Реагирование на инцидент включает в себя:
а) фиксацию состояния и анализ объектов информационных ресурсов, вовлеченных в инцидент;
б) координацию деятельности по прекращению воздействия компьютерных атак, проведение которых вызвало возникновение инцидента;
в) фиксацию и анализ сетевого трафика, циркулирующего в информационном ресурсе, вовлеченном в инцидент;
г) определение причин инцидента и возможных его последствий для информационного ресурса;
д) локализацию инцидента;
е) сбор сведений для последующего установления причин инцидента;
ж) планирование мер по ликвидации последствий инцидента;
з) ликвидацию последствий инцидента;
и) контроль ликвидации последствий;
к) формирование рекомендаций для совершенствования нормативных документов, в соответствии с которыми осуществляется деятельность Центра ГосСОПКА и специалистов, обеспечивающих информационную безопасность информационных ресурсов.
Определение причин инцидента проводится специалистом Центра ГосСОПКА совместно с персоналом информационной системы и (или) информационного ресурса. При этом:
а) специалист Центра ГосСОПКА оперирует данными инвентаризации, выявления уязвимостей и анализа событий безопасности, а также направляет лицу, ответственному за функционирование информационного ресурса, запросы на предоставление дополнительных сведений;
б) персонал информационного ресурса действует в пределах своей компетенции в соответствии с инструкциями, а также в соответствии с указаниями специалиста центра ГосСОПКА.