5.3.1 Мероприятия по мониторингу ИБ должны обеспечивать хранение данных, собираемых от источников, и результатов их обработки [из 5.3.1 ГОСТ Р 59547-2021]

5.3.3 В рамках мероприятий по мониторингу ИБ реализуют следующие функции:

• нормализация полученных данных к формату, необходимому для дальнейшей их обработки и хранения;
• агрегирование данных (объединение нормализованных данных по группам на основе общих признаков);
• хранение агрегированных данных в течение срока хранения, определенного требованиями к ЗИ;
• анализ событий безопасности и иных данных мониторинга с целью выявления уязвимостей, угроз и нарушений безопасности информации;
• сопоставление событий безопасности с потоками данных об угрозах, содержащих индикаторы компрометации;
• сопоставление результатов регистрации событий безопасности с результатами анализа уязвимостей;
• выявление нарушений безопасности информации.

[из 5.3.3 ГОСТ Р 59547-2021]

5.3.5 В рамках мероприятий по мониторингу ИБ реализуют меры, направленные на предотвращение потери данных мониторинга. В качестве таких мер необходимо рассматривать:

• предупреждение (сигнализация, индикация) администратора при заполнении установленной части (процент или фактическое значение) объема памяти для хранения данных мониторинга;
• запись новых данных мониторинга ИБ поверх устаревших данных;
• архивирование (резервное копирование) данных мониторинга ИБ на съемные машинные носители информации, в сеть хранения данных, на специализированные устройства или на выделенные серверы.

[из 5.3.5 ГОСТ Р 59547-2021]