Добрый день!
Помогите разобраться в вопросе. Мы лпу, не можем определиться по поводу того, что считать АСУ.
Определение из закона читали, знаем, но применительно к нашей технике (медицинской) однозначно решить не получается.
Например, гематологический анализатор. Делает анализ крови самостоятельно: оператор дает прибору пробник, через какое-то время прибор отдает результат: на своем экране, может распечатать на принтере (если принтер подключить к прибору), подключен к компьютеру через COM порт для того, чтобы результаты с анализатора уходили в РИАМС. С компьютера не управляется.  Это будет АСУ? И почему.

фстэк считает любое медицинское устройство/прибор объектом кии, если есть компьютерный порт на нём.

спасибо, а где-то есть эта позиция в письменном виде?

Нигде нет. И не будет. ФСТЭК напишет - в соответствии с таким то таким то пунктом и тд и тп

Просто вероятнее всего Ваш объект КИИ будет не значимым.

Анализатор - асутп. Компьютер, подключенный к нему - ис, взаимодействующая с асутп

Или все в целом ис; или все в целом асутп. Ближе будет, конечно, к асутп.

В целом - если устройство упровляется программно (устройство программируемо) - следует задуматься

Много получается у нас АСУ

Ага

Ну а дальше уязвимости там, угрозы, потенциальный нарушитель, масштаб последствий

Дальше вроде бы более ясно

А можно ссылку, мы иного мнения на этот счёт.

Компьютерный порт = программируеммо = асутп = асутп в сфере здравоохранения, ну и т.д.

Но там еще должны нарушители, угрозы, уязимости учтесь

Но исходим от последствий и автоматизации

1. Любые исследования и анализы подтверждаются человеком;
2. Любые отклонения будут перепроверены согласно внутренним регламентам;
3. Все документы дублируются на бумаге и будут объективно перепроверены.
Примечание: если кто-то говорил иное, было бы замечательно приложить ответ с мылкой на п. нормативом или ссылки почему считают иначе. Если рассматривать практику электронного документооборота и ведения медицинских записей, они имеют подпись ЭЦП, что в следами любых записей подтверждается персонально владельцем ЭЦП.

Ну это уже больше про оценку последствий

Мы много на эту тему дискутировали, буду рад услышать мнение коллег и аргументированный взгляд на иное мнение.

Все, что вы перечислили - это организационные меры, которые вы приняли, потому что допускаете возможность таких последствий. То есть сперва допущение "машина может ошибиться", из него вытекает последствие " возможность причинения вреда здоровью", и уже из него возникает потребность что-то перепроверять и дублировать.

У ФСТЭК в части категорирования логика точно такая же, и все вами перечисленное парни не считают основанием снижать категорию значимости.