инструкция 14 апреля 2029 По состоянию на 14 апреля 2029

СЗИ для МИС: сертифицированные продукты

Медицинская информационная система обрабатывает данные о здоровье — специальную категорию по ст. 10 ФЗ-152. Без сертифицированных средств защиты информации клиника нарушает требования ПП РФ №1119 и Приказа ФСТЭК №21.

За утечку данных пациентов от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. При повторном нарушении — оборотный штраф до 500 млн ₽ по ч. 15. Уголовная ответственность по ст. 272.1 УК с 11.12.2024.

Если вы главный врач и в клинике работает МИС без аттестованного уровня защищённости — проверьте соответствие по чек-листу ниже и подберите сертифицированные СЗИ.

Медицинские организации входят в число приоритетных объектов проверок Роскомнадзора: данные о здоровье пациентов — специальная категория, их обработка регулируется одновременно ст. 10 ФЗ-152, ст. 13 Федерального закона №323-ФЗ «Об основах охраны здоровья граждан» и требованиями ФСТЭК. МИС, подключённые к ЕГИСЗ, автоматически попадают под усиленный контроль. Эта инструкция описывает, как определить требуемый уровень защищённости, подобрать сертифицированные СЗИ и оформить документацию до проверки регулятора.

Шаг 1. Почему данные пациентов требуют особых СЗИ?

Диагнозы, результаты анализов, записи приёмов, сведения о лечении — всё это специальные категории персональных данных по ст. 10 ФЗ-152. Их обработка допустима только при наличии явного письменного согласия пациента или в случаях, прямо указанных в законе: оказание медицинской помощи, исполнение договора, защита жизни и здоровья при невозможности получить согласие.

«Ст. 10 ФЗ-152 — обработка специальных категорий ПДн, к которым относятся сведения о состоянии здоровья, запрещена по общему правилу. Исключения исчерпывающе перечислены в ч. 2: в том числе обработка в целях установления диагноза и оказания медицинской помощи лицом, обязанным хранить профессиональную тайну.»

Специальные категории ПДн влекут более высокий уровень защищённости информационной системы. По ПП РФ №1119, если клиника обрабатывает специальные категории ПДн более 100 000 субъектов при угрозах 2-го типа — требуется уровень защищённости УЗ-1. При меньшем числе субъектов или иных типах угроз — УЗ-2 или УЗ-3. Определить тип угроз обязана сама организация в модели угроз.

Отдельно действует ст. 13 ФЗ №323-ФЗ — врачебная тайна. Сведения о факте обращения, о диагнозе, результатах обследований составляют врачебную тайну и не могут передаваться третьим лицам без согласия пациента. МИС, которая допускает несанкционированный доступ к этим данным, нарушает одновременно 152-ФЗ и 323-ФЗ.

Шаг 2. Как определить требуемый уровень защищённости МИС?

Уровень защищённости информационной системы персональных данных (ИСПДн) определяется по трём параметрам: категория обрабатываемых ПДн, тип актуальных угроз, количество субъектов. Для медицинской организации алгоритм следующий.

Категория ПДн. Данные о здоровье — специальная категория. Это автоматически исключает УЗ-4 (самый низкий) из рассмотрения для основной базы МИС.

Тип угроз. Угрозы 1-го типа — наличие недокументированных возможностей в системном ПО. Угрозы 2-го типа — в прикладном ПО. Угрозы 3-го типа — отсутствие НДВ в ПО. Большинство коммерческих клиник документируют угрозы 3-го типа, что снижает требования к уровню защищённости.

Число субъектов. Пороговое значение — 100 000 субъектов. Небольшая клиника с базой до 100 000 пациентов при угрозах 3-го типа обрабатывает специальные категории → УЗ-3. Сеть с более 100 000 пациентов при тех же угрозах → УЗ-2.

«ПП РФ №1119 от 01.11.2012 — устанавливает 4 уровня защищённости ИСПДн. Для специальных категорий ПДн при угрозах 3-го типа и числе субъектов менее 100 000 — применяется УЗ-3. Меры защиты для каждого уровня конкретизированы Приказом ФСТЭК №21 от 18.02.2013.»

МИС работает, но уровень защищённости не определён?

Если в клинике нет актуальной модели угроз и документа об уровне защищённости — при проверке РКН это означает нарушение ст. 19 ФЗ-152 и основание для штрафа. Юристы и технические эксперты DATUM проведут аудит МИС и смежных систем по чек-листу из 38 пунктов, определят УЗ и сформируют план устранения несоответствий.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Какие сертифицированные СЗИ выбрать для МИС?

Приказ ФСТЭК №21 определяет 15 групп мер защиты: идентификация и аутентификация (ИАФ), управление доступом (УПД), ограничение программной среды (ОПС), защита носителей (ЗНИ), регистрация событий (РСБ), антивирусная защита (АВЗ), обнаружение вторжений (СОВ), анализ защищённости (АНЗ), целостность (ОЦЛ), доступность (ОДТ), виртуализация (ЗСВ), технические средства (ЗТС), информационные системы (ЗИС), конфигурирование (УКФ), обновление (ОПО). Для МИС уровня УЗ-3 обязательны меры из большинства групп.

Сертифицированные СЗИ — это продукты, прошедшие сертификацию ФСТЭК России или ФСБ России. Наличие сертификата подтверждает, что продукт соответствует требованиям руководящих документов. Реестр сертифицированных СЗИ ведётся на сайте ФСТЭК России.

Для МИС актуальны следующие классы сертифицированных СЗИ:

Средства защиты от НСД (СЗИ НСД) — управление доступом пользователей к данным пациентов, разграничение прав по ролям. Типовые продукты: Dallas Lock, Secret Net Studio, Astra Linux Special Edition.
Средства антивирусной защиты — сертифицированные версии Kaspersky Endpoint Security, Dr.Web Enterprise Security Suite, ViPNet SafeDisk.
Средства обнаружения вторжений (СОВ) — ViPNet IDS, АПКШ «Континент», PT Network Attack Discovery.
Средства криптографической защиты (СКЗИ) — для шифрования канала передачи данных в ЕГИСЗ и при телемедицине. КриптоПро CSP, ViPNet Client, АПКШ «Континент».
Межсетевые экраны (МЭ) — сертифицированные МЭ класса не ниже 3А для УЗ-3. АПКШ «Континент», UserGate, СКДПУ НТ.
Средства регистрации событий (SIEM) — для выполнения группы мер РСБ. MaxPatrol SIEM, KUMA от Kaspersky, KOMRAD Enterprise.

При подключении МИС к ЕГИСЗ (Единой государственной информационной системе в сфере здравоохранения) применяются дополнительные требования Минздрава: использование СКЗИ, сертифицированных ФСБ, и аккредитованного удостоверяющего центра для электронной подписи. Передача данных в ЕГИСЗ осуществляется по защищённым каналам.

«Приказ ФСТЭК №21 от 18.02.2013 — определяет меры по обеспечению безопасности ПДн при их обработке в ИСПДн. Для УЗ-3 установлен базовый набор мер; оператор вправе адаптировать и уточнять состав с учётом модели угроз. Использование несертифицированных средств защиты — нарушение ч. 4 ст. 19 ФЗ-152.»

Шаг 4. Что входит в документацию для аттестации МИС?

Применение сертифицированных СЗИ — необходимое, но не достаточное условие. Для подтверждения соответствия требованиям ПП РФ №1119 и Приказа ФСТЭК №21 необходима аттестация ИСПДн. Аттестацию проводят организации, лицензированные ФСТЭК по технической защите конфиденциальной информации (ТЗКИ).

Комплект документации для аттестации МИС включает:

Акт классификации ИСПДн с определением уровня защищённости.
Модель угроз безопасности ПДн, разработанную по методике ФСТЭК.
Технический паспорт ИСПДн с описанием состава, структуры, топологии.
Перечень обрабатываемых ПДн с указанием категорий и целей обработки.
Инструкции пользователей и администраторов безопасности.
Приказ о назначении администратора информационной безопасности.
Журнал учёта носителей информации и событий безопасности.
Аттестат соответствия (выдаётся органом по аттестации).

Аттестат соответствия выдаётся на срок до 3 лет. После истечения или при существенном изменении конфигурации системы (замена ПО, расширение периметра, подключение МИС к новым сервисам ЕГИСЗ) требуется повторная аттестация или внеплановый инспекционный контроль.

Если главный врач получил предписание РКН или уведомление о плановой проверке — аттестационная документация МИС должна быть готова до визита инспектора. На подготовку уходит от 4 до 8 недель. Юристы DATUM сопроводят проверку и подготовят комплект ОРД под МИС клиники.

Подготовиться к проверке РКН

Шаг 5. Как правильно оформить согласия пациентов на обработку ПДн?

Обработка специальных категорий ПДн о здоровье требует отдельного письменного согласия по ст. 9 и ст. 10 ФЗ-152. С 01.09.2025 согласие оформляется как самостоятельный документ — его нельзя включать в договор на оказание медицинских услуг или в информированное добровольное согласие (ИДС) на медицинское вмешательство по ст. 20 ФЗ №323-ФЗ.

Согласие на обработку ПДн в медицинских целях должно содержать: полное наименование оператора (клиники), цель обработки (оказание медицинской помощи, ведение медицинской документации, передача в ЕГИСЗ), перечень данных (ФИО, дата рождения, СНИЛС, диагноз, результаты исследований), перечень действий с ПДн, срок действия, способ отзыва.

Согласие на передачу данных в ЕГИСЗ оформляется отдельно. Телемедицинские консультации, в которых участвует пациент из другого региона или через зарубежный сервис, могут дополнительно требовать уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152.

Что подготовить главному врачу до проверки РКН

Акт классификации МИС с определённым уровнем защищённости (УЗ-1, УЗ-2 или УЗ-3) и подписанной моделью угроз.
Аттестат соответствия МИС требованиям ФСТЭК, действующий на дату проверки.
Отдельные письменные согласия пациентов на обработку специальных категорий ПДн по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.
Политику обработки персональных данных, опубликованную на сайте клиники (ч. 2 ст. 18.1 ФЗ-152).
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 и приказ о назначении администратора безопасности МИС.

Как это применяется на практике

Кейс 1. Сеть стоматологических клиник (Уральский ФО, начало 2026) прошла плановую проверку РКН. Инспекторы запросили аттестационную документацию МИС и согласия пациентов на передачу данных в ЕГИСЗ. МИС работала на несертифицированном антивирусе, аттестат отсутствовал. По итогам проверки выдано предписание об устранении нарушений ст. 19 ФЗ-152. Клиника провела аттестацию в течение 6 недель, заменила СЗИ на сертифицированные аналоги — штраф был назначен в диапазоне первой части ст. 13.11 КоАП.

Кейс 2. Региональная медицинская лаборатория (Сибирский ФО, осень 2025) допустила утечку результатов анализов через уязвимость в веб-интерфейсе МИС. Затронуто около 8 000 пациентов. Руководство лаборатории уведомило РКН в течение 20 часов (до истечения 24-часового срока по ч. 3.1 ст. 21 ФЗ-152), через 68 часов представило отчёт о расследовании по Приказу РКН №187. Оперативность реагирования была учтена при назначении административного наказания. Параллельно проведена аттестация МИС, установлены сертифицированные СЗИ НСД и SIEM для мониторинга событий.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка МИС и ОРД медицинской организации по чек-листу из 38 пунктов.
Комплект ОРД под ключ — пакет документов для клиники: политика, согласия пациентов, приказы, регламент реагирования.
Сопровождение проверок РКН — подготовка, представительство на проверке, обжалование предписания.

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие (ИДС) на медицинское вмешательство регулируется ст. 20 ФЗ №323-ФЗ и подтверждает согласие пациента на конкретную процедуру или операцию. Согласие на обработку персональных данных — отдельный документ по ст. 9 ФЗ-152, подтверждающий право клиники собирать, хранить и передавать данные пациента. С 01.09.2025 эти документы нельзя объединять: согласие на ПДн оформляется самостоятельно по требованиям ФЗ-156 от 24.06.2025. Подмена одного другим — нарушение ч. 2 ст. 13.11 КоАП, штраф до 700 000 ₽.

2. Можно ли публиковать фото до-после с согласия пациента?

Публикация фотографий, на которых можно идентифицировать пациента, — это распространение персональных данных по ст. 10.1 ФЗ-152. Если фотографии отражают состояние здоровья, они относятся к специальным категориям ПДн. Для публикации требуется отдельное согласие на распространение по ст. 10.1 ФЗ-152 — дополнительно к общему согласию на обработку ПДн. Молчание или отсутствие прямого разрешения на распространение означает запрет: дефолт по ст. 10.1 — только для внутренней обработки оператора.

3. Кто отвечает за утечку через МИС?

Ответственность несёт оператор персональных данных — медицинская организация — независимо от того, произошла ли утечка по вине штатного сотрудника или через уязвимость в ПО поставщика МИС. Если МИС предоставляется по SaaS-модели, необходимо оформить поручение на обработку ПДн по п. 3 ст. 6 ФЗ-152. При утечке данных о здоровье от 1 000 субъектов — штраф по ч. 12 ст. 13.11 КоАП составляет 3–5 млн ₽. Если инцидент не был уведомлен в РКН за 24 часа — дополнительно штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.

4. Какие данные передавать в ЕГИСЗ?

Состав передаваемых в ЕГИСЗ сведений определяется приказами Минздрава России и зависит от вида медицинской организации и категории медицинской документации. В общем случае передаются: сведения о медицинских работниках, данные о медицинских организациях, электронные медицинские документы (выписки, эпикризы, направления). Передача осуществляется по защищённым каналам с использованием СКЗИ, сертифицированных ФСБ. До передачи необходимо получить согласие пациента на обработку ПДн в системе ЕГИСЗ как отдельную цель обработки.

5. Что грозит клинике за утечку данных пациентов?

За утечку специальных категорий ПДн о здоровье предусмотрено несколько видов ответственности. Административная — по ч. 12–14 ст. 13.11 КоАП: от 3 млн до 15 млн ₽ в зависимости от числа пострадавших субъектов. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Уголовная ответственность по ст. 272.1 УК РФ (действует с 11.12.2024) — до 10 лет лишения свободы при тяжких последствиях. Дополнительно — требования пациентов о компенсации морального вреда в гражданском порядке.

6. Нужна ли аттестация МИС, если клиника небольшая?

Обязанность обеспечить защиту ИСПДн в соответствии с установленным уровнем защищённости распространяется на все организации, обрабатывающие ПДн, независимо от размера. Даже частная клиника с 500 пациентами обрабатывает специальные категории ПДн, что требует УЗ-3 при стандартной модели угроз. Применение сертифицированных СЗИ и оформление аттестационной документации — обязанность, а не опция. Отсутствие аттестата при проверке РКН фиксируется как нарушение ст. 19 ФЗ-152.

Итог

Выбор сертифицированных СЗИ для МИС — не технический вопрос, а юридическое требование: без аттестованной ИСПДн медицинская организация нарушает ПП РФ №1119 и Приказ ФСТЭК №21. Специальные категории ПДн о здоровье пациентов создают повышенные требования к уровню защищённости и оформлению согласий. С 01.09.2025 согласие на обработку ПДн — отдельный документ, не совмещённый с ИДС или договором.

DATUM сопровождает медицинские организации при подготовке к проверкам РКН, формирует ОРД под МИС и ЕГИСЗ, консультирует по выбору сертифицированных СЗИ в связке с правовыми требованиями ФЗ-152 и ФЗ №323-ФЗ.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.

14 апреля 2029 года