5.5. Последствия инцидента
В связи с инцидентом нужно предпринять ряд действий. Эти действия перечислены ниже:
Должна быть проведена инвентаризация всех повреждений (т.e., в результате тщательного осмотра должно быть определено, насколько система пострадала от инцидента).
Чтобы исключить возможность такого вторжения, план безопасности должен быть скорректирован с учетом опыта, извлеченного после инцидента.
С учетом данного инцидента должен быть произведен новый анализ рисков.
Расследование и наказание лиц, виновных в инциденте, если это считается желательным.
Если инцидент явился результатом неудачной политики безопасности, и если политика не изменена, тогда повторение инцидента неизбежно. Как только узел оправился после инцидента, политика узла и процедуры должны быть тщательно рассмотрены и в них должны быть внесены изменения, чтобы предотвратить подобные инциденты в будущем. Даже в отсутствии инцидентов, представляется разумным пересматривать политику и процедуры на регулярной основе. Эти пересмотры обязательны с учетом современных изменений компьютерной среды.