Продолжение цикла о Приказе ФСТЭК №117. В прошлом выпуске — что будет, если ничего не делать: штрафы по ст. 13.12 КоАП, отдельно и жёстче — по персональным данным (ст. 13.11), предписания, отчётность по Кзи. Сегодня — конкретные действия без паники, но без промедления.
Приказ №117 действует с 1 марта 2026 года. Ниже — три шага, которые руководитель может запустить на этой неделе.
Важно понять до старта: вы не только под №117
Если вы медицинская организация (юрлицо) с МИС, серверами, электронными картами, интеграциями с ЕГИСЗ или ОМС — вы субъект критической информационной инфраструктуры (КИИ) или обязаны им стать после категорирования.
Перечень типовых объектов КИИ (Распоряжение №360-р от 26.02.2026) прямо включает информационные системы медицинских организаций. Практически любая больница или поликлиника с цифровым учётом пациентов сюда попадает.
Значит, на вас действуют два контура сразу:
- Приказ ФСТЭК №117 — защита информации в госИС и иных ИС;
- 187-ФЗ о КИИ + Указ Президента №250 — организация ИБ на уровне руководства, категорирование, взаимодействие с ГосСОПКА и др.
Три шага ниже закрывают минимум по №117 и одновременно выводят вас из зоны «формальной ИБ» по КИИ.
Шаг 1. Назначьте ответственного за защиту информации — через заместителя
Что требует №117
По п. 17–18 требований:
- защиту информации организует руководитель;
- либо ответственное лицо по его решению — с полномочиями, прописанными в должностных обязанностях.
Если приказом никого не назначили — отвечаете вы лично.
Что добавляет Указ №250 для медорганизаций
Для субъектов КИИ (а медорганизации с МИС — это вы) Указ Президента №250 от 01.05.2022 требует иного:
- полномочия по обеспечению информационной безопасности возлагаются на заместителя руководителя;
- оформляется отдельным распорядительным документом (типовое положение — ПП №1272);
- руководитель несёт персональную ответственность за состояние ИБ в организации.
Назначить «просто сисадмина» приказом недостаточно. Сисадмин может быть исполнителем, но ответственность на уровне управления — у заместителя (или у руководителя, если он сам принял эту функцию и оформил это документально — но для КИИ стандарт — именно зам).
Как оформить
- Распоряжение / приказ о возложении полномочий по ИБ на заместителя руководителя (по Указу №250).
- Приказ о назначении ответственного лица за организацию защиты информации по №117 (часто это тот же заместитель).
- Должностные обязанности — п. 18 №117: функции по организации, управлению и контролю защиты информации включены в инструкцию или трудовой договор.
- По п. 19 — создать подразделение по ИБ или закрепить специалистов (штатного ИБ, при его отсутствии — сисадмина и/или юриста с понятным объёмом задач и выделенным временем).
Ориентир по сроку: 1–2 рабочих дня.
Шаг 2. Выделите ресурсы (хотя бы минимальные)
Организация деятельности по защите информации включает выделение ресурсов (п. 14, подп. «е»). Подразделение или специалисты по ИБ готовят обоснованные предложения, руководитель в пределах имеющихся средств их обеспечивает (п. 27).
Для медорганизации-субъекта КИИ это не «по желанию»: без ресурсов не закрыть ни №117, ни категорирование, ни требования по значимым объектам.
Что это значит на практике
- время — ИБ, IT, юристы на документы, инвентаризацию ИС, категорирование;
- бюджет — сертифицированные СЗИ там, где они обязательны;
- доступ — к сведениям об МИС, сетях, серверах, интеграциях, учётных записях;
- для КИИ — ресурсы на ГосСОПКА, мониторинг, устранение уязвимостей в регламентные сроки.
Что сделать сейчас
- Поручить заместителю / ответственному за ИБ краткое обоснование: что нужно в первую очередь (приказы, политика, инвентаризация МИС, категорирование КИИ).
- Подписать распоряжение: что выделяете сейчас, что — в следующем квартале.
- Если денег нет — зафиксировать это письменно и включить в план перехода. «Ничего не выделили и не задокументировали» хуже, чем «минимум + план».
Ориентир по сроку: 2–3 рабочих дня.
Шаг 3. Разработайте и утвердите Политику защиты информации
П. 14–15 №117: политика — центральный локальный акт. В ней фиксируются цели, объекты, принципы, роли, ответственность, система управления ИБ.
Для МО в политику попадают не абстрактные «ИС», а конкретика:
- МИС, РЭМД, интеграции с ЕГИСЗ, региональными системами, ОМС;
- серверы, СХД, сети, удалённый доступ;
- кадровые и бухгалтерские системы с ПДн;
- объекты КИИ после категорирования.
Без политики нельзя
- разработать внутренние стандарты и регламенты (№117 их требует);
- определить класс защищённости;
- обосновать выбор сертифицированных СЗИ;
- пройти проверку и рассчитывать Кзи;
- показать системный подход при категорировании КИИ.
Минимальное содержание (по п. 14)
- цели и задачи защиты информации;
- принципы защиты;
- область действия — перечень ИС, сетей, инфраструктуры (включая МИС);
- категории участников, обязанности и полномочия;
- ответственность за нарушения;
- схема организационной системы управления ИБ.
Утверждает руководитель (п. 15). Политика обязательна для всех подразделений в части, их касающейся.
Политику имеет смысл делать в первую очередь — до тяжёлых технических проектов.
Ориентир по сроку: черновик за 3–5 дней; финальное утверждение — обычно 2–4 недели после согласования с IT и юристами.
Бонус: план перехода и категорирование КИИ — параллельно
План перехода по №117
Информсообщение ФСТЭК № 240/22/1492 от 12.03.2026 — организации должны подготовить план перехода к требованиям №117: мероприятия, меры, сроки, ответственные. План утверждает руководитель.
Включите в него:
- приказы и политику (шаги 1–3);
- инвентаризацию всех ИС;
- категорирование объектов КИИ по перечню №360-р;
- расчёт Кзи / Пзи;
- взаимодействие с ГосСОПКА (для значимых объектов);
- работу с подрядчиками.
Позже по п. 33 №117 понадобится план мероприятий по совершенствованию защиты (после оценки Кзи/Пзи) — это следующий этап, не путайте с планом перехода.
Категорирование КИИ — не «когда-нибудь»
Если МИС уже работает, а акт категорирования и сведения во ФСТЭК не актуализированы — вы в зоне риска по 187-ФЗ, даже если по №117 «бумаги начали делать».
Минимум параллельно с политикой:
- приказ о комиссии по категорированию;
- сверка ИС с перечнем №360-р;
- акт категорирования и направление сведений во ФСТЭК.
Итог: первая неделя
День 1–2: распоряжение о возложении полномочий по ИБ на заместителя (Указ №250) + приказ об ответственном лице (№117).
День 2–4: решение по ресурсам — пусть минимальное, но зафиксированное.
День 3–7: старт политики + черновик плана перехода + запуск категорирования КИИ.
Через неделю у вас не «мы ничего не делали», а управленческий каркас: зам по ИБ, ресурсы, политика, план — на который ляжет вся дальнейшая работа по №117 и КИИ.
В ближайших выпусках цикла:
- как разработать Политику защиты информации (пошаговый алгоритм);
- внутренние стандарты и регламенты: что писать, чтобы не ошибиться;
- как определить класс защищённости вашей ИС;
- категорирование МИС по перечню №360-р;
- готовые шаблоны документов.
Нужна помощь или комплект документов — synlawtech.ru (шаблоны, экспресс-тест, консультация). Вопросы — в комментариях.
Подпишитесь на канал, чтобы не пропустить продолжение серии.
.