Действующий

Об утверждении Положения о центре обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные системы и ресурсы Самарской области и Регламента деятельности центра обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные системы и ресурсы Самарской области



4.16. Установление причин КИ


Установление причин инцидента проводится в две стадии:


а) первичный анализ инцидента;


б) комплексный анализ инцидента.


Задачами первичного анализа инцидента являются:


а) установление обстоятельств и возможных последствий инцидента;


б) установление обстоятельств инцидента, выходящих за рамки стандартного порядка действий при инциденте данного типа.


Задачами комплексного анализа инцидента являются:


а) установление причин инцидента;


б) установление фактических последствий инцидента.


Первичный анализ инцидента проводится одновременно с локализацией инцидента Центром ГосСОПКА. Одновременно с ликвидацией последствий инцидента Центром ГосСОПКА совместно с главным Центром ГосСОПКА и оператором информационной системы и (или) информационного ресурса проводится комплексный анализ инцидента.


На обеих стадиях осуществляется сбор сведений об инциденте и их анализ.


В ходе анализа сведений делаются выводы об обстоятельствах инцидента, характере атаки, а также возможных путях развития инцидента и его последствиях, рассматривается вопрос о необходимости передачи информации об инциденте в правоохранительные органы для проведения расследования. Сведения об инциденте сохраняются для последующей разработки или уточнения методических рекомендаций по обнаружению, предупреждению и ликвидации последствий аналогичных инцидентов. Сбор и анализ сведений проводятся на протяжении всего комплекса мероприятий по ликвидации последствий инцидента.