Инцидент признается завершенным после принятия всех мер, предусмотренных методическими рекомендациями и (или) решением рабочей группы, при условии, что установление причин инцидента показало достаточность принятых мер.
Анализ результатов устранения последствий инцидента включает в себя оценку:
а) вреда, причиненного информационному ресурсу и его владельцу в результате инцидента;
б) недостатков в обеспечении безопасности информации, не позволивших предотвратить инцидент;
в) своевременности обнаружения инцидента;
г) действий персонала при локализации инцидента и ликвидации его последствий;
д) сроков устранения последствий инцидента.
При оценке вреда, причиненного информационному ресурсу и его владельцу в результате инцидента, учитываются:
а) трудозатраты персонала и иные затраты, связанные с ликвидацией последствий;
б) вред, причиненный общественным интересам и интересам владельца информационного ресурса, в том числе связанный с нарушением конфиденциальности, целостности и доступности сведений, обрабатываемых затронутыми информационными ресурсами.
При оценке недостатков в обеспечении безопасности информации определяются:
а) нормативные требования, невыполнение, недостаточная эффективность выполнения или отсутствие которых сделали инцидент возможным;
б) дополнительные меры защиты, которые не являются обязательными в соответствии с действующими нормативными документами, но которые могли бы предотвратить инцидент.
На основании оценки вреда и недостатков разрабатываются рекомендации по предупреждению подобных инцидентов и стандартный порядок действий при их повторении.