Как мы больницу категорировали: история одного рентгенаподобного приключения

— А рентген-аппарат точно надо категорировать? Может, пронесёт?

— спросил меня главный врач районной больницы, нервно теребя ручку.

— Точно, — ответил я. — И не только его. И это не из-за «нового приказа про защиту» — вы субъект КИИ давно уже по 187-ФЗ, просто до 2026 года многие в здравоохранении делали вид, что это про атомные станции, а не про районную больницу.

Дальше было напряжённо, но проходимо. За месяц мы разобрались с медицинской ИТ-неразберихой, подготовили акты категорирования и сведения для ФСТЭК. Спойлер: система управления рентгеном нас чуть не добила — не технически, а в расчётах последствий.

Сначала разведём документы — иначе запутаетесь

Категорирование КИИ — это 187-ФЗ «О безопасности КИИ», ПП РФ №1272 (для разных сфер, в том числе здравоохранение), Распоряжение Правительства №360-р (типовые объекты по отраслям), методики ФСТЭК, акт и сведения по Приказу ФСТЭК №236.

Приказ ФСТЭК №117 — другая история: меры защиты информации в государственных информационных системах (политика, класс защищённости, мониторинг, ГосСОПКА и т.д.). Он не «вводит» вас в КИИ, но для государственной больницы после категорирования оба контура нужно закрывать.

Указ Президента №250 и ПП №1272 — про разграничение ответственности: не «сисадмин разберётся», а руководитель и заместитель.

Почему вдруг больница — и почему не «вдруг»

Долгое время в здравоохранении жили с мифом: «КИИ — это банки и энергетика, мы просто лечим людей». На деле Здравоохранение как сфера КИИ — в соответствии с 187-ФЗ (закон 2017, основной режим — с 2018). В ст. 2 прямо перечислены субъекты КИИ, у которых есть ИС/АСУ/сети, функционирующие в сфере здравоохранения.

С 2026-го практика ужесточилась: отраслевые перечни №360-р сделали очевидным, что под категорирование попадает почти всё, что хранит данные пациентов и управляет оборудованием.

Типовые объекты для отрасли — среди прочего:

• медицинские информационные системы (МИС);
• РМИС и контур взаимодействия с ЕГИСЗ;
• информационные системы управления рентген-аппаратом, КТ, МРТ;
• лабораторные информационные системы;
• ИС мониторинга ОРИТ и операционных — если это отдельный контур, а не модуль внутри МИС.

Короче: не просто все устройства с кнопкой Пуск», а объекты по отраслевому перечню и инвентаризации — но для районной больницы список всё равно внушительный. Добро пожаловать в клуб, коллеги.

С чего начали: опросник, а не паника

Первым делом — заполнили простой опросный лист (чек-лист): чтобы понять кто мы по КИИ, что у нас есть на площадке.

Выяснили:

• ОКВЭД 86.1 (больничная деятельность) — маркер того, что вы в сфере здравоохранения (187-ФЗ, ст. 2) и попадаете под типовые объекты №360-р (МИС, рентген, лаборатория).;
• в контуре — МИС для стационара на 200 коек, лабораторная ИС, ИС управления рентгеном, обмен данными с ЕГИСЗ;
• организация — государственная больница.

Вывод: с высокой вероятностью вы субъект КИИ. Отмазка «мы маленькие» не работает. ОКВЭД смотрите в выписке ЕГРЮЛ, но решение — по фактической деятельности и наличию объектов на территории РФ.

Главный страх: «А вдруг у нас десять объектов?»

Насчитали пять объектов КИИ — после нормальной инвентаризации, без искусственного раздувания:

1. МИС (ядро учёта, ЭМК, интеграции).
2. ИС управления рентген-аппаратом (кабинет № 2) — отдельная АСУ оборудования, не «просто АРМ».
3. Лабораторная информационная система.
4. Контур интеграции с ЕГИСЗ/РМИС — оформлен как самостоятельная ИС с границами в акте (не «абстрактный сегмент»).
5. Информационная система для отделения реанимации и интенсивной терапии.

АРМ в подразделениях мы не выделяли отдельными объектами: они вошли в состав МИС, как и должно быть, если нет собственной границы объекта по методике. На проверке лишние «объекты» — лишние вопросы и лишний бюджет.

Работы сделали только по категорированию (без модели угроз, без аттестации, без внедрения СЗИ) — около 380 000 ₽, 25 рабочих дней. Вилка по рынку для 5 объектов — порядка 300–550 тыс. ₽ в зависимости от категорий, экологических расчётов и квалификации исполнителя. Дешевле выходит редко: в здравоохранении нужно понимать и ИБ, и радиационную безопасность — это не шутка.

Комиссия: кто подписывает акт

По 187-ФЗ и методике нужна комиссия по категорированию. Мы оформили приказ на семь человек:

• председатель — главный врач;
• заместитель председателя — заместитель главного врача по юридической работе (по логике Указа №250 — не обязательно штатная должность «руководитель ИБ», которой в районной больнице часто нет);
• члены: специалист по ИТ, инженер-по обслуживанию медтехники, заведующий диагностическим отделением, специалист охраны труда, секретарь комиссии.
• Без инженера-по обслуживанию медтехники мы бы не закрыли экологический блок по рентгену. Технологов оборудования нужно включать в комиссию — не пожалеете.

Самый сложный объект — рентген

Почему он, а не МИС? МИС тоже значимая, но рентген дал два вида последствий сразу:

Социальные — отказ диагностики: пациент с травмой не получает снимок вовремя.

Экологические — ионизирующее излучение: сбой управления рентгеновской трубкой теоретически ведёт к переоблучению персонала или пациента, к локальной ЧС в терминах методики.

Итог по объекту — третья категория значимости. Это нижняя из трёх, но объект всё равно значимый: дальше — необходимо разрабатывать модель угроз, меры, отчётность, не «списали и забыли».

Как считали социальные последствия

Взяли журнал работы рентген-кабинета и нормативы методики — не «на глаз», а с обоснованием в приложении к акту.

Исходные данные для иллюстрации: средняя загрузка 30 пациентов в день плюс 4 сотрудника в зоне экспозиции при сбое — 34 человека, которым при сценарии отказа может быть причинён вред здоровью.

Пороги по ПП РФ №127 от 08.02.2018 (показатели социальных последствий):

• 1-я категория — более 500 человек;
• 2-я — 51–500;
• 3-я — 1–50.

34 — третья категория. В вашей больнице цифры будут другими: смотрите пропускную способность, ночные смены, приёмное отделение, срок восстановления после инцидента.

А если есть резервный аппарат?

В другом корпусе на расстоянии в паре километров стоял второй рентген — старый, но рабочий. Подумали: «Значит, категорию снизим?»

Не совсем. Резерв сократил время недоступности услуги — с условных 24 часов до 2–4 часов (перенаправление, очередь, логистика). Это влияет на расчётные показатели в акте, если резерв документирован: приказ о маршрутизации, возможен договор с соседней клиникой, журнал переключений.

Но число людей в зоне риска при экстренном сценарии не обнуляется: пациенту два часа без диагностики могут быть критичны. Экологический риск на основном аппарате никуда не делся.

Вывод: резерв не отменяет категорирование и не «выводит из КИИ». Он смягчает часть расчётов по времени восстановления. Категория рентгена у нас осталась третьей.

Экологические последствия — сюрприз для главврача

Для клиники звучит непривычно, но рентгеновская трубка — источник ионизирующего излучения. Нарушение ИС управления в сценарии методики — это и ИБ, и радиационная безопасность. По шкале экологических последствий — тоже 3-я категория.

Зафиксировали в акте, в приложениях с расчётами и в сведениях для ФСТЭК.

Акт, сведения и срок 10 дней

Акт категорирования — внутренний документ: 10 страниц, подписи всех членов комиссии, приложения.

Важно: в ФСТЭК не отправляют сам акт. Направляют сведения о результатах по форме Приказа ФСТЭК №236 — через личный кабинет, с ЭЦП руководителя.

Срок — 10 рабочих дней после подписания акта. У нас ушло 2 дня на карточки: типовой объект из №360-р, границы, ПО, категория, обоснование показателей (в т.ч. Кзи и Пзи — кириллицей, как в форме).

Для рентгена в карточке, кратко:

• типовой объект — ИС управления медицинским диагностическим оборудованием (по №360-р);
• внешних IP нет — система локальная;
• ПО — Windows 10 и специализированное ПО вендора;
• категория значимости — 3.

А модель угроз? А портрет нарушителя?

Правильно помните. Категорирование отвечает: что защищаем и насколько это значимо.

Модель угроз — следующий этап: от кого и от чего защищаемся (внешний нарушитель, инсайдер, вредоносное ПО, ошибка администратора). Делается после присвоения категории, отдельным договором, лицензиатом ФСТЭК. Мы эту работу не делали, заказчик проводил дополнительные закупки.

На пять объектов модель угроз заказчику предварительно насчитали порядка 700 тыс. ₽ — в 2 раза дороже категорирования, цена может меняться в зависимости от категорий и контура.

Когда предлагают «категорирование под ключ за 150 тысяч» — читайте договор: модель угроз, СЗИ, аттестация обычно в него не входят.

Сколько потратили (честная смета)

• Опрос и инвентаризация — 3 дня, своими силами.
• Приказ о комиссии — 1 день, своими силами.
• Категорирование 5 объектов подрядчиком — 380 000 ₽ (рыночная вилка 300–550 тыс.).
• Срок — 25 рабочих дней (из них 5 ждали подписи главного врача).
• Госпошлина за подачу сведений во ФСТЭК — 0 ₽.

Сэкономить можно, если есть штатный специалист, который реально понимает 187-ФЗ, методику расчета последствий и приказ №236. В районной больнице таких единицы.

380 тысяч — серьезная строка бюджета: сопоставимо с закупкой нескольких единиц техники или частью годового сопровождения ИС. Но это дешевле, чем штрафы и предписания, отговорка «мы не знали» не работает.

Штрафы — без сказок

За непредставление или несвоевременное представление сведений о категорировании, за нарушение требований по защите информации — административная ответственность. Ориентир — ст. 13.12 КоАП: для должностных лиц — десятки тысяч рублей, для юридических лиц — десятки и сотни тысяч в зависимости от состава и повторности, плюс предписание.

Жизненные советы

Проверьте ОКВЭД (86.1, 86.2, 86.90) и фактическую деятельность — вы почти наверняка в сфере 187-ФЗ.

Не бойтесь рентгена — категорирование не требует нового железа; требует акта, расчётов и кадра, который понимает оба риска — социальный и экологический.

Резерв фиксируйте документально — иначе в расчётах его не включить.

Главный врач подписывает лично — делегирование полномочий «на руководителя ИТ» для акта не работает.

Модель угроз — потом, отдельным проектом; для гос больницы параллельно планируйте меры по Приказу №117. .

Не пропустите срок 10 рабочих дней после акта для направления сведений во ФСТЭК.

Итог: а оно нам надо?

Надо. 187-ФЗ — не опция. Но это не конец света. Мы уложились в месяц, пять объектов, понятные категории и сведения в ФСТЭК.

В больнице наконец есть карта: что у нас объект КИИ, какая категория, какие риски у рентгена и что делать дальше.

Главный врач перестал нервно теребить ручку и спросил по делу: «А когда модель угроз? И ГосСОПКА у нас уже есть?»

Вот это я называю прогресс.

Проверьте готовность по №117 — экспресс-тест и консультация по модели угроз и комплекту документов: synlawtech.ru

Подпишитесь на канал, чтобы не пропустить полезную информацию.

Изображение сгенерировано ИИ.

Материал носит информационный характер и не заменяет консультацию юриста или специалиста по информационной безопасности. Для юридически значимых решений сверяйтесь с актуальными текстами законов и официальными разъяснениями.