...
Работаем с медицинским
бизнесом с 2014 года
Начать сотрудничать
Мы онлайн, пишите
Звоните, в любое время

Категорирование объектов КИИ для медицинских организаций

Поможем организациям сферы здравоохранения определить, какие системы относятся к объектам КИИ, провести категорирование и подготовить документы с учетом требований законодательства.
Категорирование КИИ
Для клиник
Категорирование КИИ
Лабораторий
Категорирование КИИ
Фармацевтики
Категорирование КИИ
Стоматологий
Категорирование КИИ
Выявим объекты КИИ в ИТ-инфраструктуре организации
Категорирование КИИ
Проведем категорирование и подготовим обоснование
Категорирование КИИ
Оформим перечень объектов, приказы, акты, сведения
Категорирование КИИ
Подготовим ответ в ФСТЭК или в прокуратуру
Категорирование КИИ
Работаем с медицинскими организациями с 2014 года
Категорирование КИИ

Не каждая медицинская система автоматически становиться значимым объектом КИИ. Сначала нужно выявить объекты КИИ, оценить их значимость и оформить результаты категорирования.

Категорирование КИИ
Если пришел запрос

Что делать, если пришло письмо от ФСТЭК или прокуратуры

Сначала нужно определить, есть ли в организации объекты КИИ, затем оформить документы и подготовить корректный ответ проверяющим органам.
Категорирование КИИ
Разберем запрос

Поймем, какие сведения и документы у вас запрашивают.

Категорирование КИИ
Проверим Вас

Определим, относятся ли ваши ИС, сети и АСУ к объектам КИИ.

Категорирование КИИ
Подготовим ответ

Составим документы и ответное письмо проверяющим.

Категорирование КИИ

За непредоставление сведений или нарушение сроков предоставления сведений о результатах категорирования организация может получить штраф 100 000 руб. для юридических лиц.

Оставьте заявку - подскажем, какие действия нужны именно в вашей ситуации

Категорирование КИИ
Риск

Неполноценный или несвоевременный ответ может привести к дополнительным рискам

Категорирование КИИ
Решение

Провести анализ, оформить документы и ответить в соответствии с требованиями законодательства

Категорирование КИИ
Кому нужна услуга

Какие медицинские организации
попадают под действие закона о КИИ

Если в вашей деятельности используются информационные системы, оборудование с АСУ или сети передачи данных - у Вас могут быть объекты КИИ, подлежащие категорированию.
Категорирование КИИ
Государственные учреждения
Государственные больницы, поликлиники, диспансеры, санатории и другие.
Категорирование КИИ
Категорирование КИИ
Частные клиники и медцентры
Клиники, медицинские центры, стоматологии, офтальмологии и другие мед. организации
Категорирование КИИ
Категорирование КИИ
Медицинские лаборатории
Лаборатории, центры исследований, центры диагностики и другие.
Категорирование КИИ
Категорирование КИИ
Фармацевтические организации
Фармацевтические компании, производители лекарственных препаратов, аптеки и другие.
Категорирование КИИ
Категорирование КИИ
Не уверены нужно ли Вам категорирование?

Проведем бесплатную предварительную оценку и подскажем, какие действия Вам необходимы.

Категорирование КИИ
Почему это важно

Какие системы в медицинских организациях относятся к объектам КИИ

Категорирование КИИ
26 ферваля 2026 утвержден "Перечень типовых отраслевых объектов КИИ"
Если в медицинской организации имеются в наличии информационные системы, оборудование или телекоммуникационные сети, из этого перечня - согласно 187-ФЗ, организция ОБЯЗАНА провести категорирвание таких систем.
Категорирование КИИ

Важно: чтобы определить относятся ли ваши информационные системы, АСУ и сети к объектам КИИ - скачайте перечень и проверьте, подходят ли под описание в перечне Ваши системы.

Категорирование КИИ
МИС. Медицинские информационные системы

Системы, которые обеспечивают запись пациентов, ведение электронных медицинских карт, расписание врачей, обмен данными и работу ключевых процессов клиники.

Категорирование КИИ
Медицинское оборудование с АСУ

Оборудование с программным управлением, которое участвует в диагностике, мониторинге, обработке медицинских данных (МРТ, КТ, УЗИ, анализаторы, рентген и другие).

Категорирование КИИ
Локальные вычислительные сети

ЛВС объединяет рабочие места, серверы, медицинские системы и оборудование. При сбое сети может нарушиться доступ к данным и работа подразделений.

Категорирование КИИ
Системы должны быть в собственности

Оценивать нужно системы, которые принадлежат организации на праве собственности, аренды или ином законном основании и используются в её деятельности.

Категорирование КИИ
Что входит в услугу

Что входит в услугу
категорирования объектов КИИ

Проводим полную процедуру - от анализа систем до подготовки полного комплекта документов и ответов проверяющим органам
Категорирование КИИ
01
Определение, есть ли объекты КИИ
  • Анализируем информационные системы, сети, АСУ ТП и сети.
  • Определяем, попадают ли они под признаки объектов КИИ согласно 187-ФЗ.
  • Готовим обоснование о наличии или отсутствии объектов КИИ.
Категорирование КИИ
02
Проведение категорирования
  • Собираем необходимые сведения об объектах КИИ.
  • Проводим категорирование в соответствии с требованиями Постановления Правительства РФ №127.
  • Определяем категорию значимости объектов.
Категорирование КИИ
Категорирование КИИ
03
Оформление пакета документов
  • Подготавливаем комплект документов по результатам категорирования.
  • Составляем перечень объектов КИИ и сведения.
  • Готовим сопроводительное письмо и ответы на запросы ФСТЭК или других надзорных органов.
Категорирование КИИ
Категорирование КИИ
04
Консультация по законодательству КИИ
  • Разъясняем требования законодательства в сфере безопасности КИИ.
  • Консультируем по вопросам взаимодействия с ФСТЭК и другими органами.
  • Даем рекомендации по дальнейшим действиям и срокам.
Категорирование КИИ
Категорирование КИИ
Передайте категорирование профессионалам - сэкономьте время и избегите штрафов

Обеспечим соответствие требованиям 187-ФЗ и подготовим вашу организацию к проверкам

Категорирование КИИ
Стоимость услуг

Стоимость услуг
подготовки документов по КИИ

Выберите подходящий пакет услуг и получите профессиональную помощь в сфере категорирования объектов КИИ
Категорирование КИИ
Отсутствие объектов КИИ
нет объектов КИИ
Если нужно обосновать ФСТЭК или прокуратуре отсутствие объектов КИИ
  • Анализ инфраструктуры организации.
  • Подготовка документов с обоснованием отсутствия объектов КИИ.
  • Формируем ответ в надзорные органы
Категорирование КИИ
Базовый пакет
1 объект КИИ
Если нужно категорировать 1 объект КИИ и подготовить для него документацию
  • Анализ инфраструктуры организации.
  • Подготовка пакета внутренних документов
  • Подготовка пакета документов для отправки В ФСТЭК или прокуратуру
  • Консультация по законодательству в сфере КИИ
Категорирование КИИ
Расширенный пакет
до 5 объектов КИИ
Если нужно категорировать до 5 объектов КИИ и подготовить для них документацию
  • Анализ инфраструктуры организации.
  • Подготовка пакета внутренних документов
  • Подготовка пакета документов для отправки В ФСТЭК или прокуратуру
  • Консультация по законодательству в сфере КИИ
Категорирование КИИ
Премиум пакет
до 10 объектов КИИ
Если нужно категорировать 10 объектов КИИ и подготовить для него документацию
  • Анализ инфраструктуры организации.
  • Подготовка пакета внутренних документов
  • Подготовка пакета документов для отправки В ФСТЭК или прокуратуру
  • Консультация по законодательству в сфере КИИ
Категорирование КИИ
У Вас более 10 объектов КИИ?

Оставьте заявку - сделаем Вам индивидуальный расчет!

Категорирование КИИ
Выгоды для Вас

Что вы по итогу получите
от наших услуг

Берем на себя весь процесс категорирования объектов КИИ, чтобы вы могли сосредоточиться на развитии бизнеса.
Категорирование КИИ
Полный пакет дакументов

Полный комплект документов по категорированию объектов КИИ в вашей организации для защиты от проверяющих органов.

Категорирование КИИ
Категорирование КИИ
Экономия времени и ресурсов

Все этапы проведения категорирвания КИИ с минимальным вашим участием. С вас только заполнить короткий опросный лист.

Категорирование КИИ
Категорирование КИИ
Исключение рисков штрафов

Своевременная подача сведений в ФСТЭК или в прокуратуру позволяет избежать штрафов и других санкций.

Категорирование КИИ
Категорирование КИИ
Соответствие законодательству

Обеспечим соответствие законодательству и дадим конкретные консультации и рекомендации по законодательству в сфере КИИ.

Категорирование КИИ
Категорирование КИИ
Наши преимущества

Почему
нужно выбрать нас

Специализируемся на медицинском бизнесе, понимаем специфику, а также целевые запросы от контролирующих органов.
Категорирование КИИ
Понимаем медицинский бизнес изнутри

Специализируемся на медицине. Понимаем бизнес, медицинскую информационную инфораструктуру, реальные процессы организации.

Категорирование КИИ
Специалисты
с профилем ИБ

Проектами занимаются специалисты по информационной безопасности, которые знают 187-ФЗ, порядок категорирования и отраслевую методологию.

Категорирование КИИ
Готовим документы,
а не шаблоны

Описываем именно вашу инфраструктуру, процессы и системы. Формируем комплект документов и обоснований под конкретную организацию

Категорирование КИИ
Обосновываем позицию перед регулятором

Аргументированно показываем, какие системы относятся или не относятся к объектам КИИ, почему нет необходимости в присвоении категории значимости.

Категорирование КИИ
Снижаем риск претензий при проверке

Готовим структурированный пакет документов и ответные письма, чтобы позиция организации была понятна ФСТЭК, прокуратуре и иным проверяющим.

Категорирование КИИ
Говорим на понятном разговорном языке

Переводим требования закона в понятный план действий: что собрать, что оформить, куда направить, что делать дальше и консультируем по процессу.

Категорирование КИИ
Этапы работы

Как мы работаем

Структурированный подход и понятный процесс на каждом этапе -
вы всегда знаете, что происходит и какой следующий шаг.
Категорирование КИИ
01
Заключаем
договор
Согласовываем условия, фиксируем задачи, сроки и стоимость работ
Категорирование КИИ
02
Проводим
опрос
Собираем информацию о организации, системах и процессах удобным для Вас способом
Категорирование КИИ
03
Составляем
документацию
Анализируем данные и готовим все необходимые документыв соответствии с законодательством
Категорирование КИИ
04
Подробно
консультируем
Объясняем результаты, отвечаем на вопросы, подробно консультируем о дальнейших действиях
Категорирование КИИ
Готовы начать работу?
Подскажем, какие данные потребуются и какой формат сопровождения подойдет вашей организации.
Категорирование КИИ
Ответы на вопросы

Часто задаваемые вопросы

Ответы на популярные вопросы по процедуре категорирования, нашей работе, процессах и взаимодействии.
Категорирование КИИ
Что такое категорирование объектов КИИ простыми словами?
Категорирование — это процедура, в ходе которой организация определяет, есть ли у неё объекты КИИ, оценивает их значимость по установленным критериям и принимает решение: присвоить объекту одну из категорий значимости или зафиксировать отсутствие необходимости присвоения категории. По 187-ФЗ категорирование — это установление соответствия объекта КИИ критериям значимости и показателям их значений, присвоение категории и проверка сведений о результатах.

Мы формируем комплект документов, который подтверждает ход и результат процедуры: перечень анализируемых систем, приказ и положение о комиссии, акты категорирования, приказ о ответсвенном за обеспечение безопасности объектов КИИ, в которых указывается решение о присвоении категории или об отсутствии необходимости её присвоения, сведения о результатах категорирования и сопроводительные письма. Во ФСТЭК направляются именно сведения о результатах присвоения категории значимости либо об отсутствии необходимости её присвоения; форма таких сведений утверждена приказом ФСТЭК России.

Срок зависит от количества систем, структуры ИТ-инфраструктуры, наличия филиалов и готовности исходных данных. Обычно от организации требуется назначить ответственных, предоставить сведения об используемых системах, процессах, сетях, подрядчиках и оборудовании, а также ответить на уточняющие вопросы. Основную аналитическую и документальную работу мы берём на себя: разбираем инфраструктуру, готовим обоснования, комплект документов и объясняем дальнейшие действия.

Если МИС размещена в облаке, не находится в собственности, аренде или ином законном владении медицинской организации, а клиника только пользуется сервисом по договору с провайдером, тогда организация не является субъектом КИИ.

Но это не означает, что вопрос можно оставить без анализа. Нужно проверить, есть ли у организации другие информационные системы, сети или автоматизированные системы управления, которые принадлежат ей на законном основании: локальная сеть,  оборудование с программным управлением.

Проверяющий орган может запросить, проводила ли организация анализ своих информационных систем, сетей и АСУ, какие системы рассматривались и почему они не признаны объектами КИИ. Поэтому даже при отсутствии объектов КИИ важно подготовить документальную позицию: какие системы есть, на каком основании они используются, какие процессы обеспечивают и почему по итогам анализа отсутствует необходимость присвоения категории значимости.

Решение принимает сама организация как субъект КИИ в рамках процедуры категорирования. Внешний подрядчик не “присваивает категорию вместо клиники”, а помогает провести анализ, подготовить материалы, обоснования и комплект документов. Это важный момент: итоговые решения утверждаются субъектом КИИ в установленном порядке, а сведения о результатах направляются в ФСТЭК по утверждённой форме. Такой подход соответствует Правилам категорирования объектов КИИ, утверждённым Постановлением Правительства РФ №127.

Категорирование не стоит воспринимать как разовое действие “навсегда”. Если у организации меняется ИТ-инфраструктура, появляются новые системы, филиалы, оборудование или существенно меняются процессы, ранее сделанные выводы могут потребовать пересмотра. Кроме того, сведения, которые направляются регулятору, должны соответствовать фактическому состоянию инфраструктуры.

Да, мы проводим предварительный анализ и подготовку документов удалённо. Для этого организация заполняет анкету, предоставляет сведения об информационных системах и отвечает на уточняющие вопросы. Если инфраструктура сложная, есть несколько филиалов, собственные серверы, АСУ или много интеграций, может потребоваться интервьюирование ответственных сотрудников или дополнительный разбор схемы ИТ-инфраструктуры. Такой формат позволяет быстро понять ситуацию и подготовить документы без лишней нагрузки на клинику.

Категорирование объектов КИИ в здравоохранении

Категорирование объектов КИИ в здравоохранении — это не формальная подготовка “папки документов”, а процедура, с помощью которой медицинская организация определяет, есть ли в её инфраструктуре объекты критической информационной инфраструктуры и нужно ли присваивать им категорию значимости.

Для медицинских организаций основной фокус анализа обычно приходится на три группы объектов: медицинские информационные системы, медицинское оборудование с автоматизированными системами управления и локальные вычислительные сети. Именно эти элементы инфраструктуры могут обеспечивать процессы, от которых зависит работа клиники, лаборатории, стоматологии или фармацевтической организации.

По 187-ФЗ объектами КИИ являются информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления субъектов КИИ. А субъектами КИИ могут быть российские юридические лица или ИП, которым такие системы, сети или АСУ принадлежат на праве собственности, аренды или ином законном основании и функционируют, в том числе, в сфере здравоохранения.

Поэтому задача категорирования — не “найти КИИ любой ценой”, а корректно установить статус систем: что действительно является объектом КИИ медицинской организации, что не является таким объектом, и какие выводы можно обосновать документально.

Какие системы медицинской организации относятся к объектам КИИ

В медицинской организации к анализу по КИИ не нужно относить всё подряд. Сайт, форма онлайн-записи, рекламный кабинет или отдельная интеграция сами по себе не являются самостоятельными объектами КИИ. Их можно учитывать только в контексте той информационной системы или сети, частью которой они фактически являются.

Основные объекты, которые следует рассматривать в здравоохранении:

Медицинская информационная система, МИС
МИС может обеспечивать ведение электронных медицинских карт, работу врачей, регистрацию пациентов, хранение медицинской информации, формирование медицинской документации и другие процессы медицинской организации.

Медицинское оборудование с АСУ
К анализу относится оборудование, в котором автоматизированная система управления используется для контроля, управления, мониторинга, обработки данных или обеспечения технологического медицинского процесса.

Локальная вычислительная сеть
ЛВС может обеспечивать взаимодействие рабочих мест, серверов, МИС, медицинского оборудования и иных элементов инфраструктуры. Если сеть используется для работы медицинских процессов, её необходимо оценивать в рамках анализа КИИ.

При этом важен не только вид системы, но и правовое основание её использования. Категорирование проводится в отношении объектов, которые принадлежат субъекту КИИ на праве собственности, аренды или ином законном основании. Это прямо указано в Правилах категорирования объектов КИИ, утверждённых Постановлением Правительства РФ №127.

Когда медицинской организации нужно категорирование КИИ

Категорирование КИИ нужно проводить, когда у медицинской организации есть МИС, ЛВС или медицинское оборудование с АСУ, которые принадлежат ей на законном основании и используются в деятельности в сфере здравоохранения.

Отдельного внимания требуют ситуации, когда организация получила письмо от ФСТЭК, прокуратуры, органа исполнительной власти или другого проверяющего органа. В этом случае недостаточно ответить общей формулировкой “объектов КИИ нет”. Проверяющие обычно ожидают увидеть, что организация провела анализ, определила состав систем, оценила их статус и может объяснить, почему категория значимости присваивается или не присваивается.

Если анализ не проведён, любая позиция выглядит слабой. Даже когда объектов КИИ действительно нет, это нужно оформить так, чтобы вывод был понятен не только руководству клиники, но и проверяющим.

Облачная МИС и КИИ: когда клиника не является субъектом КИИ по этой системе

Частая ситуация: небольшая клиника пользуется облачной МИС по договору, не владеет сервером, не арендует саму систему как объект инфраструктуры и фактически получает доступ к сервису.

В таком случае облачная МИС не всегда образует объект КИИ самой клиники. Если система не принадлежит медицинской организации на праве собственности, аренды или ином законном основании, оснований считать именно эту МИС объектом КИИ клиники может не быть.

Но это не означает, что анализ можно не проводить. Нужно проверить, есть ли у организации другие элементы инфраструктуры: локальная вычислительная сеть, собственные серверы, медицинское оборудование с АСУ, иные информационные системы, которые действительно находятся в её владении или использовании на законном основании.

Правильная позиция в такой ситуации звучит не как “у нас облако, поэтому КИИ нет”, а как: “проведён анализ инфраструктуры, установлено правовое основание использования систем, по таким-то объектам сделан вывод об отсутствии признаков объекта КИИ организации”. Это уже можно защищать перед регулятором.

Что входит в услугу категорирования КИИ для медицинских организаций

Мы начинаем не с шаблонов, а с разборки инфраструктуры. На первом этапе определяем, какие системы есть у организации, что из этого относится к МИС, ЛВС или медицинскому оборудованию с АСУ, кому эти системы принадлежат и какие процессы они обеспечивают.

Далее проводится оценка: есть ли у организации объекты КИИ, требуется ли их категорирование, нужно ли присваивать категорию значимости или можно обосновать отсутствие необходимости её присвоения.

В рамках услуги мы готовим документы, которые фиксируют ход анализа и итоговую позицию организации. Это важно, потому что при запросе ФСТЭК или прокуратуры проверяющему нужен не устный комментарий ИТ-специалиста, а оформленный комплект материалов: что рассмотрели, на основании чего сделали вывод, какие сведения готовы представить.

Категорирование по ПП РФ №127 включает выявление процессов, определение объектов КИИ, формирование перечня объектов, оценку возможных последствий компьютерных инцидентов и принятие решения о присвоении категории либо об отсутствии необходимости её присвоения.

Документы по категорированию КИИ

Результат работы — это не универсальный “пакет по КИИ”, а комплект документов, привязанный к конкретной медицинской организации и её инфраструктуре.

В зависимости от ситуации могут быть подготовлены:

  • перечень рассматриваемых объектов;
  • документ о ответственно за обеспечение безопасности КИИ;
  • документы комиссии по категорированию;
  • Акты категорирования;
  • сведения для направления во ФСТЭК;
  • сопроводительное или ответное письмо для проверяющего органа.

Форма направления сведений о результатах присвоения объекту КИИ категории значимости либо об отсутствии необходимости присвоения категории утверждена приказом ФСТЭК России №236. Поэтому важно не только провести анализ, но и правильно оформить итоговые сведения.

Обоснование отсутствия объектов КИИ

Во многих медицинских организациях ключевая задача — не присвоить категорию, а корректно подтвердить, что объектов КИИ нет либо что конкретным объектам не требуется присвоение категории значимости.

Такой вывод должен быть обоснован. Проверяющий орган должен видеть, какие системы рассматривались, почему они не признаны объектами КИИ организации или почему по ним отсутствует необходимость присвоения категории.

Например, если МИС используется как облачный сервис и не принадлежит клинике на праве собственности, аренды или ином законном основании, это может быть важным аргументом. Но параллельно нужно проверить ЛВС и оборудование с АСУ. Если они есть и обеспечивают медицинские процессы, их нельзя исключать из анализа только потому, что МИС облачная.

Грамотное обоснование отсутствия объектов КИИ — это не отказ от процедуры. Это результат процедуры, оформленный так, чтобы организация могла подтвердить свою позицию при запросе регулятора.

Ответ на письмо ФСТЭК или прокуратуры по КИИ

Если в организацию поступил запрос по КИИ, лучше не готовить ответ до анализа инфраструктуры. Формальный ответ может создать больше проблем, чем его отсутствие: организация может заявить об отсутствии объектов КИИ, но при этом не иметь документов, которые подтверждают такой вывод.

Правильный порядок действий:

  • сначала изучить запрос;
  • определить, какие сведения требуют проверяющие;
  • проверить МИС, ЛВС и медицинское оборудование с АСУ;
  • оформить выводы;
  • подготовить ответное письмо с понятной позицией.

Такой подход показывает, что организация не игнорирует требования законодательства, а провела анализ и готова обосновать результат.

Почему стоит заказать категорирование КИИ у специалистов

В категорировании КИИ важно не просто знать закон. Нужно понимать, как устроена медицинская организация: какие системы действительно участвуют в медицинском процессе, где заканчивается облачный сервис провайдера и начинается инфраструктура клиники, какие элементы принадлежат организации, а какие нет.

Мы работаем с медицинскими организациями и понимаем специфику их инфраструктуры. Для нас МИС, ЛВС и медицинское оборудование с АСУ — не абстрактные термины из закона, а реальные элементы работы клиники, лаборатории или стоматологии.

В работе участвуют специалисты с профилем информационной безопасности. Мы помогаем сформировать позицию, которая понятна руководителю, ИТ-специалисту и проверяющему органу: какие объекты рассмотрены, какие выводы сделаны, какие документы подготовлены и что делать дальше.

Цель услуги — не “нагрузить” клинику лишней документацией, а закрыть вопрос КИИ профессионально: без необоснованного отнесения систем к объектам КИИ, без слабых формальных ответов и без риска, что при проверке у организации не окажется документов, подтверждающих её позицию.

 

Показать
Оставить заявку
Какой способ связи для Вас предпочтительнее?