Важным аспектом анализа, проводимого после реагирования на инцидент, является применение полученной информации в схеме управления инцидентами ИБ. Если инцидент ИБ является серьезным, то после его решения необходимо провести совещание всех заинтересованных сторон, владеющих информацией о нем.

На этом совещании должны рассматриваться следующие вопросы:

— работали ли должным образом процедуры, принятые в схеме управления инцидентами;

— существуют ли процедуры или методы, которые способствовали бы обнаружению инцидентов;

— были ли определены процедуры или средства, которые использовались бы в процессе реагирования;

— применялись ли процедуры, помогающие восстановлению систем после идентификации инцидента;

— была ли передача информации об инциденте всем задействованным сторонам эффективной в процессе обнаружения, оповещения и реагирования.

Все предложения по улучшению схемы управления инцидентами ИБ, полученные в результате совещания, должны быть задокументированы. Области схемы, предназначенные для улучшений, должны быть проанализированы и принято решение о варианте их реализации. Изменения в процессах, процедурах и формах учета должны быть тщательно проверены и протестированы перед применением на практике. После реализации улучшений в документацию схемы должны быть внесены изменения, а обновленный вариант документации — доведен до персонала ИБ.

5.5. Другие улучшения

В течение фазы извлечения уроков могут быть идентифицированы и другие улучшения, например, изменения в политике ИБ, стандартах, процедурах и конфигурациях аппаратного и программного обеспечения.