С другой стороны конечно сама тема защиты ГИСов неэффективна в имеющейся конструкции. Но и по КИИ не легче. Оператора тут нет, лиц, которым поручено, нет. Общей инфраструктуры и там и там нет. Оба подхода устаревшие.

Определения процитируйте, пожалуйста. Ничего подобного там и близко нет.

Это принципиальная  и сознательная позиция авторов 187-ФЗ по исключению операторов ИС

Оператор в принципе вторичен. Его может и не быть. Как в 149фз должен быть важен владелец и заказчик

ФЗ-149, ст.6. "2. От имени Российской Федерации, субъекта Российской Федерации, муниципального образования правомочия обладателя информации осуществляются соответственно государственными органами и органами местного самоуправления в пределах их полномочий, установленных соответствующими нормативными правовыми актами."
П17: "4. Настоящие Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание государственной информационной системы (далее - заказчики) и операторов государственных информационных систем (далее - операторы)."
П17: "14. Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации (заказчиком)."

Да, обладатель

Он же - Заказчик.

ФЗ-149, ст.13: "2. Если иное не установлено федеральными законами, оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы. "
ПП 676: "1.2. В целях выполнения требований о защите информации, предусмотренных пунктом 1.1 настоящего документа (далее - требования о защите информации), органы исполнительной власти определяют требования к защите информации, содержащейся в системе органа исполнительной власти, для чего осуществляют:...."

Проблема в том, что ОКИИ это не информация, а ИС.

А ИС без информации не ИС!

Обладатель информации не субъект КИИ

Разницу между "информация" и "информационная система" хорошо понимаете? Обладателем информации, владельцем информационной системы и собственником технических средств этой системы могут быть три разных лица. Обязанности по ФЗ-187 относятся только ко второму.

Так это мы уже поняли в случае, если оператор ИС - подвед. Вопрос в том, насколько это непротиворечиво Оператору ИС категорировать объект, предъявлять к нему требования по КИИ впротивовес обязанности Обладателя информации классифицировать и предъявлять требования по ГИС? Но как минимум мы видим, что эта работа должна быть сделана ДВАЖДЫ! Это раз, а во-вторых, моделирование угрозв ГИС идет до ТЗ, а в КИИ на этапе проекта, после ТЗ. Вот в этом месте, если работа сделана дважды, то по сути можно избежать нарушения.

Да и ради бога.
Я являюсь обладателем информации в моей гуглопочту, но владелец гуглопочту как ИС все равно не я.

Да конечно понятно. Вопрос правовых оснований для сущестования ИС. Они исходят от обладателя информации. Это решает он, кто будет Оператором ИС (будем считать - Владельцем ИС).

Не нужно дважды. Если очень хочется, то после ТЗ ее можно пересмотреть и оставить без изменений.

А по уму ее нужно пересматривать ещё дважды: после техпроекта и перед сдачей в эксплуатацию. Каждый раз будут вылезать новые нюансы

Не будем считать. Владелец ГИС определяется ещё до ее создания. А оператором ИС он может потом и не быть - так тоже бывает.

Но если владелец ИС одновременно является оператором ИС или оператор ИС действует по его поручению - почему бы и нет. Ответственность за результат  - да, лежит на владельце

Так в продолжении этой темы обычная поликлиника это оператор МИС? Или ВОМИАЦ атрибуты доступа дал, локальный сервер подключен к ЦОД и значит привет категорирование, модели угроз и госсопка всё повесили на МО, выкручивайтесь сами?

нет, не решает. У меня много распоряжений Правительства, в которых прямо прописано что за наполнение информацией отвечает один ОИВ, за создание ИС второй ОИВ, обрабатывает информацию третий ОИВ, а оператором является четвертый ОИВ.

Нужно поднять нормативку по конкретно этой системе. Там владельцем назначался ВОМИАЦ, но упоминалось ещё слово "оператор". А может и нет - не помню