Процесс приобретения и накопления опыта является важной составляющей ведения деятельности по управлению компьютерными инцидентами. После завершения всех этапов реагирования на компьютерный инцидент важно, чтобы организация приобрела и накопила опыт управления компьютерными инцидентами.

Приобретение и накопление опыта по результатам управления компьютерными инцидентами позволяет:

• идентифицировать методы и способы обнаружения и регистрации компьютерных инцидентов и реагирования на компьютерные инциденты, которые показали свою эффективность в отношении уже закрытых компьютерных инцидентов;
• доработать (актуализировать) документацию в части управления компьютерными инцидентами, том числе политику управления компьютерными инцидентами и план реагирования на компьютерные инциденты.

Все изменения (корректировки, дополнения), предлагаемые к внесению в план реагирования на компьютерные инциденты, относящиеся к этапам «обнаружение и регистрация компьютерных инцидентов» и «реагирование на компьютерные инциденты», должны быть надлежащим образом проверены и протестированы, т. е. должны быть проведены тренировки по отработке мероприятий плана реагирования на компьютерные инциденты в соответствии с положениями ГОСТ Р 59711 [из 8.2 Приобретение и накопление опыта по результатам управления компьютерными инцидентами ГОСТ Р 59712-2022]

После завершения всех этапов реагирования на компьютерный инцидент следует проводить оценку результатов и эффективности предпринятых действий.

Такая оценка направлена на то, чтобы определить, насколько эффективны те или иные процессы и процедуры реагирования на компьютерные инциденты.

Оценку результатов и эффективности действий, предпринятых на каждом этапе реагирования на компьютерный инцидент, целесообразно проводить в отношении компьютерных инцидентов со средним, высоким и критическим уровнями влияния и на основании задокументированных результатов реагирования.

Также, после завершения всех этапов реагирования на компьютерный инцидент, целесообразно проводить рабочие совещания со специалистами всех подразделений, участвующих в деятельности по управлению компьютерными инцидентами на стадиях «обнаружение и регистрация компьютерных инцидентов» и «реагирование на компьютерные инциденты».

На рабочем совещании целесообразно обсудить следующие вопросы:

• оценка достаточности и эффективности процессов и процедур реагирования на компьютерные инциденты, изложенных в плане;
• предложения по включению в план реагирования на компьютерные инциденты дополнительных процессов и процедур, которые могли бы повысить эффективность действий, выполняемых на стадиях «обнаружение и регистрация компьютерных инцидентов» и «реагирование на компьютерные инциденты»;
• предложения по использованию дополнительных инструментальных средств с целью повышения эффективности реагирования и установления причин и условий возникновения компьютерных инцидентов;
• оценка эффективности обмена информацией о компьютерных инцидентах между всеми сторонами, принимающими участие на стадиях «обнаружение и регистрация компьютерных инцидентов» и «реагирование на компьютерные инциденты».

Примечание - Оценка результатов и эффективности реагирования на компьютерные инциденты может осуществляться на основании следующих показателей:

• среднее время проведения проверки признаков возможного возникновения компьютерных инцидентов;
• среднее время определения вовлеченных в компьютерный инцидент элементов информационной инфраструктуры;
• среднее время локализации компьютерных инцидентов;
• среднее время выявления последствий компьютерных инцидентов;
• среднее время ликвидации последствий компьютерных инцидентов;
• среднее время реагирования на компьютерные инциденты;
• процент компьютерных инцидентов, для которых были нарушены сроки выполнения этапов реагирования.

[из 8.4 Оценка результатов и эффективности реагирования на компьютерные инциденты ГОСТ Р 59712-2022]