инструкция 26 января 2028 По состоянию на 26 января 2028

Кибератака на клинику: реагирование

Медицинские данные пациентов — специальная категория по ст. 10 ФЗ-152. Утечка через МИС при кибератаке — это штраф от 3 до 15 млн ₽ и 24 часа на уведомление Роскомнадзора.

С 30.05.2025 ст. 13.11 КоАП расширена до 18 частей. За утечку медицинских данных более 10 000 пациентов — ч. 13, штраф 5–10 млн ₽. Повторная утечка — оборотный штраф до 500 млн ₽ по ч. 15.

→ Если в клинике произошёл инцидент с МИС или ЕГИСЗ — у главного врача есть 24 часа. Ниже — пошаговый порядок действий.

Кибератаки на медицинские организации участились: по данным Роскомнадзора, в 2024 году зафиксировано более 135 случаев компрометации баз персональных данных, и медицинский сектор входит в число наиболее атакуемых. Главный врач сталкивается с двойным регуляторным бременем: требованиями ФЗ-152 «О персональных данных» и обязательствами по врачебной тайне по ст. 13 ФЗ-323 «Об основах охраны здоровья». Настоящая инструкция описывает порядок реагирования — от момента обнаружения атаки до закрытия инцидента с регулятором.

Шаг 1. Зафиксируйте факт инцидента и определите масштаб утечки

Первое действие после обнаружения признаков атаки — создать документальную фиксацию инцидента. Это не технический, а юридически значимый шаг: без фиксации невозможно правильно заполнить уведомление в РКН, а неточность в уведомлении усугубляет позицию клиники.

Составьте внутренний акт об инциденте с указанием: времени обнаружения, источника информации (системный журнал, сигнал антивируса, сообщение сотрудника), предполагаемого вектора атаки, предварительного перечня затронутых информационных систем. Если МИС интегрирована с ЕГИСЗ — зафиксируйте это отдельно, так как передача данных в государственную систему создаёт дополнительные обязательства по уведомлению.

«Ст. 21 ч. 3.1 ФЗ-152 — оператор обязан уведомить РКН о факте утечки (неправомерной передаче, распространении, предоставлении или иных неправомерных действиях с ПДн) в течение 24 часов с момента обнаружения. Через 72 часа — направить отчёт о результатах внутреннего расследования. Порядок закреплён в Приказе РКН №187 от 14.11.2022.»

Определите категорию данных. Медицинские сведения о состоянии здоровья, диагнозах, результатах анализов — это специальная категория по ст. 10 ФЗ-152. Их обработка требует отдельного письменного согласия пациента; утечка влечёт повышенную ответственность. Если утекли только ФИО и контактные данные без медицинских сведений — это общие ПДн, иной состав по КоАП. Разграничение влияет на квалификацию нарушения.

Подсчитайте предварительное число затронутых субъектов. Порог для квалификации по ч. 12 ст. 13.11 КоАП — от 1 000 субъектов (штраф 3–5 млн ₽). От 10 000 — ч. 13 (5–10 млн ₽). От 100 000 — ч. 14 (10–15 млн ₽). Точность важна: занижение числа в уведомлении при последующем расследовании РКН создаёт риск нарушения по самому факту неполноты сведений.

Шаг 2. Направьте первичное уведомление в РКН за 24 часа

Срок в 24 часа — процессуальный, не восстанавливается. Пропуск срока первичного уведомления образует самостоятельный состав правонарушения по ч. 11 ст. 13.11 КоАП: штраф для юридического лица — 1–3 млн ₽. Это отдельный штраф поверх штрафа за саму утечку.

Инцидент произошёл — как уведомить РКН за 24 часа?

Первичное уведомление подаётся через личный кабинет на pd.rkn.gov.ru. Для подачи нужна УКЭП или учётная запись ЕСИА. Если ни того ни другого нет — клиника уже опаздывает. Юристы DATUM возьмут реагирование: составят первичное уведомление, проконтролируют подачу, подготовят позицию для 72-часового отчёта.

Реагировать на утечку за 24 ч

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Форма первичного уведомления установлена Приказом РКН №187. Обязательные поля: наименование оператора, дата и время обнаружения, предполагаемая причина, перечень категорий ПДн, предварительное число субъектов, принятые меры по локализации инцидента. На этапе первичного уведомления допустимо указывать предварительные данные — но они должны быть обоснованными, а не произвольными.

Если МИС подключена к ЕГИСЗ — параллельно уведомите оператора государственной системы в соответствии с регламентом ЕГИСЗ. Это отдельное обязательство, не заменяющее уведомление РКН.

Как изолировать поражённые системы и не нарушить врачебную тайну?

Изоляция МИС — технически необходимый шаг. Однако главный врач должен понимать: полное отключение МИС прерывает доступ к медицинским записям пациентов, что создаёт риск для оказания медицинской помощи. Решение об изоляции принимается с учётом двух факторов: масштаба продолжающейся атаки и критичности текущих клинических процессов.

Порядок изоляции: отключить затронутые сегменты сети от интернета, заблокировать подозрительные учётные записи, сохранить системные журналы (logs) до любых восстановительных действий. Удаление или перезапись журналов до фиксации уничтожает доказательную базу для расследования и для позиции перед РКН.

«Ст. 13 ФЗ-323 "Об основах охраны здоровья" — сведения о состоянии здоровья, диагнозе, иные данные, полученные при обследовании и лечении, составляют врачебную тайну. Их разглашение — самостоятельное основание ответственности медицинской организации, независимо от ответственности по ФЗ-152.»

Врачебная тайна охраняется параллельно с режимом ПДн. Если в результате атаки данные о диагнозах пациентов стали доступны третьим лицам — это одновременно нарушение ст. 10 ФЗ-152 (специальная категория) и ст. 13 ФЗ-323 (врачебная тайна). Роскомнадзор рассматривает нарушение по КоАП; Росздравнадзор и прокуратура — по профильному законодательству. Две параллельные проверки — реальная практика для клиник при крупных утечках.

Что подготовить к моменту подачи 72-часового отчёта

Внутренний акт об инциденте с точным временем обнаружения и подписью ответственного
Системные журналы (logs) МИС и сетевого оборудования за период атаки — в неизменном виде
Перечень категорий ПДн и уточнённое число затронутых субъектов
Описание принятых мер: изоляция, блокировка учётных записей, уведомление пациентов
Документы о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152

Шаг 3. Подайте 72-часовой отчёт о результатах расследования

Через 72 часа после обнаружения инцидента оператор обязан направить в РКН отчёт о результатах внутреннего расследования. Срок считается от момента обнаружения — того же, что указан в первичном уведомлении. Форма отчёта — по Приказу РКН №187.

Отчёт должен содержать: уточнённое число субъектов и категории ПДн, установленную или предполагаемую причину инцидента, описание вектора атаки (по имеющимся данным), перечень мер, принятых для устранения последствий, и план мер по недопущению повторных инцидентов. Если расследование не завершено за 72 часа — в отчёте указывают промежуточные результаты и срок окончания расследования.

Качество 72-часового отчёта прямо влияет на позицию клиники при составлении протокола об административном правонарушении. РКН учитывает оперативность реагирования и полноту принятых мер — это основание для применения смягчающих обстоятельств по ст. 4.2 КоАП.

Если главный врач получил запрос РКН после инцидента — срок ответа ограничен, а каждая неточность в позиции усиливает риск максимального штрафа. Юристы DATUM подготовят 72-часовой отчёт и представят интересы клиники в РКН.

Подготовиться к проверке РКН

Шаг 4. Уведомьте пациентов и проверьте согласия

ФЗ-152 не устанавливает обязательного уведомления субъектов об утечке их ПДн — в отличие от регулирования GDPR. Однако РКН в ряде случаев включает требование о таком уведомлении в предписание. Кроме того, пациенты вправе обратиться с требованием о предоставлении информации об обработке своих данных по ст. 20 ФЗ-152, и клиника обязана ответить в течение 10 рабочих дней.

Параллельно с реагированием на инцидент — проверьте актуальность согласий пациентов на обработку ПДн. С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом (ФЗ-156 от 24.06.2025): оно не может быть частью договора на оказание медицинских услуг или информированного добровольного согласия (ИДС). Это два разных документа с разными правовыми основаниями.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом. Согласие не объединяется с договором, офертой или иным документом. Обязательные реквизиты: ФИО субъекта, наименование оператора, цель обработки, перечень данных, перечень действий, срок, способ отзыва.»

Если в клинике согласия пациентов на ПДн были включены в текст ИДС или договора до 01.09.2025 — с этой даты они не соответствуют требованиям. Новые согласия нужно получить при следующем обращении пациента. Это отдельный риск при проверке РКН по итогам инцидента: инспектор проверит не только факт утечки, но и документальное основание обработки данных.

Шаг 5. Проведите внутренний аудит и устраните системные уязвимости

Реагирование на инцидент — не конец процесса. РКН при плановой или внеплановой проверке после инцидента оценивает не только сам факт утечки, но и состояние системы защиты до инцидента. Если выяснится, что уровень защищённости ИСПДн не соответствовал требованиям ПП РФ №1119 — это отдельное нарушение по ст. 19 ФЗ-152 и Приказу ФСТЭК №21.

Медицинская организация, обрабатывающая данные о состоянии здоровья (специальная категория), при числе субъектов более 100 000 обязана обеспечить уровень защищённости УЗ-3 или выше. Конкретный уровень определяется по матрице угроз: тип угроз (1, 2 или 3) × категория ПДн × число субъектов. Большинство клиник работает с УЗ-3.

После инцидента необходимо: провести актуализацию модели угроз, проверить соответствие технических мер Приказу ФСТЭК №21, обновить организационно-распорядительную документацию (ОРД). Отсутствие ОРД при проверке РКН — самостоятельное основание для штрафа по ч. 3 ст. 13.11 КоАП (30–60 тыс. ₽ за политику обработки ПДн) независимо от инцидента.

Как это работает на практике

Кейс 1. Многопрофильная клиника (Уральский ФО, осень 2025) подверглась атаке на МИС через уязвимость в удалённом доступе сотрудника. Утекли данные около 15 000 пациентов, включая диагнозы. Главный врач направил первичное уведомление в РКН за 20 часов. Через 72 часа подал отчёт с описанием вектора атаки и принятых мер. РКН квалифицировал нарушение по ч. 13 ст. 13.11 КоАП (5–10 млн ₽). Суд с учётом оперативного реагирования и отсутствия умысла назначил штраф ближе к нижней границе диапазона.

Кейс 2. Стоматологическая клиника (Приволжский ФО, начало 2026) обнаружила признаки несанкционированного доступа к базе пациентов. Уведомление в РКН подано на 29-й час — срок нарушен. Число затронутых субъектов — около 2 500. По итогам: штраф по ч. 12 ст. 13.11 (3–5 млн ₽) за саму утечку плюс штраф по ч. 11 (1–3 млн ₽) за пропуск 24-часового срока уведомления. Суммарная нагрузка — в разы выше, чем при своевременном уведомлении.

Услуги DATUM по теме

Сопровождение проверок РКН — представление интересов при проверке, подготовка позиции, обжалование предписаний
Аудит соответствия 152-ФЗ — проверка ОРД, уровня защищённости, согласий пациентов по новым требованиям
Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования для медицинской организации

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

Информированное добровольное согласие (ИДС) — медицинско-правовой документ по ст. 20 ФЗ-323: пациент соглашается на медицинское вмешательство и уведомляется о рисках. Согласие на обработку ПДн — отдельный документ по ст. 9 ФЗ-152: пациент разрешает оператору обрабатывать его персональные данные в конкретных целях. С 01.09.2025 (ФЗ-156) эти два документа нельзя объединять. Подмена одного другим — нарушение ч. 2 ст. 13.11 КоАП, штраф до 700 тыс. ₽.

2. Можно ли публиковать фото до-после с согласия пациента?

Публикация фотографий пациента (изображение лица — биометрические ПДн по ст. 11 ФЗ-152) требует отдельного письменного согласия на обработку биометрических данных и согласия на распространение по ст. 10.1 ФЗ-152. Согласие из ИДС или общего договора недостаточно. Нарушение — состав по ч. 16 ст. 13.11 КоАП. Кроме того, публикация медицинских данных (диагноза, состояния здоровья) на фото составляет разглашение врачебной тайны по ст. 13 ФЗ-323.

3. Кто отвечает за утечку через МИС?

Ответственность несёт оператор ПДн — медицинская организация, которая заключила договор с поставщиком МИС. Если МИС предоставляется по SaaS-модели, поставщик действует как лицо, осуществляющее обработку по поручению оператора (ст. 6 ч. 3 ФЗ-152). Договор поручения обработки должен предусматривать обязанности поставщика по защите ПДн. При их нарушении поставщик несёт ответственность как нарушитель договора, но административная ответственность перед РКН — на операторе. Принцип подтверждён сложившейся судебной практикой: оператор отвечает за действия подрядчика.

4. Какие данные обязательно передавать в ЕГИСЗ?

Состав данных, передаваемых в ЕГИСЗ, определяется регламентами Минздрава России и зависит от вида медицинской деятельности. Как правило, передаются данные об оказанных медицинских услугах, диагнозах (МКБ-коды), назначениях. Передача в ЕГИСЗ — самостоятельное основание обработки ПДн (исполнение обязанности оператора, установленной законом). Согласие пациента для передачи в ЕГИСЗ в этих случаях не требуется. Однако любые данные вне регламентированного состава — только с согласия по ст. 9 ФЗ-152.

5. Что грозит клинике за утечку медицинских данных пациентов?

Медицинские данные — специальная категория ПДн по ст. 10 ФЗ-152. При утечке: ч. 12 ст. 13.11 КоАП (от 1 000 до 10 000 субъектов) — 3–5 млн ₽; ч. 13 (от 10 000 до 100 000) — 5–10 млн ₽; ч. 14 (более 100 000) — 10–15 млн ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Параллельно — проверка Росздравнадзора по факту разглашения врачебной тайны и возможное возбуждение дела по ст. 272.1 УК РФ в отношении конкретных лиц.

6. Нужно ли уведомлять пациентов об утечке их данных?

ФЗ-152 не устанавливает прямой обязанности оператора уведомлять субъектов об утечке. Уведомление субъектов — инициативная мера, которая демонстрирует добросовестность оператора и может учитываться как смягчающее обстоятельство по ст. 4.2 КоАП. РКН вправе включить требование об уведомлении пациентов в предписание. Пациент при этом вправе самостоятельно запросить у клиники информацию об обработке своих данных — ответ обязателен в течение 10 рабочих дней по ст. 20 ФЗ-152.

Итог

Кибератака на клинику запускает два параллельных процесса: технический (изоляция, расследование) и регуляторный (24-часовое уведомление РКН, 72-часовой отчёт). Пропуск любого из сроков создаёт самостоятельный состав нарушения поверх штрафа за утечку. Медицинская специфика — специальная категория ПДн и врачебная тайна — означает, что административная ответственность по КоАП дополняется проверкой Росздравнадзора.

Практика DATUM по медицинскому сектору охватывает реагирование на инциденты, подготовку позиции перед РКН и актуализацию ОРД с учётом требований ФЗ-323 и изменений ФЗ-152 с 01.09.2025.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

26 января 2028 года