита и оценки рисков определяется целевое состояние ИТ-инфраструктуры и системы защиты информации. Для государственных МО здесь принципиально важен вопрос импортозамещения: с 2025 года требования к переходу на отечественное ПО на объектах КИИ существенно ужесточились. Переход требует планирования: замена МИС, смена операционных систем, миграция с иностранных СУБД — сложные, длительные и дорогостоящие проекты. При выборе конкретных технических решений для значимых объектов КИИ стоит опираться и на критерии оценки безопасности ИТ по ИСО/МЭК 15408 (Common Criteria) — это отдельная система оценки конкретных программно-технических средств, а не организации в целом.

5

Разработка программы мероприятий с приоритетами и бюджетом

Стратегия без программы мероприятий — декларация о намерениях. Программа строится по трём горизонтам: краткосрочные мероприятия (до 6 месяцев) — устранение критических уязвимостей, выполнение обязательных нормативных требований; среднесрочные (6–18 месяцев) — выстраивание системы управления ИБ, обучение персонала, модернизация ключевых систем; долгосрочные (18+ месяцев) — импортозамещение, построение интегрированной системы менеджмента, возможная сертификация по ИСО/МЭК 27001.

6

Согласование стратегии с руководством и встраивание в СМК

ИТ-стратегия должна быть утверждена высшим руководством МО — это не технический документ, а управленческий. Требования ИСО/МЭК 27001:2022 и 187-ФЗ прямо предусматривают демонстрацию лидерства со стороны высшего руководства в вопросах ИБ. Без этого стратегия останется документом ИТ-службы без реального влияния на деятельность МО.

Типичные разрывы: что выявляет аудит ИБ в МО

На основе практики работы с медицинскими организациями можно выделить несколько паттернов, которые встречаются систематически. Это обобщённые наблюдения.

📄
Документы без системы

Политика ИБ и инструкции пользователей есть, но они разработаны под проверку и не используются в реальной работе. Персонал не знает о них. Отсутствует механизм ознакомления и контроля исполнения.

🔑
Проблема привилегированного доступа

Права администратора у слишком широкого круга сотрудников. Общие учётные записи для нескольких пользователей. Отсутствие процедуры отзыва доступа при увольнении. Это стабильно выявляемая уязвимость в МО независимо от размера.

💾
Резервное копирование без проверки

Резервные копии создаются, но их восстановление не тестируется. При атаке программы-вымогателя выясняется, что резервные копии либо устарели, либо повреждены, либо зашифрованы вместе с основными данными.

📱
Неуправляемые личные устройства

Медицинский персонал использует личные смартфоны для работы с МИС, просмотра медицинских изображений, мессенджеров с данными пациентов. Политика использования личных устройств (BYOD) отсутствует или не выполняется.

Вопросы и ответы

?

Обязана ли частная МО выполнять требования 187-ФЗ о КИИ?

Да, если она является российским юридическим лицом, которому принадлежат информационные системы, функционирующие в сфере здравоохранения — а это условие выполняется для любой МО с лицензией и собственной МИС. При этом требования зависят от результата категорирования: если объектам КИИ не присвоена категория значимости, объём требований минимальный. Значимые объекты КИИ (категории 1, 2 или 3) подпадают под полный объём требований Приказа ФСТЭК № 239. Первый шаг — провести категорирование.

?

Что изменилось в 187-ФЗ с 1 сентября 2025 года?

Принятый в марте 2025 года и подписанный как Федеральный закон № 58-ФЗ (вступил в силу 01.09.2025) расширил полномочия государственных органов в части формирования отраслевых перечней типовых объектов КИИ. Для здравоохранения такой перечень уже утверждён распоряжением Правительства РФ от 26.02.2026 № 360-р (12 позиций из общего списка почти в 400). Усилены требования к переходу на отечественное ПО и аппаратные комплексы на значимых объектах КИИ. Общий порядок категорирования по-прежнему определяет постановление Правительства № 127, дополненное в ноябре 2025 года постановлением № 1762.

?

Нужна ли сертификация по ИСО/МЭК 27001 для МО в России?

Нет, она не является обязательной. Применение стандарта добровольное. Однако ИСО/МЭК 27001 даёт структуру, которая помогает системно выполнить обязательные российские требования (152-ФЗ, ФСТЭК, 187-ФЗ) без создания трёх независимых документных систем. Для частных МО сертификация может быть конкурентным преимуществом при работе со страховщиками, корпоративными клиентами и при участии в международных программах. Для государственных МО сертификация менее актуальна; важнее выстроить систему управления, соответствующую российским обязательным требованиям.

?

Как совместить требования по ИБ с требованиями ВКК и СМК?

Именно для этого нужна интегрированная система менеджмента. Практический первый шаг: при разработке очередного цикла документации ВКК включить в него управление инцидентами ИБ как особую категорию нежелательных событий. При разработке плана внутренних аудитов включить аудиты ИБ как отдельный раздел. При анализе со стороны руководства рассматривать результаты ИБ-мониторинга наряду с показателями качества медицинской помощи. Это даёт синергию без создания отдельных управленческих структур.

Как мы помогаем

🔍 Аудит ИБ и соответствия требованиям

Проводим комплексный аудит состояния ИБ МО: инвентаризация активов, проверка соответствия 152-ФЗ / ЕГИСЗ / 187-ФЗ, оценка рисков. Результат — матрица рисков и приоритизированный план мероприятий.

  • Аудит по трём регуляторным контурам
  • Оценка рисков ИБ по ИСО/МЭК 27005
  • Приоритизация по критичности и срочности

📋 Разработка СМИБ

Разрабатываем систему менеджмента информационной безопасности на основе ИСО/МЭК 27001:2022 с учётом отраслевой специфики ИСО 27799:2025. Документация создаётся под реальную деятельность МО, а не под «проверку».

  • Политика ИБ и Заявление о применимости
  • Процедуры управления инцидентами и доступом
  • Реестр рисков и программа мероприятий

🗺 Разработка ИТ-стратегии

Разрабатываем ИТ-стратегию МО, интегрированную с планом развития и требованиями нормативной базы. Стратегия включает план импортозамещения, дорожную карту развития ИТ-инфраструктуры и систему управления ИБ.

  • Целевая архитектура ИТ и ИБ
  • Трёхгоризонтная программа мероприятий
  • Согласование с руководством МО

🔗 Интеграция СМИБ, СМК и ВКК

Помогаем встроить управление ИБ в существующую систему менеджмента МО — без создания параллельных структур. Работаем совместно со службами качества и ИТ-специалистами.

  • Единый реестр рисков
  • Интегрированный план аудитов
  • Анализ со стороны руководства

Готовы системно разобраться с ИБ и ИТ-стратегией вашей МО?

Нормативные требования к ИБ в здравоохранении усложняются. Три регуляторных контура — 152-ФЗ, ЕГИСЗ, 187-ФЗ — требуют согласованного подхода. Первый шаг — аудит текущего состояния: он занимает несколько недель и даёт полную картину того, что нужно делать в первую очередь. Свяжитесь с нами — разберём вашу ситуацию бесплатно.

Связаться с экспертами

📱 Телефон / WhatsApp / Telegram: +7 920-898-17-18

📧 Email: reestrgarant@mail.ru

Работаем с медицинскими организациями по всей России. Консультируем онлайн и очно.