Вот именно о такой ситуации я и говорил выше, дело в том что в большом числе регионов в рамках национальных программ по здравоохранению реализованы облачные варианты МИС. И оборудование на котором критические процессы по факту реализуются управляется провайдерами связи а вовсе не региональным учреждениям здравоохранения, (модель услуги SaaS, а не PaaS или IaaS). То есть даже если определить принадлежность ОКИИ по лицензиям на ПО к медучреждению как субъекту, медучреждения не смогут управлять безопаностью как минимум в части периметрвого оборудования, хотя де юре будут нести уголовную отвественность за безопаность значимого объекта ))

Они могут провести категорирование на своей стороне и выкатить требования по обеспечению безопасности для облачного провайдера.

И потребовать еще от него подтверждения реализации этих требований

Пока что получается так, что провайдер может не выполнить требования по безопаности в ПРОЦЕССЕ защиты информации в рамках жизненного цикла услуги SaaS а сядет в тюрьму медучреждение потому что лицензии на ПО купили ))) а провайдер и не сможет их выполнить а части устранения уязвимостей ппо

Коллеги, кто-нибудь владеет информацией (и может ее озвучить) про планы по изменениям в лицензировании? Цитата с сайта правительства: "Вместе с тем в отношении отдельных видов контроля​ пяти органов в настоящее время ведётся дополнительная проработка – необходимо решить, насколько общий формат «гильотины» обоснован и подходит для этих органов, учитывая их специфику, или нужны индивидуальные подходы. Это такие органы, как: ... и ФСТЭК – в отношении объектов критической информационной инфраструктуры." http://m.government.ru/news/37293/

Нужно смотреть, на каком основании терминалы и локальный сервер установлены в поликлинике.

Если не обосновано иное, то сервер и терминалы образуют информационную систему, оператором которой является владелец технических средств, т.е. поликлиника. Тогда обязанности по ее категорированию и обеспечению ее безопасности лежат на поликлинике.

Насколько я помню, ФСТЭК и ФСБ "не вошли", поэтому никаких планов.

Спасибо. Просто в тексте документа упоминания ФСТЭК России нет, а в комментариях чиновника есть🤔

Презентация (19.06.2019, Владивосток): «Изменения, внесенные в подзаконные нормативно-правовые акты в сфере критической информационной инфраструктуры» - Баранов Алексей Александрович, представитель Управления ФСТЭК России по Дальневосточному Федеральному округу.

Зато есть Минобрнауки и его проверка качества образования.  Так что скоро при выборе обучения по КИИ возможно,  нужно будет самим разбираться в качестве обучающий программы

Но ведь лицензия на право пользования ПО и право собственности ПО это совсем разные вещи , разве нет ? Собственником в данном  случае продолжает оставаться провайдер облачных услуг , он по закону и должен обеспечить безопасность объекта кии ( мис ) как от внешнего воздействия  так и от нарушителей внутри зспд.

Подскажите пожалуйста, если объекту КИИ не присвоена ни одна из категорий значимости, то что писать в сведениях для ФСТЭКа в разделе 9 - меры защиты, ведь он только для значимых объектов? М. б. Его можно пропустить?

Нет, пропустить нельзя.
Пишете в формулировках приказов ## 235 и 239.

Ни один из пунктов пропускать нельзя. Если объект незначимый, то в п. 9 указываете уже реализованные меры. Укалывать меры можно как угодно, хоть скобки раскрывать. Но, вероятно, лучше в формулировках из 17, 21, 31 или 239 приказа.

Спасибо большое!

Было где-то тут в группе письмо из ФСТЭК для какой-то организации с разъяснениями именно по этому вопросу.

Вот оно

В п. 9 необходимо указывать уже реализованные меры. И не важно имеет категорию объект или нет