"категорирует вообще комиссия" - но решение принимает не один же человек!!!

Обеспечение безопасности ЗОКИИ будет строго на ваших плечах.

эм.. ну хотябы 236 откройте, кого мы туда пишем? п.2.3, 2.4, 2.5

Это Ваша система и Ваше учреждение. И Вы (не лично конечно) несете ответственность за него.  То что Вы возложите на кого-то ответственность по пункту 2.4 или 2.5 не снимит ответственности с руководителя субъекта у которого есть ЗОКИИ

тут вообще нет вопросов.

Это и так понятно. Но разговор за категорирование. Мелкие мед.организации, к примеру, районные больницы, спихнут все категорирование на безопасника (если такой безопасник вообще есть. обычно либо сисадмин, либо врач-энтузиаст). и будет он в одиночку определять, как что категорировать - в силу своих знаний и возможностей. Руководители субъектов КИИ даже могут и не знать о том, что у них вдруг есть значимые КИИ. Про безопасность вообще молчу. А если еще и комп.инцидент возникнет - то полетят головы. А все из-за того, что мед.организации просто не могут себе позволить не то что спеца по ИБ, но даже просто толкового сисадмина

Коллега, то как оно у Вас или у большинства не волнует регулятора. Это проблема учреждения. Отсутствие денег, тоже не нужно для регулятора. Есть ФЗ. И мы его должны исполнить. Ваше же учреждение исполняет ФЗ 323, ФЗ 255, ФЗ 152 и тд. Так почему ФЗ 187 должно быть исключением?!

К сожалению, все разбивается в отсутствие безопасника по 235 ФСТЭК и бюджета.

Укажите этот приказ Вашему Руководству.

Опять же - все разбивается о бюджет. если нет у больницы/поликлиники денег (а в русской глубинке это особенно актуально, да и не только в глубинке), причем не только на комп.нужды, но даже на банальные перевязочные материалы - вряд ли демонстрирование приказа в очередной раз переубедит руководство.

Интересно, как вы аргументировали отсутствие потенциального ущерба по этому критерию?

И опять же, полный вывод ИС из строя злоумышленником - это далеко не единственный возможный тип инцидента. Гораздо хуже, когда ИС продолжает работать, а злоумышленник подменил в ней часть данных .. и вы об этом ничего не знаете (какое-то время).

Надо опираться на то насколько нарушение в работе это ис реально влияет на критические процессы в организации,учитывая последствия

Любое нарушение доступности/целостности/конфиденциальности, по сути, будет комп.инцидентом, на которое надо реагировать и о котором надо информировать.

Нельзя же написать "у нас там на прошлой неделе флешку украли, там ничего такого не было, только информация о паре клиентов, ничего серьезного, мы и не стали вас тревожить"

Это компьютерная атака?! Это воровство отчуждаемого носителя на котором есть ПДн.

Или у Вас на этом  отчуждаемом носителе развернута целая ИС, которая у Вас ОКИИ или вообще ЗОКИИ?! Готов спорить что нет!

На носителе может быть база данных/информация о конфигурации/любая другая информация, утрата или незаконное ознакомление с которой может иметь влияние на КИИ. Это что, не влияние на критические процессы в организации, что ли?

Не важно! )))

Настоящий Федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее также - критическая информационная инфраструктура) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак

Факт кражи данных, описанного Вами случая, это не в эту степь. Повлиять может тогда, когда будет не воровство или ознакомление, а применение этой информации во время компьютерной атаки. Так вот применение этой информации и регулирует ФЗ. Вот если данные были похищены в результате КА у Вас и применены к Вам или не только, так же в результате КА - это тоже к 187 фз

Пример - есть МИС с базой данных. Её определили как объект КИИ. База данных содержит инфу о здоровье пациентов, повлияв на которую, можно гипотетически нанести вред здоровью пациента (выписав другой диагноз или рецепт). База лежит на флешке. Вопрос - это ли не угроза безопасности КИИ?