Cilj: Detektirati neovlašteno korištenje informacija. Sustav je potrebno nadzirati i bilježiti događaje vezane uz sigurnost. Datoteke sa zapisima o korištenju sustava i greškama sustava se upotrebljavaju kako bi se identificirali problemi informacijskog sustava. Nadzor sustava služi za provjeru efektivnosti kontrola i verifikaciju usklađenosti s modelom sigurnosne politike.
Kontrola Potrebno je voditi zapise o aktivnostima korisnika, iznimkama, sigurnosnim događajima i sl. Zapisi se trebaju čuvati određeni period, kako bi se mogli upotrijebiti u budućim istragama i nadzoru kontrole pristupa. Implementacijske smjernice Dnevnici trebaju uključivati: a) korisničke identifikatore; b) datum, vrijeme i detalje nekih ključnih događaja (prijava na sustav i odjava); c) lokaciju prijave; d) uspješne i neuspješne pokušaje pristupanja sustavu; e) uspješne i neuspješne pokušaje pristupanja podacima i drugim resursima; f) promjene u konfiguraciji sustava; g) korištenje privilegija; h) uporabu sustavskih alata i aplikacija; i) datoteke kojima se pristupa i vrsta pristupa; j) mrežne adrese i protokole; k) alarme koje podiže sustav za kontrolu pristupa; l) aktivaciju i deaktivaciju zaštitnih sustava, npr. antivirusnih sustava.
Kontrola Potrebno je utemeljiti procedure za nadzor korištenja sredstava za obradu informacija, a rezultate nadzora je potrebno redovito pregledavati. Implementacijske smjernice Procjenom rizika se utvrđuje razina nadzora pojedinih sredstava. Područja za nadzor koja treba razmotriti: a) autorizirani pristup, uključujuči detalje poput: 1) identifikatora korisnika; 2) datum i vrijeme ključnih događaja; 3) tip događaja; 4) datoteke kojima se pristupilo; 5) programe/alate koji su korišteni; b) privilegirane operacije: 1) uporaba privilegiranih računa, npr. administrator, root, supervizor; 2) pokretanje i zaustavljanje sustava; 3) priključenje/isključenje ulazno-izlaznih uređaja; c) neautorizirani pokušaji pristupa, poput: 1) neuspjelih ili odbijenih akcija korisnika; 2) neuspjelih ili odbijenih akcija koje uključuju podatke ili druge resurse; 3) kršenje pristupnih prava gatewaya i vatrozida; 4) upozorenja sustava za detekciju upada; d) sustavska upozorenja ili kvarovi, poput: 1) kontrole upozorenja i poruka; 2) zapisi o sustavskim iznimkama; 3) upozorenja vezana za mreže; 4) alarmi koje podiže sustav za kontrolu pristupa; e) promjene ili pokušaji promjene sigurnosnih postavki i kontrola.
Kontrola Sustavi za prijavu i dnevnici se trebaju zaštititi od neautoriziranog pristupa. Implementacijske smjernice Kontrole trebaju zaštititi sustave za prijavu od neovlaštenih promjena i operativnih problema: a) promjene snimljenih tipova poruka; b) editiranje i brisanje zapisa; c) premašenje kapaciteta medija sa zapisima koje rezultira prepisivanjem starih zapisa ili nemogućnošću zapisivanja novih. Dodatne informacije Sustavski dnevnici trebaju biti zaštićeni jer ako ih je moguće modificirati ili brisati, može doći do stvaranja lažnog osjećaja sigurnosti.
Kontrola Potrebno je voditi dnevnike svih administratorskih i operativnih aktivnosti. Implemenatcijski vodič Dnevnici bi trebali uključivati: a) vrijeme pojavljivanja nekog događaja; b) informacije o događaju ili kvaru; c) koji korisnički račun ili administrator je u pitanju; d) koji procesi su uključeni.
Kontrola Greške treba zapisivati, analizirati i poduzimati odgovarajuće mjere. Implementacijske smjernice Potrebno je zapisivati greške koje prijavljuju korisnici ili sustavski programi, a koje se odnose na probleme u korištenju informacija ili komunikacijskih sustava. Potrebno je postaviti jasna pravila oko rukovanja s prijavljenim greškama: a) pregledavanje dnevnika grešaka kako bi se utvrdilo da su problemi riješeni; b) pregledavanje korektivnih mjera kako bi se utvrdilo da kontrole nisu kompromitirane, te da su poduzete akcije potpuno autorizirane.
Kontrola Satovi svih relevantnih sustava za procesiranje informacija unutar organizacije ili sigurnosne domene trebaju biti sinkroniziani s točnim vremenskim izvorom. Implementacijske smjernice Tamo gdje računalo ili komunikacijska naprava ima ugrađenu vremensku napravu, ta naprava mora biti podešena prema dogovorenom standardu, npr. UTC. Ispravna interpretacija vremenskog formata ja važna kako bi vremenska oznaka odražavala stvarno vrijeme.