2.1. Для выявления инцидентов ИБ на автоматизированных рабочих местах ИСПДн (далее - АРМ ИСПДн) должны использоваться встроенные механизмы регистрации и учета событий безопасности средств защиты информации.
2.2. В обязательном порядке должны регистрироваться следующие события безопасности:
попытки входа (выхода) пользователей в операционную систему (из операционной системы);
загрузка и инициализация операционной системы и для АРМ ИСПДн;
попытки подключения к АРМ ИСПДн мобильных устройств и внешних носителей информации.
2.3. В параметрах регистрации событий безопасности в обязательном порядке должны указываться следующие параметры:
тип события;
дата и время события;
результат события;
идентификатор пользователя информационной системы, предъявленный при попытке доступа.
2.5. Учет инцидентов ИБ осуществляется администратором информационной безопасности.
2.6. При обнаружении инцидента ИБ администратор информационной безопасности определяет значимость инцидента ИБ в соответствии с приложением к настоящему Положению.
2.7. Инциденты ИБ и их последствия классифицируются по значимости на текущие, значимые и имеющие признаки преступления.