И обратная ситуация: ДИТ области создаёт для облздрава медицинскую ИС, которую использует облздрав. В этом случае ДИТ - субъект КИИ, а облздрав - ни разу не субъект

Понял. Спасибо!

Да, PaaS

Даже если СУБД этой ИС находится в МО?

Нужно смотреть конкретное техничесеое решение. В тех, которые я видел, облздрав - такой же пользователь, как и медицинские организации, сам руками ничего не трогает

Владелец системы облздрав он и кии

Вот когда он станет владельцем, тогда и поговорим :)

Владельцем всего имущества органов власти и государственных учреждений субъекта федерации является субъект федерации.

Конкретно информационные системы в большинстве случае переданы в оперативной управление ДИТу и на этом основании принадлежат ДИТу. А облздрав к ним ни с какого бока отношения не имеет.

Знаете конкретный пример, где это не так - приведите. А бросать в воздух ни на чём не основанные реплики не надо.

Волгоградская обл.

В пдн вопрос поручения обработки в рамках paas не решен, точнее мало понятен владельцам цод и потому большинство избегает брать на себя обязательства по конфиденциальности пдн. Даже при наличии аттестата. В saas другая правовая конструкция. Т.к. Оператор ис знаком уже с процессом оказания услуги конечнику. Но и тут многие не берутся брать обязательства по п3 ст6. В гис есть понятие цод, но нет понятия общей сетевой инфраструктуры, например, впн. Тоже сложности. А в КИИ как вижу рассуждения, вопрос еще сложнее?

Комитет здравоохранения является владельцем он и назначил своим приказом что это МИС ГИС а комитет информации технологий оператор

Не является. Он является инициатором их создания. А создал их и принял в оперативное управление Волгоградский МИАЦ. Ему они и принадлежат на праве оперативного управления.

А облздрав юридически никакого отношения к ним не имеет

МИАЦ не имеет ни какого отношения 2020 в феврале КИТ передал данную систему в КЗВО у вас старые сведения

Значит, теперь систему принял в оперативное управление КИТ и она принадлежит на праве оперативного управления уже ему.

А облздрав не является даже собствеником технических средств этой системы, как не является и собственником любого другого используемого им имущества. Собственник - Волгоградская область, оператор - КИТ.

⚠️ Напоминание: в группе не приветствуется долгое обсуждение с переходом на частности.

Если не ошибаюсь, на одном из последних ДОД в РКН, было заявлено, что даже, если организация арендует всего лишь место в ЦОДе, т.е. это даже не IaaS, надо брать согласие на передачу ПДн 3му лицу.

А мы передаём эту ис для медицины в облздрав. Так как ис теперь принадлежит им то и с кии «бороться» им

Как то вы все упростили про собственника ИС в субъекте Федерации.

Согласие само собой. Там и вопрос и ответ был про необходимость  поручения. Камень предкновения в том что хостеры не хотят признавать, что являются обработчиками. При любой схеме услуги. И это в условиях, когда норма есть и даже весьма четко ставит правовые границы. Но не разъяснены технические детали, нет официальной трактовки. И стороны имеют возможность быть несогласными. Так имея в виду это, в КИИ картина не лучше. Тут правовая сторона и техническая структуры и взаимодействия субъектов КИИ, включая общую инфраструктуру, не раскрыта. Или в КИИ нет в этом необходимости? В значимых.

в КИИ все еще хуже. В законе не упомянут - оператор ОКИИ. А дальше накладывается маразм из 149-ФЗ, когда непонятно что такое ИС или ИТКС, чем ПТК отличается от ИС. Ну и прочее отсутствие гармоничности в нашем законодательстве.

Но в голову приходит БДУ, где много угроз затрагивают правовые уязвимости при предоставлении облачных услуг. При том как видим, для их нейтрализации не хватает важных деталей.