Реагирование на компьютерные инциденты осуществляют специалисты подразделения, ответственного за управление компьютерными инцидентами, и специалисты смежных подразделений, участвующих в деятельности по управлению компьютерными инцидентами, входящие в состав рабочих групп реагирования на компьютерные инциденты.

В ходе реагирования на компьютерный инцидент должны быть выполнены следующие этапы:

• определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры.

Примечание - В карточке компьютерного инцидента может отсутствовать информация о полном множестве элементов информационной инфраструктуры, вовлеченных в компьютерный инцидент. Поэтому крайне важно до начала этапа «локализация компьютерного инцидента» определить полное множество элементов информационной инфраструктуры, вовлеченных в компьютерный инцидент и внести эту информацию в карточку компьютерного инцидента;

• локализация компьютерного инцидента.

Примечание - На этапе «локализация компьютерного инцидента» специалисты подразделения, ответственного за управление компьютерными инцидентами, должны определить, находится ли компьютерный инцидент под контролем. Если компьютерный инцидент находится под контролем, то выполняются последующие этапы реагирования. Если компьютерный инцидент не находится под контролем или ожидается, что он окажет серьезное воздействие на критические процессы (приведет к серьезным последствиям) организации, целесообразно направить обращения в организацию, осуществляющую координацию деятельности в части управления компьютерными инцидентами, об оказании содействия в реагировании на компьютерный инцидент.

Компьютерный инцидент считается находящимся под контролем, если удалось принять меры, которые позволили предотвратить вовлечение в инцидент новых элементов информационной инфраструктуры и увеличение масштаба негативных последствий;

• выявление последствий компьютерного инцидента.

Примечание - На этапе «выявление последствий компьютерного инцидента» выполняются процедуры по выявлению признаков негативного воздействия компьютерного инцидента на информационные ресурсы;

• ликвидация последствий компьютерного инцидента.

Примечание - На этапе «ликвидация последствий компьютерных инцидентов» выполняются процедуры по восстановлению штатного функционирования информационных ресурсов и обрабатываемой им информации;

• закрытие компьютерного инцидента.

Примечания

1. На каждом из этапов стадии «реагирование на компьютерные инциденты» специалисты, ответственные за реагирование на компьютерные инциденты (руководители рабочих групп реагирования на компьютерные инциденты), должны осуществлять проверку качества и достаточности выполненных действий по реагированию на компьютерный инцидент и при необходимости создавать задания на доработку выполненных действий, а также принимать решение о возврате на предыдущий этап реагирования.
2. Специалисты, ответственные за реагирование на компьютерные инциденты (руководители рабочих групп реагирования на компьютерные инциденты) осуществляют следующую деятельность:
   • проведение проверки фактов возникновения компьютерных инцидентов с целью их подтверждения;
   • регистрация компьютерных инцидентов в случае их подтверждения;
   • контроль выполнения этапов реагирования на компьютерные инциденты.

При осуществлении контроля выполнения этапов реагирования на компьютерные инциденты специалист, ответственный за реагирование на компьютерный инцидент (руководитель рабочей группы реагирования на компьютерные инциденты), должен принимать решение о необходимости привлечения организации, осуществляющей координацию деятельности в части управления компьютерными инцидентами.

Отдельными этапами в рамках стадии «реагирование на компьютерные инциденты» являются:

• фиксация материалов, связанных с возникновением компьютерного инцидента;
• установление причин и условий возникновения компьютерного инцидента.

Данные этапы могут проводиться параллельно с остальными этапами реагирования и даже после этапа «закрытие компьютерного инцидента». Выполнение данных этапов не влияет на закрытие компьютерного инцидента.

Помимо перечисленных этапов реагирования организация должна решать следующие ключевые задачи:

• определение принципа очередности реагирования на компьютерные инциденты.

Примечание - Очередность реагирования на компьютерные инциденты должна определяться с учетом уровня их влияния и приоритетов;

• обеспечение документирования всех действий вовлеченных сторон и, в частности, специалистов подразделения, ответственного за управление компьютерными инцидентами, для последующего анализа и оценки;
• безопасное хранение зафиксированных материалов, связанных с возникновением компьютерных инцидентов (цифровых свидетельств), которые требуются для установления причин и условий возникновения компьютерных инцидентов;
• информирование о возникновении компьютерного инцидента и обмен информацией с организацией, осуществляющей координацию деятельности в части управления компьютерными инцидентами.

Вся собранная информация, относящаяся к компьютерному инциденту, должна быть отражена в карточке компьютерного инцидента и быть максимально полной. Это позволяет качественно проводить анализ результатов деятельности по управлению компьютерными инцидентами [из 5.4 Реагирование на компьютерные инциденты ГОСТ Р 59710-2022]