Question 1

Небольшой клинике нужна система управления ИБ?

Accepted Answer

Форма собственности и размер не влияют на статус субъекта КИИ — влияет наличие МИС. Штраф РКН за утечку ПДн пациентов по 420-ФЗ не зависит от размера клиники. Частная клиника с МИС обязана провести категорирование.

Question 2

МИС на аутсорсе — кто несёт ответственность за ИБ?

Accepted Answer

Ответственность оператора ПДн — всегда на медорганизации, независимо от аутсорса. РКН штрафует оператора, не вендора. КиберОснова документирует принятые меры — это ваша защита.

Question 3

Как работать с КиберОснова без выделенного ИБ-специалиста?

Accepted Answer

КиберОснова проектирована для медорганизаций без большой ИБ-команды. Большинство задач автоматизированы: учёт СКЗИ ведётся без ручного ввода, документы генерируются по шаблонам, уведомления о ключах приходят автоматически.

Question 4

Аудит прошли успешно — нужно ли что-то менять?

Accepted Answer

В 2024 году вступил в силу 420-ФЗ с оборотными штрафами. В 2025 году — Приказ ФСТЭК №117 для субъектов КИИ. Если последний аудит был до 2024 года — часть мер может быть уже неактуальной.

Question 5

У нас уже есть инвентаризационная система — зачем отдельный ИБ-реестр?

Accepted Answer

ИТ-инвентаризация и ИБ-реестр решают разные задачи. IT-инструмент показывает «что есть» — модель, IP, версию ОС. КиберОснова добавляет ИБ-контекст по каждому активу: каким СЗИ защищён, какие уязвимости открыты, соответствует ли он мерам по Приказу №21, когда истекает сертификат СКЗИ. Это разные слои — мы работаем поверх существующей инвентаризации, не вместо неё.

Question 6

У нас уже есть сканер уязвимостей — чем КиберОснова его дополняет?

Accepted Answer

Сканер находит уязвимости, но не отвечает на вопрос «что это за актив, кто владелец и чем он защищён». КиберОснова даёт quality asset-context для приоритизации: критичность актива (КИИ-категория, тип данных), установленные СЗИ, принадлежность подразделению. Без этого контекста backlog уязвимостей не управляем — команда тратит время на несущественное.

Question 7

У нас уже есть ITSM / ServiceDesk — зачем ещё одна система?

Accepted Answer

ITSM управляет сервисами и заявками — это его сила. КиберОснова управляет ИБ-статусом активов: кто, чем защищён, что нарушает норму, когда проходила проверка. Это разные домены. Мы не конкурируем с ITSM, а закрываем то, что в нём обычно не ведётся: журнал СКЗИ, карту ПДн, реестр объектов КИИ, матрицу выполнения мер ФСТЭК.

Question 8

Это будет ещё одна база данных, которую нужно поддерживать?

Accepted Answer

Ровно наоборот. Задача КиберОснова — убрать разрозненные таблицы Excel с реестрами активов, журналами СКЗИ и чек-листами мер. Данные собираются автоматически через агент инвентаризации и интеграции, вручную обновляется только то, что принципиально нельзя автоматизировать. На практике нагрузка на команду снижается, а не растёт.

Question 9

Как работает КИИ в здравоохранении: относится ли наша больница к субъектам?

Accepted Answer

Медицинские организации могут быть субъектами КИИ по 187-ФЗ, если эксплуатируют информационные системы в сфере здравоохранения. Под это определение попадают МИС, ЛИС, ПАКС/RIS, АСУ инженерных систем жизнеобеспечения. Если такие системы есть — организация обязана провести категорирование вне зависимости от формы собственности.

Question 10

Данные пациентов — это специальные категории ПДн?

Accepted Answer

Да. Информация о состоянии здоровья, диагнозах, медицинских процедурах относится к специальным категориям по ст. 10 152-ФЗ. Для их обработки требуется явное согласие субъекта. Уровень защищённости определяется по Приказу №21: для большинства медорганизаций — УЗ-3, при угрозах 2-го типа или расширенном составе субъектов — УЗ-2.

Question 11

Нужен ли учёт СКЗИ в медицинской организации?

Accepted Answer

Учёт СКЗИ обязателен, если медорганизация применяет криптосредства для защиты ПДн: шифрует данные пациентов, передаёт медицинскую информацию по защищённым каналам, использует электронную подпись. Учёт ведётся по Инструкции ФАПСИ №152: поэкземплярный учёт, журналы выдачи и хранения ключевых документов.

Question 12

Как выстроить ИБ медицинской организации по Приказу ФСТЭК №21?

Accepted Answer

КиберОснова автоматизирует выполнение мер по Приказу №21: определяет уровень защищённости ИСПДн, формирует чек-листы мер, генерирует документацию (акт классификации, модель угроз, технический паспорт), отслеживает остаточные риски и готовит доказательную базу для проверок Роскомнадзора.

Question 13

Что такое МИС и почему её нужно категорировать?

Accepted Answer

МИС — медицинская информационная система (электронные медкарты, запись к врачу, учёт медикаментов). По 187-ФЗ МИС может быть объектом КИИ вне зависимости от размера организации — критерий не размер, а критичность: способность сбоя создать угрозу жизни пациентов или нарушить оказание медицинской помощи.

Question 14

Как развернуть КиберОснова в медицинской организации?

Accepted Answer

КиберОснова устанавливается на серверы организации. Данные не покидают контур медучреждения. Для организаций с высоким уровнем защищённости ИСПДн или значимых объектов КИИ возможна работа в закрытом контуре без выхода в интернет.

Question 15

Применяется ли 187-ФЗ к частным клиникам?

Accepted Answer

Да. Форма собственности значения не имеет — критерий субъекта КИИ один: эксплуатация информационных систем в сфере здравоохранения. Частная клиника с МИС, обрабатывающей данные пациентов и влияющей на оказание медицинской помощи, признаётся субъектом КИИ и обязана провести категорирование.

Question 16

Что изменилось для медорганизаций после 420-ФЗ?

Accepted Answer

В 2024 году вступил в силу 420-ФЗ, введший оборотные штрафы за утечку персональных данных. Для медицинских организаций это критично: данные о здоровье пациентов — специальная категория. Штраф за повторную утечку — до 500 млн ₽. КиберОснова помогает контролировать выполнение технических мер защиты и формировать доказательную базу.

Question 17

Как управлять ИБ в сети клиник из нескольких площадок?

Accepted Answer

КиберОснова поддерживает централизованное управление по всем площадкам: единый реестр активов по клиникам и лабораториям, централизованный учёт СКЗИ, консолидированная отчётность. Каждая площадка работает в своём контуре, но данные сведены в одно окно для ИБ-специалиста.

SGRC для здравоохранения

Как это выглядит сегодня

КиберОснова решает это

МИС, ЛИС, ПАКС и медоборудование — в разных системах без единого ИБ-контура

МИС и ЛИС есть, а в реестре безопасности их нет

МИС, ЛИС, телемедицина, мобильное приложение — и ни одной карты ПДн пациентов

Уровень защищённости ИСПДн рассчитывается вручную — и часто оказывается неверным

Частная клиника с МИС — субъект КИИ. Но категорирование не проводилось

Каждый врач управляет своим токеном сам — никаких журналов, никаких актов

МРТ, инфузоматы, УЗИ-аппараты — в сети, но вне ИБ-контура

Нормативные требования для здравоохранения

152-ФЗ

187-ФЗ

Приказ ФСТЭК №239

Приказ ФСТЭК №21

Приказ ФСБ №378

Ваша задача — модуль КиберОснова

Результаты для медицинской организации

Единый реестр МИС, ЛИС, ПАКС, медоборудования с IP-интерфейсами

Как КиберОснова помогает медицинским организациям

Категорирование МИС, ЛИС, ПАКС по 187-ФЗ

Защита ПДн пациентов

Учёт СКЗИ в медорганизации

Инвентаризация ИТ-активов

Генерация документов ИБ

Управление рисками и уязвимостями

Риски при несоответствии требованиям

420-ФЗ: оборотные штрафы

Роскомнадзор: проверки и предписания

ФСТЭК: предписания по КИИ

Ст. 274.1 УК РФ

КиберОснова закрывает все задачи ИБ медицинской организации

Вопросы и ответы

Связанные разделы

Запросите демо для медицинской организации