как владельцы ис, и информации в этой ис, думаю, они вправе сами определять форму подтверждения соответствия и предъявлять требования к внешним ис

Спасибо

1) Для 4 кл защищенности требования в методических рекомендациях по подтверждению нет. 2) Даже при подключении типовых АРМ к аттестованной системе (как часть системы) аттестация далеко не всегда выполняется

А вот интересный момент госуслуги. Все мы подклбчаемся к ней, пользуемся и прочее. Имеем доступ к функционалу. Для нас, как для операторов требования по зи вообще не применяются

Не оператор. Пользователь, имеющий доступ  только  к своим данным. Ваш домашний компьютер не входит в границы ИС

Ну скажем так-по букве законы Вы не правы. 149 фз - 12) оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных;

Информацию содержащуюся в базах вы не обрабатываете, а только свои пдн. В системе у Вас ограничены права и Вы не можете чужие пдн видеть

Я же говорю по букве. Я осуществляю деятельность по эксплуатации ис. По духу - понятно что имеется в виду и обычный пользователь имеет весьма косвенное отношение к этому определению. Но отошли от сути изначального вопроса.

в этом определении речь не об ИСПДн

Илья, в этом определении нет разницы испдн или иное. Это определение идет в самом начале ФЗ и относится к ИС как таковым.

множество испдн входит во множество ис

испдн регулируется 152 фз

не каждый элемент множества ИС равен элементу множества ИСПДн, поэтому и определения разные для оператора ИС и оператора ИСПДн

Илья, не пойму о чем спор. "Оператор"из 152 это всего навсего частный случай "Оператор" из 149.
149 - гражданин, эксплуатирующий ИС в том числе обрабатывает информацию в ней, точнее в ее бд
152 - тот же гражданин, который совершает действия по обработке информации, но только персональной

Коллеги. Может кто то сталкивался. Есть ПП  от 12 апреля 2018 г. № 447 . Требованик к подключению иных информационных систем к ЕГИСЗ. Там есть требования с отсылкой на ИСОП и в целом к мерам защиты перс.данных. Вопрос: кто и как будет проверять выполение требований данного ПП?(Заказчкики утверждают что просто направляют заявку и их спокойно подключают без дополнительных проверок)

Защиту ПДн будем здесь обсуждать ?)

Ну не на портале РКН же )))

Утверждается на текущий момент ворма заявки на подключение к егисз. Указывается с какими сервисами идет взаимодействие. С точки зрения контроля-сказать сложно. Это требования к гис. Я по этому поводу и задавал вопрос про обязательную аттестацию. Нигде не написано что она обязательная для ИС, которые подключаются. Помимо заявки будет и соглашение. И если в нем прописаны пункты по мерам защиты-надо выполнить.

Как проверят!? Если аттестация - бумага. Если нет-оценка эффективности-бумага.

Региональные миац-ы имеют на своей стороне промежуточную систему по обработке данных от лечебок (не лечебки напрямую в егисз а миац). Но зачастую миац устанавливает требования к лечебкам на подключение к себе как к гис, и требует аттестацию. Хотя у миац и гис то может не быть. Но говорят что они подключаются по шине к егисз, и мол такое требование. Не смог найти этого требования.

Заказчик Коммерческая медицинская организация. Аттестатов у них нет. Но их уже подключили к промышленному контуру ЕГИСЗ