7.3.4. Средства оперативного контроля и регистрации событий безопасности
7.3.4. Средства оперативного контроля и регистрации
событий безопасности 
Средства объективного контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п.), которые могут повлечь за собой нарушение политики ИБ и привести к возникновению кризисных ситуаций. Средства контроля и регистрации должны предоставлять возможности:
- ведения и анализа журналов регистрации событий ИБ (системных журналов). Журналы регистрации должны вестись для каждой рабочей станции сети;
- оперативного ознакомления администратора ИБ с содержимым системного журнала любой станции и с журналом оперативных сообщений об НСД;
- получения твердой копии (печати) системного журнала ИБ;
- упорядочения системных журналов ИБ по дням и месяцам, а также установления ограничений на срок их хранения;
- оперативного оповещения администратора ИБ о нарушениях.
При регистрации событий в системном журнале ИБ должна фиксироваться следующая информация:
- дата и время события;
- идентификатор субъекта (пользователя, программы), осуществляющего регистрируемое действие;
- действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа).
Средства контроля должны обеспечивать обнаружение и регистрацию следующих событий:
- вход пользователя в систему;
- вход пользователя в сеть;
- неудачная попытка входа в систему или сеть (неправильный ввод пароля);
- подключение к файловому серверу;
- запуск программы;
- завершение программы;
- оставление программы резидентно в памяти;
- попытка открытия файла, недоступного для чтения;
- попытка открытия на запись файла, недоступного для записи;
- попытка удаления файла, недоступного для модификации;
- попытка изменения атрибутов файла, недоступного для модификации;
- попытка запуска программы, недоступной для запуска;
- попытка получения доступа к недоступному каталогу;
- попытка чтения/записи информации с диска, недоступного пользователю;
- попытка запуска программы с диска, недоступного пользователю;
- нарушение целостности программ и данных системы защиты;
- другие сведения ИБ.
Должны поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора ИБ):
- извещение владельца информации о НСД к его данным;
- снятие программы (задания) с дальнейшего выполнения;
- извещение администратора БД и администратора ИБ;
- отключение терминала (рабочей станции), с которого были осуществлены попытки НСД к информации;
- исключение нарушителя из списка зарегистрированных пользователей;
- подача сигнала тревоги и др.
