Перейти к содержанию
инструкция 21 января 2028 По состоянию на 21 января 2028

Аттестация ИСПДн в клинике: УЗ-2 или УЗ-3

Информационная система персональных данных клиники обрабатывает специальные категории ПДн пациентов — сведения о состоянии здоровья. По ПП РФ №1119 это определяет уровень защищённости УЗ-2 или УЗ-3 в зависимости от типа угроз и числа субъектов.
Большинство коммерческих клиник попадают в УЗ-3 (угрозы 3-го типа, до 100 000 пациентов). МИС с доступом в ЕГИСЗ, телемедицинские платформы и крупные сети нередко требуют УЗ-2. Без корректной аттестации — штраф по ч. 1 ст. 13.11 КоАП и предписание об устранении нарушений при проверке РКН.
Если вы главный врач и не уверены, какой уровень защищённости установлен в МИС вашей клиники — ниже пошаговый алгоритм определения УЗ и подготовки к аттестации.

С 2023 года Роскомнадзор включил медицинские организации в перечень приоритетных объектов плановых проверок. Данные о здоровье пациентов — это специальные категории ПДн по ст. 10 ФЗ-152: их незаконная обработка влечёт штраф от 3 млн ₽ при утечке от 1 000 субъектов по ч. 12 ст. 13.11 КоАП. Одновременно Минздрав требует подключения к ЕГИСЗ, а любое подключение к государственной системе означает дополнительные требования к защите. Эта инструкция объясняет, как определить нужный уровень защищённости для МИС клиники, пройти аттестацию и подготовить ОРД — в соответствии с ПП РФ №1119, Приказом ФСТЭК №21 и нормами 323-ФЗ.

Шаг 1. Определите категорию ПДн и тип угроз в МИС клиники

Первый шаг — классифицировать данные, которые обрабатывает медицинская информационная система. Диагнозы, результаты анализов, сведения о лечении и медикаментах относятся к специальным категориям по ст. 10 ФЗ-152. Их обработка допустима только при наличии письменного информированного согласия пациента по ст. 13 ФЗ №323 и согласия на обработку ПДн по ст. 9 ФЗ-152. Эти два согласия — разные документы с разными реквизитами.

«Ст. 10 ФЗ-152 — специальные категории ПДн включают сведения о состоянии здоровья. Их обработка по общему правилу запрещена, кроме случаев письменного согласия субъекта (п. 2 ст. 10 ФЗ-152) и необходимости охраны жизни или здоровья.»

Параллельно нужно классифицировать тип угроз по ПП РФ №1119. Тип угрозы определяет наличие недекларированных возможностей (НДВ) в системном и прикладном ПО МИС:

  • Угрозы 1-го типа — НДВ в системном ПО. Встречаются у государственных МИС с аттестованным системным ПО ФСТЭК.
  • Угрозы 2-го типа — НДВ в прикладном ПО. Типичны для МИС, разработанных без сертификации ФСТЭК.
  • Угрозы 3-го типа — НДВ отсутствуют. Для большинства коммерческих клиник с сертифицированными компонентами МИС.

На практике частные клиники с МИС от крупных российских вендоров (сертифицированное ПО) декларируют угрозы 3-го типа. Это законно, если подтверждается моделью угроз. Без модели угроз тип нельзя декларировать произвольно — это ошибка, которую выявляет инспектор РКН при проверке.

Не знаете, какой тип угроз применим к МИС вашей клиники?

Модель угроз — это технический документ, который определяет класс системы и, следовательно, уровень защищённости. Ошибка в модели угроз означает неправильный УЗ и несоответствие мер защиты. Специалисты DATUM проведут аудит ИСПДн клиники по чек-листу ПП РФ №1119 и Приказа ФСТЭК №21, установят корректный уровень и подготовят модель угроз.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Рассчитайте уровень защищённости по матрице ПП РФ №1119

Уровень защищённости (УЗ) определяется пересечением трёх параметров: категория ПДн × тип угроз × число субъектов. Для клиники, обрабатывающей данные о здоровье пациентов, матрица выглядит следующим образом:

  • Специальные категории + угрозы 1-го типа → УЗ-1 (вне зависимости от числа субъектов)
  • Специальные категории + угрозы 2-го типа → УЗ-1 (более 100 000 субъектов) или УЗ-2 (до 100 000)
  • Специальные категории + угрозы 3-го типа → УЗ-2 (более 100 000 субъектов) или УЗ-3 (до 100 000)

Таким образом, небольшая частная клиника с угрозами 3-го типа и базой до 100 000 пациентов попадает в УЗ-3. Многопрофильная сеть или городская больница с базой свыше 100 000 записей при тех же угрозах требует УЗ-2. Подключение к ЕГИСЗ не меняет уровень автоматически, но может повлиять на модель угроз через требования Минздрава к защите передаваемых сведений.

«ПП РФ №1119 от 01.11.2012 — устанавливает 4 уровня защищённости ИСПДн (УЗ-1..4). Выбор уровня зависит от категории ПДн, типа угроз и числа субъектов. При обработке специальных категорий минимально возможный уровень — УЗ-3 при угрозах 3-го типа и не более 100 000 субъектов.»

Важно учитывать: если в одной ИС обрабатываются и данные пациентов (спецкатегория), и данные сотрудников (общие категории), уровень определяется по наиболее высокой категории — то есть по данным о здоровье.

Шаг 3. Установите меры защиты по Приказу ФСТЭК №21

Каждому уровню защищённости соответствует базовый набор организационных и технических мер из Приказа ФСТЭК №21. Меры сгруппированы в 15 классов: идентификация и аутентификация (ИАФ), управление доступом (УПД), регистрация событий (РСБ), антивирусная защита (АВЗ), обнаружение вторжений (СОВ), защита носителей информации (ЗНИ) и другие.

  • УЗ-3: базовый набор мер. Обязательны: двухфакторная аутентификация для удалённого доступа, антивирус, межсетевой экран, журналирование событий безопасности, резервное копирование, шифрование при передаче данных.
  • УЗ-2: базовый набор + усиленные требования к управлению доступом, обязательная система обнаружения вторжений (СОВ), криптографическая защита хранимых данных, дополнительный контроль целостности.

Для телемедицинских платформ критичны требования к шифрованию видеоканала и аутентификации врача и пациента. Это не меняет УЗ, но расширяет набор технических мер в рамках установленного уровня. При подключении к ЕГИСЗ применяются дополнительные требования Минздрава к защите медицинских данных, передаваемых через СЗПИ.

«Приказ ФСТЭК №21 от 18.02.2013 — определяет состав и содержание мер по обеспечению безопасности ПДн при обработке в ИСПДн для каждого уровня защищённости. Оператор самостоятельно определяет применимый базовый набор и может его адаптировать при документальном обосновании.»

Если в клинике подключена телемедицина или МИС интегрирована с ЕГИСЗ — состав мер защиты шире базового. До проверки РКН необходимо убедиться, что меры соответствуют установленному УЗ, а модель угроз актуализирована. Специалисты DATUM сопроводят подготовку к проверке РКН и проверят комплектность документации.

Подготовиться к проверке РКН

Шаг 4. Подготовьте документацию для аттестации ИСПДн

Аттестация ИСПДн — это формальное подтверждение того, что система соответствует установленному уровню защищённости. Для её прохождения необходимо подготовить комплект документов:

Что подготовить для аттестации ИСПДн клиники

  • Приказ о классификации ИСПДн с обоснованием уровня защищённости (УЗ-2 или УЗ-3)
  • Модель угроз и нарушителя — разработанная на основе методики ФСТЭК 2021 года
  • Техническое задание на систему защиты ПДн (СЗПДн) с перечнем реализованных мер
  • Политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 и внутренние регламенты доступа к МИС
  • Отдельные согласия пациентов на обработку ПДн (ст. 9 ФЗ-152) и ИДС по ст. 20 ФЗ №323

Аттестацию проводит лицензированный орган по аттестации ФСТЭК. По итогам выдаётся аттестат соответствия — документ, подтверждающий соответствие ИСПДн требованиям. Аттестат действует, как правило, три года; при изменении архитектуры системы или расширении обработки требуется переаттестация. Отсутствие аттестата при проверке РКН фиксируется как нарушение ст. 19 ФЗ-152.

Шаг 5. Синхронизируйте ОРД с реестром операторов РКН

Параллельно с технической аттестацией необходимо привести в порядок организационно-распорядительную документацию и уведомление в реестре РКН. На практике именно несоответствие между реальной обработкой и содержанием уведомления — наиболее частое нарушение при проверках медицинских организаций.

  • Проверьте, что в уведомлении по ст. 22 ФЗ-152 указаны все цели обработки, в том числе ЕГИСЗ, телемедицина, страховые компании, фонды ОМС.
  • Убедитесь, что перечень третьих лиц, которым передаются ПДн, полон — лаборатории, диагностические центры, специализированные МИС.
  • Назначьте ответственного за обработку ПДн по ст. 22.1 ФЗ-152 и оформите это приказом.
  • Разместите политику обработки ПДн на сайте клиники (ч. 2 ст. 18.1 ФЗ-152).
«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки. Несвоевременное уведомление или несоответствие уведомления фактической обработке — нарушение, за которое по ч. 10 ст. 13.11 КоАП предусмотрен штраф 100–300 тыс. ₽ для юридического лица.»

С 01.09.2025 согласия пациентов на обработку ПДн оформляются только отдельным документом по ФЗ-156 от 24.06.2025. Включение согласия в договор на оказание медицинских услуг или в ИДС недостаточно — требуется самостоятельный бланк с полным перечнем реквизитов ст. 9 ФЗ-152.

Как это выглядит на практике

Кейс 1. Многопрофильная клиника (Сибирский ФО, осень 2025) прошла плановую проверку РКН. База пациентов — около 130 000 человек, МИС сертифицирована, угрозы заявлены как 3-й тип. Инспектор установил, что при числе субъектов свыше 100 000 и специальных категориях ПДн требуется УЗ-2, а не УЗ-3. Аттестат на УЗ-3 признан недействительным. Клиника получила предписание о переаттестации и штраф по ч. 1 ст. 13.11 КоАП в размере в пределах нижней трети диапазона. После подключения юридического сопровождения удалось согласовать срок устранения нарушений и избежать повторного протокола.

Кейс 2. Сеть стоматологических клиник (Центральный ФО, начало 2026) получила уведомление о внеплановой проверке РКН после жалобы пациента. Согласие на обработку ПДн было включено в договор на оказание услуг, а не в отдельный документ — нарушение ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Параллельно в уведомлении РКН не была указана передача данных в лабораторию. По итогам проверки — два протокола по ч. 2 и ч. 10 ст. 13.11 КоАП, совокупный штраф в сотни тысяч рублей. Обжалование в арбитражном суде снизило итоговую сумму за счёт применения ст. 4.1 КоАП.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие (ИДС) по ст. 20 ФЗ №323-ФЗ — это медицинский документ, подтверждающий согласие пациента на медицинское вмешательство. Согласие на обработку персональных данных по ст. 9 ФЗ-152 — отдельный юридический документ, разрешающий клинике обрабатывать ПДн пациента в конкретных целях. С 01.09.2025 согласие на обработку ПДн не может включаться в ИДС или договор — только отдельный документ с полным перечнем реквизитов по ст. 9 ФЗ-152.

2. Можно ли публиковать фото до-после с согласия пациента?

Публикация фотографий пациента относится к распространению персональных данных по ст. 10.1 ФЗ-152. Для этого требуется отдельное согласие на распространение ПДн — его нельзя совмещать с общим согласием на обработку. В согласии на распространение должно быть прямо указано: место публикации (сайт, социальные сети), цель (реклама, портфолио), срок действия. Молчание или общая формулировка в согласии на обработку ПДн не даёт права на публикацию.

3. Кто отвечает за утечку через МИС?

Ответственность несёт оператор ПДн — медицинская организация. Если МИС предоставляется как сервис (SaaS) — ответственность определяется условиями договора поручения обработки по п. 3 ст. 6 ФЗ-152. Даже при наличии договора с вендором клиника остаётся оператором и обязана уведомить РКН об инциденте в течение 24 часов по ч. 3.1 ст. 21 ФЗ-152. Неуведомление — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.

4. Какие данные передавать в ЕГИСЗ и нужно ли для этого дополнительное согласие?

Передача данных в ЕГИСЗ (Единую государственную информационную систему в сфере здравоохранения) осуществляется на основании требований Минздрава и ФЗ №323. Это законное основание для обработки ПДн без отдельного согласия пациента — при условии, что цель передачи указана в уведомлении РКН и в политике обработки ПДн клиники. Однако если клиника передаёт в ЕГИСЗ биометрические или генетические данные — необходимо проверить наличие дополнительных оснований по ст. 11 ФЗ-152.

5. Что грозит клинике за утечку данных пациентов?

Санкции зависят от масштаба утечки. При утечке от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП; от 10 000 до 100 000 субъектов — 5–10 млн ₽ по ч. 13; свыше 100 000 субъектов — 10–15 млн ₽ по ч. 14. При повторной утечке применяется оборотный штраф по ч. 15 ст. 13.11 — 1–3% годовой выручки, не менее 20 млн ₽. Данные о здоровье — спецкатегория, что дополнительно повышает риск привлечения к уголовной ответственности по ст. 272.1 УК РФ.

6. Требуется ли переаттестация при переходе на новую версию МИС?

Да. Переаттестация обязательна при изменении архитектуры ИСПДн, смене МИС, расширении состава обрабатываемых данных или подключении новых модулей (телемедицина, биометрия). Если изменения не затрагивают параметры, от которых зависит УЗ, достаточно актуализировать модель угроз и техническое задание на СЗПДн. Решение о необходимости переаттестации принимает орган по аттестации ФСТЭК на основании оценки существенности изменений.

Итог

Уровень защищённости ИСПДн клиники определяется тремя параметрами ПП РФ №1119: специальная категория ПДн (данные о здоровье), тип угроз (чаще 3-й для коммерческих клиник) и число субъектов (порог 100 000). Большинство небольших и средних клиник работают в УЗ-3, крупные сети и учреждения с базой свыше 100 000 пациентов — в УЗ-2. Аттестация подтверждает соответствие мер защиты установленному уровню, без неё клиника уязвима при проверке РКН.

DATUM сопровождает медицинские организации в вопросах классификации ИСПДн, подготовки ОРД и прохождения проверок РКН. Практика охватывает частные клиники, многопрофильные сети и телемедицинские платформы, работающие с данными пациентов по ст. 10 ФЗ-152 и ст. 13 ФЗ №323.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, ПДн несовершеннолетних.

21 января 2028 года