Бесплатный онлайн-инструмент для государственных медицинских учреждений: расчёт показателя защищённости (КЗИ) по приказу ФСТЭК России № 117 от 11.04.2025 и методике ФСТЭК от 11.11.2025. Адресован руководителям ИТ и информационной безопасности, заместителям главных врачей по ИТ, главным врачам государственных и муниципальных учреждений здравоохранения: ГБУЗ, ФГБУЗ, ГАУЗ, ФАП, поликлиник, больниц, диспансеров, родильных домов, станций скорой медицинской помощи, медицинских научно-исследовательских институтов, ТФОМС. Учитывает специфику медицинских информационных систем (МИС), федеральных сервисов Минздрава (ЕГИСЗ, ВИМИС, ФРМО, ФРМР), лабораторных и радиологических систем (ЛИС, РИС, PACS), а также офисных информационных систем медучреждения.
КРЕДО-С
Для медицинских учреждений: государственных и частных

117 ФСТЭК для медицинских учреждений: расчёт КЗИ и подготовка к проверке

С 1 марта 2026 года вступил в силу приказ ФСТЭК России № 117. Прямое требование — для ГБУЗ, ФГБУЗ, ГАУЗ, ФАП, поликлиник, больниц, диспансеров, медицинских НИИ, ТФОМС и подведомственных государственных учреждений. Частные клиники, медицинские центры и лаборатории могут использовать калькулятор как самопроверку по 152-ФЗ и приказу ФСТЭК № 21 — методика КЗИ универсальна. Под защиту попадают МИС, сегменты ЕГИСЗ, бухгалтерия, кадровый учёт, СЭД и любые информационные системы учреждения.

Бесплатно, без регистрации, без ввода персональных данных пациентов. Подсказки калькулятора адаптированы под медицинскую инфраструктуру.

Перейти к расчёту КЗИОткрыть методические материалы
  • Бесплатно и без регистрации
  • По методике ФСТЭК от 11.11.2025
  • Подсказки под МИС, ЕГИСЗ, ВИМИС, ФРМО, ФРМР
  • Лицензиат ФСТЭК и ФСБ России
Видеоинструкция — как медицинскому учреждению рассчитать КЗИ за 5 минут

Расчёт показателя защищённости (КЗИ) онлайн

Загрузка калькулятора…

Касается ли приказ 117 ФСТЭК вашего учреждения

Отметьте пункты, которые подходят. Если выбран хотя бы один — приказ распространяется на ваше учреждение.

Если ни один пункт не выбран — уточните периметр обработки информации у ответственного за ИТ. Чаще всего хотя бы одна позиция актуальна для любого медицинского учреждения, обрабатывающего персональные данные пациентов.

Защита МИС, ЕГИСЗ, ВИМИС, ФРМО и ФРМР: что меняется с 1 марта 2026 года

Приказ ФСТЭК № 117 заменил приказ № 17 и расширил периметр требований. Если раньше под жёсткое регулирование попадали только аттестованные ГИС, то теперь требования распространяются на все информационные системы, которые эксплуатирует государственное учреждение здравоохранения.

МИС

Медицинские информационные системы (МИС)

РМИС, ЕМИАС, qMS, Ариадна, МедИнтех, БАРС, Самсон-МИС, КМИС и любые иные клинические системы. Под защиту попадают рабочие места врачей, серверы МИС, шлюзы интеграции с ЛИС/PACS/ОМС, мобильные приложения для медперсонала. Меры — от двухфакторной аутентификации до контроля действий администраторов.

Минздрав

Федеральные сервисы Минздрава

ЕГИСЗ, ВИМИС (онкология, акушерство, ССЗ, профилактика, инфекции), ФРМО, ФРМР, ИЭМК, РЭМД, ФР ВИМИС. Защита каналов передачи данных, журналирование действий, контроль учётных записей интеграции. Учреждение отвечает за безопасность собственных шлюзов передачи данных в федеральные сервисы.

Лаборатория

Лабораторные и диагностические системы

ЛИС (лабораторные информационные системы), РИС, PACS, системы анализа изображений, медицинское оборудование с сетевым подключением. Часто это «забытые» сегменты, в которых отсутствует базовая защита: пароли по умолчанию, открытые сетевые порты, отсутствие обновлений.

Офис

Офисные и хозяйственные системы

Бухгалтерия (1С), кадровый учёт, СЭД, корпоративная почта, файловые серверы. Часто содержат персональные данные сотрудников и пациентов. Под действие 117-го попадают точно так же, как клинические системы — отдельных «упрощённых» режимов для бухгалтерии приказ не предусматривает.

Подрядчики

Подрядчики и поставщики МИС

Разработчики и обслуживающие организации МИС обязаны соблюдать требования к безопасной разработке (ГОСТ Р 56939-2024). Учреждение должно зафиксировать требования в техническом задании и договоре, а также контролировать их исполнение. За нарушения подрядчика конечную ответственность несёт оператор информационной системы — то есть само медицинское учреждение.

Что делать с результатом расчёта КЗИ

Калькулятор покажет коэффициент защищённости от 0 до 1 и распределение по 4 группам критериев. Используйте интерпретацию ниже как ориентир для планирования работ.

Критический

КЗИ < 0,5 — критический уровень

Базовые меры защиты не реализованы. В первую очередь: назначьте ответственного за информационную безопасность, проведите инвентаризацию информационных систем, закройте дефолтные пароли и настройте резервное копирование МИС. Подготовка к проверке ФСТЭК потребует не менее 6 месяцев.

Низкий

КЗИ 0,5 – 0,75 — низкий уровень

Часть мер реализована, но есть существенные пробелы. Сфокусируйтесь на двухфакторной аутентификации администраторов, защите каналов передачи данных в ЕГИСЗ, регламенте реагирования на инциденты и обучении персонала по информационной безопасности.

Базовый

КЗИ 0,75 – 1,0 — базовый уровень

Базовые требования закрыты. Дальше — отработка нештатных ситуаций (учения по реагированию на инциденты), регулярный аудит, контроль подрядчиков и пересчёт КЗИ каждые 6 месяцев, как требует методика ФСТЭК.

Достаточный

КЗИ ≥ 1,0 — достаточный уровень

Учреждение готово к проверке ФСТЭК. Следующий шаг — поддержание уровня: регулярные пересчёты, отслеживание изменений в нормативной базе, проактивный контроль уязвимостей и работа со смежными требованиями (152-ФЗ, постановление № 1119, требования ФСБ к криптосредствам).

Расчёт по методике ФСТЭК пересматривается каждые 6 месяцев. Сохраните ссылку на текущий расчёт, чтобы вернуться к нему при следующем пересмотре.

Подготовка к проверке ФСТЭК и Роскомнадзора в медицинском учреждении

ФСТЭК России и Роскомнадзор проводят как плановые, так и внеплановые проверки соблюдения требований защиты информации. Для государственных медицинских учреждений это касается одновременно приказа № 117 ФСТЭК, 152-ФЗ «О персональных данных» и постановления Правительства № 1119 «Об уровнях защищённости персональных данных».

  1. 1

    Назначить ответственного за информационную безопасность

    Издать приказ о назначении сотрудника или подразделения, ответственного за защиту информации в учреждении. При отсутствии профильного специалиста допустимо привлечение внешней лицензированной организации — но ответственное лицо в штате должно быть в любом случае.

  2. 2

    Провести инвентаризацию информационных систем

    Зафиксировать все информационные системы учреждения: МИС, ЛИС, бухгалтерию, кадры, СЭД, шлюзы ЕГИСЗ. Для каждой системы — состав обрабатываемых данных, класс защищённости, уровень защищённости персональных данных по ПП-1119.

  3. 3

    Подготовить организационно-распорядительные документы

    Минимальный пакет для проверки: политика информационной безопасности, парольная политика, регламент реагирования на инциденты, инструкции пользователей и администраторов, журналы обучения, требования к подрядчику-разработчику МИС. Готовые шаблоны — в разделе «Шаблоны документов» сайта.

  4. 4

    Реализовать технические меры защиты

    По 16 критериям из методики ФСТЭК: двухфакторная аутентификация, контроль доступа, антивирусная защита, резервное копирование, защита периметра, средства мониторинга и реагирования. Для медицинских учреждений критичны защита каналов передачи в ЕГИСЗ и защита мобильных рабочих мест врачей.

  5. 5

    Запустить регулярный пересчёт КЗИ

    Пересчёт показателя защищённости — не реже одного раза в шесть месяцев, а также при существенных изменениях информационных систем. Сохраняйте отчёты по каждому пересчёту: при проверке ФСТЭК потребуется подтвердить регулярность оценки.

Методические материалы и шаблоны документов

Готовые материалы для самостоятельной подготовки медицинского учреждения к требованиям 117 ФСТЭК. Скачивание бесплатное, без регистрации.

Шаблоны организационно-распорядительных документов

Приказ о назначении ответственного, парольная политика, регламент реагирования на инциденты, типовые требования к подрядчику-разработчику МИС, чек-лист подготовки к проверке. Все шаблоны адаптируются под учреждение за 30 минут.

Открыть каталог шаблонов

Полное руководство по 117 ФСТЭК

Структурированный разбор всех требований приказа № 117: что изменилось по сравнению с приказом № 17, кого касается, какие меры обязательны, какие сроки уже наступили, какая ответственность за невыполнение.

Перейти к руководству

Текст приказа и методика ФСТЭК

Официальные документы для скачивания: приказ ФСТЭК России № 117 от 11.04.2025, методический документ ФСТЭК от 11.11.2025 по расчёту показателя защищённости (КЗИ).

Скачать документы

Полезные статьи для медицинских учреждений

Разборы требований, кейсы из практики, ответы на типовые вопросы руководителей ИТ и главных врачей по приказу 117 ФСТЭК.

Открыть блог

Полезные статьи по 117 ФСТЭК

Если нужна помощь

Страница — бесплатный практикум, чтобы разобраться в требованиях самостоятельно. Если внутренних ресурсов недостаточно — КРЕДО-С работает с медицинскими учреждениями с 1993 года: государственными (по 117 ФСТЭК) и частными (по 152-ФЗ + приказу ФСТЭК № 21). Готовим документацию, проводим аудит, сопровождаем проверки ФСТЭК и Роскомнадзора.

Комплексный аудит ИБ и ИТ

Комплексный аудит ИБ и ИТ — масштабное обследование, охватывающее все аспекты информационных технологий и безопасности организации. В отличие от узкоспециализированных проверок, комплексный аудит даёт полную картину состояния ИТ-активов, процессов управления, защиты информации. КРЕДО-С проводит комплексный аудит силами специалистов различных профилей: эксперты по ИТ-инфраструктуре, специалисты по информационной безопасности, аудиторы по соответствию нормативным требованиям. Такой междисциплинарный подход позволяет выявить проблемы, которые могут остаться незамеченными при узкоспециализированных проверках. Аудит ИТ-инфраструктуры включает оценку архитектуры сетей, серверного оборудования, систем хранения данных, виртуализации. Анализируется соответствие инфраструктуры текущим и прогнозируемым потребностям бизнеса, выявляются узкие места производительности, оценивается уровень отказоустойчивости. Аудит информационной безопасности охватывает организационные и технические меры защиты: политики и процедуры, средства защиты информации, управление доступом, защиту периметра, антивирусную защиту, резервное копирование. Проверяется соответствие требованиям 152-ФЗ, 187-ФЗ, приказам ФСТЭК и ФСБ России. Оценивается эффективность инвестиций в ИТ и ИБ: анализируется, насколько существующие системы поддерживают бизнес-цели, оправдывают ли затраты получаемую пользу, существуют ли более эффективные альтернативы. Выявляются дублирующие системы, неиспользуемые лицензии, нерациональные расходы. По итогам формируется единый отчёт, содержащий детальное описание текущего состояния ИТ и ИБ, выявленные проблемы и риски, приоритезированные рекомендации по улучшению. В рамках аудита производится расчёт показателя защищённости КЗИ по приказу ФСТЭК №117, позволяющий объективно оценить текущий уровень защищённости и определить направления для его повышения. Результаты комплексного аудита служат основой для разработки стратегии развития ИТ и программы модернизации информационной безопасности. КРЕДО-С имеет лицензии ФСТЭК и ФСБ России, более 33 лет экспертизы в ИТ и информационной безопасности.

Подробнее

Защита персональных данных

Защита персональных данных — законодательное требование для каждого оператора персональных данных, обрабатывающего информацию о физических лицах. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» обязывает оператора обработки персональных данных обеспечивать безопасность ПДн при их обработке в информационных системах персональных данных (ИСПДн). Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, которое организует и осуществляет обработку персональных данных. Обязанности оператора персональных данных включают уведомление Роскомнадзора о начале обработки ПДн, обеспечение защиты информации в ИСПДн, соблюдение прав субъектов персональных данных. Регистрация оператора персональных данных в реестре операторов персональных данных Роскомнадзора — обязательная процедура для большинства организаций. КРЕДО-С проводит полный цикл работ по построению системы защиты персональных данных в соответствии с требованиями приказа ФСТЭК 21. Аудит ИСПДн — определяется перечень обрабатываемых персональных данных, категории субъектов, цели и правовые основания обработки. Проводится классификация ИСПДн и определение уровня защищённости персональных данных. Существуют четыре уровня защищённости персональных данных: 1 уровень защищённости персональных данных (максимальный), 2 уровень защищённости, 3 уровень защищённости и 4 уровень защищённости персональных данных. Уровень определяется на основе типов ИСПДн, категорий обрабатываемых данных, объёма обработки и актуальных угроз безопасности. Результат — акт определения уровня защищённости персональных данных. Моделирование угроз — разрабатывается модель угроз ИСПДн с учётом специфики деятельности организации, определяются актуальные угрозы ИСПДн. Модель угроз формируется в соответствии с методикой ФСТЭК России и учитывает угрозы из Банка данных угроз ФСТЭК (БДУ ФСТЭК). На основе модели угроз определяется перечень необходимых мер защиты ИСПДн по приказу ФСТЭК 21. Проектирование и внедрение — формируется комплекс организационных и технических мер защиты: управление доступом, идентификация и аутентификация, криптографические меры защиты информации, антивирусная защита, регистрация событий безопасности, обнаружение вторжений. Внедряются сертифицированные средства защиты информации ФСТЭК: Secret Net Studio, Dallas Lock, Kaspersky, ViPNet и другие решения из реестра ФСТЭК. Разработка документации — формируется полный пакет документов оператора персональных данных: политика обработки персональных данных, положение об обработке и защите ПДн, модель угроз безопасности, акт определения уровня защищённости, приказы о назначении ответственных лиц, должностные инструкции, соглашения о неразглашении. Сопровождение и аттестация — специалисты КРЕДО-С сопровождают заказчика при проверке оператора персональных данных Роскомнадзором, помогают подготовить уведомление оператора персональных данных, при необходимости проводят аттестацию ИСПДн по требованиям безопасности информации. Для государственных информационных систем, обрабатывающих ПДн, обеспечивается расчёт показателя защищённости КЗИ по приказу ФСТЭК №117. Опыт компании КРЕДО-С с 1993 года включает сотни успешных проектов по защите персональных данных в организациях здравоохранения, образования, финансового сектора, государственного управления и других отраслей. Компания имеет лицензии ФСТЭК и ФСБ России.

Подробнее

Дорожная карта модернизации ИБ и ИТ

Дорожная карта модернизации ИБ и ИТ — стратегический документ, определяющий путь трансформации информационных технологий и безопасности организации от текущего состояния к целевой модели. Дорожная карта обеспечивает системный подход к модернизации, оптимальное распределение ресурсов, контроль достижения целей. Разработка дорожной карты начинается с комплексной оценки текущего состояния ИТ и ИБ (as-is анализ). Специалисты КРЕДО-С проводят аудит инфраструктуры, систем защиты, процессов управления. Выявляются сильные стороны, которые следует развивать, и слабые места, требующие улучшения. Определяется целевая модель (to-be) с учётом стратегии бизнеса, требований регуляторов, лучших практик отрасли. Формируется видение того, какой должна быть ИТ-инфраструктура и система информационной безопасности через 1-3-5 лет. Целевая модель описывает архитектуру систем, процессы управления, компетенции персонала. Разрабатывается поэтапный план перехода от текущего состояния к целевому. Определяются ключевые инициативы: проекты по модернизации инфраструктуры, внедрению новых систем защиты, оптимизации процессов, обучению персонала. Каждая инициатива снабжается описанием целей, ожидаемых результатов, необходимых ресурсов. Производится приоритизация инициатив по критериям критичности для бизнеса, сложности реализации, ожидаемого эффекта. Формируется график реализации проектов с учётом зависимостей и ограничений ресурсов. Рассчитывается бюджет модернизации по этапам, определяются источники финансирования. Дорожная карта включает механизмы контроля реализации: ключевые показатели эффективности (KPI), контрольные точки для оценки прогресса, процедуры корректировки плана при изменении условий. Для организаций, подлежащих контролю ФСТЭК, дорожная карта учитывает требования приказа ФСТЭК №117 и целевые значения показателя защищённости КЗИ, определяя конкретные шаги для достижения требуемого уровня. Документ согласуется с руководством организации и становится основой для управления ИТ и ИБ на среднесрочную перспективу. КРЕДО-С обладает лицензиями ФСТЭК и ФСБ России, 33-летним опытом стратегического консалтинга в области информационной безопасности.

Подробнее

Опишите ситуацию по телефону или электронной почте — подскажем, с чего начать в вашем учреждении. Без обязательств и без коммерческой настойчивости.

+7 (495) 225-60-59 credos@credos.ru

Часто задаваемые вопросы для главного врача и руководителя ИТ

Допустимо назначить ответственным заместителя главного врача по ИТ, системного администратора или руководителя ИТ-подразделения с одновременным привлечением внешней лицензированной организации для методической поддержки. Главное — закрепить ответственность приказом и обеспечить обучение по программе не менее 72 часов в течение трёх лет с момента назначения.
Ответственность за нарушение приказа № 117 действует через смежные нормы. По статье 13.11 КоАП РФ предусмотрены штрафы за нарушение порядка обработки персональных данных — для юридических лиц по разным составам от 60 000 до 800 000 рублей и более, при повторных нарушениях суммы выше. По итогам проверки ФСТЭК или Роскомнадзора возможно предписание об устранении нарушений, при невыполнении — приостановка обработки персональных данных, что фактически останавливает работу медицинской информационной системы. Конкретный размер штрафа определяется по составу нарушения и редакции КоАП на дату вынесения постановления.
Часть функций можно передать организации с лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации: проведение аудита, разработку документации, внедрение и сопровождение средств защиты, мониторинг инцидентов. Однако ответственное лицо в штате учреждения должно быть назначено в любом случае — полностью передать обязанности оператора информационной системы внешней организации нельзя.
Расходы на защиту информации обоснованы обязательными требованиями приказа ФСТЭК № 117, 152-ФЗ и постановления Правительства № 1119. В пояснительной записке к смете рекомендуется указывать ссылки на конкретные пункты нормативных актов и приводить расчёт стоимости предписаний по итогам проверки как альтернативу. Расходы на защиту критичных систем (МИС, шлюзы ЕГИСЗ) приоритетны перед хозяйственными системами.
Технические и организационные меры по 117 ФСТЭК — основа для защиты сведений, составляющих врачебную тайну (статья 13 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан»). Однако соблюдение врачебной тайны включает и не-технические аспекты: режим работы регистратуры, обращение с бумажными носителями, контроль доступа в кабинеты. 117 ФСТЭК закрывает информационную составляющую — остальные требования регулируются другими нормативными актами.
Приказ ФСТЭК № 117 действует с 1 марта 2026 года. Это значит, что требования уже обязательны для исполнения. В первую очередь: издать приказ о назначении ответственного за информационную безопасность, провести инвентаризацию информационных систем учреждения, актуализировать политику обработки персональных данных, выполнить расчёт показателя защищённости (КЗИ) для основных систем — МИС, шлюз ЕГИСЗ, бухгалтерия.
Главные отличия: расширен периметр (под защиту попадают любые информационные системы государственного учреждения, а не только аттестованные ГИС), введён количественный показатель защищённости (КЗИ) с обязательным пересчётом каждые 6 месяцев, ужесточены требования к подрядчикам — разработчикам прикладного ПО (ГОСТ Р 56939-2024). Если по приказу № 17 у учреждения была действующая аттестация, повторная аттестация не требуется, но оценку КЗИ и обновление организационных документов провести нужно.
Документы дополняют друг друга. 152-ФЗ устанавливает базовые требования к обработке персональных данных. Постановление № 1119 определяет уровни защищённости персональных данных (УЗ-1, УЗ-2, УЗ-3, УЗ-4) и состав мер. Приказ ФСТЭК № 117 раскрывает технические и организационные меры для государственных и муниципальных учреждений. Для медицинской организации актуальны все три документа одновременно: данные пациентов относятся к специальной категории по статье 10 152-ФЗ.
Запросить у поставщика МИС письменное подтверждение соответствия системы требованиям приказа № 117 и ГОСТ Р 56939-2024 по безопасной разработке. Если ответа нет или функционал отсутствует, ответственность остаётся на учреждении-операторе. Можно компенсировать наложенными средствами защиты: внешняя двухфакторная аутентификация, сетевая сегментация, средства мониторинга и реагирования. Параллельно — фиксировать риск в плане модернизации ИБ и при выборе следующей версии или замене МИС учитывать требования 117 ФСТЭК как обязательный критерий.
КЗИ рассчитывается отдельно для каждой информационной системы. Это значит, что для медицинского учреждения нужно как минимум три расчёта: основная МИС, бухгалтерия и кадровый учёт, шлюз передачи данных в ЕГИСЗ. По крупным учреждениям с лабораторными и радиологическими системами расчётов будет 5–8. Хранить отчёты нужно отдельно по каждой системе и пересчитывать при существенных изменениях — обновлении версии, добавлении интеграций, изменении состава пользователей.
Методика ФСТЭК от 11.11.2025 устанавливает периодичность пересчёта — не реже одного раза в шесть месяцев. Внеплановый пересчёт обязателен при существенных изменениях: ввод новой подсистемы, изменение состава обрабатываемых данных, инцидент информационной безопасности с обработкой персональных данных пациентов. Историю расчётов рекомендуется хранить не менее пяти лет — отчёты могут быть запрошены при проверке ФСТЭК или Роскомнадзора.
Прямые требования приказа ФСТЭК № 117 действуют для государственных и муниципальных учреждений. Частные медицинские организации руководствуются 152-ФЗ «О персональных данных», постановлением Правительства № 1119 «Об уровнях защищённости персональных данных» и приказом ФСТЭК России № 21 «О составе и содержании организационных и технических мер по обеспечению безопасности персональных данных». Методика КЗИ из 117-го универсальна по структуре — её удобно использовать как самопроверку и инструмент управленческой отчётности по уровню защищённости. Шаблоны организационно-распорядительных документов также применимы — большинство пунктов одинаково обязательны и для частной клиники, обрабатывающей данные пациентов.
В техническом задании и договоре зафиксировать соответствие ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения», предоставление документации на встроенные механизмы защиты (аутентификация, разграничение доступа, журналирование, контроль целостности), регулярные обновления безопасности, реагирование на уязвимости в течение установленного срока. Контролировать через приёмо-сдаточные испытания и регулярный аудит силами учреждения или независимой организации.

Калькулятор не запрашивает и не сохраняет персональные данные пациентов или сотрудников. Для расчёта используются только сведения о реализованных мерах защиты — без идентифицирующей информации.

Калькулятор и методические материалы носят информационно-просветительский характер. Результат расчёта не является официальным заключением и не заменяет аттестацию информационной системы. Для официальной оценки и аттестации обратитесь в лицензированную организацию.