Как медицинские организации должны обеспечивать кибербезопасность. С 1 сентября в России вступили в силу поправки в Закон о критической информационной инфраструктуре

Общие требования к КИИ

Вопросы кибербезопасности в медорганизациях регулируются Федеральным законом № 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации» (КИИ) и принятыми подзаконными актами. Требования по кибербезопасности распространяются на все клиники, кроме частных кабинетов в статусе ИП. Их с 1 сентября вывели из-под действия Закона о КИИ¹.

Медорганизации, как субъекты КИИ, должны присвоить своим информационным системам (ИС) категории значимости с учетом их подверженности взлому и потенциальным рискам для пациентов. С 1 сентября вступили в силу поправки в Закон о КИИ, устанавливающие новые требования к категорированию IT-систем и обязательства по переходу организаций на российское программное обеспечение (ПО).

Теперь категорирование необходимо проводить только для типовых IT-систем (объектов КИИ) по общим правилам² с учетом отраслевых особенностей. В 2024 году Минздрав разработал и согласовал с Федеральной службой по техническому и экспортному контролю (ФСТЭК) перечень таких типовых систем. В него вошли Единая государственная информационная система в сфере здравоохранения (ЕГИСЗ), мединформсистемы (МИС) организаций, ПО клинико-диагностических лабораторий, аппаратов для лучевой терапии, анестезии и хирургии, а также для телемедицины.

В начале лета ФСТЭК³ представила для обсуждения новый проект перечня типовых IT-систем для разных отраслей экономики, в котором у медицины дополнительно появились ГИС ОМС и системы обработки данных. В июле Минздрав⁴ представил проект отраслевых особенностей категорирования. Ни ...