Утвержден список объектов критической информационной инфраструктуры в здравоохранении

Премьер-министр РФ Михаил Мишустин подписал Распоряжение Правительства РФ № 360-р от 26.02.2026 об утверждении перечня объектов критической информационной инфраструктуры (КИИ), в том числе в сфере здравоохранения. Всего в документе (доступен на «МВ») почти 400 позиций, 12 из них относятся непосредственно к сфере здравоохранения.

В том числе это Единая государственная информационная система в сфере здравоохранения (ЕГИСЗ), информационные системы медицинских и фармацевтических организаций и иные системы, взаимодействующие с ними, ГИС ОМС, информационные системы, предназначенные для выполнения клинических исследований, управления аппаратами лучевой диагностики и проведения противоопухолевой терапии, оборудование для ОРИТ и операционных и т.д.

Также в перечень включены информационные системы, обеспечивающие проведение научно-исследовательских и опытно-конструкторских работ.

В 2022 году президент РФ Владимир Путин поручил создать отделы кибербезопасности на объектах КИИ, включая медучреждения, писал «МВ». В здравоохранении отраслевой Центр информационной безопасности и импортозамещения создан на базе Центрального НИИ организации и информатизации здравоохранения (ЦНИИОИЗ).

Закон о критической информационной инфраструктуре обязывает все организации, использующие значимые системы, внедрять современные протоколы безопасности для защиты этих систем от внешних угроз. Перечень таких мер должен включать ограничение доступа персонала к серверам больницы, установление разноуровневой системы доступа персонала к системам, проведение систематической смены паролей и прав доступа, создание отделов кибербезопасности и т.д.

Кроме того, все организации, работающие на значимых сервисах, обязаны с 1 сентября 2025 года дополнительно устанавливать российское ПО из специального реестра, в том числе антивирусное. Первоначально такая необходимость была установлена Указом Президента РФ № 166 от 30.03.2022. ПО должно соответствовать требованиям информационной безопасности и быть включено в единый российский реестр или в единый реестр ЕАЭС. Закупки иностранного ПО нужно согласовывать.

По данным экспертов, с начала года каждая медорганизация в среднем попадала под прицел хакеров более 3 млн раз, количество попыток взлома систем продолжает расти. Для предотвращения нежелательных инцидентов в этой сфере с 2022 года регуляторы пересмотрели требования обеспечения кибербезопасности на значимых объектах экономики, включая медицинскую инфраструктуру. В том, как работает эта система, «МВ» разбирался здесь.