ГОСТ Р ИСО/МЭК 27002-2012
2) дату и время основных событий;
3) типы событий;
4) файлы, к которым был осуществлен доступ;
5) используемые программы/утилиты;
b
) все привилегированные действия, такие как:
1) использованиепривилегированныхучетныхзаписей,например
супервизора, привилегированного пользователя, администратора;
2) запуск и остановка системы;
3) подсоединение/отсоединение устройства ввода/вывода;
c) попытки неавторизованного доступа, такие как:
1) неудавшиеся или отклоненные действия пользователей;
2) неудавшиеся или отклоненные действия, затрагивающие данные или
другие ресурсы;
3) нарушенияполитики доступаи уведомлениясетевыхшлюзови
межсетевых экранов;
4) предупреждения от собственных систем обнаружения вторжения;
d) предупреждения или отказы системы, такие как:
1) предупреждения или сообщения пульта управления;
2) изъятие системного журнала;
3) предупредительные сигналы, связанные с управлением сетью;
4) предупредительные сигналы, подаваемые системой управления доступом;
e) изменения или попытки изменить параметры настройки системы безопасности и
мер и средств контроля и управления.
Как часто следует анализировать результаты мониторинга деятельности, должно
зависетьотвозможныхрисковинформационнойбезопасности.Подлежащие
рассмотрению факторы риска включают в себя:
a) критичность процессов, которые поддерживаются прикладными программами;
b
) ценность, чувствительность и критичность затрагиваемой информации;
c) предшествующий случайпроникновения и неправильного использования
системы, а также частота использования уязвимостей;
d) степень взаимосвязи систем (особенно с общедоступными сетями);
92