Если бы было все так, это был бы идеальный случай) но документации нет никакой

Насмешило что по мнению прокуратуры вся защита- создании комиссии по КИИ и Аттестация армов (которая там не обезательна). Представляю прямо хакер ломится в сетку и вдруг находит докумен о комиссии КИИ, и такой "блин у них комиссия вот не свезло пойду лучше NEC ломану"))))

Аттестация обязательна, это ГИС. Судебных решений и штрафов за такие армы, подключеные к региональным гисам полно. Без акта категорирования непонятно будет по каким требованиям строить систему безопасности.

Не факт что там ГИС, скорее всего там МИС, учитывая что это больница, соответственно класефицируют как ИСПДН по минимуму что бы не вливать тучу денег (которых у больницы и так нет) на аттестацию. Я в теме уж сколько больниц видел нигде атестованых армов нет. Это можно каждого первого штрафовать.

Аттестация обязательна для ГИС. Для подключаемых АРМ аттестация не всегда обязательна. Но это может быть одним из требованием для подключения к ГИС, которое нужно выполнять.

МИС в больнице - скорее всего часть РС ЕГИСЗ - регионального сегмента единой ГИС здравоохранения, потому МИС сама является ГИС, отсюда 17 приказ и обязательная аттестация

Откуда такой вывод? С чего это мис стала гис? Только из того принципа что она выгружает данные в структурируемом формате!? Где в 555 пп прописана аттестация по 17 приказу для поставщиков информации в егисз?

Можно ведь один типовой АРМ аттестовать. А все остальные сделать под типовой, и удешевить таким образом.

В заметке сказано, к чему подключены АРМ больницы. И подключены они к ГИС. АДМИНИСТРАЦИЯ ЛИПЕЦКОЙ ОБЛАСТИ

ПОСТАНОВЛЕНИЕ от 21 сентября 2012 года N 384 О системе межведомственного электронного взаимодействия Липецкой области

Аттестации подлежат ГИС и МИС.
В остальных случаях аттестация осуществляется добровольно или для выполнения требований по подключению объекта информатизации к конкретной системе.

Если требования аттестации АРМ при подключении к системе межведомственного взаимодействия Липецкой области имеются, я бы на месте прокуратуры не кошмарил больничку представлениями, а адресовал вопросы к администрации области, чего это они к своей ГИС подключают неаттестованные АРМ.
(Хотя понятно, что проконтролировать исполнение клиентами системы всех требований по ИБ вряд ли возможно)

Претензия конкретно звучит так -назначить в соответствии с ПП 127..... Руководителя организации, причем прокурор приводит п. 11 данного постановления, где есть "или  уполномоченное им лицо". Я думала, что приказ о создании комиссии, где указывается руководитель и уполномочивает. А оказывается по мнению прокуратуры нет. Что ещё надо я не понимаю. Сделать отдельный приказ о том что генеральный возлагает на зама полномочия? Но какие тогда полномочия?

Доверенность оформите на зама

Здравствуйте, уважаемые участники чата. Сталкнулись с проблемой в виде внеплановой проверки со стороны прокуратуры по поводу объектов КИИ. Нашей организацией был сформирован перечень объектов КИИ и направлен в ФСТЭК, в перечне указан планируемый срок категоризации объектов - декабрь 2019. Однако в виду сложности госзакупок СЗИ и СКЗИ категоризация срок не выполнена. Какие могут быть последствия? P.S. Организация относится к сфере науки в перечень внесено 4 объекта, все потенциально без категории значимости.

перечень когда был утвержден?

Хммм, очень странно, как закупка СЗИ и СКЗИ влияет на ход категорирования?
Срок, указанный в перечне примерный, ориентироваться необходимо на срок категорирования - год с момента утверждения Перечня объектов КИИ, подлежащих категорированию.

Перечень утвержден 28 августа

Ну вот, и сфера науки то же в зоне внимания прокуратуры. Вам впишут представление на устранение нарушений,в месячный срок устраните (проведете категорирования и направите результаты в ФСТЭК) https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-itog-prokurorskoi-proverki-v-raionnoi-bolnice-5e347225e0d0b71a458b65ac

Значит по ПП-127 к этому времени необходимо завершить категорирование

тогда ничего страшного. В перечне указан плановый срок, а не обязательный. у вас еще полгода есть. Подготовьте нормальное обоснование, почему сдвинулся плановый срок. Выпустите приказ по организации о переносе срока категорирования и назначении ответственного за контроль. В приложение - план заседаний комиссий. Делайте 5 заседаний, раз в месяц. по одному на каждый объект и одно итоговое. На итоговом присвоите категории всем объектам.