Alexander Kremlev
Считать ли неуспешную атаку инцидентом? Если инженер воткнул легитимный носитель с вирусом в арм и антивирус успешно удалил вредонос. Инцидент должен быть зарегистрирован и расследован, откуда вирус взялся и зачем носитель подключался. Но вот как на это инцидент отреагируют органы непонятно, беднягу могут и посадить.
Имхо, чтобы ответить на вопрос является ли некое событие инцидентом надо отталкиваться прямо от определения в ФЗ 187 .. а начинается оно со слов - "факт нарушения и/или прекращения функционирования ОКИИ .. и/или нарушения безопасности обрабатываемой ... информации ". Собственно если у вас есть документация на объект, то там должно быть описано (либо как-то логично из следовать) что является для данной системы "фактом нарушения ...". Кстати, можно тут и подстраховаться добавив в эксплуатационную документацию такого рода описания. Разговоры о том является ли срабатывание антивируса инцидентом или нет, имхо, бесполезны, т.к. для одних систем это будет инцидентом, а для других - нет. Для большинства систем такое событие само по себе, если оно не повлекло других последствий, инцидентом, конечно, не будет.
