Сбор информации относительно инцидентов должен происходить двумя способами:

1. Мониторинг сети и фиксация подозрительных участков сети или подозрительной деятельности в сети
2. Пользователь сам заявит об инциденте произошедшем на его участке сети и эта информация пройдя контроль офицера CERT будет считаться инцидентом

В первом случае инцидент фиксируется в основном автоматически при помощи различных компьютерных программ. В основном в этом помогают такие протоколы как ICMP и SNMP. Существует ряд готовых программ для мониторизации сети например(Nagios) Эти программы удобны и испытаны временем, но к сожалению не всегда соответствуют всем требованиям мониторинга. Существует также необходимость непосредственно офицерам CERT дописывать тот или иной модуль для работы мониторизирующих программ.

Фиксирование инцидента при помощи Автоматических средств мониторинга помогает определить наличие инцидента или даже предупредить инцидент автоматически. Помимо этого автоматические системы помогают точно определять статистику и очерёдность инцидентов и предпринимать действия по их предотвращению.

Инцидент также может попасть в поле зрения CERT если он зарегистрирован и передан CERT одним из этих способов:

• Телефон

• Факс

• Зарегистрирован на сайте CERT – cert.acad.md

• Передан по электронной почте

• Или иным образом

В этом как и в случае автоматической регистрации инцидента на него заводится специальный билет(ticket) и он заносится в систему «Обилечивания инцидентов» (Ticketing System). В течении суток этот билет должен быть рассмотрен одним из офицеров CERT и ему будет присвоена соответствующий приоритет и информация о занесении инцидента будет передана пользователю. Это означает что зарегистрированным им инцидентом уже занялись офицеры CERT. В это время CERT будет стараться устранить данных инцидент и после удачной реализации устранения инцидента пользователь опять будет информирован относительно результатов устранения инцидента, а также получит соответствующие инструкции по предотвращению данного инцидента впредь.