Добавить в корзинуПозвонить
Найти в Дзене

С чего начать: первые 3 шага для руководителя

Продолжение цикла о Приказе ФСТЭК №117. В прошлом выпуске — что будет, если ничего не делать: штрафы по ст. 13.12 КоАП, отдельно и жёстче — по персональным данным (ст. 13.11), предписания, отчётность по Кзи. Сегодня — конкретные действия без паники, но без промедления. Приказ №117 действует с 1 марта 2026 года. Ниже — три шага, которые руководитель может запустить на этой неделе. Если вы медицинская организация (юрлицо) с МИС, серверами, электронными картами, интеграциями с ЕГИСЗ или ОМС — вы субъект критической информационной инфраструктуры (КИИ) или обязаны им стать после категорирования. Перечень типовых объектов КИИ (Распоряжение №360-р от 26.02.2026) прямо включает информационные системы медицинских организаций. Практически любая больница или поликлиника с цифровым учётом пациентов сюда попадает. Значит, на вас действуют два контура сразу: Три шага ниже закрывают минимум по №117 и одновременно выводят вас из зоны «формальной ИБ» по КИИ. По п. 17–18 требований: Если приказом никого
Оглавление

Продолжение цикла о Приказе ФСТЭК №117. В прошлом выпуске — что будет, если ничего не делать: штрафы по ст. 13.12 КоАП, отдельно и жёстче — по персональным данным (ст. 13.11), предписания, отчётность по Кзи. Сегодня — конкретные действия без паники, но без промедления.

Приказ №117 действует с 1 марта 2026 года. Ниже — три шага, которые руководитель может запустить на этой неделе.

Важно понять до старта: вы не только под №117

Если вы медицинская организация (юрлицо) с МИС, серверами, электронными картами, интеграциями с ЕГИСЗ или ОМС — вы субъект критической информационной инфраструктуры (КИИ) или обязаны им стать после категорирования.

Перечень типовых объектов КИИ (Распоряжение №360-р от 26.02.2026) прямо включает информационные системы медицинских организаций. Практически любая больница или поликлиника с цифровым учётом пациентов сюда попадает.

Значит, на вас действуют два контура сразу:

  • Приказ ФСТЭК №117 — защита информации в госИС и иных ИС;
  • 187-ФЗ о КИИ + Указ Президента №250 — организация ИБ на уровне руководства, категорирование, взаимодействие с ГосСОПКА и др.

Три шага ниже закрывают минимум по №117 и одновременно выводят вас из зоны «формальной ИБ» по КИИ.

Шаг 1. Назначьте ответственного за защиту информации — через заместителя

Что требует №117

По п. 17–18 требований:

  • защиту информации организует руководитель;
  • либо ответственное лицо по его решению — с полномочиями, прописанными в должностных обязанностях.

Если приказом никого не назначили — отвечаете вы лично.

Что добавляет Указ №250 для медорганизаций

Для субъектов КИИ (а медорганизации с МИС — это вы) Указ Президента №250 от 01.05.2022 требует иного:

  • полномочия по обеспечению информационной безопасности возлагаются на заместителя руководителя;
  • оформляется отдельным распорядительным документом (типовое положение — ПП №1272);
  • руководитель несёт персональную ответственность за состояние ИБ в организации.

Назначить «просто сисадмина» приказом недостаточно. Сисадмин может быть исполнителем, но ответственность на уровне управления — у заместителя (или у руководителя, если он сам принял эту функцию и оформил это документально — но для КИИ стандарт — именно зам).

Как оформить

  1. Распоряжение / приказ о возложении полномочий по ИБ на заместителя руководителя (по Указу №250).
  2. Приказ о назначении ответственного лица за организацию защиты информации по №117 (часто это тот же заместитель).
  3. Должностные обязанности — п. 18 №117: функции по организации, управлению и контролю защиты информации включены в инструкцию или трудовой договор.
  4. По п. 19 — создать подразделение по ИБ или закрепить специалистов (штатного ИБ, при его отсутствии — сисадмина и/или юриста с понятным объёмом задач и выделенным временем).

Ориентир по сроку: 1–2 рабочих дня.

Шаг 2. Выделите ресурсы (хотя бы минимальные)

Организация деятельности по защите информации включает выделение ресурсов (п. 14, подп. «е»). Подразделение или специалисты по ИБ готовят обоснованные предложения, руководитель в пределах имеющихся средств их обеспечивает (п. 27).

Для медорганизации-субъекта КИИ это не «по желанию»: без ресурсов не закрыть ни №117, ни категорирование, ни требования по значимым объектам.

Что это значит на практике

  • время — ИБ, IT, юристы на документы, инвентаризацию ИС, категорирование;
  • бюджет — сертифицированные СЗИ там, где они обязательны;
  • доступ — к сведениям об МИС, сетях, серверах, интеграциях, учётных записях;
  • для КИИ — ресурсы на ГосСОПКА, мониторинг, устранение уязвимостей в регламентные сроки.

Что сделать сейчас

  1. Поручить заместителю / ответственному за ИБ краткое обоснование: что нужно в первую очередь (приказы, политика, инвентаризация МИС, категорирование КИИ).
  2. Подписать распоряжение: что выделяете сейчас, что — в следующем квартале.
  3. Если денег нет — зафиксировать это письменно и включить в план перехода. «Ничего не выделили и не задокументировали» хуже, чем «минимум + план».

Ориентир по сроку: 2–3 рабочих дня.

Шаг 3. Разработайте и утвердите Политику защиты информации

П. 14–15 №117: политика — центральный локальный акт. В ней фиксируются цели, объекты, принципы, роли, ответственность, система управления ИБ.

Для МО в политику попадают не абстрактные «ИС», а конкретика:

  • МИС, РЭМД, интеграции с ЕГИСЗ, региональными системами, ОМС;
  • серверы, СХД, сети, удалённый доступ;
  • кадровые и бухгалтерские системы с ПДн;
  • объекты КИИ после категорирования.

Без политики нельзя

  • разработать внутренние стандарты и регламенты (№117 их требует);
  • определить класс защищённости;
  • обосновать выбор сертифицированных СЗИ;
  • пройти проверку и рассчитывать Кзи;
  • показать системный подход при категорировании КИИ.

Минимальное содержание (по п. 14)

  • цели и задачи защиты информации;
  • принципы защиты;
  • область действия — перечень ИС, сетей, инфраструктуры (включая МИС);
  • категории участников, обязанности и полномочия;
  • ответственность за нарушения;
  • схема организационной системы управления ИБ.

Утверждает руководитель (п. 15). Политика обязательна для всех подразделений в части, их касающейся.

Политику имеет смысл делать в первую очередь — до тяжёлых технических проектов.

Ориентир по сроку: черновик за 3–5 дней; финальное утверждение — обычно 2–4 недели после согласования с IT и юристами.

Бонус: план перехода и категорирование КИИ — параллельно

План перехода по №117

Информсообщение ФСТЭК № 240/22/1492 от 12.03.2026 — организации должны подготовить план перехода к требованиям №117: мероприятия, меры, сроки, ответственные. План утверждает руководитель.

Включите в него:

  • приказы и политику (шаги 1–3);
  • инвентаризацию всех ИС;
  • категорирование объектов КИИ по перечню №360-р;
  • расчёт Кзи / Пзи;
  • взаимодействие с ГосСОПКА (для значимых объектов);
  • работу с подрядчиками.

Позже по п. 33 №117 понадобится план мероприятий по совершенствованию защиты (после оценки Кзи/Пзи) — это следующий этап, не путайте с планом перехода.

Категорирование КИИ — не «когда-нибудь»

Если МИС уже работает, а акт категорирования и сведения во ФСТЭК не актуализированы — вы в зоне риска по 187-ФЗ, даже если по №117 «бумаги начали делать».

Минимум параллельно с политикой:

  • приказ о комиссии по категорированию;
  • сверка ИС с перечнем №360-р;
  • акт категорирования и направление сведений во ФСТЭК.

Итог: первая неделя

День 1–2: распоряжение о возложении полномочий по ИБ на заместителя (Указ №250) + приказ об ответственном лице (№117).

День 2–4: решение по ресурсам — пусть минимальное, но зафиксированное.

День 3–7: старт политики + черновик плана перехода + запуск категорирования КИИ.

Через неделю у вас не «мы ничего не делали», а управленческий каркас: зам по ИБ, ресурсы, политика, план — на который ляжет вся дальнейшая работа по №117 и КИИ.

В ближайших выпусках цикла:

  • как разработать Политику защиты информации (пошаговый алгоритм);
  • внутренние стандарты и регламенты: что писать, чтобы не ошибиться;
  • как определить класс защищённости вашей ИС;
  • категорирование МИС по перечню №360-р;
  • готовые шаблоны документов.

Нужна помощь или комплект документов — synlawtech.ru (шаблоны, экспресс-тест, консультация). Вопросы — в комментариях.

Подпишитесь на канал, чтобы не пропустить продолжение серии.

.