Вы знаете, учреждение ОБЯЗАНО, в любом случае, исполнять требования вышестоящего учреждения/ведомства - минздрава.А отчего зависит позиция здрава, конечных лпу по большому счету волновать не должно. Более того есть еще процедура согласования данных у ведомства - а это оф документ!

Я соглашусь с Иваном.

Так я об этом и говорил.

Т.е. все подготовленные перечни необходимо отправлять в здрав для согласования???

Это зависит от позиции Вашего регионального ведомства.

Насколько понимаю, нужно выполнять требования, если они не противоречат требованиям закона. Если закон говорит одно, а вышестоящий орган, договоры или даже регулятор другое, то закон первичен, а другие требования ничтожны.
В данном случае нужно выполнять требования минздрава, если они легитимны. Если по закону система входит в область ОКИИ, а минздрав говорит, что нет, то его требования исключить систему будут нелегитимны, тем более, что конечная ответственность все равно на организации.
Другой вопрос как это обосновать, как провести бумажки и т.д. Наверное будет все в конкретных случаях решаться, но, как минимум, организация может сделать запрос в тот же ФСТЭК с обоснвоанием своего видения и указанием на требования Минздрава. Возможно ответ ФСТЭК прояснит ситуацию

Денис, организация согласует списки перед отправкой регулятору. Здрав, имеет свою позицию,и она сформировалась на основании мнений и данных, известных только ему самому, и может не пропустить согласование (если например они созданы самими лпу опираясь на мнения и позицию фстэк). И тут здрав будет прав. Я ранее писал, что фстэк не может знать всю кухню в каждой сфере, да и не должен. Так вот "внутрянка" знакома только тем, кто в ней работает и ею пользуется, а не тем, кто просто получит название в виде списка!

это все прекрасно, но здрав же может с учетом внутрянки обосновать почему те или иные системы вынесены из-под действия ФЗ?
Или "я здрав - я так вижу" достаточно, в том числе для случаев, когда с самого субъекта спросят?

а вообще, насколько понял по тексту, там идет речь о том, что не включаются именно аппараты, а системы управления ими и хранения и обработки самих данных вполне себе входят (в рекомендованный перечень включены АСУ рентген аппаратами и т.д.) И это логично в целом. Так же, как в АСУ ТП отдельно исполнительные устройства не выносят.

кстати, рекомендации Здрава по ссылкам противоречат требованиям ФСТЭК - там не указывается детальное обоснование по всем видам критериев, а только краткий итог по тем, где есть ущерб. Что должен сделать субъект - выполнить рекомендации здрава или отчитаться по правилам?

Добрый день. Я верно понимаю. Напишу бумагу на гл. Врача. Что надо купить системы предотвращения и обнаружения атак +программы, если мне откажут (почти уверен). Потом по закону уже он будет нести ответственность, а не я как специалист?

Закон говорит только, что субъект должен сам определить, что у него КИИ, в порядке, установленном ПП127. В этом смысле закон соблюден. В силу этих же норм ни субъект, ни вышестоящий не должны кому-то доказывать, что они правы.

Вся фишка ФЗ187, в отличие от нормативки по ГИСам, заключается в том, что субъект вправе поступать так, как ему заблагорассудится, под угрозой уголовного наказания, если защита все-же окажется недостаточной. Ему ничего не грозит даже ща игнорирование приказов ФСТЭК, если он действительно защищает свои стстемы, избегая инцидентов.

то есть цепочка в данном случае не работает? "закон определил обязанности субъекта - закон определил регулятора, который уполномочен контролировать выполнение обязанностей субъектом - регулятор пришел в рамках контроля и выдал предписание за невыполнение обязанностей субъектом - субъект не выполнил предписание и будет наказан"

Цепочка есть. Но она работает по принципу "пацан сказал - пацан сделал": административный надзор  установлен только для объектов, которые сам субъект признал значимыми.

Да, только не "купить А, Б, В", а "выполнить требования ПП127 и приказов ФСТЭК N235 и 239". Там гораздо больше, чем просто "купить"

Доброго времени суток. Правильно ли понимаю, что систему защиты объекта и организационные меры нужно исполнять до проведения категорирования и отправки актов во ФСТЭК?

А что защищать, есть даже нет актов категорирования?!? Сначала ктегория. Потом защита, по срокам вроде как до 12.19

А как тогда оформлять 9 пункт таблицы в 236 приказе?

Фстэк ожидает окончание процедуры категорирования к 12.2018

Что уже есть на текущий момент