Например, аттестат соответствия на ИС

Если ИС разрабатывалась, то в догворе указан Заказик и Исполнитель

Аттестат соответствия на мой взгляд говорит о том что ИС соответствует требованиям безопасности

Коллеги, поищите ранее - тут достаточно подробно разбирался уже вопрос определения владения ИС.

К аттестату прилагается перечень документов. В документах указан владелец ИС.

Коллеги, вы путаете понятия "программное обеспечение" и "информационная система".

В информационной системе понятие "право собственности" применимо только к техническим средствам обработки информации. Собственник технических средств, в соответствии с ФЗ-149, является оператором информационной системы. При этом не имеет значения, кому принадлежат права на программное обеспечение.

В этом случае субъектом КИИ является именно оператор ИС. Есть другие случаи "принадлежности":
- субъект арендует технические средства у собственника, но все равно является оператором ИС:
-- субъект создал систему по заказу и рулит ею по договору эксплуатации или концессии и т.п.

Каждый случай нужно разбирать отдельно.

Дмитрий,есть федеральная ИС ,есть организация которая работает в ней и соответственно тех,средства обработки,по Вашему как я понимаю ,организация будет являться собственником ФИС?)

Одного какого-то документа нет, @malotavr верно выше написал. Вот слайд из презентации ФСТЭК с их трактовкой.

Оператором. Там много разных частных случаев.

Чаще всего достаточно посмотреть нормативный акт федерального ведомства, на основании которого создается система. В общем случае  субъектом КИИ в случае такой ГИС будет организация, которой или явно поручено осуществлять эксплуатацию, или, если такого поручения нет, которой поручено систему создать.

Благодарю коллеги,информация структурировалась в моей голове) спасибо

Долго думал по поводу принадлежности ис, пришел к выводу что принадлежность распределяется пропорционально возможностям управления уязвимостями... например цод не в курсе уязвимостей ппо который там размещается, а клиент не в курсе уязвимостей спо или возмоджностей периметрового защитного оборудования.. с точки зрения защиты от ка, ответственность должна быть распределена

Наверное, было бы неплохо уточнить, о чем речь. Об облачных услугах ЦОДа? И о каких именно?
А дальше, может быть еще интересней...

об облаках особенно, а вообще о неоднозначности всех этих мнений регулятора.. тут выше о рмис речь шла, так вот это как раз тот случай

ЦОД оказывает услугу в соответствии с договором, если в договоре прописаны месячные простои, а у вашей системы надежность 999, то у вас не тот договор. Ответственность ЦОД - это ставка х10.

Я с точки зрения распределения уголовной ответственности при инцидентах смотрю, а то сейчас получается что владельцами зокии являются одни лица, а реальное управление системой защиты выполняют другие лица. Размещение ис в цодах того же ртк совсем не редкость, я слабо понимаю как можно применить действующую нормативку к таким сценариям. И что кому принадлежит в таком случае

ЦОД отвечает по договору, если договор выполняется, нет и оснований для привлечения

Смотрите, вот есть у меня ппо по лицензии которое критические процессы обслуживает, допустим на апаче, расположено в цод, появился вдруг в даркнете рабочий експлоит который 0- day  эксплуатирует в апаче, патчей исправляющих уязвимость пока нет. Какие действия выполняет каждая из сторон? По уму нужно на периметре правила для waf писать... но это на стороне цода делать нужно (и не понятно есть ли вообще такой функционал). То есть выходит что определение "ис принадлежит" нужно как то иначе рассматривать, а то ответственность не понятно на ком при инцидентах.

А вы ЦОД за услугу ваф платите? Нет? Тогда отвечать вам.
ЦОД вообще может не знать какие сервисы у вас крутятся. Он продаёт вычислительные ресурсы.

Здравствуйте, можете скинуть каких нибудь статей по КИИ в здравоохранении. если по простому мы маленький городской роддом, объектов кии, которые могли бы хоть как то повлиять на оказание мед помощи я не нашел.