Министерство здравоохранения России разработало проект постановления правительства «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры (КИИ) в сфере здравоохранения». Он детально прописывает правила установления соответствия объектов КИИ критериям значимости, признаки значимости таких объектов, а также методику расчета значений показателей с учетом отраслевых особенностей здравоохранения. Документ проходит общественное обсуждение до 18 июля.
Согласно проекту, объекты КИИ будут распределяться на три категории значимости, где первая является наивысшей, а третья — низшей. Распределением отраслевых систем по группам будет заниматься постоянно действующая комиссия по категорированию.
Распределять по категориям будут информационные системы госорганов в сфере здравоохранения, медучреждений, ФФОМС, ТФОМС, российских юрлиц, занимающихся медицинской и фармацевтической деятельностью, а также российских компаний, которые обеспечивают информационное взаимодействие между акторами. Особое внимание планируют уделять организациям, оказывающим специализированную и скорую медпомощь, а также фармдистрибьюторам и аптекам с выручкой от 5 млрд рублей и штатом от 250 сотрудников.
Категорирование Минздрав предлагает проводить по четырем критериям: социальная значимость (число людей, которые потенциально могут пострадать в случае компьютерной атаки на информационную систему, и допустимое время простоя системы в результате сбоя), политическая, экономическая (возможное снижение доходов) и экологическая значимость. При определении показателей экономической значимости Минздрав предлагает оценивать снижение уровня дохода оператора по всем видам деятельности при атаках.
В течение 10 рабочих дней после включения в список КИИ владельцы объектов должны направлять в Федеральную службу по техническому и экспортному контролю (ФСТЭК) пакет документов, который включает:
- полные данные об объекте КИИ;
- информацию о собственнике системы;
- сведения о применяемом программном обеспечении и технических средствах;
- анализ потенциальных рисков и последствий возможных инцидентов;
- другие требуемые сведения.
Минздрав также предусмотрел в проекте методику оценки последствий инцидентов для информационных систем здравоохранения. Согласно документу, при анализе необходимо учитывать наихудшие возможные сценарии, включая полное прекращение работы систем, взаимосвязи между различными информационными системами, а также статистику ранее зафиксированных инцидентов на аналогичных объектах. Такой подход позволит более точно прогнозировать потенциальный ущерб и разрабатывать эффективные меры защиты.
Проект разработан в рамках закона № 187-ФЗ от 26 июля 2017 года «О безопасности критической информационной инфраструктуры Российской Федерации» (закон о КИИ), который вступил в силу в 2018-м. В июне 2025 года ФСТЭК уже публиковала перечень типовых объектов КИИ, включив в него медицинские информационные системы. Реализация этих мер направлена в том числе на повышение защищенности критически важных медицинских информационных систем от киберугроз и минимизацию последствий возможных компьютерных атак на объекты отрасли.