И да, наличие у нас с вами инструмента, заведомо предназначенного природой для нарушения половой неприкосновенности, еще не означает, что нас с вами можно в любой момент за нарушение оной неприкосновенности посадить :)

Чет мы опускаемся все глубже и глубже. Сейчас дойдем до обсуждения что такое вообще информация, конфиденциальность и прочее. 🤔

Ой, не зарекайтесь. 😂😂😂

Интересно кто объяснял и как простраивались логическая цепочка от срабатывания сзи до "факта нарушения .."?

Сперва деяние доказать придется, одного наличия инструмента недостаточно :)

С инцидентами в целом так же :)

Вообще в момент срабатывания сзи на руках есть только факт срабатывания сзи .. как бы странно это не звучало

Чтобы дойти до "факта нарушения .." нужно провести расследование

Ну почему :) Некоторые СЗИ сохраняют и сам файл, и историю его "путешествия" по сети, и все вердикты антивирусов, которые в отношении этого файла выносились :)

На встрече фсб так трактовало,

А фамилия есть?

Ну не всегда. Если у меня вопит IPS что порты из Интернета сканируют, это не инцидент, можно и не расследовать. Если я в каой-то момент на серваке поймал запущенный процесс трояна, то какбы это уже инцидент.

Опять же, у всех разная степень паранойи, кто-то внимания не обращает на антивирусы, для кого то сигнал, что злоумышленник прощупывает защиту.

С какой целью интересуетесь?)

Тогда я легко смогу организовать ддос на ИБшников, тупо сканируя порты и присылая кучу спама с примитивнейшими троянами - они перейдут в режим паранойи 24/7, расследуя все это. Потом перегорят и тогда можно будет проводит таргетированную атаку не особо опасаясь быть обнаруженным. 😊

Поднятие этой информации - уже часть расследования ) я никто не говорит, что "расследование" не может быть как-то автоматизировано .. более того, часть процесса может быть опять же закреплена в эксплуатационной документации

И опять же повторю, что вопрос "является ли срабатывание сзи/антивиря инцидентом" считаю бессмысленным без контекста системы

С этим инструментом и его заведомом предназначением все понятно )))
А вот когда речь идет о ВПО (определение которого есть только в одном НПА) всё чуть сложней.
Во-всяком случае мы в технических экспертизах пишем, что «заведомо» относится к внутренним психологическим характеристикам преступного поведения и характеризует субъективную сторону состава преступления. Соответственно заведомость является элементом, классифицирующим деяние, вследствие чего её определение выходит за рамки компетенции эксперта по исследованию компьютеров и информации, содержащейся в компьютерах и на компьютерных носителях информации.
Под данным вопросом эксперт понимает поиск программ, выполняющих свои функции без согласия пользователя ПЭВМ на их реализацию, в скрытом от него режиме (без отображения уведомлений о характере выполняемых действий) и приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации"

Даже в одной системе в разных контурах сам факт срабатывания сзи может трактоваться по-разному имхо

Сотрудник высказал свое личное мнение. Не факт, что
это мнение отражает позицию ведомства, не факт, что вы с ним одинаково понимали контекст обсуждения, не факт, что сотрудник вообще имел отношение к вопросу.

У меня были случаи, когда в результате обсуждения вопроса с сотрудниками, ответственными за этот вопрос, они обращались за уточнениями к своему руководству. Просто потому, что вопрос оказыаался не таким однозначным, как им кащалось в начале спора.

Это я к тому, что по одиночному мнению сотрудника ведомства нельзя судить об официальной позиции ведомства. Бывало, что даде руководители некоторых ведомств несли с трибун такую пургу, сто потом их подчиненным приходилось успокаивать общественность :)

То же самое писал. Спасибо )