Для ликвидации последствий компьютерного инцидента можно предпринять следующие меры:

• Восстановление пострадавших элементов инфраструктуры. 1 IT-специалисты реанимируют части системы, затронутые инцидентом, а эксперты по расследованию следят, чтобы в них не осталось троянских программ, вредоносных закладок и т. п.. 1
• Удаление вредоносного ПО. 3 Также необходимо закрыть выявленные уязвимости, сбросить скомпрометированные учётные данные и при необходимости восстановить из резервных копий. 3
• Смена паролей пострадавших учётных записей. 4 Это один из необходимых шагов для недопущения повторения подобных инцидентов. 4
• Восстановление утраченных данных. 2 Включает тестирование затронутых систем, обнаружение любых оставшихся угроз, предотвращение повторения аналогичных инцидентов, ввод в эксплуатацию пострадавших серверов и систем, подключение устройств к сети. 2
• Комплексный аудит информационной безопасности. 1 Нужно привлечь внешних экспертов, чтобы получить независимую и профессиональную оценку состояния IT-инфраструктуры и оценить компетенции сотрудников IT-службы. 1
• Анализ произошедшего. 5 После устранения инцидента служба безопасности анализирует произошедшее и определяет, как можно улучшить процесс реагирования. 5

Важно понимать, что эти этапы не всегда следуют строго последовательно — в реальных условиях они могут перекрываться и повторяться в зависимости от развития ситуации. 3