Методологии и инструменты инвентаризации активов

«Инвентаризация активов — это не бюрократический ритуал, а процесс построения модели вашей информационной среды. Без этой модели все остальные меры защиты, требуемые 152-ФЗ, превращаются в симуляцию. Сбор списков ради отчёта для ФСТЭК бессмысленен; цель — превратить хаос данных в управляемую систему, где для каждого объекта известны его критичность, владелец и уязвимости. Именно это знание отличает осмысленную безопасность от дорогостоящей видимости.»

Методологии инвентаризации данных

Формальный подход к учёту создаёт лишь мёртвый архив, который обновляется перед визитом проверяющих. Рабочий же реестр активов формируется вокруг конкретных бизнес-задач. В зависимости от этих задач выбирают одну из трёх основных методологий или их гибрид.

DCAM Framework

Data Management Capability Assessment Model — это детальный фреймворк для оценки зрелости управления данными, изначально созданный для финансового сектора. Банки и страховые компании часто выбирают его, так как он помогает закрыть не только требования 152-ФЗ, но и отраслевые стандарты ЦБ РФ. Его сила — в структурированности: более ста практик распределены по ключевым компонентам, что позволяет выявить системные пробелы, которые упускают при поверхностной проверке.

Ключевые этапы работы с DCAM:

Диагностика текущего уровня зрелости по шкале от 1 (начальный) до 5 (оптимизируемый).
Определение реалистичного целевого состояния на ближайшие 12–18 месяцев.
Разработка дорожной карты с конкретными шагами по улучшению.
Непрерывный мониторинг прогресса и корректировка плана.

Главный минус DCAM — его всеобъемлющий характер. Для небольшой организации полное внедрение может быть избыточным и потребует значительных ресурсов.

DMBOK Approach

Data Management Body of Knowledge предлагает процессно-ориентированный взгляд, где данные рассматриваются как стратегический актив компании. Этот подход популярен в госсекторе и крупных холдингах, где требуется выстроить сквозные процессы, а не просто отчитаться перед регулятором. Акцент смещается с тотальной защиты на эффективное и безопасное использование информации.

Основные компоненты DMBOK, критичные для инвентаризации:

Архитектура данных и моделирование: Определение взаимосвязей между системами и потоками данных.
Управление метаданными: Создание единого справочника, описывающего все атрибуты данных.
Качество данных: Процедуры очистки и верификации информации в реестре.
Безопасность и приватность: Встраивание требований защиты на этап проектирования процессов.

На российской практике DMBOK часто накладывают на отраслевые требования, например, стандарты Минздрава для обработки медицинских данных или приказы ФСТЭК для госорганов.

Методология ФСТЭК для ГИС и КИИ

Это не методология развития, а обязательный регламент, заданный регулятором для государственных информационных систем (ГИС) и объектов критической информационной инфраструктуры (КИИ). Его цель — гарантировать проверяемое соответствие, а не повышать эффективность внутреннего управления. Организации часто вынуждены вести параллельную работу: по этой схеме — для отчётности, а по DCAM или DMBOK — для реального управления рисками.

Обязательный этап	Ключевые документы	Ориентировочные сроки
Классификация ИС согласно приказу ФСТЭК №17	Акт классификации информационной системы	Первичная инвентаризация: 2–4 недели Полный цикл для ГИС: 3–6 месяцев Ежегодная актуализация
Определение уровня защищённости (УЗ) для ГИС	Модель угроз безопасности информации
Формирование модели угроз	Технический паспорт ИС

Частая ловушка в том, что, начав с требований ФСТЭК, организация позже обнаруживает: регламент не даёт ответов на вопросы об эффективности использования данных или оптимизации процессов. Это и толкает к внедрению более глубоких фреймворков.

Российские программные решения для инвентаризации

Для обработки государственной информации и персональных данных выбор часто ограничен решениями из реестра Минцифры. Наличие лицензии ФСТЭК на средство защиты информации (СЗИ) стало де-факто обязательным критерием, но за этим могут скрываться сильно различающиеся функциональные возможности.

Решение	Основной фокус	Ключевые возможности для инвентаризации	Лицензия ФСТЭК (СЗИ)
Secret Net Studio	Комплексная защита рабочих станций и серверов	Учёт и классификация активов, встроенный DLP, контроль устройств	Да
Гарда Предприятие	Защита персональных данных (ПДн)	Реестр ПДн, управление доступом, учёт обращений к информации	Да
Контур-Реестр	Учёт информационных систем	Ведение реестра ИС, базовое документирование для 152-ФЗ	Нет
SearchInform DLP	Предотвращение утечек данных	Автоматическое обнаружение и классификация ПДн по контенту, построение карты данных	Да
UserGate	Прокси и NGFW с аналитикой	Классификация трафика, инвентаризация сетевых активов, анализ поведения (UEBA)	Да
КиберАрм	Централизованное управление СЗИ	Мониторинг состояния средств защиты, агрегация данных с различных систем	Да

Отсутствие лицензии ФСТЭК не всегда означает несоответствие. Некоторые продукты, особенно DLP-системы, фокусируются на обнаружении и классификации данных, делегируя задачу непосредственной защиты смежным решениям.

Ключевые критерии выбора ПО для госорганизаций и операторов КИИ:

Наличие действующих лицензий ФСТЭК на СЗИ и, при необходимости, сертификатов ФСБ на СКЗИ.
Включение в реестр российского ПО Минцифры.
Поддержка импорта/экспорта данных в форматах, пригодных для заполнения форм по 152-ФЗ, 187-ФЗ (КИИ), 276-ФЗ (ГИС).
Локализация техподдержки и серверных компонентов на территории страны.
Возможность интеграции через API с существующей SIEM или CMDB.

Важно понимать, что фраза «поддержка требований 152-ФЗ» в спецификациях часто означает просто наличие соответствующих полей в интерфейсе, а не автоматическую проверку корректности их заполнения. Реальную функциональность следует проверять на пилотном развёртывании.

Схема, показывающая, как данные от агентов сбора (сканеры, DLP, сетевые анализаторы) поступают в единый реестр активов, откуда передаются в SIEM и системы управления уязвимостями, замыкая цикл непрерывного контроля.

Практические скрипты для автоматизации инвентаризации

Ручной сбор данных обрекает реестр активов на устаревание. Автоматизация — единственный способ поддерживать актуальность. Ниже приведены адаптированные под российские ОС скрипты, которые служат основой для доработки под конкретную инфраструктуру.

PowerShell для Windows и Astra Linux

Скрипт выполняет поиск документов по ключевым словам, характерным для ПДн, и параллельно собирает базовую информацию о системных компонентах, таких как экземпляры СУБД.

param(
    [string[]]$SearchPaths = @("C:Users", "D:Shares"),
    [string[]]$FileExtensions = @("*.doc", "*.docx", "*.xls", "*.pdf"),
    [string]$OutputPath = "C:AuditPD_Scan_$(Get-Date -Format 'yyyyMMdd').csv"
)

# Ключевые маркеры для поиска ПДн
$pdnKeywords = @("ФИО", "Паспорт", "СНИЛС", "ИНН", "Дата рождения", "Телефон", "Адрес")

$results = @()
foreach ($path in $SearchPaths) {
    if (-not (Test-Path $path)) { Write-Warning "Путь не найден: $path"; continue }
    $files = Get-ChildItem -Path $path -Recurse -Include $FileExtensions -File -ErrorAction SilentlyContinue
    foreach ($file in $files) {
        try {
            $content = $null
            # Чтение текстовых файлов
            if ($file.Extension -eq '.txt') {
                $content = Get-Content -Path $file.FullName -Raw -ErrorAction SilentlyContinue
            }
            # Для .docx, .pdf потребуются внешние библиотеки (например, Apache POI, iTextSharp)
            if ($content) {
                foreach ($keyword in $pdnKeywords) {
                    if ($content -match [regex]::Escape($keyword)) {
                        $result = [PSCustomObject]@{
                            Path      = $file.FullName
                            FileName  = $file.Name
                            Keyword   = $keyword
                            Timestamp = Get-Date
                        }
                        $results += $result
                        break
                    }
                }
            }
        } catch { Write-Warning "Ошибка обработки файла $($file.FullName)" }
    }
}

# Экспорт результатов
if ($results) { $results | Export-Csv -Path $OutputPath -NoTypeInformation -Encoding UTF8 }

# Сопутствующий сбор информации об инфраструктуре (пример: SQL Server)
$sqlInstances = Get-ChildItem "HKLM:SOFTWAREMicrosoftMicrosoft SQL ServerInstance NamesSQL" -ErrorAction SilentlyContinue | ForEach-Object { $_.PSChildName }
$sqlInstances | Out-File -FilePath "$(Split-Path $OutputPath)SQL_Instances.txt"

Основная ценность скрипта — демонстрация подхода: комбинирование поиска по содержимому с инвентаризацией инфраструктуры. Для работы с бинарными форматами (.docx, .pdf) потребуется дооснащение специализированными библиотеками.

Bash для Linux-систем (ALT, Red OS, ROSA)

Скрипт для Linux делает акцент на сборе системной информации и поиске файлов по ключевым словам, что полезно для первичного анализа.

#!/bin/bash
REPORT_FILE="/var/log/inventory_$(date +%Y%m%d).log"
KEYWORDS=("паспорт" "снилс" "инн" "телефон")
SEARCH_DIRS=("/home" "/var/www")

echo "=== Начало инвентаризации $(date) ===" > $REPORT_FILE

# Поиск файлов с ключевыми словами (упрощённо, по текстовым файлам)
for dir in "${SEARCH_DIRS[@]}"; do
    if [[ -d "$dir" ]]; then
        for kw in "${KEYWORDS[@]}"; do
            find "$dir" -type.f ( -name "*.txt" -o -name "*.log" ) -exec grep -l -i "$kw" {} ; 2>/dev/null >> $REPORT_FILE
        done
    fi
done

# Сбор системной информации
echo -e "n--- Информация о системе ---" >> $REPORT_FILE
hostnamectl >> $REPORT_FILE 2>/dev/null
echo -e "n--- Сетевые интерфейсы ---" >> $REPORT_FILE
ip -br a show >> $REPORT_FILE

echo "Инвентаризация завершена. Отчёт: $REPORT_FILE"

Скрипт написан с учётом работы в разных дистрибутивах, но его поиск ПДн основан на простом grep, что неэффективно для бинарных форматов. Для промышленного использования требуется доработка с применением парсеров конкретных форматов и учётом кодировок.

Интеграция с системами мониторинга

Самостоятельные скрипты — лишь первый шаг. Их настоящая польза раскрывается при встраивании в контур непрерывного контроля. Результаты их работы следует направлять в SIEM или специализированные платформы управления активами.

Российские системы для интеграции:

MAXPatrol SIEM (Positive Technologies): Для корреляции событий и обновления контекста активов.
Diamonds (Код Безопасности): Как центральная платформа для сбора и анализа данных безопасности.
Мониторинг-Центр (ИРТех): Для оперативного отслеживания состояния инфраструктуры.

Рекомендуемая периодичность автоматизированного сбора:

Ежедневно: Сканирование критичных зон (общие файловые хранилища, основные серверы БД).
Еженедельно: Полная инвентаризация по всем утверждённым категориям активов.
По событию: Запуск после значительных изменений в инфраструктуре или перед плановыми проверками.

Ключевой момент — настройка автоматических оповещений. Обнаружение нового неучтённого актива (сервера, сетевого ресурса, экземпляра БД) должно сразу создавать инцидент для расследования.

Кейс: Внедрение реестра активов в многопрофильной медицинской клинике

Реальный пример показывает, как теоретические подходы сталкиваются с жёсткими сроками и организационным сопротивлением.

Исходная ситуация

Клиника на 200+ сотрудников, несколько десятков тысяч пациентов в год.
Три разнородные медицинские информационные системы от разных поставщиков.
Полное отсутствие формализованного учёта данных, необходимого по 152-ФЗ.
Предписание Роскомнадзора с требованием устранить нарушения за 90 дней.

Основной вызов был не техническим, а человеческим: врачебный и административный персонал воспринимал новый процесс как бессмысленную бюрократию.

Принятые решения и действия

Гибридный подход к методологии. Для срочного закрытия предписания взяли за основу регламент ФСТЭК по классификации ИС. Параллельно начали внедрять процессы из DMBOK для долгосрочного управления данными как активом.
Автоматизация первичного сбора. Адаптировали PowerShell-скрипт для поиска файлов с маркерами ПДн (ФИО, диагноз, номер полиса) на файловых серверах и рабочих станциях.
Выбор и адаптация ПО. Внедрили отечественное решение с лицензией ФСТЭК, которое интегрировалось с Active Directory для автоматического учёта пользователей и их прав доступа.
Встраивание в бизнес-процессы. Обновление реестра tied к рутинным операциям:
- Приём нового сотрудника — автоматическое создание записи в реестре на основе заявки из кадровой системы.
- Внедрение нового программного модуля — обязательное заполнение его технического паспорта в реестре.
- Ежеквартальная сверка — автоматический отчёт о расхождениях между реальными правами доступа и записями в реестре.

Результаты и выводы

Предписание Роскомнадзора было закрыто в срок за счёт автоматически сформированных акта классификации ИС и модели угроз.
Время на подготовку отчётности для внутренних и внешних аудитов сократилось более чем вдвое.
Обнаружены и выведены из эксплуатации несколько неучтённых тестовых сред и «теневых» файловых хранилищ.
Главный урок: успех зависит от степени «невидимости» процесса инвентаризации для конечных пользователей. Если это дополнительная нагрузка — она саботируется. Если часть привычного workflow — принимается.

Инвентаризация активов — это не разовая акция по составлению списков для ФСТЭК. Это процесс постоянного поддержания адекватной модели информационной среды компании. Без точного понимания состава, взаимосвязей и критичности активов все остальные меры защиты работают вслепую. Эффективный реестр — всегда баланс между глубиной детализации, актуальностью данных и затратами на его ведение. Правильно выбранная методология и грамотно настроенная автоматизация позволяют сместить этот баланс в сторону реального управления рисками, превратив формальное требование в конкурентное преимущество.