Организация регистрации событий, связанных с безопасностью информационной системы включает как минимум три этапа:
1) сбор и хранение информации о событиях;
2) защита содержимого журнала регистрации;
3) анализ содержимого журнала регистрации.
На первом этапе определяются данные, подлежащие сбору и хранению, период чистки и архивации журнала, степень централизации управления, место и средства хранения журнала, возможность регистрации шифрованной информации и др.
Регистрируемые данные должны быть защищены, в первую очередь, от несанкционированной модификации и, возможно, раскрытия.
Самым важным этапом является анализ регистрационной информации. Известны несколько методов анализа информации с целью выявления несанкционированных действий.
Статистические методы основаны на накоплении среднестатистических параметров функционирования подсистем и сравнении текущих параметров с ними.
Наличие определенных отклонений может сигнализировать о возможности появления некоторых угроз.
Эвристические методы используют модели сценариев несанкционированных действий, которые описываются логическими правилами, или модели действий, по совокупности приводящие к несанкционированным действиям.
