Закон не делит это на “10 видов инцидентов” – юридически это всё компьютерные инциденты, а “типы” чаще вводят внутренней классификацией, чтобы удобно вести журнал и расследование.
Что говорит законодательство
Что именно считается инцидентом (и значит подлежит учёту)
В 187-ФЗ базовое понятие – «компьютерный инцидент»: это факт нарушения и/или прекращения функционирования объекта КИИ и/или нарушения безопасности информации, в том числе в результате компьютерной атаки.
То есть “типов” в правовом смысле по сути два больших класса:
- Инциденты по функционированию (нарушение/остановка работы объекта КИИ).
- Инциденты по безопасности информации (конфиденциальность/целостность/доступность информации нарушены).
Что подлежит регистрации/разбору как обязанность
Для значимых объектов КИИ требования ФСТЭК по безопасности включают отдельный блок мер «Реагирование на компьютерные инциденты (ИНЦ)» – выявление, информирование, анализ, устранение последствий, предупреждение повторов, хранение и защита информации об инцидентах.
Параллельно субъект КИИ обязан передавать сведения об инцидентах в ГосСОПКА (через НКЦКИ) не позднее 24 часов с момента обнаружения – порядок/состав сведений закреплены приказами ФСБ №282 и №367.
Как это работает на практике
Чтобы ответить на ваш вопрос “какие типы подлежат регистрации и разбору” – ниже удобная практическая группировка, которая не противоречит 187-ФЗ, потому что любой пункт ниже попадает в определение “компьютерного инцидента”:
A) Инциденты, влияющие на работу объекта КИИ (функционирование)
Регистрируют и разбирают, если есть:
- частичная недоступность (падают модули/узлы/сегменты, деградация сервиса);
- полная остановка объекта/управления/диспетчеризации;
- нарушение технологического/производственного процесса, которое объект КИИ обеспечивает.
Примеры “типов” (внутренние ярлыки): DDoS/перегруз, отказ сервисов из-за атаки, саботаж конфигурации, аварийный сбой из-за вредоносного ПО.
B) Инциденты, влияющие на безопасность информации (CIA)
Регистрируют и разбирают, если есть признаки:
- несанкционированного доступа (компрометация учётки/привилегий);
- утечки (конфиденциальность нарушена);
- подмены/искажения данных (целостность нарушена);
- блокировки/шифрования данных (доступность нарушена).
Примеры “типов”: malware/ransomware, эксплуатация уязвимостей, фишинг → компрометация учётки, внедрение веб-шелла, несанкционированные изменения.
C) Что именно “обязано” попасть в журнал и разбор (минимум по логике требований)
Если у вас значимый объект, то в журнале и разборе обычно фиксируют хотя бы:
- факт/время/место (какой объект КИИ, где расположен),
- последствия (что нарушено),
- связь с атакой (если установлена),
- техпараметры/индикаторы (что обнаружили),
- меры реагирования и итог,
- материалы/данные об инциденте должны храниться и защищаться.
Выводы и рекомендации
По закону подлежат регистрации и разбору все события, которые подпадают под определение “компьютерного инцидента”: нарушение/прекращение функционирования объекта КИИ и/или нарушение безопасности информации.
Чтобы это работало без хаоса, рекомендуем:
- Ввести внутреннюю классификацию “типов” (A: функционирование / B: безопасность информации + подтипы вроде “вредоносное ПО”, “несанкционированный доступ”, “DoS”, “подмена данных”).
- Вести журнал инцидентов и пост-инцидентный разбор – для значимых объектов это прямо поддерживается требованиями ФСТЭК по блоку ИНЦ.
- Держать шаблон уведомления в НКЦКИ/ГосСОПКА и процесс, чтобы укладываться в требования по срокам/составу сведений (№282/№367).
