Добавить в корзинуПозвонить
Найти в Дзене

Приказ ФСТЭК №117: кого назначить ответственным за ИБ в клинике

Продолжение цикла о Приказе ФСТЭК №117. В прошлом выпуске — три первых шага: ответственный, ресурсы, политика. Сегодня — кого назначать, в каком статусе и с какими полномочиями. В прошлой статье мы разобрали, с чего начать: назначить ответственного, выделить ресурсы, запустить Политику защиты информации. Теперь — кто именно это делает, в каком статусе и на каком основании. Для медицинской организации (юрлица) с МИС ответ короткий: вы субъект КИИ, на вас распространяется действие Указа Президента №250 и Приказа ФСТЭК №117 одновременно. Ниже — как это складывается в оргструктуру и документы. Уровень 1 — управление ИБ (КИИ): Указ №250 и ПП №1272 нужен заместитель руководителя. Уровень 2 — организация защиты информации (№117): п. 17–18 требований достаточно руководителя подразделения или ответственного лица по его решению. На практике для больницы и поликлиники одно лицо — заместитель главного врача (или иной зам) — закрывает оба уровня, если на него возложены полномочия двумя документами
Оглавление

Продолжение цикла о Приказе ФСТЭК №117. В прошлом выпуске — три первых шага: ответственный, ресурсы, политика. Сегодня — кого назначать, в каком статусе и с какими полномочиями.

В прошлой статье мы разобрали, с чего начать: назначить ответственного, выделить ресурсы, запустить Политику защиты информации. Теперь — кто именно это делает, в каком статусе и на каком основании.

Для медицинской организации (юрлица) с МИС ответ короткий: вы субъект КИИ, на вас распространяется действие Указа Президента №250 и Приказа ФСТЭК №117 одновременно. Ниже — как это складывается в оргструктуру и документы.

Два уровня ответственности: не путайте

Уровень 1 — управление ИБ (КИИ): Указ №250 и ПП №1272 нужен заместитель руководителя.

Уровень 2 — организация защиты информации (№117): п. 17–18 требований достаточно руководителя подразделения или ответственного лица по его решению.

На практике для больницы и поликлиники одно лицо — заместитель главного врача (или иной зам) — закрывает оба уровня, если на него возложены полномочия двумя документами и прописаны функции в должностной инструкции.

Назначить «просто сисадмина» приказом недостаточно. Системный администратор — исполнитель; ответственность на уровне управления — у заместителя. Руководитель организации при этом несёт персональную ответственность за состояние ИБ (Указ №250).

Сценарий для медорганизаций: сочетание Указа №250 + ПП №1272

Указ Президента №250 от 01.05.2022 распространяется на субъектов КИИ — а медорганизации с МИС попадают под перечень типовых объектов КИИ (Распоряжение №360-р).

Постановление Правительства №1272 от 15.07.2022 (принято во исполнение Указа №250) утвердило типовое положение о заместителе руководителя, ответственном за обеспечение информационной безопасности, и типовое положение о структурном подразделении, обеспечивающем ИБ.

Что это значит на практике

Заместитель — не опция, а стандарт. Полномочия по обеспечению ИБ возлагаются на заместителя руководителя отдельным распорядительным документом (на базе типового положения ПП №1272).

Квалификация заместителя. По типовому положению ответственное лицо должно иметь высшее образование (не ниже специалитета или магистратуры) по направлению «Информационная безопасность» (обеспечение информационной безопасности). Если диплом по другой специальности — профессиональная переподготовка по направлению «Информационная безопасность» (программа согласуется с ФСТЭК или ФСБ — по компетенции).

Подчинение — непосредственно руководителю организации.

Полномочия — в должностном регламенте или инструкции прописать: обязанности, права, ответственность по типовому положению.

Структурное подразделение по ИБ — при необходимости создаётся по второму типовому положению ПП №1272 (служба/отдел ИБ или выделенная группа внутри IT — с понятным статусом в приказах).

Как оформить

  1. Распоряжение / приказ о возложении полномочий по ИБ на заместителя (Указ №250, ПП №1272).
  2. Приказ о назначении ответственного лица за организацию защиты информации (п. 17–18 №117) — обычно тот же заместитель.
  3. Должностная инструкция — функции по организации, управлению и контролю защиты информации (п. 18 №117).
  4. Приказ о создании подразделения (или закреплении функций ИБ за существующим IT) — п. 19 №117 + типовое положение ПП №1272.
  5. Приказ о комиссии по категорированию объектов КИИ — параллельно, по 187-ФЗ.

Сценарий 2: когда Указ №250 формально «мимо»

Для редких случаев вне КИИ и перечня Указа №250 — отдельные ГУП, муниципальные учреждения без значимых ИС, организации без цифрового учёта — действуют общие правила №117 (п. 17–24):

  • руководитель назначает приказом ответственное лицо или отвечает сам;
  • кандидат — ИБ-специалист, сисадмин, юрист по 152-ФЗ и т.д., с реальными полномочиями и временем;
  • обязанности — в должностной инструкции (п. 18);
  • подразделение или отдельные специалисты — п. 19.

Нужен ли отдельный отдел? П. 19 №117

Требования дают варианты:

  • создать структурное подразделение по защите информации;
  • определить (в том числе возложить на существующее подразделение);
  • назначить отдельных специалистов без формального отдела.

Выбор — за руководителем. Для больницы с МИС, интеграциями ЕГИСЗ/ОМС и категорированием КИИ модель «один сисадмин по совместительству без зама» не потянет объём.

Типовое положение ПП №1272 — хороший ориентир даже при формальном «назначении специалистов»: для субъекта КИИ логичнее закреплённая функция ИБ (отдел, служба или группа при IT) с понятной нагрузкой.

Подрядчики и аутсорсинг: п. 24 №117

П. 24 разрешает привлекать специализированные организации — с лицензией ФСТЭК на деятельность по технической защите конфиденциальной информации (99-ФЗ).

Важно:

  • состав работ и мер определяет заказчик (ваша организация), а не подрядчик «как знает»;
  • ваши специалисты по защите информации обязаны участвовать в приёмке результатов;
  • подрядчик не снимает с руководителя и зама ответственность — только помогает выполнить отдельные работы (аттестация, аудит, внедрение СЗИ).

Подрядные организации с доступом к вашим ИС должны быть ознакомлены с политикой ИБ (п. 16) и обязаны соблюдать её — это фиксируется в договоре и регламентах.

Квалификация: п. 20 №117 и ПП №1272

П. 20 №117: не менее 30% работников структурного подразделения по защите информации должны иметь профессиональное образование по специальности или направлению в области ИБ либо профессиональную переподготовку в области ИБ.

ПП №1272 для заместителя — отдельное и более жёсткое требование: профильное высшее или переподготовка.

Практика для МО: если в «отделе ИБ» один человек — по смыслу нужен минимум один с профильным образованием или переподготовкой; при трёх и более сотрудниках — считайте 30% буквально (1 из 3, 2 из 6…). Заложите в план перехода бюджет и сроки на переподготовку зама и ключевых специалистов.

Сколько людей нужно? Проект норм труда (ориентир)

На конференции ФСТЭК 19.02.2026 (форум «Технологии и безопасность») представлен проект типовых межотраслевых норм труда (Минтруд, Минцифры, ФСТЭК, ФСБ). Это ещё не утверждённый НПА, но полезный масштаб работ на одну организацию:

  • организация и контроль деятельности по защите информации — около 60 чел.-часов в год;
  • разработка политики — 120 чел.-часов;
  • внутренние стандарты — 120 чел.-часов;
  • внутренние регламенты — 80 чел.-часов;
  • выделение ресурсов — 20 чел.-часов.

Итого только на «организационную бумажную работу» — сотни часов. Один сотрудник «в остаточном режиме» не закроет требования приказа №117 и КИИ. Для медорганизации реалистичны: зам по ИБ + 1–2 специалиста (штат или аутсорсинг с лицензией) + вовлечение IT.

Роль остальных: п. 21–22 №117

ИБ — не только отдел безопасности, это комплексная задача.

П. 21: подразделение (специалисты) по защите информации работает во взаимодействии с пользователями ИС и с подразделениями, обеспечивающими эксплуатацию ИС (IT, вендор МИС).

П. 22: пользователи (врачи, регистратура, администраторы) участвуют в мерах по защите в объёме стандартов и регламентов — обучение, соблюдение правил доступа. IT проводит меры по защите в ходе сопровождения, обслуживания, поставки комплектующих — тоже по вашим регламентам.

П. 23: у подразделения по ИБ должны быть средства для мониторинга, контроля уязвимостей, анализа событий — перечень прописать во внутренних стандартах.

Что сделать уже на этой неделе

Для медорганизации (типовой путь):

  1. Распоряжение — полномочия по ИБ на заместителя (№250, ПП №1272).
  2. Приказ — ответственное лицо по №117 (тот же зам).
  3. Аудит квалификации зама и сотрудников службы ИБ: профиль / переподготовка / план обучения.
  4. Решение по структуре: отдел, группа при IT или специалисты — с п. 19 и типовым положением №1272.
  5. Оценка нагрузки по проекту норм труда — хватит ли одной штатной единицы.
  6. Регламент взаимодействия с подрядчиками (лицензия ФСТЭК, приёмка вашими сотрудниками).

Если зам ещё без переподготовки — не откладывать: зачисление на программу параллельно с политикой и категорированием.

Итог

Кто «главный» по ИБ в МО?Заместитель руководителя (Указ №250).

Кто организует защиту по №117? — Он же как ответственное лицо.

Можно ли только сисадмина?Нет как единственного ответственного на уровне управления.

Нужен ли отдел? — Желательно; минимум — специалисты с выделенным временем и соблюдением правила 30% с образованием.

Подрядчик заменяет штат?Нет — только отдельные работы; приёмка и ответственность ваши.

В ближайших выпусках цикла поговорим про: внутренние стандарты и регламенты; класс защищённости ИС; управление уязвимостями.

Нужна помощь с приказами, положениями или расчётом нагрузки — synlawtech.ru. Вопросы пишите в комментариях.

Подпишитесь на наш канал, чтобы не пропустить продолжение серии.

Материал носит информационный характер и не заменяет консультацию юриста или специалиста по информационной безопасности. Для юридически значимых решений сверяйтесь с актуальными текстами законов и официальными разъяснениями.