Материал обновлен 23.06.2025. Защита объектов критической информационной инфраструктуры в сфере здравоохранения
Борисов Д.А. / 23 Июня 2025 / просмотров 234
Борисов Дмитрий Александрович, кандидат экономических наук, эксперт Федеральной антимонопольной службы России по развитию конкуренции в здравоохранении и образованииКатегорирование и обеспечение безопасности объектов критической информационной инфраструктуры
Борисов Д.А.
Выделить главное вкл выкл
Обновление материала, перейти к содержанию
23.06.2025. Добавлен вопрос 2 и раздел 4 "Бездействие в сфере защиты объектов критической информационной инфраструктуры"
Вопрос 1. Наш компания является частной медицинской организацией, оказывающей медицинскую помощь населению за плату. В процессе работы клиникой используется диагностическое, лабораторное оборудование, с установленным изготовителем программным обеспечением, а так же программа 1С (для расчета заработной платы, для ведения расписания врачей и т. п.).
В последнее время со стороны прокуратуры появились требования о проведении в клинике категорирования используемых информационных систем и направление уведомления о проведенной работе во ФСТЭК.
Наше мнение - клиника не использует информационные системы, которые относятся к Критической информационной инфраструктуре, а так же не относится к субъекту Критической информационной инфраструктуры в силу следующего.
В соответствии с Федеральным законом от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры РФ" критическая информационная инфраструктура - объекты критической информационной инфраструктуры (КИИ), а также сети электросвязи, используемые для организации взаимодействия таких объектов. В целях данного закона к объектам критической информационной инфраструктуры отнесены информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры. Субъектами критической информационной инфраструктуры являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения. При этом, категорирование осуществляется исходя из:
1) социальной значимости, выражающейся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимального времени отсутствия доступа к государственной услуге для получателей такой услуги;
2) политической значимости, выражающейся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;
3) экономической значимости, выражающейся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;
4) экологической значимости, выражающейся в оценке уровня воздействия на окружающую среду;
5) значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.
Примерный список объектов КИИ в сфере здравоохранения определен Министерством здравоохранения России в Перечне от 01.07.2024, согласованным со ФСТЭК России. Согласно данному перечню отраслевыми объектами КИИ (в сфере здравоохранения) являются ГИС СЗ, МИС (системы лечебно-профилактических учреждений), Системы автоматизации медицинской деятельности (Системы, предназначенные для клинико-лабораторных исследований в лечебно-профилактических учреждениях (программно-аппаратные комплексы для функциональной и лабораторной диагностики), для управления аппаратами и оборудованием для лучевой диагностики, для проведения лучевой терапии, для управления аппаратурой и оборудованием общего профиля, для принудительной подачи газовой смеси, для проведения инфузии, для постоянного, интенсивного наблюдения больных, для управления лабораторным оборудованием, для проведения хирургических вмешательств).
В соответствии со ст. 29 Федерального закона от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" организация охраны здоровья основывается на функционировании и развитии государственной, муниципальной и частной систем здравоохранения. Таким образом, государством признается три вида системы здравоохранения в России.
Однако наша организация является частной клиникой, в государственную систему здравоохранения не входит. Перечень отраслевых объектов КИИ, определенных Министерством здравоохранения России, не распространяется на частную систему здравоохранения, поскольку соотносится только с лечебно-профилактическими учреждениями, то есть медицинскими организациями, подведомственными Министерству здравоохранения России.
Используемые частной клиникой информационные системы не интегрированы с какими-либо другими информационными системами, обмена данными не происходит. Изображения, полученные в ходе диагностических исследований, на определенное время накапливаются либо в самом аппарате (например, УЗИ), либо в компьютере, входящем в состав оборудования (рентген, МРТ, КТ, маммограф). Перенос изображений в какие-либо информационные системы не производится.
В тоже время, в соответствии со ст. 19.7.15 КоАП РФ предусмотрена ответственность за непредставление или нарушение сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, либо об отсутствии необходимости присвоения ему одной из таких категорий либо представление недостоверных сведений. Иными словами, ответственность за непризнание себя субъектом КИИ и не выявление объектов КИИ не предусмотрена.
На наш взгляд Федеральный закон от 26.07.2017 N 187-ФЗ не вполне корректно и однозначно трактует что и кто относится к объектам и субъектам КИИ. Что позволяет контролирующим органам произвольно трактовать положения закона.
Просим оказать содействие в разъяснении положений Федерального закона от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры РФ" и распространении его положений на частную систему здравоохранения, просим направить соответствующее обращение законодателю в целях получения ответов на заданные вопросы.
Ответ на вопрос 1. В связи с поставленным вопросом целесообразно привести текст предостережения Росздравнадзора, направленного в адрес частной медицинской организации. Далее приводится текст предостережения.
Территориальный орган Росздраанадзора по Республике Северная Осетия-Алания на Ваш ответ на предостережение от 12.04.2025 сообщает, что по данным ФРЭМД, Вашей медицинской организацией, по состоянию на 14.04.2025 действительно осуществлена интеграция с РЭМД, вносятся документы "Протокол консультации" и "Протокол инструментального исследования". В то же время, с учетом выполняемых организацией работ / услуг, не исключена необходимость внесения в РЭМД и других структурированных электронных доку ментов, в том числе:
- лист назначений и их выполнение;
- направление на лабораторное исследование;
- осмотр лечащим врачом, врачом-специалистом, заведующим отделением, лечащим врачом совместно с врачом-специалистом, лечащим врачом совместно с заведующим отделением;
- выписка из истории болезни;
- рецепт на лекарственный препарат;
- медицинская карта пациента, получающего медицинскую помощь в амбулаторных условиях;
- направление на госпитализацию для оказания специализированной медицинской помощи;
- направление на госпитализацию, восстановительное лечение, обследование, консультацию.
Необходимо отметить, что обязанность по передаче документов в РЭМД установлена подпунктом "е" пункта 6 Положения о лицензировании медицинской деятельности, утв. Постановлением Правительства РФ от 01.06.2021 N 852, предусмотрено лицензионное требование о размещении информации в единой системе в соответствии со статьей 91.1 Федерального закона "Об основах охраны здоровья граждан в Российской Федерации" и Положением о единой государственной информационной системе в сфере здравоохранения (далее - ЕГИСЗ, см. Постановление Правительства РФ от 09.02.2022 N 140 — прим. авт.) посредством медицинской информационной системы медицинской организации, соответствующей установленным требованиям (см. Приказ Минздрава России от 24.12.2018 N 911н - прим. авт.).
Поскольку медицинская информационная система является объектом критической информационной инфраструктуры (далее - КИИ) постольку каждая медицинская организация является субъектом КИИ.
Ответ на вопрос 1 см. в разделе 1.
Вопрос 2. Мы получили вот такое письмо из прокуратуры (во вложении). Категорированием мы не занимались, и не знаем, что делать с этим. Может, у Вас есть какой-то контакт, к кому обратиться, чтобы помогли с этим вопросом?
Далее приводится текст представления прокуратуры от 30.04.2025.
ПРЕДСТАВЛЕНИЕ
об устранении нарушений законодательства о безопасности критической информационной инфраструктуры
Межрайонной прокуратурой проведена проверка исполнения законодательства в сфере защиты информации, законодательства о безопасности критической информационной инфраструктуры в ходе которой выявлены нарушения в ООО многопрофильный медицинский центр.
Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.
Положениями статьи 2 Федерального закона от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - Федеральный закон N 187-ФЗ) определено, что:
- критическая информационная инфраструктура - это объекты критической информационной инфраструктуры (КИИ), а также сети электросвязи, используемые для организации взаимодействия таких объектов;
- объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;
- субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица, которые обеспечивают взаимодействие указанных систем или сетей.
Согласно статье 7 Федеральный закон N 187-ФЗ категорирование объекта КИИ представляет собой установление соответствия объекта КИИ критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения (часть 1).
Категорирование осуществляется исходя из социальной, политической, экономической, экологической значимости, а также значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка (часть 2).
В соответствии с частью 3 статьи 7 Федерального закона N 187-ФЗ, пунктов 6, 7 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 N 127, по итогам категорирования устанавливаются одна из трех категорий значимости объектов КИИ, а в случае, если объект КИИ не соответствует ни одному показателю критериев значимости и их значениям, категория значимости не присваивается.
Согласно пункту 11 Правил для проведения категорирования решением руководителя субъекта КИИ создается постоянно действующая комиссия.
Комиссия по категорированию в ходе своей работы, в том числе выявляет объекты КИИ (например, медицинская информационная система, 1С Бухгалтерия и т. п.), а также оценивает необходимость категорирования вновь создаваемых информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей (пункта 14 Правил).
В соответствии с требованиями пунктами 16, 17 Правил результат работы комиссии оформляется актом. Субъект КИИ в течение 10 рабочих дней со дня утверждения акта направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ, сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
Проверкой установлено, что при осуществлении деятельности в ООО эксплуатируются информационные системы предназначенные для сбора, хранения, обработки и представления информации, необходимой для автоматизации процессов оказания и учета медицинской помощи и информационной поддержки медицинских работников, включая информацию о пациентах, об оказываемой им медицинской помощи и о медицинской деятельности медицинских организаций, в частности: "Гос.Закупки", "СБИС", "1с-Бухгалтерия", "АИС ЦСОО ТФОМС _ области", "ЕЦП", "ЛПУ электронный листок нетрудоспособности", "ГИС ОМС", "Алькона".
Установлено, что в нарушение Федерального закона от 26.07.2017 N 187- ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 N 127, в ООО комиссия по категорированию не создана (1), объекты критической информационной инфраструктуры не категорированы (2), соответствующая информация во ФСТЭК не направлена (3).
Выявленные нарушения требований законодательства в сфере защиты информации, законодательства о безопасности критической информационной инфраструктуре являются недопустимыми и подлежат незамедлительному устранению.
На основании изложенного, руководствуясь ст. ст. 6, 22, 24 Федерального закона от 17.01.1992 N 2202-1 "О прокуратуре Российской Федерации",
ТРЕБУЮ:
1. Безотлагательно рассмотреть настоящее представление и принять меры к устранению и недопущению впредь выявленных нарушений действующего законодательства, а также условий, им способствующих.
2. Рассмотреть вопрос о привлечении виновных лиц к дисциплинарной ответственности.
3. В соответствии с п. 3 ст. 7 Федерального закона "О прокуратуре Российской Федерации" уведомить межрайонную прокуратуру о месте и времени рассмотрения представления для участия представителя прокуратуры района в его рассмотрении.
4. О результатах рассмотрения представления сообщить в прокуратуру района к незамедлительному устранению в письменной форме с приложением подтверждающих документов.
Ответ на вопрос 2. Согласно представлению прокуратуры необходимо:
1. Безотлагательно рассмотреть настоящее представление и принять меры к устранению и недопущению впредь выявленных нарушений действующего законодательства, а также условий, им способствующих.
Комментарий автора. По данному пункту необходимо приказом руководителя создать комиссию по категорированию объектов КИИ. Комиссии необходимо утвердить акт категорирования объектов КИИ и направить его во ФСТЭК.
Конец комментария.
2. Рассмотреть вопрос о привлечении виновных лиц к дисциплинарной ответственности.
Комментарий автора. Согласно статьи 192 ТК РФ основными видами дисциплинарных взысканий являются:
1. Замечание - минимальное наказание, которое назначается за проступки, не повлекшие существенных последствий.
2. Выговор - наказание за более серьезный дисциплинарный проступок или неоднократное его совершение.
3. Увольнение (по соответствующим основаниям).
За один дисциплинарный проступок может быть применено только одно взыскание. Таким образом, если за не проведение категорирования сотрудник привлекается к дисциплинарной ответственности впервые, то можно ограничится замечанием. Впоследствии можно объявить выговор, затем лишить премии и т. д.
Согласно статьи 192 ТК РФ дисциплинарный проступок определяет как неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей. Таким образом, привлечение к дисциплинарной ответственности возможно только при одновременном выполнении совокупности условий:
1) проступок совершил работник, то есть гражданин, с которым заключен трудовой договор;
2) работник по своей вине, а не по вине третьих лиц совершил проступок, например, имел возможность выполнить возложенные на него трудовые обязанности, но не исполнил их по субъективным причинам, зависящим исключительно от работника;
3) в результате совершенного проступка работник не исполнил или исполнил ненадлежащим образом свои трудовые обязанности, предусмотренные трудовым договором, должностной инструкцией или приказом, с которыми он ознакомлен под роспись.
Руководитель или уполномоченное локальным нормативным актом иное лицо возлагает дисциплинарную ответственность на работников организации.
Если приказом руководителя комиссия по категорированию объектов КИИ не была создана, то есть отсутствует лицо, которому вменено в обязанность проведение категорирования объектов КИИ, то ответственность ложится на руководителя организации.
Привлекающим к дисциплинарной ответственности органом в случае проступка руководителя организации является иной исполнительный орган организации (совет директоров, правление или общее собрание участников ООО).
Конец комментария.
3. В соответствии с п. 3 ст. 7 Федерального закона "О прокуратуре Российской Федерации" уведомить межрайонную прокуратуру о месте и времени рассмотрения представления для участия представителя прокуратуры района в его рассмотрении.
Комментарий автора. Необходимо пригласить представителя прокуратуры, чтобы в его присутствии зафиксировать план мероприятий: определить виновное лицо, процедуру привлечения к дисциплинарной ответственности, при необходимости назначить дату внеочередного собрания участников ООО для привлечения к ответственности руководителя, определить состав комиссии по категорированию объектов КИИ и срок проведения категорирования.
Конец комментария.
4. О результатах рассмотрения представления сообщить в прокуратуру района в письменной форме с приложением подтверждающих документов.
Комментарий автора. Необходимо направить копию протокола рассмотрения представления прокуратуры, указав присутствующих лиц и перечень мероприятий, копии приказов о привлечении дисциплинарной ответственности, о создании комиссии по категорированию, акта категорирования объектов КИИ, подтверждение направления акта во ФСТЭК. Акт категорирования объектов КИИ и сведения о его направлении во ФСТЭК можно направить в прокуратуру позже, после проведения категорирования.
Конец комментария.
Содержание
1. Категорирование и обеспечение безопасности объектов критической информационной инфраструктуры
2. Неправомерное воздействие на ЕГИСЗ с использованием легитимной учетной записи пользователя
3. Нарушение требований о защите информации в информационных системах медицинских организаций
4. Бездействие в сфере защиты объектов критической информационной инфраструктуры
Перечень нормативных правовых актов
1. "Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ
2. Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
3. Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации"
4. Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"
5. Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
6. Постановление Правительства РФ от 09.02.2022 N 140 "О единой государственной информационной системе в сфере здравоохранения"
7. Постановление Правительства РФ от 01.06.2021 N 852 "О лицензировании медицинской деятельности (за исключением указанной деятельности, осуществляемой медицинскими организациями и другими организациями, входящими в частную систему здравоохранения, на территории инновационного центра "Сколково") и признании утратившими силу некоторых актов Правительства Российской Федерации"
8. Постановление Правительства РФ от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений"
9. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
10. Постановление Правительства РФ от 16.04.2012 N 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)"
11. Постановление Правительства РФ от от 03.02.2012 N 79 "О лицензировании деятельности по технической защите конфиденциальной информации"
12. Постановление Правительства РФ от 26.06.1995 N 608 "О сертификации средств защиты информации"
13. Приказ ФСТЭК России от 25.12.2017 N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации"
14. Приказ ФСТЭК России от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий"
15. Приказ ФСТЭК России от 21.12.2017 N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования"
16. Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
17. Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"
18. Приказ ФСБ России от 19.06.2019 N 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"
19. Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"
20. Приказ Минздрава России от 31.07.2020 N 785н "Об утверждении Требований к организации и проведению внутреннего контроля качества и безопасности медицинской деятельности"
21. Приказ Минздрава России от 24.12.2018 N 911н "Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций"
22. Приказ Министерства труда и социальной защиты РФ от 15.09.2016 N 522н "Об утверждении профессионального стандарта "Специалист по защите информации в автоматизированных системах"
23. Методический документ "Методика оценки угроз безопасности информации", утв. ФСТЭК России 05.02.2021
24. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения, утв. Минздравом России 05.04.2021, согласованы ФСТЭК России (письмо от 14.10.2020 № 240/82/1904дсп)
Доступ ограничен
Доступ ограничен для неавторизованных пользователей
Для авторизации, выберите в верхнем меню пункт ВХОД, нажмите ссылку ВОЙТИ. Далее следуйте инструкциям
Подробнее см. процедуру авторизации
