в дополнение к вопросу Владислава: на примере рентгенаппарата.
Причинение  ущерба здоровью  людей – нарушение анатомической  целостности и физиологической  функции и тканей  человека в результате  воздействия физических,  химических, биологических  и психических факторов внешней среды (в соответствии соответствии с правилами  определения степени  тяжести вреда,  причиненного здоровью  человека  (утв .постановлением  Правительства РФ от 17 августа  2007 г.№ 522 )
исходя из определения, рентген  - либо вообще не ОКИИ, либо "без категории"
с другой стороны, подмена данных может привести к причинению ущерба здоровью (опять же не самой ИС произведенным, а по её неверным результатам), тогда у рентгена будет категория?
как быть?

в дополнение к вопросу Владислава: на примере рентгенаппарата.
Причинение  ущерба здоровью  людей – нарушение анатомической  целостности и физиологической  функции и тканей  человека в результате  воздействия физических,  химических, биологических  и психических факторов внешней среды (в соответствии соответствии с правилами  определения степени  тяжести вреда,  причиненного здоровью  человека  (утв .постановлением  Правительства РФ от 17 августа  2007 г.№ 522 )
исходя из определения, рентген  - либо вообще не ОКИИ, либо "без категории"
с другой стороны, подмена данных может привести к причинению ущерба здоровью (опять же не самой ИС произведенным, а по её неверным результатам), тогда у рентгена будет категория?
как быть?

На сколько мне известно, результаты мрт всегда, например, должны подтверждаться другими исследованиями

По пробуйте покопать в сторону принятия решения о диагнозе. Какие показания для врача являются основополагающими при установлении диагноза (биохимический, рентген, мрт, анамнез и т.д.). Что для врача носит только информативный характер и обязательно должно быть перепроверено другими исследованиями, а что может сразу лечь в основу диагноза

Постарался максимально кратко и сжато привест ипример, если будет интересно, можно подискутировать.

Добрый день. Есть некие системы которые мы разработали по заказу комитета здравоохранения для мед. организаций. Данные системы расположены на наших серверах. Для нас эти системы не значимые но если кто то из мед. орг. подадут их как значимые на нас распространяются 235/239.

Вопрос в том, кому в итоге принадлежат системы. Не может быть 2 хозяинов у систем. Если на Ваших мощностях - это не значит что она Ваши. Акт приема работ подписывали? Договор или соглашение было? Вы сможете доказать, что система разработана и передана на эксплуатацию заказчику. А там уже их головная боль

Вопрос в том, кому в итоге принадлежат системы. Не может быть 2 хозяинов у систем. Если на Ваших мощностях - это не значит что она Ваши. Акт приема работ подписывали? Договор или соглашение было? Вы сможете доказать, что система разработана и передана на эксплуатацию заказчику. А там уже их головная боль

Может быть 2 хозяина - один владелец, второй арендатор, например

Системы комитета, тогда они реализуют на наших серверах требования 235/239 ФЗй

И вместе эксплуатировать систему? Ну я в природе такого не видел, но допустим. Если @igoruha3000 только разработчик и они передали заказчику, то они могут иметь отношение только как ТП

Мы подведы комитета и на нас возложены функции сбора информации аналитика и помощь принятии решений по информатизации. Мы осуществляем тех. Поддержку данных систем и сопровождение

Ну правильно, если для кого-то ваши системы значимые, то они должны вас об этом уведомить, а вы обеспечить безопасность систем. Все логично

Мы или комитет должен? нет это понятно что делать будем мы, за чьей подписью? Извините за формулировку.

Ну кто фактически будет управлять системой защиты информации (в том числе физическим доступом) в ЗОКИИ? Вы ведь будете это делать. А как там бумажки будут выглядеть дело десятое.