PIONIER-CERT będzie wspierać administratorów w obsłudze technicznych i organizacyjnych aspektów incydentów. Cały proces reakcji na incydent można podzielić na trzy fazy: rozpoznanie incydentu (incident triage), koordynacja obsługi incydentu i rozwiązanie incydentu.

Głównym celem fazy rozpoznania incydentu jest sprawdzenie, czy zgłoszone zdarzenie naruszenia bezpieczeństwa faktycznie miało miejsce, jaki jest jego zasięg i surowość (łącznie z potencjalnym wpływem na regionalną sieć), oraz czy może być rozpatrywane jako incydent w odniesieniu do przepisów CSIRT.

W tym miejscu następuje wstępne przetwarzanie informacji w kontekście zarządzania kolejnymi incydentami. Zgłoszenie incydentu musi zawierać wszystkie niezbędne informacje, tak jak wyspecyfikowano w instrukcji zgłaszania incydentów. Wszystkie incydenty powinny, w miarę możliwości, być zgłaszane pocztą elektroniczną lub faksem z użyciem dostarczonych formularzy. Zgodnie z polityką Grupy, za wyjątkiem specyficznych przypadków (zgłaszanie luk w zabezpieczeniach), żadne anonimowe zgłoszenia nie będą akceptowane. Zgłoszenie incydentu powinno być traktowane jako rozpatrzone po otrzymaniu pisemnego potwierdzenia.

Zadaniem grupy PIONIER-CERT jest zapewnienie kompleksowej koordynacji wszystkich odpowiedzi na incydent naruszający bezpieczeństwo (koordynacja obsługi incydentów) ze szczególnym naciskiem na wymianę informacji pomiędzy różnymi grupami interesów.

  • W odniesieniu do takiego podejścia można wyróżnić kilka specyficznych zadań: określenie początkowej przyczyny incydentu (wykorzystana luka),
  • nawiązanie kontaktu z innymi stronami, które mogą być w ten incydent zamieszane,
  • nawiązanie kontaktu z właściwym zespołem bezpieczeństwa i jeśli to konieczne z właściwymi organami ścigania,
  • sporządzenie raportu do innych grup CSIRT,
  • sporządzenie komunikatów do użytkowników (członków grupy), w stosownym przypadku,
  • zbieranie i ogłaszanie statystyk dotyczących incydentów.

Rozwiązywanie incydentów jest dokonywane w bardzo ograniczonym zakresie (głównie ze względu na ograniczone zasoby), w praktyce ograniczonym do specjalnych przypadków mających szczególny wpływ na obszar ich zasięgu. Aktualny zakres czynności obejmuje w takich przypadkach usunięcie luk w zabezpieczeniach, oddtworzenie systemu, który został naruszony lub zapewnienie bezpośredniej pomocy technicznej podczas zbierania dowodów w przypadku, gdy postępowanie sądowe (karne), lub inne akcje dyscyplinarne są rozważane.