«Инвентаризация — это не про скучные таблицы, а про картографию собственной сети. Пока ты не знаешь, что в ней находится, ты не управляешь безопасностью, а надеешься на авось. 152-ФЗ и ФСТЭК лишь формализуют эту очевидную мысль, превращая здравый смысл в обязательные процедуры. Реальная проблема — не в написании политики, а в том, чтобы обнаружить те 15-20% устройств, которые живут в сети своей жизнью, и решить их судьбу.»
Зачем нужна инвентаризация?
Инвентаризация устройств — это систематический учёт всех технических средств, имеющих доступ к корпоративной информации. Без точной карты активов невозможно построить эффективную защиту. Неучтённое устройство — это слепое пятно в периметре, потенциальная точка входа для атак или источник утечки данных.
Скрытая сложность в том, что сеть — динамичная среда. Помимо штатных рабочих станций и серверов, в ней появляются устройства для тестирования, личная техника сотрудников, забытое сетевое оборудование или IoT-датчики. Согласно внутренним аудитам многих организаций, доля таких неучтённых активов может достигать 15-20%. Их обнаружение и классификация — первая практическая задача.
Что такое реестр устройств?
Реестр (инвентарный учёт) — это централизованная база, которая фиксирует не просто список «железа», а связь между техническим объектом, его функциями и ответственностью за него. Это инструмент управления, а не отчётности.
Его ключевые функции:
- Идентификация. Точно знать, что физически присутствует в сети: модель, серийный номер, MAC-адрес.
- Контроль. Определять, кому принадлежит устройство, для каких задач используется, какие данные обрабатывает.
- Аудит. Демонстрировать соответствие состояния инфраструктуры требованиям регуляторов и внутренним политикам.
Обязательные атрибуты устройства в реестре
Минимальный набор данных, который позволяет однозначно идентифицировать актив и его статус, формируется под влиянием нормативных требований. В таблице ниже — базовые атрибуты, необходимые для большинства организаций.
| Атрибут | Пример значения | Нормативное обоснование |
|---|---|---|
| Уникальный идентификатор (ID) | IT-ASSET-04521 | Внутренняя политика учёта |
| MAC-адрес | 00:1A:2B:3C:4D:5E | ГОСТ Р ИСО/МЭК 27002-2021 (контроль доступа к сети) |
| IP-адрес(а) и сетевой сегмент | 192.168.1.105 (офис, VLAN 10) | Постановление Правительства №127 (для объектов КИИ) |
| Ответственный (владелец) | Иванов А.П., отдел разработки | 152-ФЗ, ст. 18.1 (обязанность оператора ПДн) |
| Статус доступа | Разрешён (корпоративный), Изолирован | Приказ ФСТЭК №239 (регулирование доступа в ГИС) |
| Категория обрабатываемой информации | ПДн, коммерческая тайна, общедоступная | Постановление Правительства №1119, 152-ФЗ |
Для устройств, обрабатывающих персональные данные, критически важно указать их уровень защищённости согласно 152-ФЗ и Постановлению №1119, так как это определяет применяемые меры безопасности.
Карта нормативных требований
Требования к учёту активов рассредоточены по множеству документов. Их можно сгруппировать по уровню регулирования.
Федеральные законы
- 152-ФЗ «О персональных данных». Статья 18.1 обязывает оператора принимать меры, включая учёт материальных носителей ПДн. Фактически, это требует ведения реестра всех устройств, где такие данные могут храниться или обрабатываться.
- 187-ФЗ «О безопасности критической информационной инфраструктуры». Требует идентификации всех средств вычислительной техники, применяемых на объекте КИИ (ст. 8).
- ФЗ-149 «Об информации, информационных технологиях и о защите информации». Устанавливает общие принципы защиты информации.
Подзаконные акты и приказы регуляторов
- Постановление Правительства №1119. Детализирует требования к защите ПДн, включая необходимость определения границ информационной системы, что невозможно без инвентаризации входящих в неё устройств.
- Постановление Правительства №127. Устанавливает требования к безопасности значимых объектов КИИ, прямо предписывая учёт всех сетевых устройств, серверов и АРМ (п. 10).
- Приказ ФСТЭК России №239. Содержит требования к защите информации в государственных информационных системах, включая обязательный контроль подключаемых технических средств.
Стандарты и ГОСТы
- ГОСТ Р ИСО/МЭК 27001-2019 / 27002-2021 (серия 27000). Контроль активов (A.8.1) — одна из базовых практик системы менеджмента информационной безопасности. Стандарт прямо рекомендует составить и вести инвентаризацию всех активов.
- ГОСТ Р 57580.1-2017 (серия «Безопасность финансовых услуг»). Содержит отраслевые требования к управлению активами.
Отраслевые требования
- Стандарты Банка России (СТО БР). Для кредитных организаций вводят дополнительные требования к инвентаризации в рамках защиты информации.
- Требования ФСБ России. Для систем, обрабатывающих сведения, составляющие государственную тайну, учёт технических средств является строго обязательной и детально регламентированной процедурой.
Практический алгоритм внедрения
Внедрение инвентаризации — итеративный процесс, который начинается с обнаружения и заканчивается интеграцией в ежедневные операции.
Шаг 1: Активное и пассивное сканирование сети
Используйте комбинацию инструментов для составления первоначальной карты. Активные сканеры (nmap, Advanced IP Scanner) отправляют запросы и анализируют ответы. Пассивные средства (анализаторы сетевого трафика, данные с коммутаторов) помогают обнаружить устройства, не отвечающие на активные зонды.
# Пример базового сканирования подсети
nmap -sn 192.168.1.0/24
# Результат покажет активные хосты и, часто, их MAC-адреса
Важно проводить сканирование регулярно и с разных точек сети, чтобы учесть все сегменты, включая Wi-Fi и VLAN.
Шаг 2: Классификация и категоризация
Обнаруженные устройства необходимо классифицировать, чтобы определить политику обращения с ними.
- Управляемые корпоративные. Включены в домен (Active Directory), управляются с помощью MDM (для мобильных устройств). Основная масса рабочих станций и серверов.
- Гостевые/личные. Должны работать в изолированном сегменте сети с ограниченным доступом. Их учёт ведётся по временным разрешениям.
- IoT и сетевое оборудование. Принтеры, камеры, коммутаторы, контроллеры. Часто имеют уязвимые стандартные пароли, требуют отдельного сегментирования.
- Неизвестные/несанкционированные. Обнаружены сканером, но не имеют легитимного объяснения. Приоритет для расследования.
Шаг 3: Выбор и настройка инструментария (CMDB)
Для постоянного ведения реестра нужна специализированная система. Простая таблица быстро устаревает. CMDB (Configuration Management Database) или специализированные системы управления активами (например, Lansweeper, ManageEngine AssetExplorer) позволяют автоматически собирать данные (с помощью агентов или по сети), отслеживать изменения и строить связи между устройствами, ПО и ответственными лицами. Ключевой критерий выбора — возможность автоматического обновления информации.
Процедура обработки неизвестных устройств
Обнаружение нового, неавторизованного устройства — это инцидент информационной безопасности. Его обработка должна быть регламентирована.
- Обнаружение и регистрация. Система мониторинга или регулярное сканирование фиксирует новое устройство (например, по MAC-адресу 00:1B:44:11:3A:B7) в критическом сегменте, например, бухгалтерии. Данные автоматически создают заявку в системе инцидентов.
- Срочная идентификация. Ответственный специалист (из IT или отдела безопасности) в течение заранее определённого короткого срока (например, 2-4 часа) должен установить: физическое местоположение устройства (по порту коммутатора), пользователя, цель подключения. Используются данные с сетевой инфраструктуры и опрос сотрудников.
- Принятие решения и действие.
- Если устройство легитимно (например, новый принтер), его данные вносятся в реестр, назначается ответственный, конфигурация приводится в соответствие с политиками (смена паролей, настройка сегмента).
- Если устройство несанкционировано (личный ноутбук, неучтённое тестовое оборудование), оно немедленно изолируется от сети (порт блокируется на коммутаторе), доступ запрещается. Факт инцидента фиксируется.
Пример записи в журнале инцидентов:
| Поле | Значение |
|---|---|
| Дата/время обнаружения | 15.04.2024 14:30 |
| Идентификатор устройства | MAC: 00:1B:44:11:3A:B7, IP: 192.168.20.45 (предпол.) |
| Сетевой сегмент | VLAN 20 (Финансовый отдел) |
| Действия | Обнаружено автоматическим сканером. Порт Gi1/0/24 на коммутаторе SW-01 заблокирован. |
| Решение | Доступ запрещён. Устройство изолировано. Передано на анализ отделу ИБ. |
| Основание | Внутренняя политика безопасности, п. 5.2; Приказ ФСТЭК №239. |
| Ответственный | Петров В.С., инженер отдела ИБ |
Полноценная инвентаризация превращает сеть из «чёрного ящика» в управляемую среду. Это не разовая акция для галочки перед проверкой, а непрерывный процесс, который снижает операционные риски, позволяет обоснованно планировать ресурсы и является неоспоримым доказательством due diligence при взаимодействии с регуляторами. Без точного реестра все остальные меры безопасности строятся на зыбкой почве.