ФСТЭК не надо уведомлять об инцидентах - им нечего делать с этой информацией

Сейчас дела обстоят именно так, если фиксируется компьютерная атака этим занимается ФСБ, если не выполняются оргтехмероприятия которые снижают уровень защищённости - это ФСТЭК

Это кто и где так поделил? И зачем мероприятия, снижающие уровень защищённости? И куда и как уведомлять ФСТЭК? А главное, зачем? Если есть ГОССОПКА

Указ Президента РФ от 25.11.2017 N 569 "О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. N 1085"

ФСТЭК России является федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, а также специально уполномоченным органом в области экспортного контроля

ФСБ во всех НПА отвечают только за компьютерные атаки и госсопка тоже

Атака - это всегда целенаправленное действие

И не должно. Она определяет цель установленных законом телодвижений ("в целях ее устойчивого функционирования в условиях проведения компьютерных атак"). Если для достижения этой цели этот же закон обязывает сообшать обо всех инцидентах, в том числе и о "в результате атаки" - значит, надо сообщать обо всех инцидентах без исключения.

Если предположим на объекте самостоятельно нашли и зашли на вредоносный ресурс в инете, то это не атака, так как не было целенаправленности. Если на тот же ресурс зашли по ссылке которую получили из письма направленного по конкерному адресу субъекта, то это уже атака.

Оба случая приведут к идентичным результатам, но в первом случае, не соблюдаются меры по ЗИ, а во тором целенаправленное воздействие.

А про атаки никто и не спорит. Спорят об обязанности сообщать об инцидентах. Которые по определению могут возникать не только в результате атаки. А статья 9 не делает исключений для инцидентов, которые не являются результатом атаки.

Если проще, то о том, что инцидент произошел не из-за  атаки, вы можете узнать только через годы. Или так и не узнать.  А инцидент есть, и о нем нужно сообщить незамедлительно

В госсопке имхо никому не интересно, что в результате отключения электричества слетели правила МЭ например. Госсопке интересно базы сигнатур атак накапливать доверенные и максимально близко к реальному времени доставлять это все на пограничный IPS. Отсюда вывод в госсопку доставлять информацию только об атаках. Все остальное во ФСТЭК. Имеено ФСТЭК уполномочен на обеспечение безопаности КИИ.  Хотя время покажет конечно.... Но границы отвественности ведомств нужно четко проводить

Тогда получается нужно сообщать о бо всем. Даже о простом нарушении тех процесса, который является инцидентом, но не факт что это атака.

Хм, дайте подумать.

Статью 9, как и большую часть закона, написали вполне конкретные люди, которые рулят ГосСОПКА. Высказывались предложения ограничить понятие "инцидент" только результатами компьютерной атаки, но эти предложения авторы закона отклонили. Да, наверняка в ГосСОПКЕ это никому не интересно :)

Давайте не будем фантазировать, а вместо этого выполнять ровно то, что написано в нормативных актах.

Поправьте меня , если я не прав, но в приказах фсб рассматривается физическое воздействие на компоненты как фактор , который может привести к инциденту

Вопрос преднамеренности и целенаправленности. Модель нарушителя всегда предшествует иным методам моделирования, в случае с КИИ в целом речь идет о внешнем нарушителе или особом виде нарушителя возникшем в результате сговора. Внутренний нарушитель сможет действовать практически безнаказанно если остуствует архитектура ИС такая, что средства предотвращения вторжений стоят на контроле всех информационных потоков влияющих или составляющих критические процессы. Тут много пишут разных мнений и вещей, но все они оторваны от главной мысли (духа) закона - предотвращение компьютерных атак.

А можно ссылку на "о внешнем нарушителе или особом в результате сговора"? Не помню такого

Это ФСТЭКовские документы

А ссылку можно? Я не помню их наизусть, а такой момент обязан помнить. Точнее, я не помню, чтобы где-то в документах по КИИ упоминалась какая-то конкретика про нарушителя

Смотрите... вот придумали КИИ, большинство из этих КИИ уже базируются на гибридах ГИС, АСУ ТП и ИСПДН. Никто эти документы не отменял (17, 21 31 приказы)

Ненене, эта древность про ПД к КИИ никакого отношения не имеет

Это с чего это стало древностью? это действующие документы, и моделирования нарушителей и угроз в КИИ делать нужно будет именно по ним, иначе противоречия

Для КИИ 239 приказ. Не 31