Посмотрите приказ 911н Минздрава еще. Там же региональная МИС отнесена к ГИС. Она объединяет все учреждения здравоохранения. Соответственно, сегмент поликлиники (если таковой есть) может быть и не ГИС, а ИСПДн.  И да надо еще конкретный акт по региону посмотреть.

О государственной информационной системе Волгоградской области "Региональная информационная система в сфере здравоохранения Волгоградской области" (с изменениями на 18 октября 2018 года), Постановление Губернатора Волгоградской области от 29 декабря 2012 года №1447
http://docs.cntd.ru/document/460175144

Значит, в этом случае обладатель информации - Правительство.

город Москва - и собственник ГИС и обладатель информации.

Да, ГИСы они такие.

В 187ФЗ нет термина "обладатель" информации.
В общем, кто должен выполнять мероприятия по КИИ и нести ответственность ?
Как трактует этот закон ФСТЭК ?

ФСТЭК никак не трактует, полномочий нет

Т.к. ФЗ-187 решает другие задачи. "Обладатель" определен в 149-ФЗ.

Доклад Торбенко Е.Б.

По ГИСам кстати модель угроз пересматривать НЕЛЬЗЯ. Её можно только уточнять и дополнять.

Во, спасибо. В этом примере:
- оператором системы является КИТ, но он отвечает только за эксплуатацию;
- собственником системы остаётся обоасть;
- ВОМИАЦ по совокупности функций (п. 5.4) фактически назначен оперативным управляющим.

Все обязанности по исполнению ФЗ-187 лежат на ВОМИАЦ (п. 5.4), он устанавливает требования безопасности для МО, но обязанности по исполнению этих требований в МО лежат на МО.

Требования к защите здесь утверждает Оператор - КИТ ВО. Т.е. это противоречит и требованиям по ГИС и по КИИ.

Да. ВОМИАЦ, как ответственный за исполнение ФЗ-187 определяет требования к мерам защиты, а КИТ, как исполнитель, решает, какие СЗИ применять для выполнения этих требований.

Но обязанности по выполнению требований ФЗ187 в полном объеме возложены единолично на ВОМИАЦ.

ФЗ187 касается только оформленных ГИС ?

он касается субъектов КИИ, а вот подзаконные акты к 187-ФЗ прописывают обязанности субъекта КИИ и к еще не созданным ОКИИ.

Если трактовать буквально этот ФЗ, то:
1) оформленными ИС/АС/ПО, на балансе у гос.учреждений, которые по умолчанию закреплены на ПРАВЕ опер.управления занимается и несет ответственность правообладатель;
2) ГИС, которые не состоят на балансе, но есть НПА и ОРД, и они аттестованы, занимается владелец и оператор, несет ответственность владелец;
3) ИС/АС/ПО которые никак не оформлены, не закреплены ни на каком праве, но используются так как есть по факту, тогда кто ими занимается ?
По закону получается "собственник" ?

Вомиац полностью скинул все на МО, согласовываем с ними список ИС где обязательно наша МИС  и сами отправляем во ФСТЕК, ну и дальше всё сами...

Вы ГРБС ?

Это трудности ВОМИАЦ. Если с МИС что-то случится, отвечать будут они. Больница будет отвечать только в том случае, если нарушит требования безопасности, установленные ВОМИАЦ, и только за нарушение этих требований.

Спасибо, это успокаивает.