Мы обсуждаем вполне конкретное деяние: человек под чужой учеткой получил доступ к охраняемой информации. Что из требований 21 приказа, способное помешать этому, мог не сделать оператор? Идентификация/аутентификация есть, управление доступом этому не помешало бы (эта операция была пользователю санкционирована), анализ событий этому не помешал бы (легитимным операция, разрешенная пользователю), пользователь о необходимости не давать свою учетом был предупрежден. Все остальное несущественно.

Нарушение со стороны пользователя налицо, нарушений со стороны оператора,  которые могли бы стать причиной инцидента, даже нафантазировать не получеетая

Ну т.е. Ваша позиция состоит в том, что, условно, кинуть камень в окно и разбить монитор секретарше HR директора компании, которая формально попадает под 187, это 274.1? Ну, ок. Моя заключается в том, что билинг и остальной обвес на функционирование сетей электросвязи не влияет никак. И атака на все, что непосредственно не несет в себе рисков для государства, как атака на КИИ не должна рассматриваться в принципе. Причем безотносительно ущерба.

Это не моя позиция, это позиция ФЗ-187 и УК РФ. Ее нужно менять, с этим никто не спорит.

+
это размытость формулировки, допускающей различные трактования

Аналогичное преступление работников телекома повлекло наказание в виде судебного штрафа, даже без условных сроков

Вот поэтому в данных судебных заседаниях нужно привлекать 3 ю сторону ! И по практике суды всегда их стараются привлечь. Было ли тут ходатайство о привлечении 3х лиц ( ФСТЭК в части 187фз, Роскомнадзор в части 152фз) по определению не ясно. возможно и не было.

Вот поэтому человек и отделался всего лишь условным сроком.

Судя по тому, что вину признал сразу и заявил ходатайство о рассмотрении в особом порядке, то никого не привлекали.

Может кто нибудь напомнить, было ли в как-нибудь документе, что об объектах кии сначала надо уведомить свой вышестоящий орган (больница допустим сначала областной комитет здравоохранения и т.п.), а потом фстэк?

товарищи, а я правильно понял, что Перечень объектов КИИ организации мы не отправляем? А отправляем только сразу категорированные? Или нет.

или отправляем но не в ФСТЭК

Сначала в ФСТЭК отправляется Перечень объектов КИИ, подлежащих категорированию, далее у организации-субъекта не более года на категорирование, под конец которого как раз и надо направить опять же в ФСТЭК сведения о результатах этого действа.

спасибо

Спасибо

Сначала перечень направить в свой ведомственный центр на согласование, потом в фстэк.

Уровень ИОГВ региона...

Организация обычно знает чей она подвед

Не всегда🤣🤣🤣

Добрый день, коллеги. Подскажите, пожалуйста, в каком виде заполняется п. 5.1 сведений о результатах категорирования ОКИИ
Наименования программно-аппаратных средств (пользовательских компьютеров, серверов, телекоммуникационного оборудования, средств беспроводного доступа, иных средств) и их количество
Нужно указывать марку/модель средств техники или достаточно указать серверы: 3 шт., АРМ пользователей:10 шт. и т.д.?