Продолжение цикла о Приказе ФСТЭК №117. Раньше — документы, уязвимости, подрядчики, обучение, Кзи и мониторинг. Сегодня — аттестация: для кого она обязательна, как проходит и как не переплатить.
Мы подошли к одному из самых дорогих требований №117 — аттестации информационных систем. Многие хотят её избежать. Разберём, где нельзя, где решение руководителя, и что это значит для больницы с МИС.
Помните: Кзи и отчёты во ФСТЭК (п. 32) — отдельно от аттестата. Аттестат не отменяет полугодовой расчёт Кзи, контроль уровня защищённости (п. 67) и мониторинг (п. 49).
ГИС: аттестация обязательна — до начала работы
Если у вас государственная информационная система (ГИС) — аттестация обязательна (п. 65 №117). Проводить её нужно до начала обработки или хранения информации в этой системе.
Без действующего аттестата эксплуатировать ГИС нельзя — это прямое нарушение.
Риски:
- ст. 13.12 КоАП — административная ответственность (для организаций штрафы обычно десятки–сотни тысяч рублей, по составу нарушения);
- предписание ФСТЭК;
- при утечке ПДн из незащищённой системы — отдельно ст. 13.11 КоАП, 152-ФЗ; при тяжких последствиях — уголовные риски. Не «за отсутствие бумаги», а за вред.
Важно: не вся МИС в больнице — автоматически ГИС. ГИС — ИС, созданные по федеральным законам или нормативным актам определённого уровня (с 01.09.2026 определение уточняется законом). Типичная собственная МИС поликлиники или больницы чаще — иная ИС (см. ниже). Но спор «ГИС или нет» лучше закрыть до проверки — ФСТЭК и суды смотрят на основание создания, а не на «мы так не называли».
Иные ИС: решение руководителя
Для иных ИС (в том числе типичной МИС, кадров, бухгалтерии) аттестация по умолчанию не обязательна. Решение принимает руководитель или ответственное лицо (п. 65, абзац 2).
Когда разумно аттестовать, даже если формально не must:
- ИС обрабатывает ПДn пациентов, врачебную тайну, ДСП;
- ИС получает данные из ГИС — оператор ГИС вправе требовать соответствия (ст. 14, ч. 8.1 Закона об информации);
- высокие риски проверки (жалобы, предыдущие нарушения, субъект КИИ);
- передаёте обработку подрядчику — аттестат упрощает доказательство добросовестности;
- класс K1 (например, из‑за ДСП) — требований больше, аттестация дороже, зато на проверке проще показать, что защита соответствует норме.
Можно не аттестовать простую внутреннюю систему без чувствительных данных — но решение и обоснование зафиксируйте приказом. На проверке спросят: «Почему не аттестовали?»
Как проходит аттестация: четыре этапа
Аттестационные испытания проводит организация с лицензией ФСТЭК на техническую защиту конфиденциальной информации с правом аттестации — по Приказу ФСТЭК №77 от 29.04.2021. Самостоятельно «выдать себе аттестат» нельзя (внутренний контроль уровня — п. 67 — часть работ можете вести сами).
Этап 1. Изучение документов
Лицензиат запрашивает политику, стандарты, регламенты, модель угроз, акт классификации (K1–K3), ТЗ/проектную документацию. Нет документов — аттестация не начнётся.
Этап 2. Обследование ИС
Проверка реальных настроек: МИС, серверы, СЗИ, учётные записи, журналы, сегментация, доступ вендора.
Этап 3. Испытания
Состав зависит от класса K1–K3 и №77, не «всегда полный пентeст»:
- анализ уязвимостей;
- функциональное тестирование средств защиты;
- моделирование реализации угроз (п. 66 «в») — для старших классов жёстче.
Этап 4. Аттестат
При успехе — аттестат соответствия с указанием класса защищённости (K1, K2 или K3). После этого можно законно обрабатывать информацию (для ГИС — с начала эксплуатации; для иных ИС — с момента, когда решили аттестовать).
Компенсирующие меры (п. 69) на аттестации нужно подтвердить — что они реально блокируют угрозы.
Сколько стоит
Ориентир рынка: Речь только о работах лицензиата по аттестации — без закупки СЗИ, без разработки документов «с нуля» и без доработки инфраструктуры до испытаний;
Небольшая иная ИС или K3 (до нескольких десятков АРМ, документы уже готовы) — обычно от 200–350 тыс. ₽.
Типичная МИС поликлиники или больницы (K2, десятки–сотни рабочих мест, интеграции с ЕГИСЗ/ОМС) — часто 400–800 тыс. ₽. K1, ДСП, несколько площадок или филиалов — от ~1 млн ₽ и выше; 1,5 млн ₽ для крупной распределённой системы не потолок. Переаттестация после модернизации — примерно 30–50% от первичной. По №117 смета часто выше, чем по старому №17: больше испытаний и жёстче требования к доказательной базе под Кзи.
Это разовые затраты на цикл аттестации; поддержание защиты — постоянные (СЗИ, Кзи, мониторинг, обучение).
Заложите аттестацию в бюджет при создании или модернизации МИС — иначе «система готова, аттестата нет, эксплуатировать ГИС нельзя».
Срок действия аттестата:
Хорошая новость: аттестат выдаётся на весь срок эксплуатации ИС.
Переаттестация (полная или дополнительные испытания) — при:
- модернизации (оборудование, ПО, архитектура МИС);
- изменении класса защищённости;
- грубых нарушениях, потребовавших переделки защиты.
После 01.03.2026 модернизация ГИС, аттестованных по №17, — приведение к №117 и переоформление аттестата.
Поддерживать аттестованную ИС вы обязаны постоянно:
- Кзи — не реже 1 раза в 6 месяцев, отчёт во ФСТЭК — 5 рабочих дней (п. 32);
- Пзи — не реже 1 раза в 2 года (п. 32);
- контроль уровня защищённости — не реже 1 раза в 3 года (п. 67);
- мониторинг событий (п. 49).
Не путайте: это не замена аттестата, а условие, что защита не просела. ФСТЭК верифицирует отчёты; при системном несоответствии — предписания, в тяжёлых случаях — вопрос действительности аттестата по процедурам №77 и практике регулятора. Формулировка «не отправили отчёт раз в 2 года — аттестат автоматически приостановлен» — упрощение; в тексте для руководителя правильнее: «без Кзи и контроля аттестат перестаёт быть вашей реальной защитой на проверке».
Аттестаты до 01.03.2026
П. 3 Приказа №117: аттестаты, выданные до 1 марта 2026 года, считаются действительными. Конвертировать их не нужно.
Но: при первой серьёзной модернизации — аттестация уже по №117. Контракт на создание до 01.03.2026 — по разъяснению № 240/22/1492 возможны особые правила перехода; уточняйте для вашего кейса.
ИС по №117 в 2026 может размещаться в инфраструктуре (ЦОД), аттестованной по №117 — актуально, если МИС стоит у хостера/вендора.
Как сократить расходы (без нарушений)
- Документы подготовить до лицензиата — политика, регламенты, акт классификации, модель угроз (для МИС — по методике 2021). Меньше часов — меньше счёт.
- Правильные границы ИС — сегменты одной ИС с разными K1–K3 (п. 9 приложения) vs отдельные ИС — с лицензиатом.
- Не аттестуйте лишнее — если система не ГИС и низкий риск — приказ «не аттестуем» + меры по №117 всё равно обязательны.
- Сначала закройте «пятёрку» проверок (MFA для админов МИС, 24 ч на критические уязвимости, мониторинг) — иначе испытания провалите и заплатите дважды.
- Бюджет на всю цепочку: аттестация + СЗИ + лицензиат на Кзи (если нет своих сил) + поддержка.
Чек-лист для руководителя МО
- Определите: ГИС или иная ИС (МИС чаще — иная).
- ГИС → аттестация до обработки информации (п. 65).
- Иная ИС → решение приказом: аттестуем / не аттестуем + обоснование.
- Выберите лицензиата (опыт с медициной, K1–K3, не только «дешевле всех»).
- Заложите бюджет (ориентир от 200 тыс. ₽, K1 — дороже).
- После аттестата: Кзи — 6 месяцев, Пзи — 2 года, контроль — 3 года, мониторинг — по регламенту.
- При модернизации МИС — закладывайте переаттестацию.
Итог
Аттестация — не «галочка для папки», а подтверждение, что меры достаточны до начала работы (ГИС) или по вашему решению (иная ИС).
Для больницы главное: МИС почти всегда иная ИС, но ПДн + КИИ + интеграции делают аттестацию практически необходимой — или нужно железное обоснование, почему нет.
Аттестат без Кзи, мониторинга и регламентов — бумага, которая не спасёт на проверке.
В следующем выпуске: работа с ГосСОПКА и защита от DDoS — п. 59 №117, сроки и что актуально для МО с сервисами в интернете.
Тест готовности к проверке ФСТЭК — блок аттестация и Кзи: synlawtech.ru
Подпишитесь на канал, чтобы не пропустить продолжение серии. Вопросы по аттестации — в комментариях.
Материал носит информационный характер и не заменяет консультацию юриста или специалиста по информационной безопасности. Для юридически значимых решений сверяйтесь с актуальными текстами законов и официальными разъяснениями.