Воспитывать как-то. Донести что информация по инцидентам нужна не для того чтоб наказать провинившихся, а что было реальное представление дел. Чтобы знать где и что нужно дорабатывать, в каком направлении двигаться. Информация нужна для совершенствования организации.

Взывать к совести, можно, только на это мало надежды.
Хочется чего-нибудь более эффективного.

В чём проблема? Прописать в нормативном документе обязанность предоставления сведений. Не предоставил - служебка - приказ директора - лишение премии. В следующий раз через две минуты сведения предоставят.

Это не работает. Может сработать другое -- стукнул, получил премию...

Хотелось бы услышать про технические средства обнаружения инцидентов.
Чтобы факт возникновения инцидента фиксировался какой-то системой.
А уж получить объяснения по этому факту проблем не будет.

Кто-нибудь пользует такие системы?

Какие именно инциденты нужно фиксировать? Примеры приведите.

Самый распространённый пример: использование чужого логина/пароля для входа в АБС.
Без этой статистики невозможно доказать руководству, что роли в АБС распределены неправильно.

На мой взгляд лучше постараться избегать такого отношения к сообщению о произошедших инцидентах, как "настучал на соседа". Большая часть коллектива воспримет такую практику негативно.
Лучше постараться объяснить сотрудникам, что сообщение офицеру ИБ об инциденте - это естественная обязанность добросовестного сотрудника, такая же например, как соблюдение правил дорожного движения и она помогает предотвратить более серьезные инциденты, в которых приходится выяснять, кто и когда совершил ту или иную ошибку в информационной системе. И конечно же было бы прекрасно, если такие добросовестные пользователи получали и какую-нибудь конфетку по результатам своих сообщений об инцидентах.
Ну а технически - можно привязать вход пользователей к определенным машинам. Можно парсить лог контроллера домена на наличие захода пользователя на чужую машину. Если оперативно получать информацию о таких заходах, то можно предупреждать инциденты с заходом в систему под чужой учетной записью. После трех, пяти звонков таким сотрудникам вас уже станут считать ясновидящим и постараются не нарушать правила, раз вы об этом знаете и быстро реагируете на такие инциденты.

SIEM?

Оно? http://www.securitylab.ru/analytics/430777.php

Хотел сказать, что то, что ищется по определению подходит под слово SIEM. А решений немало представлено, в статье верный комментарий дается http://ismmarket.ru/index.php?option...d=77&Itemid=15

Если нужен SIEM то тут можно много чего найти - http://ismmarket.ru/catid=77

Вы также можете выборочно поставить на контроль отдельных пользователей, которых подозреваете в совершении некорректных действий, для этого есть решения по мониторингу за экранами пользователей, например вот - http://ismmarket.ru/db/Spector-360

А что касается организационных мер, то вместо узаконенного стукачества можно предложить "американскую" систему, т.е ввести правило, что обо всех инцидентах необходимо сообщать, а в случае если вдруг (в ходе какого-нибудь внутреннего расследования) выясниться о том, что случился инцидент, а ответственные лица знали и скрыли его, то они должны быть серьезно наказаны финансово (например, лишением премий). Но только такая мера будет работать исключительно при серьезной поддержке сверху.

Из SIEM систем использовал GFI. Так же пользовался указанным выше Спектром.
Спектор вещица очень мощная, интересная и временами полезная, но как показала практика, она больше интересна экономической безопасности. Для ИБ тоже соберет много интересного, но если ей пользоваться в больших объемах 100-1000чел. погрязнете в информации и не откопаетесь. Если только по отчетам выявите тенденции определенные. Правда, Спектор ставится в основном на "избранных", за кем грешок уже был замечен или на кого экономическая безопасность пальцем показала. Да и стоит он не малых денег.

Что касается siem системы, то в приведенном выше примере (когда используется чужой логин-пароль для АБС) они вряд ли помогут.

Пример.
Маша ушла на обед, Катя осталась в офисе. До Маши дозвонилось руководство с просьбой срочно провести платеж. Маша звонит в офис Кате, по телефону говорит ей пароль на вход ОС, пароль на вход в АБС.
Катя с ПК Маши входит и выполняет все действия.

SIEM система это событие как инцидент не отработает, потому что ничего выходящего за рамки обычного в этих действиях нет.
Если бы Катя зашла со своего ПК в АБС под учеткой Маши, и в siem системе есть правило коррелирующее два этих события - "Не соответствие учетки windows и учетки АБС" - тогда бы сработал АЛАРМ.

Тут еще нюансы появляется - заставить siem систему понимать лог АБС и правильно коррелировать с другими событиями.

Вход в АБС по отпечатку пальца?
При входе в АБС щелчок затвора веб камерой для определения соответствия личности?

Может у кого-то и есть такое. Я не видел.

Корреляция с логами СКУД

инцидент с ДБО и Админским доступом http://top.rbc.ru/society/31/10/2013/886026.shtml