Доработка
Когда вы поняли, что система восстановлена и приведена в безопасное состояние, вполне возможно, что в системе безопасности сохранились дыры и даже ловушки, допускающие отслеживание системы. Одним из важных этапов реагирования на инцидент довольно часто упускается, это фаза доводки системы безопасности. На фазе доводки, система должна мониторироваться на предмет объектов, которые оказались пропущены на предыдущей фазе. Было бы благоразумным использовать некоторые средства, упомянутые в главе 7.
Наиболее важным элементом стадии доводки является выполнение анализа инцидента и его последствий. Что конкретно случилось, и когда? Насколько эффективно действовал персонал во время инцидента? В какой информации персонал нуждается в первую очередь, и как такую информацию получить как можно быстрее? Что следует сделать персоналу по другому в следующий раз?
После инцидента, разумно написать доклад, описывающий точную последовательность событий: метод обнаружения, процедура коррекции, процедура мониторинга и резюме полученного опыта. Это поможет ясно понять проблему. Создание формальной хронологии событий (включая временные метки) важно также по юридическим причинам. Доклад доводки является ценным по многим причинам. Он используется в случае возникновения других сходных инцидентов. Важно также как можно быстрее получить денежную оценку ущерба, вызванного инцидентом. Эта оценка должна включать суммы, связанные с потерей программ и файлов (особенно стоимость частных данных, которые могут быть раскрыты), выхода из строя оборудования и трудозатраты для восстановления измененных файлов, реконфигурации поврежденных систем и пр. Эта оценка может стать основой для последующего преследования виновных. Доклад может помочь руководству составить представление о состоянии сетевой безопасности организации.
