Я думаю это не прописано у них в уставе

"Одна баба сказала" без отсылки к пунктам нормативки... не сильно полезная инфа.

НУ тогда абстрагируемся от миац! ))) облачная МИС не категорируется учреждением, если учреждение этой МИС не владеет и прочее, что прописано в законе

Я имел ввиду все типы НФО . Есть кто-то кто делал это для НФО нужна консультация.

Но МИАЦ, может быть частью структуры местного Здрава. Тогда тут иначе-сказали, сделали. А вообще МИАЦ - это чисто технический узел Здрава,хранилище, обработка, разработка, внедрение, мониторинг и прочее

"Может быть" как и "Если"

Это надо смотреть на регион и его структуру здрава. Но спор то не об этом. Вопрос поднят о том, какбыть если учреждение имеет возможностью только пользоваться МИС,развертка которой не у них. Для таких учреждений, при определенных условиях - это даже не окии

Кто-то все не поймет, субъект он или нет, а кто-то уже категорируется ) На днях видел перечень, поданный одним из субъектов и с удивлением обнаружил в нем  как ОКИИ средство защиты (класса Endpoint) .. ну а чем не ОКИИ? ИС? - да, работает в сфере? - а действительно, в какой сфере работает СЗИ, установленное поверх инженерных АРМ-ов, работающих, скажем, в одной из сфер, подпадающих под ФЗ? )

То есть внедряя средства защиты мы увеличиваем перечень кии? )))

Ну да .. их же и защищать потом надо )

Вопрос вообще не такой смешной, как может показаться, предположим у нас окии 1-й категории, мы все сделали по 235-му приказу .. и итоге применили некое "обычное" наложенное СЗИ. Но, не секрет, что СЗИ могут увеличиваться поверхность атаки, содержать свои уязвимости, иметь тонкости настройки/функционирования/обслуживания и т.д. - т.е. в ряде случаев нужно защищать и их.

Надо уметь во время остановиться. Вторичные риски вы никогда все не закроете

Это к вопросу измеримости остаточного риска и его приемлемости для регулятора )

Боюсь, что регулятор не воспримет идею, что система защиты сама может представлять угрозу. Особенно сертифицированная

С сертифицированными, конечно, вопросов будет меньше (хотя есть например вопросы защиты каналов обновлений БРП) .. но у нас же не только сертифицированные могут применяться ..

Как же я сам не догадался это сделать? :) Не знаю, что именно разбиралось, но оператор системы Платон является одновременно и ее владельцем.

По концессионному соглашению оператор Платона за свой счет создает объекты системы, регистрирует свое право собственности на них, содержит,  ремонтирует, собирает плату и передает ее Росавтодору. Росавтодор за это платит ему 10 ярдов в год, индексируемых с учетом инфляции.

Но даже если бы по концессионному соглашению оператор только использовал систему, созданную государством, он все равно был бы субъектом КИИ (,"на праве собственности, аренды или на ином законном основании").

Можно я это запишу и на стенку повешу? 😊

да, прошу пардона. Нашел полное Соглашение их - там все права на РТИТС идут по системе и объектам. Что интересно, если все требования из ТЗ на систему применить, то там все неплохо с ИБ должно быть. Интересно, насколько реализовано )))
Вот только это будет ОКИИ по 9 критерию скорее всего, а не по 3, потому что это не объекты транспортной инфраструктуры в соответствии с 16-ФЗ. а 9 критерий не связан явно с какими-то лицензиями навскидку

Да, это однозначно не транспортные услуги. Это просто пример несоответствия понятий "уставной вид деятельности" и "функционирует в сфере транспорта".

У большинства юрлиц в уставе есть приписка "и другими видами деятельности", поэтому настоящий (на сегодняшний день) вид деятельности юрлица может вообще быть не указан явно в уставе.

возможно "функционирование в сфере транспорта" не стоит рассматривать настолько широко? А ограничиться системами, без которых транспортное сообщение нарушится или будет функционировать не в штатном или ином установленном виде? Ну то есть сборы подати, управление видеокамерами на вокзалах и рамками или те же багажные камеры хранения сюда не включать?