Перечень и состав конкретных мероприятий, проводимых субъектом КИИ в ходе реагирования на КИ и принятия мер по ликвидации последствий КА, разрабатывается с указанием времени, необходимых для реализации указанных мероприятий, исходя из:
- порядка предоставления сведений об инцидентах информационной безопасности [18];
- состава и особенностей функционирования элементов ЗОКИИ;
- типа выявленного компьютерного инцидента;
- состава имеющихся у субъекта КИИ сил и средств, выделенных для проведения необходимых мероприятий;
- наличия или отсутствия взаимодействия субъекта КИИ с ведомственным (корпоративным) центром ГосСОПКА;
- необходимости привлечения сил ФСБ России;
- положений документов, регламентирующих порядок эксплуатации ЗОКИИ и меры по обеспечению его безопасности;
- положений иных нормативных правовых актов и методических документов.
К обязательным мероприятиям реагирования относятся:
1. Обнаружение и регистрация (рекомендуемая форма карточки КИ приведена в приложении 5 к настоящим Методическим рекомендациям, рекомендуемая форма журнала учета КИ приведена в приложении 6 к настоящим Методическим рекомендациям) [10], [25], [26], [27].
2. Информирование о КИ:
- Курирующий ОИВ, ДИТ (при необходимости поставщиков услуг (подрядчиков), ЦОД, и внешних организаций и т.д.) в установленном Порядке [18].
- НКЦКИ о КИ, связанных с ЗОКИИ, включая КИ с ПДн не позднее 3 часов с момента его обнаружения [7], [10], [11].