инструкция 21 января 2029 По состоянию на 21 января 2029

Приказ ФСТЭК №21: меры для медицинских ИСПДн

Приказ ФСТЭК №21 от 18.02.2013 устанавливает состав организационных и технических мер защиты персональных данных в информационных системах. Для медицинской организации это означает обязанность выстроить защиту МИС, ЕГИСЗ-шлюзов и телемедицинских платформ в соответствии с определённым уровнем защищённости.

Данные пациентов — специальная категория по ст. 10 ФЗ-152. Утечка из МИС влечёт штраф 3–15 млн ₽ по ч. 12–14 ст. 13.11 КоАП, а при повторном инциденте — оборотный штраф по ч. 15 (1–3% выручки, не менее 20 млн ₽). Меры Приказа №21 — первая линия защиты от этих последствий.

→ Если вы главный врач или руководитель клиники и ещё не провели оценку уровня защищённости ИСПДн — ниже пошаговый порядок приведения МИС в соответствие.

С 2025 года Роскомнадзор фиксирует утечки медицинских данных как отдельный приоритет проверок: по данным ведомства, 2024 год дал более 710 млн скомпрометированных записей, значительная часть — из систем здравоохранения. Медицинская организация как оператор специальных категорий ПДн по ст. 10 ФЗ-152 обязана применять меры по ст. 19 ФЗ-152 и конкретизированные в Приказе ФСТЭК №21 технические и организационные требования. Ниже — последовательность шагов: от определения уровня защищённости до документального оформления.

Шаг 1. Определите уровень защищённости вашей ИСПДн

Уровень защищённости (УЗ) медицинской ИСПДн определяется по трём параметрам: категория обрабатываемых данных, тип актуальных угроз и число субъектов. Постановление Правительства №1119 от 01.11.2012 содержит матрицу для этого расчёта.

Данные пациентов — диагнозы, результаты анализов, сведения об операциях — относятся к специальным категориям по ст. 10 ФЗ-152 (состояние здоровья). Это автоматически исключает самые низкие уровни. При числе субъектов свыше 100 000 и угрозах второго типа медицинская организация, как правило, получает УЗ-2 или УЗ-3.

«ПП РФ №1119 — уровень защищённости определяется пересечением категории ПДн (специальные / биометрические / общие), типа угроз (1–3) и числа субъектов (более / не более 100 000 чел.)»

Угрозы первого типа связаны с недокументированными возможностями системного ПО; второго — прикладного; третьего — с прочими угрозами. Для большинства клиник, работающих на типовых МИС, актуальны угрозы третьего типа, однако если МИС интегрирована с ЕГИСЗ или телемедицинской платформой, тип угроз требует пересмотра.

Итог шага 1: зафиксируйте в акте модели угроз тип угроз, категорию ПДн и число субъектов. Это основание для присвоения УЗ.

Шаг 2. Сформируйте базовый набор мер по Приказу №21

Приказ ФСТЭК №21 содержит 109 мер, сгруппированных в 15 групп. Для каждого уровня защищённости приказ устанавливает базовый набор — перечень мер, обязательных как минимум. Отсутствие хотя бы одной из них является нарушением ст. 19 ФЗ-152.

Ключевые группы мер для медицинской ИСПДн:

ИАФ — идентификация и аутентификация: каждый врач, медсестра и администратор должны входить в МИС под персональной учётной записью; использование общих логинов — нарушение группы ИАФ.
УПД — управление доступом: кардиолог не должен видеть данные пациентов психиатрического отделения; ролевая модель доступа обязательна.
РСБ — регистрация событий безопасности: журналы входа в МИС, обращений к карточкам пациентов и изменений данных должны храниться и быть доступны для аудита.
АВЗ — антивирусная защита: все рабочие станции с доступом к МИС — под антивирусом с актуальными базами.
ЗИС — защита информационной системы: сегментация сети, защита каналов передачи в ЕГИСЗ, шифрование при телемедицине.
ОЦЛ — обеспечение целостности: контроль неизменности медицинских записей; особенно важно при интеграции МИС с ЕГИСЗ.

«Приказ ФСТЭК №21 — для каждого уровня защищённости установлен базовый набор мер из 15 групп (ИАФ, УПД, ОПС, ЗНИ, РСБ, АВЗ, СОВ, АНЗ, ОЦЛ, ОДТ, ЗСВ, ЗТС, ЗИС, УКФ, ОПО). Меры можно адаптировать и компенсировать, но исключать без обоснования — нельзя»

Приказ допускает адаптацию базового набора: меры можно исключить при отсутствии соответствующих угроз, заменить компенсирующими или дополнить. Все решения об адаптации фиксируются в техническом задании на создание системы защиты.

Не знаете, какой уровень защищённости у вашей МИС?

Главный врач несёт ответственность за соответствие ИСПДн требованиям ст. 19 ФЗ-152 и Приказа №21 вне зависимости от того, кто обслуживает систему. Неправильно определённый уровень защищённости означает неполный набор мер — и это выявляется при первой же проверке РКН. Юристы и технические специалисты DATUM проведут аудит соответствия 152-ФЗ по чек-листу из 38 пунктов и определят актуальный УЗ для вашей МИС, ЕГИСЗ-интеграции и телемедицинской платформы.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Проверьте специальные требования к медицинским данным

Медицинские ПДн — специальная категория по ст. 10 ФЗ-152. Обработка без явного основания запрещена. Для клиники это означает, что у каждого пациента должно быть оформлено информированное добровольное согласие (ИДС) по ст. 13 ФЗ-323 и отдельное согласие на обработку ПДн по ст. 9 ФЗ-152.

Эти два документа преследуют разные цели. ИДС фиксирует согласие на медицинское вмешательство и регулируется ФЗ «Об основах охраны здоровья граждан» (323-ФЗ). Согласие на обработку ПДн — разрешение оператору обрабатывать данные пациента и регулируется ФЗ-152. После вступления в силу ФЗ-156 от 24.06.2025 (с 01.09.2025) согласие на обработку ПДн оформляется только отдельным документом — его нельзя встраивать в ИДС, договор или любую другую форму.

Для ЕГИСЗ действует отдельный режим: передача данных в государственную информационную систему является самостоятельным основанием обработки и требует отражения в политике конфиденциальности и в уведомлении Роскомнадзора по ст. 22 ФЗ-152. Состав данных, передаваемых в ЕГИСЗ, должен соответствовать установленным регулятором форматам — передавать избыточные сведения нельзя в силу принципа минимизации по ст. 5 ФЗ-152.

«Ст. 10 ФЗ-152 — обработка специальных категорий ПДн (в том числе данных о состоянии здоровья) по общему правилу запрещена. Исключения: явное согласие субъекта, медицинская необходимость при невозможности получить согласие, осуществление медицинской деятельности — закрытый перечень п. 2 ст. 10»

Врачебная тайна по ст. 13 ФЗ-323 и режим ПДн — параллельные режимы. Нарушение врачебной тайны (передача диагноза третьим лицам без основания) одновременно является нарушением ст. 7 ФЗ-152 о конфиденциальности. РКН вправе квалифицировать такое нарушение по ч. 1 ст. 13.11 КоАП.

Шаг 4. Настройте защиту МИС и каналов ЕГИСЗ

На практике наибольшее число несоответствий Приказу №21 в медицинских организациях выявляется в трёх зонах: доступ к МИС, передача данных в ЕГИСЗ и хранение бумажных носителей.

Доступ к МИС. Персональные учётные записи для каждого пользователя, политика паролей (длина, сложность, срок действия), блокировка сессии при бездействии, запрет на вход с общих терминалов без идентификации. При УЗ-2 обязательна многофакторная аутентификация для удалённого доступа.

Каналы ЕГИСЗ. Передача данных из МИС в ЕГИСЗ должна осуществляться по защищённым каналам. Использование несертифицированных средств криптографической защиты при передаче в государственные системы создаёт риск не только по ФЗ-152, но и по законодательству о КИИ (если клиника отнесена к субъектам критической информационной инфраструктуры по ФЗ-187).

Телемедицина. Платформы для дистанционных консультаций обрабатывают специальные ПДн в режиме реального времени. Требования к защите канала связи, идентификации пациента и хранению записей сессий должны быть отражены в техническом задании на систему защиты и в договоре с оператором платформы (поручение на обработку по п. 3 ст. 6 ФЗ-152).

Бумажные носители. Медицинские карты, результаты анализов, выписки — физические носители ПДн. Их хранение в открытых стеллажах, передача без описи, уничтожение без акта — нарушение ч. 6 ст. 13.11 КоАП (штраф 50–100 тыс. ₽ для юрлица).

Что подготовить до проверки РКН

Акт определения уровня защищённости ИСПДн с обоснованием типа угроз по ПП РФ №1119
Техническое задание (или технический паспорт) системы защиты с адаптированным набором мер по Приказу №21
Отдельные согласия пациентов на обработку ПДн по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156) — не встроенные в ИДС
Договор поручения обработки (если МИС или телеплатформа — сторонний вендор) с указанием перечня мер защиты
Журналы регистрации событий безопасности (группа РСБ Приказа №21) за последние 6 месяцев

Шаг 5. Оформите ОРД и уведомите Роскомнадзор

Технические меры без организационно-распорядительной документации не считаются выполненными. РКН при проверке запрашивает документы, а не конфигурации систем. Для медицинской организации обязательны:

Политика обработки персональных данных, опубликованная на сайте (ч. 2 ст. 18.1 ФЗ-152); отсутствие — ч. 3 ст. 13.11, штраф 30–60 тыс. ₽
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152
Регламент реагирования на инциденты с указанием сроков 24 и 72 часов по ч. 3.1 ст. 21 ФЗ-152 и Приказу РКН №187
Перечень ИСПДн с указанием категорий ПДн, целей и правовых оснований обработки по ст. 6 ФЗ-152
Соглашения о неразглашении (NDA) с сотрудниками, имеющими доступ к МИС

Уведомление в реестр операторов ПДн подаётся через pd.rkn.gov.ru по форме Приказа РКН №180 до начала обработки. Срок включения в реестр — 30 дней. Если клиника уже работает, но уведомление не подавалось — это нарушение по ч. 10 ст. 13.11 КоАП, штраф 100–300 тыс. ₽.

«Ч. 3.1 ст. 21 ФЗ-152 — при выявлении утечки: уведомить РКН в течение 24 часов; через 72 часа — направить отчёт о результатах внутреннего расследования. Неуведомление — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП»

Если главный врач получил предписание РКН или запрос на проверку документов по 152-ФЗ — у вас ограниченное время на подготовку ответа. Юристы DATUM помогут сформировать полный пакет ОРД и сопроводят взаимодействие с регулятором.

Подготовиться к проверке РКН

Как это применяется на практике

Кейс 1. Региональная многопрофильная клиника (Приволжский ФО, осень 2025) прошла плановую проверку РКН после подачи уведомления. Инспектор запросил акт определения уровня защищённости, журналы РСБ и согласия пациентов. Согласия оказались встроены в бланки ИДС — нарушение ст. 9 ФЗ-152 в редакции с 01.09.2025. Составлен протокол по ч. 2 ст. 13.11 КоАП (штраф для юрлиц 300–700 тыс. ₽). Клиника устранила нарушение до вынесения постановления, что было учтено как смягчающее обстоятельство. Итоговый штраф — в нижней части диапазона.

Кейс 2. Сеть частных стоматологических клиник (Центральный ФО, начало 2026) передала ведение МИС стороннему IT-подрядчику без договора поручения обработки. При инциденте с несанкционированным доступом к базе пациентов оператор не смог подтвердить, какие меры защиты применял подрядчик. Арбитражный суд региона применил принцип ответственности оператора за действия обработчика: штраф по ч. 12 ст. 13.11 КоАП (утечка от 1 000 субъектов, 3–5 млн ₽). Договор поручения с перечнем мер по Приказу №21 мог изменить ход дела.

Типовые ситуации для медицинской организации

Ситуация 1: МИС у стороннего вендора. Клиника приобрела лицензию на МИС у разработчика. Разработчик имеет доступ к базе данных для технической поддержки. Без договора поручения обработки по п. 3 ст. 6 ФЗ-152 и без требования к мерам защиты в договоре клиника нарушает ст. 6 и ст. 19 ФЗ-152. Вендор может быть привлечён к ответственности как лицо, осуществляющее обработку по поручению, однако оператор отвечает перед субъектом в любом случае. Стратегия: заключить договор поручения с указанием конкретных мер из Приказа №21 и правом аудита вендора.

Ситуация 2: телемедицина с пациентом за рубежом. Клиника проводит онлайн-консультации с пациентами, находящимися в другой стране. Передача ПДн за рубеж — трансграничная передача по ст. 12 ФЗ-152. До начала передачи в страну без адекватной защиты необходимо уведомить РКН. Состав данных при телемедицинской сессии (видео, анамнез, диагноз) — специальная категория. Неуведомление о трансграничке и одновременная передача спецкатегорий создают два независимых состава нарушения. Стратегия: проверить страну пациента по перечню адекватных стран РКН; при отсутствии в перечне — подать уведомление до первой сессии.

Ситуация 3: запрос пациента об уничтожении ПДн. Пациент требует удалить все его данные из МИС. Медицинская организация обязана хранить медицинскую документацию в установленные сроки по приказам Минздрава. Это создаёт коллизию: право субъекта на отзыв согласия по ст. 9 ФЗ-152 против обязательного срока хранения. Отзыв согласия не прекращает обработку, если она ведётся на ином правовом основании (исполнение законодательно установленной обязанности — п. 2 ст. 6 ФЗ-152). Стратегия: ответить субъекту в течение 10 рабочих дней по ст. 20 ФЗ-152 с обоснованием невозможности уничтожения и указанием срока хранения.

Связанные услуги DATUM по теме

Аудит соответствия 152-ФЗ — определение УЗ, анализ мер Приказа №21, отчёт с планом устранения
Комплект ОРД под ключ — политика, согласия пациентов, приказы, регламент реагирования
Сопровождение проверок РКН — подготовка к проверке, представление интересов, обжалование предписаний

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие (ИДС) — документ медицинского права, он фиксирует согласие пациента на медицинское вмешательство и регулируется ст. 20 ФЗ-323. Согласие на обработку ПДн — документ информационного права, регулируется ст. 9 ФЗ-152 и содержит иные обязательные реквизиты: перечень данных, цель, перечень действий, срок, способ отзыва. С 01.09.2025 (ФЗ-156) согласие на ПДн оформляется только отдельным документом — встраивать его в ИДС, договор или любой другой бланк запрещено. Оба документа нужны одновременно, но это разные формы.

2. Можно ли публиковать фото «до и после» с согласия пациента?

Публикация фотографий пациента — распространение ПДн по ст. 10.1 ФЗ-152, для этого требуется отдельное согласие на распространение, а не просто согласие на обработку. Фотографии «до и после» в медицинском контексте содержат косвенные данные о состоянии здоровья — специальную категорию по ст. 10 ФЗ-152. Согласие на распространение специальных категорий должно быть явным, отдельным и с указанием конкретных платформ и целей. Без такого согласия публикация создаёт риск по ч. 1 ст. 13.11 КоАП (штраф 150–300 тыс. ₽) и по ст. 137 УК РФ (нарушение неприкосновенности частной жизни).

3. Кто отвечает за утечку через МИС?

Оператор ПДн — медицинская организация — несёт ответственность перед субъектом и перед РКН вне зависимости от того, произошла ли утечка через собственную инфраструктуру или через вендора МИС. Если МИС обслуживает сторонний подрядчик, ответственность оператора не снимается: это прямо следует из ст. 6 ФЗ-152 о поручении обработки. Договор поручения с конкретными мерами защиты по Приказу №21 позволяет предъявить регрессный иск к вендору, но не освобождает клинику от штрафа по ч. 12–14 ст. 13.11 КоАП.

4. Какие данные передавать в ЕГИСЗ?

Состав данных для ЕГИСЗ определяется нормативными актами Минздрава и техническими регламентами интеграции. Передавать сверх установленного перечня нельзя в силу принципа минимизации ПДн по ст. 5 ФЗ-152: объём данных должен соответствовать заявленным целям обработки. Передача в ЕГИСЗ как в государственную информационную систему является самостоятельным основанием обработки, но это не означает, что можно передавать любые данные пациента без ограничений. Перечень передаваемых полей должен быть зафиксирован в политике конфиденциальности и в уведомлении Роскомнадзора по ст. 22 ФЗ-152.

5. Что грозит клинике за утечку данных пациентов?

За утечку от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП; от 10 000 до 100 000 — 5–10 млн ₽ по ч. 13; свыше 100 000 — 10–15 млн ₽ по ч. 14. При повторной утечке применяется оборотный штраф по ч. 15 ст. 13.11: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Отдельно — штраф 1–3 млн ₽ по ч. 11 за неуведомление РКН в течение 24 часов. Если утечка биометрических данных (например, фото для идентификации) — дополнительно ч. 17 ст. 13.11, штраф 15–20 млн ₽. Все перечисленные составы вступили в силу с 30.05.2025 (ФЗ-420 от 30.11.2024).

6. С какой периодичностью нужно проводить оценку актуальности мер по Приказу №21?

Приказ №21 не устанавливает жёсткой периодичности, однако меры защиты должны пересматриваться при изменении состава ИСПДн, появлении новых угроз, изменении числа субъектов или категорий обрабатываемых данных. На практике РКН рекомендует проводить внутренний аудит не реже одного раза в год и при каждой существенной модернизации МИС или подключении новых интеграций (ЕГИСЗ, телемедицинские платформы, лабораторные системы). Результаты оценки фиксируются в акте, который предъявляется при проверке.

Итог

Приказ ФСТЭК №21 для медицинской организации — не абстрактный технический норматив, а конкретный перечень мер, отсутствие каждой из которых создаёт задокументированное основание для штрафа при проверке РКН. Специальный статус медицинских данных по ст. 10 ФЗ-152 и прямая связь с врачебной тайной по ст. 13 ФЗ-323 делают эту отрасль одним из приоритетных направлений надзора. С 30.05.2025 цена несоответствия выросла кратно: штрафы за утечку начинаются от 3 млн ₽ и при повторном инциденте переходят в оборотные.

Практика DATUM по медицинским организациям включает определение уровня защищённости ИСПДн, адаптацию мер Приказа №21 под конкретную МИС, формирование пакета ОРД для клиник и сопровождение проверок Роскомнадзора в учреждениях здравоохранения.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

21 января 2029 года