Государственные медицинские организации
Перекатегорирование и обязательные меры по кибербезопасности в 2026 г.
Перекатегорирование и обязательные меры по кибербезопасности в 2026 г.
Аналитический центр «КИБЕРСИСТЕМА КОНСАЛТИНГ» Февраль 2026
Общий контекст и причины актуализации вопроса
В конце 2025 – начале 2026 года регулирование в области информационной безопасности, защиты персональных данных и устойчивости информационных систем перешло из формальной стадии в практическую и контрольную фазу.
В конце 2025 – начале 2026 года регулирование в области информационной безопасности, защиты персональных данных и устойчивости информационных систем перешло из формальной стадии в практическую и контрольную фазу.
Для государственных медицинских организаций это обусловлено совокупностью факторов:
- ростом числа инцидентов с утечками медицинских данных, в том числе через подрядчиков и облачные сервисы;
- активным использованием МИС, ЛИС, PACS, телемедицины и удалённого доступа медицинского персонала;
- расширением интеграций с государственными информационными системами (в первую очередь ЕГИСЗ);
- высокой зависимостью оказания медицинской помощи от доступности ИТ-систем;
- усилением персональной ответственности руководства за вопросы ИБ.
Государственный контроль и правоприменительная практика
В 2025–2026 гг. существенно усилился государственный контроль в сфере защиты персональных данных и безопасности КИИ.
Проверки носят системный характер и затрагивают как федеральные, так и региональные медицинские организации.
Практика надзорных органов (Роскомнадзор, ФСТЭК, прокуратура) показывает, что инциденты рассматриваются не как «технический сбой», а как следствие ненадлежащего управления рисками.
Повсеместно направляются требования о проведении категорирования или повторного категорирования объектов КИИ с указанием конкретных сроков исполнения.
Отдельное внимание уделяется фактической критичности ИТ-систем, даже если ранее они не были отнесены к объектам КИИ.
Практика надзорных органов (Роскомнадзор, ФСТЭК, прокуратура) показывает, что инциденты рассматриваются не как «технический сбой», а как следствие ненадлежащего управления рисками.
Повсеместно направляются требования о проведении категорирования или повторного категорирования объектов КИИ с указанием конкретных сроков исполнения.
Отдельное внимание уделяется фактической критичности ИТ-систем, даже если ранее они не были отнесены к объектам КИИ.
Нормативно-правовое основание (НПА)
Деятельность государственных медицинских организаций в части ИБ и ПДн опирается на совокупность требований:
Деятельность государственных медицинских организаций в части ИБ и ПДн опирается на совокупность требований:
– требования по выявлению, категорированию и защите значимых ИТ-систем;
– медицинские данные относятся к специальной категории ПДн и требуют повышенных мер защиты;
– медицинская тайна и ответственность за её нарушение;
– уточнённые правила категорирования объектов КИИ;
– требования к защите информации, моделям угроз, реагированию на инциденты;
– персональная ответственность руководства за организацию ИБ;
– перечень типовых объектов КИИ в сфере здравоохранения;
– методические рекомендации;
Почему государственные медицинские организации находятся в зоне повышенного внимания
Государственные медицинские организации характеризуются непрерывностью оказания медицинской помощи, обработкой больших массивов чувствительных персональных данных и высокой социальной значимостью.
Даже при отсутствии формального статуса КИИ, фактическая роль ИТ-систем (МИС, архивы, телемедицина, интеграции с ЕГИСЗ) может требовать:
Даже при отсутствии формального статуса КИИ, фактическая роль ИТ-систем (МИС, архивы, телемедицина, интеграции с ЕГИСЗ) может требовать:
- пересмотра категории КИИ;
- усиления мер защиты;
- изменения модели управления ИБ на уровне руководства.
Что обязательно необходимо сделать
Необходимо провести полную инвентаризацию ИТ-систем, определить их реальную роль в оказании медицинской помощи и исключить занижение категории «по инерции».
Особое внимание подлежит:
Особое внимание подлежит:
- МИС и архивам медицинских данных;
- интеграциям с ЕГИСЗ;
- телемедицине;
- удалённому доступу;
- системам резервного копирования.
На практике часто выявляется разрыв между заявленным уровнем защиты и фактической архитектурой ИТ.
Проверке подлежат:
Проверке подлежат:
- облачные сервисы;
- подрядчики и ИТ-аутсорсинг;
- архивы и резервные копии;
- обмен данными между системами.
Формальные документы без реальных процессов регуляторами более не воспринимаются как достаточные.
Требуется:
Требуется:
- актуальная модель угроз;
- отработанный процесс реагирования на инциденты;
- закрепление ответственности;
- управляемая модель принятия решений в сфере ИБ.
Ответственность и риски
В соответствии с Указом Президента РФ №250 ответственность за организацию ИБ лежит непосредственно
на руководстве медицинской организации и не может быть полностью делегирована ИТ-службе или подрядчикам.
При проверках и расследованиях оценивается:
на руководстве медицинской организации и не может быть полностью делегирована ИТ-службе или подрядчикам.
При проверках и расследованиях оценивается:
- были ли приняты обоснованные управленческие решения;
- соответствовала ли защита фактическим рискам;
- осуществлялся ли контроль подрядчиков;
- работали ли процессы реагирования на инциденты.
Инциденты в сфере ИБ могут повлечь административную и уголовную ответственность, включая:
а не техническую проблему.
- утечку персональных и медицинских данных;
- неправомерный доступ к информации;
- причинение существенного вреда пациентам или государству;
- эксплуатацию ИТ-систем с заведомыми нарушениями требований безопасности.
а не техническую проблему.
В 2026 году усиливается практика применения оборотных штрафов за нарушения ФЗ №152-ФЗ.
Для государственных медицинских организаций штрафы на практике составляют 5–15 млн рублей
за инцидент, а также сопровождаются предписаниями и повторными проверками.
Дополнительные риски включают остановку деятельности, репутационные потери и усиленный контроль со стороны регуляторов.
Для государственных медицинских организаций штрафы на практике составляют 5–15 млн рублей
за инцидент, а также сопровождаются предписаниями и повторными проверками.
Дополнительные риски включают остановку деятельности, репутационные потери и усиленный контроль со стороны регуляторов.
Оценка киберустойчивости
Кибресистема предоставляет специализированную услугу для оценки киберустойчивости компании перед слиянием или поглощением (M&A).
Данный аудит помогает инвесторам и понять реальный уровень защиты целевой компании и скрытые киберриски компании.
Данный аудит помогает инвесторам и понять реальный уровень защиты целевой компании и скрытые киберриски компании.
Анализ
Собственная Red team позволяет выполнять разноплановые и многоуровневые задачи по аудиту безопасности.
Мы предлагаем индивидуализированные сценарии в формате blackbox/whitebox,
с дополнением в виде физического пентеста, оценки периметра, OSINT-проверок и других форматов.
Мы предлагаем индивидуализированные сценарии в формате blackbox/whitebox,
с дополнением в виде физического пентеста, оценки периметра, OSINT-проверок и других форматов.
Аутсорсинг (virtual CISO)
Мы становимся вашей внешней службой управления ИТ, предоставляя опытного
ИТ Директора / CIO и его команду без необходимости нанимать собственный высококвалифицированный штат.
ИТ Директора / CIO и его команду без необходимости нанимать собственный высококвалифицированный штат.
Чем может помочь «Киберсистема»
«Киберсистема» оказывает комплексную поддержку государственным медицинским организациям:
- независимая оценка текущего состояния ИБ;
- корректное перекатегорирование ИТ-систем;
- приведение защиты ПДн и медицинской информации в соответствие требованиям законодательства;
- внедрение практических мер защиты без избыточных затрат;
- подготовка управленческих решений и документов, защищающих руководство;
- сопровождение проверок и взаимодействие с регуляторами.
Итоговый вывод
В 2026 году пересмотр кибербезопасности и перекатегорирование ИТ-систем для государственных медицинских организаций неизбежны.
Ключевой выбор для руководства — либо управляемый и заранее спланированный подход, либо реактивные действия под давлением проверок, штрафов и персональной ответственности.