Перекатегорирование
медицинских организаций
и обязательные меры
по кибербезопасности
в 2026 г.
медицинских организаций
и обязательные меры
по кибербезопасности
в 2026 г.
Аналитический центр «КИБЕРСИСТЕМА КОНСАЛТИНГ» Январь 2026
Общий контекст и причины актуализации вопроса
В конце 2025 – начале 2026 года регулирование в области информационной безопасности, защиты персональных данных и устойчивости информационных систем перешло из формальной стадии в практическую и контрольную фазу.
В конце 2025 – начале 2026 года регулирование в области информационной безопасности, защиты персональных данных и устойчивости информационных систем перешло из формальной стадии в практическую и контрольную фазу.
- ростом числа инцидентов с утечками медицинских данных;
- активным использованием МИС, телемедицины, удалённого доступа;
- расширением интеграций с государственными информационными системами (в т.ч. ЕГИСЗ);
- привлечением подрядчиков и ИТ-аутсорсинга;
- усилением персональной ответственности руководства за вопросы ИБ.
- фактическую роль ИТ-систем,
- последствия их отказа или компрометации,
- обоснованность управленческих решений.
Нормативно-правовое основание (НПА)
Деятельность медицинских организаций в части ИБ и ПДн опирается на совокупность требований:
Деятельность медицинских организаций в части ИБ и ПДн опирается на совокупность требований:
Почему медицинские организации
находятся в зоне повышенного внимания
находятся в зоне повышенного внимания
На практике медицинские организации характеризуются:
Даже при отсутствии формального статуса КИИ, фактическая роль ИТ-систем может требовать:
- непрерывностью оказания услуг (высокая критичность доступности ИТ);
- обработкой больших массивов чувствительных персональных данных;
- зависимостью от МИС, диагностических и архивных систем;
- наличием удалённого доступа медицинского персонала;
- использованием внешних подрядчиков и облачных сервисов.
Даже при отсутствии формального статуса КИИ, фактическая роль ИТ-систем может требовать:
- пересмотра категории,
- усиления мер защиты,
- изменения модели управления ИБ.
Что обязательно необходимо сделать медицинской организации
Необходимо:
Подробнее >
- провести инвентаризацию ИТ-систем и сервисов;
- определить их реальную роль в оказании медицинской помощи;
- проверить корректность ранее установленной категории;
- исключить занижение категории «по инерции».
- МИС и архивы медицинских данных;
- интеграции с ЕГИСЗ;
- телемедицина;
- удалённый доступ;
- системы резервного копирования.
Подробнее >
На практике часто выявляется разрыв между:
Проверке подлежат:
- заявленным уровнем защиты,
- фактической архитектурой ИТ.
Проверке подлежат:
- облачные сервисы;
- подрядчики и ИТ-аутсорсинг;
- архивы и резервные копии;
- обмен данными между системами.
Формальные документы без реальных процессов регуляторами более не воспринимаются как достаточные.
Требуется:
Требуется:
- актуальная модель угроз;
- понятный и отработанный процесс реагирования на инциденты;
- закрепление ответственности;
- управляемая модель принятия решений в сфере ИБ.
В соответствии с Указом Президента РФ №250, ответственность за организацию ИБ лежит непосредственно на руководстве медицинской организации и не может быть полностью делегирована ИТ-службе или подрядчикам.
При проверках и расследованиях оценивается:
При проверках и расследованиях оценивается:
- были ли приняты обоснованные управленческие решения;
- соответствовала ли защита фактическим рискам;
- осуществлялся ли контроль подрядчиков;
- работали ли процессы реагирования на инциденты.
Нормативно-правовое основание (НПА)
– требования по выявлению, категорированию и защите значимых ИТ-систем;
– медицинские данные относятся к специальной категории ПДн и требуют повышенных мер защиты;
– медицинская тайна и ответственность за её нарушение;
– уточнённые правила категорирования объектов КИИ;
– требования к защите информации, моделям угроз, реагированию на инциденты;
– персональная ответственность руководства за организацию ИБ;
– перечень типовых объектов КИИ в сфере здравоохранения;
– методические рекомендации;
– особенности категорирования объектов КИИ в сфере здравоохранения, данный документ на стадии проекта, должен быть утвержден до 1 апреля 2026 года.
Уголовная и административная ответственность
Административную ответственность:
Уголовную ответственность должностных лиц:
Современная практика рассматривает такие инциденты не как «технический сбой», а как следствие ненадлежащего управления рисками.
- штрафы
- предписания
- дисквалификация
Уголовную ответственность должностных лиц:
- при утечке персональных и медицинских данных;
- при неправомерном доступе к информации;
- при причинении существенного вреда пациентам, организации или государству;
- при эксплуатации ИТ-систем с заведомыми нарушениями требований безопасности.
Современная практика рассматривает такие инциденты не как «технический сбой», а как следствие ненадлежащего управления рисками.
Оборотные штрафы за нарушения законодательства о ПДн
В 2026 г усиливается практика применения оборотных штрафов за нарушения ФЗ №152-ФЗ.
Размер штрафов определяется с учётом:
Размер штрафов определяется с учётом:
- масштаба деятельности организации;
- объёма обрабатываемых персональных данных;
- характера и последствий инцидента.
Чем может помочь «Киберсистема»
- независимая оценка текущего состояния ИБ;
- корректное перекатегорирование ИТ-систем;
- приведение защиты ПДн и медицинской информации в соответствие требованиям законодательства;
- внедрение практических мер защиты без избыточных затрат;
- подготовка управленческих решений и документов, защищающих руководство;
- сопровождение проверок и взаимодействие с регуляторами.
- снижение регуляторных и персональных рисков;
- управляемость и предсказуемость ИБ;
- отсутствие кризисных ситуаций при проверках и инцидентах.
Оценка киберустойчивости
Кибресистема предоставляет специализированную услугу для оценки киберустойчивости компании перед слиянием или поглощением (M&A).
Данный аудит помогает инвесторам и понять реальный уровень защиты целевой компании и скрытые киберриски компании.
Данный аудит помогает инвесторам и понять реальный уровень защиты целевой компании и скрытые киберриски компании.
Анализ
Собственная Red team позволяет выполнять разноплановые и многоуровневые задачи по аудиту безопасности.
Мы предлагаем индивидуализированные сценарии в формате blackbox/whitebox,
с дополнением в виде физического пентеста, оценки периметра, OSINT-проверок и других форматов.
Мы предлагаем индивидуализированные сценарии в формате blackbox/whitebox,
с дополнением в виде физического пентеста, оценки периметра, OSINT-проверок и других форматов.
Аутсорсинг (virtual CISO)
Мы становимся вашей внешней службой управления ИТ, предоставляя опытного
ИТ Директора / CIO и его команду без необходимости нанимать собственный высококвалифицированный штат.
ИТ Директора / CIO и его команду без необходимости нанимать собственный высококвалифицированный штат.
Итоговый вывод
В 2026 г. перекатегорирование и пересмотр кибербезопасности для медицинских организаций неизбежны.
В 2026 г. перекатегорирование и пересмотр кибербезопасности для медицинских организаций неизбежны.
Ключевой выбор для руководства:
- либо управляемый и заранее
- спланированный подход,
- либо реактивные действия под давлением проверок, штрафов и персональной ответственности.
«Киберсистема» позволяет пройти этот этап спокойно, обоснованно и с минимальными рисками для руководства.