«Инвентаризация — это не бюрократический отчёт, а единственный способ понять, что именно и от кого вы защищаете. Без полной карты активов все остальные меры безопасности — политики, системы обнаружения, шифрование — работают вслепую. В условиях требований 152-ФЗ и приказов ФСТЭК отсутствие такого учёта становится прямым нарушением, потому что невозможно доказать защищённость того, о чём вы даже не знаете.»
Создание централизованного реестра активов
Реестр активов — это не просто база данных, а технический фундамент для управления безопасностью и соответствием. Он должен включать не только серверы и рабочие станции, но и всё оборудование, способное обрабатывать данные или подключаться к сети: сетевое оборудование, принтеры, системы контроля доступа, устройства интернета вещей (IoT) и временные активы подрядчиков. С точки зрения регулятора, отсутствие такого реестра делает невозможным выполнение базовых требований статьи 19 152-ФЗ о защите информации.
Как технически построить единый источник истины
- Ядром реестра служит специализированная система управления ИТ-активами (ITAM) или база данных управления конфигурациями (CMDB). Ключевое требование — возможность интеграции по API с другими системами для автоматического обмена данными.
- Автоматизированный сбор данных должен быть организован из всех возможных источников: служб каталогов (Active Directory, FreeIPA), DHCP-серверов, систем мониторинга сети, а также напрямую с оборудования через SNMP, NetFlow/IPFIX или vendor-specific API.
- Для первоначального заполнения и регулярной проверки актуальности реестра применяется сетевое сканирование. Инструменты (например,
nmap) должны быть согласованы с ИБ-службой. Сканирование выполняется по расписанию, а его результаты автоматически преобразуются в структурированный формат (JSON, YAML) и загружаются в CMDB.
Нормативная основа
Требование вести реестр информационных активов закреплено в ст. 19 152-ФЗ. Детальные принципы описаны в разделе A.8 «Управление активами» ГОСТ Р ИСО/МЭК 27001-2022, а также в приказе ФСТЭК России № 239, который делает акцент на непрерывном контроле объектов, влияющих на безопасность информации.
Какие данные собирать о каждом устройстве
Минимальный набор атрибутов должен однозначно идентифицировать актив и его владельца. Расширенный набор превращает реестр из списка в инструмент проактивного управления рисками.
| Категория данных | Конкретные атрибуты | Практическая цель сбора |
|---|---|---|
| Идентификация | Внутренний инвентарный номер (Asset Tag) | Связь физического объекта с цифровой записью для аудита |
| Сетевые идентификаторы: IP, MAC, FQDN | Обнаружение в сети и корреляция событий в SIEM | |
| Аппаратные данные: тип, модель, серийный номер | Управление жизненным циклом, гарантийное обслуживание | |
| Статус жизненного цикла: в эксплуатации/в резерве/списан | Контроль за реально используемыми активами | |
| Ответственность | Ответственный владелец: ФИО, подразделение, контакты | Персональная ответственность за конфигурацию и доступ |
| Локация | Физическое расположение и логический сетевой сегмент (VLAN) | Быстрая реакция на инциденты, проверка правил сегментации |
| Безопасность и соответствие | Установленные средства защиты (антивирус, МЭ, СКЗИ) | Оценка текущего уровня защищённости актива |
| Версия ОС/прошивки, статус установленных обновлений | Выявление незакрытых уязвимостей и управление патчами | |
| Соответствие требованиям (наличие сертификата ФСТЭК, настройки харденинга) | Подтверждение регуляторного соответствия при проверках |
Непрерывный мониторинг и актуализация
Реестр, который обновляется раз в год, бесполезен. Инфраструктура меняется ежедневно: разворачиваются виртуальные машины, подключаются устройства сотрудников, меняются сетевые настройки. Незарегистрированный актив — это «слепая зона», через которую может произойти утечка или несанкционированный доступ. Процесс инвентаризации должен быть цикличным и автоматизированным.
Алгоритм обработки неопознанных устройств
- Идентификация источника: Обнаруженный MAC-адрес сопоставляется с логами DHCP или записями в каталоге. Если данных нет, анализируется сетевой трафик устройства: открытые порты, DNS-запросы, общение с другими узлами. Это помогает определить его роль (например, IP-телефон, сервер или IoT-сенсор).
- Оценка критичности и риска: Определяется, в каком сетевом сегменте находится устройство и к каким ресурсам оно может получить доступ. Проверяется его конфигурация на соответствие базовым политикам безопасности (наличие агента EDR, актуальность ОС).
- Принятие мер: Если подключение легитимно, но не оформлено — актив вносится в реестр, его конфигурация приводится к стандарту. Если происхождение неясно — устройство изолируется в карантинной сети для дальнейшего разбирательства. При обнаружении нарушений инициируется инцидент.
Чек-лист для внедрения регламента
Внедрение регламента — это последовательное выстраивание процессов, а не разовая задача.
Этап 1: Подготовка и запуск
- Закрепите приказом роли: владелец процесса (ИТ-отдел), ответственные за предоставление данных (руководители подразделений), контролирующий орган (служба ИБ).
- Выберите и разверните платформу для реестра (ITAM, CMDB). Критерий — поддержка API и возможность интеграции с текущим стеком технологий.
- Проведите полное первоначальное сканирование сети, включая служебные и управляющие сегменты, которые часто игнорируются.
Этап 2: Автоматизация процессов
- Настройте регулярное автоматическое сканирование. Для критически важных сетей интервал не должен превышать суток.
- Интегрируйте CMDB с источниками данных: AD, DHCP, SIEM, системой учёта заявок. Цель — чтобы подавляющее большинство записей создавалось и обновлялось без ручного вмешательства.
- Встройте создание записи в реестр в процесс согласования любой заявки на новое оборудование или доступ.
Этап 3: Контроль и совершенствование
- Установите график выборочных физических проверок и полных сверок данных реестра с результатами сканирования — не реже раза в квартал.
- Обеспечьте полное и неизменяемое логирование всех изменений в реестре (кто, что и когда изменил). Это необходимо для внутреннего аудита и отчётности перед регулятором.
- Настройте в SIEM правила, генерирующие оповещения при сетевой активности с IP- или MAC-адресов, отсутствующих в утверждённом реестре.
Работающий регламент инвентаризации превращает безопасность из набора разрозненных мер в управляемую систему. Он даёт точные ответы: что входит в периметр защиты, где расположены ключевые активы и кто за них отвечает. Без этих данных защита строится на допущениях, что в условиях требований 152-ФЗ и ФСТЭК является прямым риском. В конечном счёте, владение своей инфраструктурой — это первый и обязательный шаг к её реальной защищённости.