ГОСТ Р 56875-2016. Национальный стандарт Российской Федерации. Информационные технологии системы безопасности комплексные и интегрированные. Типовые требования к архитектуре и технологиям интеллектуальных систем мониторинга для обеспечения безопасности предприятий и территорий

10.2. Требования к обработке событий в распределенных интегрированных системах мониторинга состояния объектов

Событие должно быть представлено как зафиксированное на определенный момент времени состояние входящего, в общем случае, случайного нестационарного потока данных. Основными задачами обработки такого потока для обнаружения и нейтрализации негативных событий и минимизации ущербов в деятельности предприятия и его ключевых процессов являются:

- регистрация события и определение источника сообщения о событии;

- выделение признаков угроз из потока;

- идентификация типа угроз и возможных последствий развития события и инициируемых им действий;

- обнаружение источников угроз с одной стороны и элементов принятия решений (в общем случае лиц, принимающих решения, или интеллектуальных устройств) в системах управления предприятия разного уровня;

- определение регламента обслуживания соответствующего потока данных (сообщений, сигналов, документов);

- упорядочение потока событий и организация эффективного накопления потока событий (ведение архива истории событий);

- оперативная обработка поступающей информации в соответствии с заранее определенными правилами обработки и принятия решений;

- вторичная обработка массивов разнородных событий и корреляционных связей между ними (поиск взаимосвязанных событий, объектов и субъектов для принятия дополнительных мер, планирования мероприятий и других действий);

- принятие решений и формирование необходимых адресных сообщений для их исполнения.