Вы сами решаете. Нештатная ситуация - это когда система работает не так, как должна, и это - результат реализации угрозы. В этот момент вы должны уже хотя бы примерно представлять, кто что с ней должен делать.

Соответственно, как минимум, у вас должен быть план действий на случай "хрен знает, что происходит, но что-то не так". И план действий на этот случай простой: "Вот этот человек отвечает за принятие решений, вот эти люди - админы основных компонентов, вот эти отвечают за инфраструктуру. В течение часа они должны собраться, в течение трех часов - диагностировать проблему, в течение шести часов - выдать временное решение, в течение недели - выдать нормальное решение".

В идеале у вас должна быть модель угроз. Если вы будете делать эту модель по методике ФСТЭК, у вас будут понятны возможные базовые действия нарушителя. Соответственно, возможных ситуаций у вас будет больше ("задефейсили веб-морду", "нет доступа к бэкэнду", "шифровальщик все нахрен зашифровал" и т.п.). На каждую такую нештатную ситуацию у вас должен быть примерный план, кому куды бечь.

А план тупо ради "у нас есть ДНС.1" не нужен ни вам, ни ФСТЭК.

Немного уточню вопрос. План действий во нештатных ситуациях включает в себя пожар, затопление и т.д. Когда вред нанесён физический, а не логический в последствии компьютерной атаки?

Вы сами решаете. Это требование к значимому объекту КИИ. Пожар может привести к "вреду критической информационной инфраструктуре"? Если да, то у вас должен быть план действий на случай пожара. На любой случай "причинения вреда КИИ", который вы модете предусмотреть.

То есть не только последствия компьютерной атаки, правильно понял?

ФЗ-187 - это не только про компьютерные атаки.

ФЗ-187 - это не только про компьютерные атаки.

Настоящий Федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее также - критическая информационная инфраструктура) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.

И это отдельный документ, отличающийся от плана действий при КА?

И? :)

Уже даже Лютиков публично согласился, что 187-ФЗ все таки про компьютерные атаки.

Мне поднадоело обсуждать разницу между "человек считает",  "человек сказал" и "слушатели поняли". Давай сойдемся на том, что так-то все согласны, что в ФЗ нужно вносить правки,но пока этих правок нет, приходится следовать букве закона.

У субъекта КИИ есть определенные обязанности в случае компьютерного инцидента. А "компьютерный инцидент", по определению, "факт нарушения и (или) прекращения функционирования ... в том числе произошедший в результате компьютерной атаки". Т.е. ФЗ устанавливает обязанности, связанные с последствиями не только компьютерных атак.

И я сильно сомневаюсь, что в случае серьезного инцидента, связанного с пожаром, ФСТЭК займет позицию "нет, вы правы, мы никоим образом не требовали от вас защищать ЗОКИИ от пожара" :)

так буква закона и утверждает, что 187-ФЗ направлен на обеспечение безопасности КИИ при проведении компьютерных атак, а не поджогов или сброса бомб ВВС противника.

ДА, только из этого никак не следует, что "пожары не вошли" :)

Ты опять выдернул из системы норм права одну строчку и отталкиваешься только от нее. Причем эта строчка сама по себе даже нормой права не является :) Так с нормами права работать нельзя.

1. Закон говорит, что владелец ЗОКИИ обязан реагировать на инциденты (статья 9 ч. 3)
2. Закон говорит, что инциденты - это не только последствия компьютерных атак (определение компьютерного инцидента)
3. И ты не можешь утверждать, что эти нормы прямого действия противоречат определению сферы действия закона :)

Я привел полностью Статью 187-ФЗ. А не выдернул строчку.  Применяемые термины не могут противоречить области действия ФЗ.Принятие законопроекта позволит создать правовую и организационную основу для эффективного функционирования системы безопасности критической информационной инфраструктуры Российской Федерации .. существенно снизит общественно-политические, финансовые и иные негативные последствия для Российской Федерации в случае проведения против нее компьютерных атак.

А это - вообще не нормативный правовой акт и никакого значения для применения норм права не имеет

это обоснование от авторов законопроекта.

Я говорю - не нормативный правовой акт, укоторый при применении норм права никак не учитывается

Закон направлен на защиту от компьютерных атак, а вот реагировать по нему нужно на все компьютерные инциденты.