7. На этапе мониторинга и выявления служба реагирования осуществляет:
- мониторинг и анализ событий информационной безопасности;
- отнесение событий информационной безопасности к инциденту информационной безопасности в соответствии с разработанным порядком отнесения событий информационной безопасности к инцидентам информационной безопасности;
- классификацию и приоритизацию инцидентов информационной безопасности;
- передачу информации об инциденте информационной безопасности на этап реагирования.
8. На этапе реагирования на инциденты информационной безопасности служба реагирования применяет стандартные процедуры реагирования, а в случаях низкой эффективности применения стандартных процедур реагирования, принимает оперативные меры реагирования на инциденты информационной безопасности, включающие следующие меры, но не ограничиваясь ими:
- информирование и привлечение к процессу реагирования работников банка, организации, а также третьих лиц в целях обеспечения процесса эффективного противодействия инциденту информационной безопасности;
- по согласованию с владельцами бизнес-процесса применение дополнительных мер контроля по частичной или полной остановке бизнес-процесса в банке, организации;
- сбор данных с программно-технических средств, вовлеченных в инцидент информационной безопасности;
- анализ инцидента информационной безопасности, его сдерживание и устранение его последствий;
- ретроспективный анализ событий информационной безопасности;
- определение индикаторов компрометации и уязвимостей, выявленных в ходе реагирования на инциденты информационной безопасности, и реализация корректирующих мер, направленных на недопущение аналогичного инцидента информационной безопасности в дальнейшем;
- принятие решения о необходимости проведения внутреннего расследования инцидента информационной безопасности.
