Тот и будет субъектом .. если, арм есть, конечно. А не просто датчики, собирающие в какую-то другую систему

ваш МРТ и соответствующий АРМ в каких процессах участвует? Проведение медицинского обследования, обработка соответствующих результатов. Они уже наверняка являются объектами КИИ.
Второй вопрос - подлежат ли они категорированию. Оцените сам процесс, который ими автоматизируется - его нарушение может как-то повлечь негативные социальные,
политические, экономические, экологические последствия, последствия для
обеспечения обороны страны, безопасности государства и правопорядка? Скорее всего стоит рассматривать возможность ущерба здоровью гражданам от соответствующих нарушений. например некорректные настройки аппарата. Сами посмотрите как организован процесс, как получаете данные и т.д. и решайте. Тут вам про это ничего не скажут.
Если потенциальный такой ущерб есть (пока говорим о процессе, не об аппарате или АРМ!), то соответствующая система подлежит категорированию

Григорий, мрт, может дать результат не в электронном варианте? Например на экран или бумагу? Какова разница во влиянии того факта, что МРТ передает информацию в Вашу ис в электронном виде по сравнению с иным способом предоставления результата? Выша ИС (МИС-это потенциально окии, скорее всего без категрии) скорее всего не управляетВашим мрт, это делает сторонний продукт. И мрт просто отдает данные! Так вот вопрос в том, насколько критично для Вашей МИСпередача данных именно в электронном виде, точнее не для МИСа для пациента?

у вас АРМ к сети никакой не подключен? Результаты вы не передаете по сети врачу и не выгружаете на флэшке например? Если что-то такое есть, то уже есть возможность реализации компьютерных атак

Почему все ведут речь именно про арм? Результаты хакерской группы Orangeworm никого не интересуют?

Арм в составе с МРТ не подключены к сети, данные собираются в конце рабочего дня и загружаются в систему с ДРУГОГО места в ИС, да, эту ИС добавляем в перечень, вопрос в том добавлять ли АРМ с ПО в окии?!

а кто вам сказал, что только АРМ. Оборудование также объект, так как АСУ по своей сути

Ну вот я про это и далее по тексту

С ЦБ ничего согласовывать не нужно, и ЦЬ ничего вам согласовывать не будет

Оно без регистрации, мб свою статистику пытались собирать
Ну если что, после 4х строк якобы "о себе" выдают это

Наличие арм почти 100% признак, что это ИС/АСУ

Медицинское оборудование это и есть объект защиты ис/АСУ как угодно называйте. И оно чаще всего на тех поддержке у внешней организации через сети связи. Вот на все это и распространяются меры по защите, ибо часто они не внедрены

Тут нет коллизии. Категорирование - это не присвоение категории, а "установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений" и тольько потом присвоение категории, если нужно. ПП говорит, что есть объекты, которые заведомо не соответствуют критериям значимости, и поэтому им заведомо не нужно присваивать категорию значимости

Так эти объекты , которые "заведомо не соответствуют .." это объекты кии? Объекты без категории? Акт по ним нужно составлять? Если ответ - нужно, то получится противоречие ПП самому себе.

Объекты КИИ без категории. Акт составлять не нудно, в перечень включать не нужно

А какова роль ЦБ тогда в данном процессе? Он же является отраслевым регулятором

В ФЗ определены полномочия правительства РФ .. это только "порядок категорирования". Но никак не определение тех объектов, которые подпадают под категорировпние

Коллизия только в том, что закон требует проинформировать о таком объекте ФСТЭК, а постановление - не тпебует

Да, это объекты КИИ. Условно их можете называть ОКИИ, не подлежащие категорированию.

Инциденты с них необходимо сообщать в госсопку?