Что такое категорирование КИИ и почему клиники обязаны его пройти
Категорирование КИИ — это обязательная процедура, предусмотренная Федеральным законом № 187-ФЗ «О безопасности критической информационной инфраструктуры».
КИИ (критическая информационная инфраструктура) — это важные ИТ-системы клиники:
- медицинская информационная система (МИС),
- серверы и базы данных,
- диагностическое оборудование, работающее через ПО,
- телекоммуникационная сеть,
- интеграции с государственными системами.
Если клиника ведёт электронные карты, использует МИС, хранит медицинские данные или работает с госинтеграциями — категорию присвоить обязана.
Это требование касается всех современных медицинских организаций, включая частные клиники.
На чём основана обязанность
Коротко и по сути:
- 187-ФЗ «О безопасности КИИ»
Определяет сферы, обязанные проводить категорирование (здравоохранение включено). - Постановление Правительства РФ № 127
Устанавливает правила категорирования и порядок уведомления ФСТЭК. - Методические рекомендации Минздрава (05.04.2021)
Подтверждают, что любые ИТ-системы клиники подпадают под требования КИИ.
Кому категорирование нужно обязательно
Если в клинике есть:
- МИС или любое ПО для работы с пациентами,
- серверы, файловые хранилища, базы данных,
- диагностическое оборудование, работающее через ИТ-системы,
- электронные медкарты, выписки, ЭДО,
- интеграции с ЕГИСЗ, ФФОМС, Росздравнадзором,
- внутренняя ИТ-сеть, доступная персоналу,
— значит клиника является субъектом КИИ и обязана пройти категорирование.
По факту: 99% современных клиник должны выполнить это требование.
Что будет, если не пройти категорирование КИИ
1. Административные штрафы (КоАП РФ)
- до 100 000 ₽ — для должностных лиц,
- до 500 000 ₽ — для юридического лица.
2. Операционные последствия
- Ограничение работы МИС при проверках.
- Блокировка доступа к госинтеграциям.
- Повышенное внимание надзорных органов.
3. Уголовная ответственность
Ст. 274.1 УК РФ: до 5 лет принудительных работ или до 6 лет лишения свободы, если инцидент привёл к вреду КИИ.
4. Позиция Минздрава (2025 год)
Невыполнение требований может привести к ограничению доступа к государственным программам и финансированию.
Как проходит категорирование КИИ (упрощённо)
- Создаётся комиссия внутри клиники.
- Определяются все ИТ-системы, которые используются в работе.
- Анализируется значимость каждой системы.
- Определяется категория (1, 2, 3 или отсутствие категории).
- Формируется акт категорирования.
- Клиника направляет сведения в ФСТЭК — в течение 10 рабочих дней.
Это обязательный, формализованный процесс, который должен быть оформлен документально.
Почему клиникам сложно пройти категорирование самостоятельно
- Объём нормативных документов — более 150 страниц.
- Требуются компетенции сразу в нескольких областях: ИБ, ИТ, юриспруденция, администрирование МИС.
- Ошибка в актах категорирования ведёт к штрафам и рискам блокировки систем.
- У клиник нет лишних ресурсов, чтобы разбираться в методиках, приказах и формах ФСТЭК.
Поэтому подавляющее большинство медучреждений передаёт процесс внешним экспертам.
Что мы делаем для клиники
Аленте берёт на себя весь процесс — от оценки инфраструктуры до оформления документов для ФСТЭК:
1. Проведение первичной оценки
Анализируем ИТ-инфраструктуру: МИС, оборудование, сервера, базы данных, интеграции.
2. Предоставление полного пакета шаблонов документации
Готовые формы приказов, протоколов, перечней — всё, что требуется по нормативам.
3. Формирование перечня объектов КИИ, подлежащих категорированию
Инвентаризация систем и выделение объектов, которые подпадают под законодательство.
4. Расчёт показателей значимости
Определяем возможный ущерб, влияющий на категорию.
5. Подготовка полного комплекта документов для ФСТЭК
Акт категорирования, реестры, схемы, расчёты, сопровождающие материалы.
6. Консультационная поддержка на всех этапах
Разъясняем требования закона, помогаем корректно подготовить документы и избегать ошибок.
Коротко: что должен понимать собственник или главврач
- Категорирование — обязательное требование закона, а не опция.
- Оно касается практически всех современных клиник.
- За невыполнение — значительные штрафы и риски ограничения работы.
- Корректно выполненное категорирование обеспечивает безопасность и легальность работы ИТ-систем.
FAQ — Часто задаваемые вопросы
1. Кому обязательно проводить категорирование КИИ?
Всем медицинским организациям, использующим ИТ-системы: МИС, серверы, базы данных, диагностическое оборудование, интеграции.
2. Частным клиникам тоже нужно?
Да. Закон не делает различий между государственными и частными учреждениями.
3. Что будет, если не пройти категорирование?
Штрафы, риски остановки МИС, проблемы при проверках, ограничение доступа к госпрограммам, возможная уголовная ответственность при серьёзных инцидентах.
4. Как понять, что моя клиника подпадает под требования?
Если вы используете МИС или любой цифровой учёт пациентов — категорирование обязательно.
5. Сколько времени занимает процедура?
В среднем — от 2 до 6 недель, в зависимости от масштаба инфраструктуры.
6. Нужно ли что-то готовить заранее?
Нет. Всё, что потребуется — предоставить нам доступ к информации о ваших системах.
7. Можно ли провести категорирование своими силами?
Теоретически да, но на практике мало у кого внутри клиники есть необходимые компетенции и ресурсы.
8. Категорирование — это то же самое, что защита персональных данных?
Нет. Это разные требования. Персональные данные — отдельный блок законодательства.
9. Проверяет ли ФСТЭК документы по категорированию?
Да. Ведомство может запросить документы, уточнения, схемы и потребовать корректировки.
10. Когда нужно повторять категорирование?
Не реже одного раза в 5 лет или при крупных изменениях в ИТ-инфраструктуре.
11. Можно ли ускорить процесс?
Да, если клиника оперативно предоставляет всю необходимую информацию.
12. Что делать, если мы уже нарушили сроки?
Лучшее решение — начать процедуру как можно быстрее. Штрафы применяются только при выявлении нарушения, а не автоматически.
Нужна помощь в категорировании КИИ?
Оставьте заявку — наши специалисты помогут пройти процедуру быстро, корректно и без рисков.
