Это не план, это список пожеланий. Начиная с п. 3 совершенно непонятно, что именно делать

Не пойму почему речь именно о шифровальщике?

Потому что это - самый простой из инцидентов, и он актуален для всех. На нём проще всего учиться

В качестве альтернативы:
- дефейс корпоративного веб-сайта;
- вышли из строя диски на файловом сервере

На одном из этих примеров отработаете планирование реагирования - можно будет переходить к более сложным млучаям

У Вас видимо опыта не было.
на самом деле 95% атак реализовались через скачивание по ссылке червя, либо через взлом удаленки через открытый порт и не стойкий пароль. Во втором случае шифровать могут вполне легальными способами.
1 вариант атаки можно отлавливать сканерами антивируса если старый червяк, или отслеживая активность в процессах системы.
2 вариант атаки через установленный софт  злоумышленником, собственно во втором случае будет понятно какая учетка скомпрометирована и и собственно понятна как атака произведена

2 вариант  также еще через логи взлома пароля определяются вплоть до ПК, которую взломали

Сейчас начнется спор) у кого больше и крупнее

Вообще переход на личности некорректен/ имхо

Да тут б просто че нить написать, чтоб отстал главный 😂

Про отсутствие опыта - смешно, да :)

П 3 - это пожелние. Понятно, что нужно искать способ распространения заразы. Но из написанного непонятно, что конкретно должен сделать исполнитель плана, чтобы это пожелание сбылось. Поэтому это на план.

С п. 4 и 5 такая же петрушка

Но я в каком-то ступоре

вот это да

Шифровальщик в здании😂😂

5. Мин перерыв

Коллеги, может ли быть объект кии не подлежащий категорированию?

Нет

А может он и не объект КИИ?

Он таким не может быть, если только вам не принадлежит

К вопросу о плане реагирования) можно ли сделать 1 план, который и согласуется с ФСБ или для ФСБ и внутренний должны быть разные?
И ещё вопрос: у нас 2 объекта кии, один значимый, второй нет. Можно в этом плане для ФСБ прописать оба или на каждый объект свой план необходим?