ПП 127 категорирование объекта КИИ и его исследование. У меня это все в акте предусмотрено. Те акты которые гуляют в сети (два три видел, не удовлетворяют все требования ПП 127)

Нет, там написано не это. Там написаны виды информационного обеспечения, для которого создаются медицинские информационные системы (множественное число).

Ни в ФЗ, ни в приказе ничего не говорится о том, что каждая отдельная МИС должна самостоятельно выполнять все эти виды информационного обеспечения.

👍 именно

На 2-й минуте видео выдвигается предположение, что не все ИС организации-субъекта - это объекты КИИ. Хотя, если смотреть на определение данного понятия в законе (объекты КИИ - ИС/ИТС/АСУ субъекта КИИ), то оно так и получается.

На 2.23 приводится мнение прокуратуры, согласно которому подразумевается, что если организация выполняет работы в сфере, указанной в 187-ФЗ, то она субъект, хотя это полностью противоречит определению понятия субъект КИИ, согласно которому субъектом КИИ является организация, которой на каком-либо праве принадлежит ИС/ИТС/АСУ, функционирующая в одной из 13-ти заветных сфер.

Автор видео допускает на грубейшую ошибку на 3.50, перевирая определение понятия субъект КИИ. Определения приведены выше (хоть они и пересказаны для краткости, но можно проверить, обратившись к первоисточнику). Субъектом КИИ становятся не из-за наличия объектов КИИ, а из-за наличия хотя бы одной ИС/ИТС/АСУ, функционирующей в одной из заветных сфер. Понятие объект КИИ вторично к понятию субъект КИИ. Пока организация не стала субъектом КИИ, у неё не может быть объектов КИИ.

На 4.56 и 12.00 ошибка, озвученная выше, повторяется.

На 6.00 приводится, в принципе, правильная  вещь, так как, действительно, для сферы здравоохранения есть определения, что же считать ИС в сфере здравоохранения. Только жаль, что такого нет про другие сферы и про АСУ/ИТС из сферы здравоохранения.

Вообще, Роль ОКВЭД прямо прописана в ПП127.  "11(3). Комиссия по категорированию подлежит расформированию в следующих случаях:
а) прекращение субъектом критической информационной инфраструктуры выполнения функций (полномочий) или осуществления видов деятельности в областях (сферах), установленных пунктом 8 статьи 2 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации";"

Перечитайте пункт 8 ст.2 ФЗ-187 в термине нет слова "наличие" там слово "принадлежат"
Если в сфере здравоохранения не говорится о АСУ, значит их там нет

Как понять нет? А если есть асу, но нет нормативки их описывающей, то их не учитывать?

Эти действия осуществляются тогда когда уже есть Объект КИИ и установлено что организация является Субъектом КИи

С фига ли? :)

Вопрос, я так понял Ваша позиция заключается в том, что уж слишком много народ понаписал себе различных объектов и признал себя субъектом, что по Вашему не верно? Вы какой позиции в этом вопросе придерживаетесь-снизить бумажную нагрузку на ФСТЭК?

Пример АСУ приведите? и там говорится о АСУ в сфере здравоохранения, покажите нормативный акт описывающий АСУ в сфере здравоохранения.Если придете ко мне и скажите что эта система или оборудование АСУ, я попрошу вас указать нормативный акт в сфере здравоохранения который подтверждает ваши слова.
Мне все равно о бумажной валокиты других. Ко мне пришли и давай говорить что мы нарушаешь. в итоге у прокуратуры нет оснований считать что у нас есть объект в сфере здравоохранения. Мы пользуемся таким объектом, но он нам не принадлежит. другие ИС не являются объектами в сфере здравоохранения

Прелестно. АСУ в сфере здравоохранения нет,а отделы по эксплуатации АСУ есть. Прикольно "ДЕПАРТАМЕНТ ЗДРАВООХРАНЕНИЯ КРАСНОДАРСКОГО КРАЯ
ПРИКАЗ
от 30 июня 2006 года N 386-ОД
О СОЗДАНИИ ОТДЕЛОВ АВТОМАТИЗИРОВАННЫХ СИСТЕМ УПРАВЛЕНИЯ В УЧРЕЖДЕНИЯХ ЗДРАВООХРАНЕНИЯ КРАСНОДАРСКОГО КРАЯ"

Я понял. Вы за строгую букву закона. Если написано что цвет стула только красный, то если зеленый-это уже не стул.

Вы смотрите не туда. Ещё раз. Субъект КИИ, если Вам так угодно, это не та организация, которой принадлежат объекты КИИ, а та организация, которой принадлежит ИС или ИТС, или АСУ, функционирующая в одной из 13-ти сфер, определенных законом. До того, как организация не стала субъектом КИИ, принадлежащие ей ИС/ИТС/АСУ объектами КИИ не являются.
И в дополнение. В определении понятия объект КИИ нет указаний на то, что эти ИС/ИТС/АСУ, функционируют в каких-то сферах, они просто сети и (или) системы субъекта КИИ.

Фи :)

К вам придет не коллега, к вам придет инспектор из надзорного органа. Который знает, что для функционирования чего-либо в сфере медицины никакие нормативные акты не требуются. Он укажет вам на то, что вы не провели категорирования и предпишет вам в, допустим, месячный срок устранить это нарушение.

И это вы должны будете доказывать, что "нет нормативного акте - нет функционирования в сфере здравоохранения". Вариант "потому что я так сказал" не канает :)

Поэтому, если вы не готовы обосновать утверждение, то не нужно выдавать его за абсолютную истину :)

8) субъекты критической информационной инфраструктуры - Организации, которым на праве собственности, аренды или на ином законном основании ПРИНАДЛЕЖАТ ИС, ИТС, АСУ, функционирующие в сфере здравоохранения.

Обрезал немного и укоротил

мы так и сделали, отписались что указанные в представлении, в требовании высказывания не явялются действительными

И где в этом определении сказано, что эти ИС/ИТС/АСУ объекты КИИ???😉

объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;

Согласен тут зацикливание двух терминов

А я перечитываю, вдруг ваша версия окажется более жизнеспособная