Я не спорю. Однако, даже глупая опечатка в ПП до сих пор не исправлена

Вы почитайте, пожалуйста, определения понятий "компьютерная атака" и "компьютерный инцидент". Какие мгут быть "ложно-положительные срабатывания" в случае инцидента (нарушения или прекращения функционирования информационной системы или сети )?

Внесение изменения в постановление правительства (о законах я даже не говорю) - это длительная процедура. Да, досадно, что через всю эту процедуру прошла такая обидная опечатка, но из-за нее одной никто постановление Правительства менять не будет.

В реальной жизни, в большинстве ИС, будет так... В полдень дня N система перстанет работать, ресурсы не открываются, в инет не выходт и вообще чертовщина... и это инцидент. Дальше все садятся смореть логи, в полдень сего дня чисто (передавать нечего) зато есть сообщения о 20 подозрительных действиях на периметре сети за вчера.... передадут все 20, толку ноль. Вот этот сценарий является типовым для большинства архитектур ИС.

Если кратко, моя позиция вообще такая по всем этим вопросам с безопаностью КИИ, сначала пересмотреть архитектуру ИС, а потом уже подавать списки ОКИИ. Главная задача изолировать критические процессы по максимуму, как от внешних так и от внеутренних нарушителей. А меры по защите должны применятся ко всем СВТ на пути информационного потока, значит границы ОКИИ несколько шире, чем обозначят большинство субъектов. А сети связи к кторым ОКИИ подключены обязательно также должны быть ОКИИ.

Дмитрий, рассмотрим ситуацию. Имеется кабель соединяющий сервер с каким-то цодом. Происходит передача информации важной, нарушение процесса передачи-критично (положим в каком нибуть центре здрава, где аккумулируются важные исследования и от своевременности получения этих данных зависит здоровье. Но есть положим 30 мин абсолютно безболезненного простоя или есть дубль кнала). Этот сервер - часть зокии. Кабель-внутри этого помещения. Теперь какой-то тип, взял и намеренно порвал кабель (повис, откусил, начал отдирать от стены). Информацию надо подавать? А если вся проблема решена за 30 мин или пустили быстро по резервке!? Тоже надо?

Я считаю что в госсопку не надо... Потому что меры по зи в части физического доступа итак прописаны и должны выполнятся. Что это даст госсопке?

Да, это абсолютно правильный подход, кроме одного "но": пересмотр и модернизация архитектуры ИС могут занять годы, а категорироваьт ОКИИ нужно уже сейчас

Ничего подобного. Дальше субъект сообщит в НКЦКИ, что у него случилась какая-то непонятная хрень, из-за которой перестала работать вот такая система (и, может быть, приложит к этому сообщению какую-нибудь техническую информацию), и параллельно начнет с этой хренью разюбираться :)

Если обратятся к Доктрине , но совбез сетует, что инциденты владельцами объектов скрываются

По закону это инцидент, и если этот объект - ЗОКИИ, то субъект обязан об этом инциденте сообщить. Какого еще ответа вы от меня ожидали? :)

Так и будут скрываться иначе этож мы не к зрелости отрасли идем, не к взрослению, а к банальному доносу

Что думаете делать с этим как личность и гражданин РФ?)

))) сообщать в госсопку только о подтверждённых фактах атак - целенаправленных и злонамеренных

И какая будет от этого сообщения польза для других?! И притом нарушение деятельности субъета даже и не произошло. Даже близко к критериям не прошло.

А если не значимый, то не обязан?

Вообще по логике вещей, чем быстрее и адекватнее наполняется база госсопки, тем лучше. Поэтому и с не значимых передавать нужно. Я б даже и с не окии передавал )

Такой вариант тоже рассматривался.  Но был сочтен негодным, и вот почему.

Вот смотрите. Наш SOC регистрирует в сутк и десятки тысяч событий, потенциально свидетельствующих о возможности проведения атаки. "Целенаправленных и злонамеренных" атак на сетевые сервисы и на сотрудников компании регистрируется несколько сотен в год - я сам раз в неделю получаю фишинговые письма с "заряженным" аттачем. Но эти атаки не требуют какого-то реагирования - с ними прекрасно справляются принятые меры защиты (патчинг, антивирусы, осведомленость сорудников и т.п.). Инцидентов (а мы это понятие трактуем шире - атаки, которые могли бы привести к негативным последствиям, не вмешайся SOC), мы регистрируем одну-две в год.

Так вот, идея беззопасности КИИ - сделать так, чтобы такая ситуация была и у всех субъектов КИИ. Т.е. чтобы они сами могли справляться с атаками, не доводя из дро инуццилдентов,  и лишь изредка, не справившись самостоятельно со очень уж сложной атакой, звали на помощь дядей из НКЦКИ. А в вашем предложении идеальная безлопасность - это когда субъекты КИИ спамят НКЦКИ ненужной информацией об атаках, с которыми они уже и сами успешно справились.

Или другой пример. Та же система.Теже исходные данные. Но нет злостного нарушителя! Ремонтные работы. Повредили провод. Работает, но время покажет. Не заметили. Стену выровняли. Все хорошо. Начали функционировать. И поняли, что что-то не ладное. Началисьпроблемы. И стало все. Время идет. Вспоминаются критерии. Это не намеренно. Но реально стало критично! Нашли проблему исправили!  Подавать информацию? Это инцидент. Но стои т ли о нем сообщать?!

С вами не согласен. Задача ведь предотвращения - это и статистика атак и оперативная работа... Например бот сети нужно уничтожать а не закрывать глаза. И полностью уверен, что задача сил и средств - это помочь органам безопаности нейтрализовать источники атак на территории РФ и проконтролировать иностранные