ГОСТ Р ИСО/МЭК 27002-2012
b
) даты, время и детали ключевых событий, например начало сеанса и
завершение сеанса;
c) идентичность и местоположение терминала, если это возможно;
d) регистрацию успешных и отклоненных попыток доступа к системе;
e) регистрацию успешных и отклоненных попыток доступа к данным или другим
ресурсам;
f) изменения конфигурации системы;
д) использование привилегий;
h) использование системных утилит и прикладных программ;
i) файлы, к которым был осуществлен доступ и вид доступа;
j) сетевые адреса и протоколы;
k) сигналы тревоги, подаваемые системой управления доступом;
l
) активация и деактивация систем защиты, например антивирусных систем и
систем обнаружения вторжения.
Дополнительная информация
Контрольные журналы могут содержать данные о вторжениях и конфиденциальные
личные данные. Необходимо принимать соответствующие меры для защиты приватности
(см. также 15.1.4). Где, возможно, системным администраторам следует запрещать
стирать или деактивировать журналы регистрации их собственных действий (см. 10.1.3).
10.10.2 Использование системы мониторинга
Мера и средство контроля и управления
Необходимо создать процедуры для проведения мониторинга использования
средств обработки информации и регулярно анализировать результаты деятельности,
связанной с мониторингом.
Рекомендация по реализации
Уровень мониторинга, необходимый для отдельных средств, следует определять с
помощьюоценкириска.Организациядолжнавыполнятьвседействующие
законодательныетребования,применимыекеедеятельности,связанныес
мониторингом. Необходимо рассмотреть следующие аспекты:
а) авторизованный доступ, включая детали, такие как:
1) идентификаторы пользователей;
91