Продолжение цикла о Приказе ФСТЭК №117. В прошлом выпуске — три первых шага: ответственный, ресурсы, политика. Сегодня — кого назначать, в каком статусе и с какими полномочиями.
В прошлой статье мы разобрали, с чего начать: назначить ответственного, выделить ресурсы, запустить Политику защиты информации. Теперь — кто именно это делает, в каком статусе и на каком основании.
Для медицинской организации (юрлица) с МИС ответ короткий: вы субъект КИИ, на вас распространяется действие Указа Президента №250 и Приказа ФСТЭК №117 одновременно. Ниже — как это складывается в оргструктуру и документы.
Два уровня ответственности: не путайте
Уровень 1 — управление ИБ (КИИ): Указ №250 и ПП №1272 нужен заместитель руководителя.
Уровень 2 — организация защиты информации (№117): п. 17–18 требований достаточно руководителя подразделения или ответственного лица по его решению.
На практике для больницы и поликлиники одно лицо — заместитель главного врача (или иной зам) — закрывает оба уровня, если на него возложены полномочия двумя документами и прописаны функции в должностной инструкции.
Назначить «просто сисадмина» приказом недостаточно. Системный администратор — исполнитель; ответственность на уровне управления — у заместителя. Руководитель организации при этом несёт персональную ответственность за состояние ИБ (Указ №250).
Сценарий для медорганизаций: сочетание Указа №250 + ПП №1272
Указ Президента №250 от 01.05.2022 распространяется на субъектов КИИ — а медорганизации с МИС попадают под перечень типовых объектов КИИ (Распоряжение №360-р).
Постановление Правительства №1272 от 15.07.2022 (принято во исполнение Указа №250) утвердило типовое положение о заместителе руководителя, ответственном за обеспечение информационной безопасности, и типовое положение о структурном подразделении, обеспечивающем ИБ.
Что это значит на практике
Заместитель — не опция, а стандарт. Полномочия по обеспечению ИБ возлагаются на заместителя руководителя отдельным распорядительным документом (на базе типового положения ПП №1272).
Квалификация заместителя. По типовому положению ответственное лицо должно иметь высшее образование (не ниже специалитета или магистратуры) по направлению «Информационная безопасность» (обеспечение информационной безопасности). Если диплом по другой специальности — профессиональная переподготовка по направлению «Информационная безопасность» (программа согласуется с ФСТЭК или ФСБ — по компетенции).
Подчинение — непосредственно руководителю организации.
Полномочия — в должностном регламенте или инструкции прописать: обязанности, права, ответственность по типовому положению.
Структурное подразделение по ИБ — при необходимости создаётся по второму типовому положению ПП №1272 (служба/отдел ИБ или выделенная группа внутри IT — с понятным статусом в приказах).
Как оформить
- Распоряжение / приказ о возложении полномочий по ИБ на заместителя (Указ №250, ПП №1272).
- Приказ о назначении ответственного лица за организацию защиты информации (п. 17–18 №117) — обычно тот же заместитель.
- Должностная инструкция — функции по организации, управлению и контролю защиты информации (п. 18 №117).
- Приказ о создании подразделения (или закреплении функций ИБ за существующим IT) — п. 19 №117 + типовое положение ПП №1272.
- Приказ о комиссии по категорированию объектов КИИ — параллельно, по 187-ФЗ.
Сценарий 2: когда Указ №250 формально «мимо»
Для редких случаев вне КИИ и перечня Указа №250 — отдельные ГУП, муниципальные учреждения без значимых ИС, организации без цифрового учёта — действуют общие правила №117 (п. 17–24):
- руководитель назначает приказом ответственное лицо или отвечает сам;
- кандидат — ИБ-специалист, сисадмин, юрист по 152-ФЗ и т.д., с реальными полномочиями и временем;
- обязанности — в должностной инструкции (п. 18);
- подразделение или отдельные специалисты — п. 19.
Нужен ли отдельный отдел? П. 19 №117
Требования дают варианты:
- создать структурное подразделение по защите информации;
- определить (в том числе возложить на существующее подразделение);
- назначить отдельных специалистов без формального отдела.
Выбор — за руководителем. Для больницы с МИС, интеграциями ЕГИСЗ/ОМС и категорированием КИИ модель «один сисадмин по совместительству без зама» не потянет объём.
Типовое положение ПП №1272 — хороший ориентир даже при формальном «назначении специалистов»: для субъекта КИИ логичнее закреплённая функция ИБ (отдел, служба или группа при IT) с понятной нагрузкой.
Подрядчики и аутсорсинг: п. 24 №117
П. 24 разрешает привлекать специализированные организации — с лицензией ФСТЭК на деятельность по технической защите конфиденциальной информации (99-ФЗ).
Важно:
- состав работ и мер определяет заказчик (ваша организация), а не подрядчик «как знает»;
- ваши специалисты по защите информации обязаны участвовать в приёмке результатов;
- подрядчик не снимает с руководителя и зама ответственность — только помогает выполнить отдельные работы (аттестация, аудит, внедрение СЗИ).
Подрядные организации с доступом к вашим ИС должны быть ознакомлены с политикой ИБ (п. 16) и обязаны соблюдать её — это фиксируется в договоре и регламентах.
Квалификация: п. 20 №117 и ПП №1272
П. 20 №117: не менее 30% работников структурного подразделения по защите информации должны иметь профессиональное образование по специальности или направлению в области ИБ либо профессиональную переподготовку в области ИБ.
ПП №1272 для заместителя — отдельное и более жёсткое требование: профильное высшее или переподготовка.
Практика для МО: если в «отделе ИБ» один человек — по смыслу нужен минимум один с профильным образованием или переподготовкой; при трёх и более сотрудниках — считайте 30% буквально (1 из 3, 2 из 6…). Заложите в план перехода бюджет и сроки на переподготовку зама и ключевых специалистов.
Сколько людей нужно? Проект норм труда (ориентир)
На конференции ФСТЭК 19.02.2026 (форум «Технологии и безопасность») представлен проект типовых межотраслевых норм труда (Минтруд, Минцифры, ФСТЭК, ФСБ). Это ещё не утверждённый НПА, но полезный масштаб работ на одну организацию:
- организация и контроль деятельности по защите информации — около 60 чел.-часов в год;
- разработка политики — 120 чел.-часов;
- внутренние стандарты — 120 чел.-часов;
- внутренние регламенты — 80 чел.-часов;
- выделение ресурсов — 20 чел.-часов.
Итого только на «организационную бумажную работу» — сотни часов. Один сотрудник «в остаточном режиме» не закроет требования приказа №117 и КИИ. Для медорганизации реалистичны: зам по ИБ + 1–2 специалиста (штат или аутсорсинг с лицензией) + вовлечение IT.
Роль остальных: п. 21–22 №117
ИБ — не только отдел безопасности, это комплексная задача.
П. 21: подразделение (специалисты) по защите информации работает во взаимодействии с пользователями ИС и с подразделениями, обеспечивающими эксплуатацию ИС (IT, вендор МИС).
П. 22: пользователи (врачи, регистратура, администраторы) участвуют в мерах по защите в объёме стандартов и регламентов — обучение, соблюдение правил доступа. IT проводит меры по защите в ходе сопровождения, обслуживания, поставки комплектующих — тоже по вашим регламентам.
П. 23: у подразделения по ИБ должны быть средства для мониторинга, контроля уязвимостей, анализа событий — перечень прописать во внутренних стандартах.
Что сделать уже на этой неделе
Для медорганизации (типовой путь):
- Распоряжение — полномочия по ИБ на заместителя (№250, ПП №1272).
- Приказ — ответственное лицо по №117 (тот же зам).
- Аудит квалификации зама и сотрудников службы ИБ: профиль / переподготовка / план обучения.
- Решение по структуре: отдел, группа при IT или специалисты — с п. 19 и типовым положением №1272.
- Оценка нагрузки по проекту норм труда — хватит ли одной штатной единицы.
- Регламент взаимодействия с подрядчиками (лицензия ФСТЭК, приёмка вашими сотрудниками).
Если зам ещё без переподготовки — не откладывать: зачисление на программу параллельно с политикой и категорированием.
Итог
Кто «главный» по ИБ в МО? — Заместитель руководителя (Указ №250).
Кто организует защиту по №117? — Он же как ответственное лицо.
Можно ли только сисадмина? — Нет как единственного ответственного на уровне управления.
Нужен ли отдел? — Желательно; минимум — специалисты с выделенным временем и соблюдением правила 30% с образованием.
Подрядчик заменяет штат? — Нет — только отдельные работы; приёмка и ответственность ваши.
В ближайших выпусках цикла поговорим про: внутренние стандарты и регламенты; класс защищённости ИС; управление уязвимостями.
Нужна помощь с приказами, положениями или расчётом нагрузки — synlawtech.ru. Вопросы пишите в комментариях.
Подпишитесь на наш канал, чтобы не пропустить продолжение серии.
Материал носит информационный характер и не заменяет консультацию юриста или специалиста по информационной безопасности. Для юридически значимых решений сверяйтесь с актуальными текстами законов и официальными разъяснениями.