«Сначала в компании был Excel, который заполнялся от случая к случаю. После инцидента с уволенным сотрудником, чья учетная запись осталась активной, поняли, что защищать можно только то, что видно. Инвентаризация — это не документ, это процесс превращения хаоса в структуру, на которой можно строить реальную безопасность.»
Что такое актив в информационной безопасности
Актив — это любой ресурс компании, имеющий ценность. Ценность определяется не стоимостью оборудования, а ущербом от его утраты, повреждения или несанкционированного использования. Сервер стоимостью миллион рублей может быть менее критичным, чем файл с паролями к платежной системе.
Классическое понимание актива как «серверы и компьютеры» неверно и опасно. Оно создает слепые зоны. Без четкого понимания всех активов невозможно оценить риски, распределить средства защиты и доказать руководству необходимость инвестиций в безопасность. Реестр активов — это карта территории, без которой нельзя планировать оборону.
Категории активов: полная картина
Реестр должен охватывать пять ключевых категорий. Пропуск одной из них означает, что часть территории остаётся неизвестной и незащищенной.
| Категория | Примеры | Как обнаружить и фиксировать |
|---|---|---|
| Данные | Базы данных (клиенты, транзакции), конфиденциальные файлы, архивы электронной почты, резервные копии, журналы безопасности. | Анализ структуры хранилищ, классификация по метаданным, опрос владельцев бизнес-процессов. |
| Системы и ПО | Физические и виртуальные серверы, рабочие станции, мобильные устройства, бизнес-приложения (CRM, ERP), системы управления. | Автоматизированное сканирование сети (Nmap, специализированные сканеры), интеграция с системами управления конфигурациями (CMDB). |
| Сетевые ресурсы | IP-адреса и диапазоны, доменные имена, VLAN, маршрутизаторы, правила межсетевых экранов и VPN. | Выгрузка конфигураций сетевого оборудования, регулярное сканирование топологии сети. |
| Люди и доступы | Учётные записи сотрудников (AD/LDAP), ролевые модели, права доступа к системам и данным, учётные записи внешних подрядчиков и интеграторов. | Выгрузка из систем авторизации, сверка списков с HR-службой, анализ матриц доступа для критичных систем. |
| Физические объекты | Помещения (серверные, архивные), рабочие места, съёмные носители (USB, внешние диски), оборудование для печати и копирования. | Физическая инвентаризация, учёт выдачи имущества, ведение журналов посещения охраняемых зон. |
Что постоянно пропускают в инвентаризации
Следующие объекты редко попадают в первоначальные реестры, создавая значительные риски:
- «Теневые» учётные записи. Активные записи уволенных сотрудников, тестовые и сервисные аккаунты, созданные для разовых задач и забытые.
- Временные и тестовые среды. Демо-стенды для клиентов, среды для разработки и тестирования, которые после завершения проекта не выключаются.
- Съёмные носители и бэкапы. Флешки, внешние жесткие диски, а также резервные копии, хранящиеся вне основного защищенного периметра.
- Доступы третьих сторон. Аккаунты подрядчиков в внутренних системах, API-ключи для интеграции с внешними сервисами.
- Критичные данные в коде и конфигурациях. Пароли, токены и ключи, зашитые прямо в исходный код приложений или файлы конфигурации.
Эти активы часто находятся вне процессов централизованного управления и становятся точками входа для атак.
Методы инвентаризации: от ручного труда до автоматизации
В зависимости от масштаба и зрелости процессов используют разные методы, чаще комбинируя их.
| Метод | Когда применять | Плюсы | Минусы |
|---|---|---|---|
| Ручные методы (опросы, документация) | На старте, в небольших организациях (до 100 человек/активов), для специфичных активов без автоматического обнаружения. | Не требует специальных инструментов, позволяет выявить контекст и бизнес-ценность активов. | Высокая трудоёмкость, данные быстро теряют актуальность, субъективность оценок. |
| Автоматизированные методы (сканирование, интеграция) | Для средних и крупных инфраструктур, для регулярного поддержания актуальности реестра. | Высокая скорость и масштабируемость, объективные данные, возможность регулярного обновления. | Требует инвестиций в инструменты и их настройку, может пропускать нестандартные или «тихие» активы. |
Переход от ручного к автоматизированному методу — признак роста зрелости процесса управления информационной безопасностью.
Как инвентаризация выглядит на практике, а не в документах
Разрыв между формальной процедурой и реальной практикой — типичная ситуация. Знание этого разрыва помогает двигаться к эффективной системе.
| Формальный процесс (по документам) | Реальная практика (часто встречаемая) |
|---|---|
| 1. Разработка и утверждение единого шаблона реестра с обязательными полями. | 1. Реестр существует в виде Excel-файла на локальном компьютере специалиста по ИБ. |
| 2. Плановое проведение полной инвентаризации по всем категориям. | 2. Актуализация проводится реактивно: после инцидента безопасности или внеплановой проверки. |
| 3. Назначение каждому активу реального владельца (business owner), отвечающего за оценку его ценности и рисков. | 3. Владелец указан формально (например, руководитель IT), но не участвует в оценке рисков и не несет ответственности. |
| 4. Утверждение реестра как официального документа и внедрение процессов его поддержки. | 4. Новые активы (серверы, учетные записи) добавляются в реестр с существенной задержкой или вообще не добавляются. |
| 5. Регулярная плановая актуализация (например, ежеквартально). | 5. Актуализация сводится к редким попыткам «пройтись по списку» и исправить явные ошибки. |
Практический вывод: Не стоит пытаться сразу создать идеальный реестр. Начните с критически важных для бизнеса активов (например, платежные системы и основные базы данных). Автоматизируйте сбор данных о наиболее динамичных категорияx (системы, учетные записи). Вовлекайте владельцев активов через конкретные задачи, например, оценку ущерба от потенциального инцидента с их активом.
Чек-лист для начала работы
Действия ниже помогут запустить процесс, избегая типичных ошибок.
| Действие | Что сделать | Почему это важно |
|---|---|---|
| Определить границы | Четко очертить периметр: только головной офис или все филиалы? Включать облачные сервисы (SaaS)? Как учитывать мобильные устройства сотрудников? | Без четких границ процесс инвентаризации становится бесконечным и нецелевым. |
| Назначить ответственных за категории | Определить, кто внутри компании отвечает за данные (владельцы бизнес-процессов), за инфраструктуру (IT-служба), за доступы (системные администраторы, HR). | Без ответственных реестр становится «ничейным», его актуализация тормозится. |
| Выбрать инструмент для старта | Начать можно с структурированного Excel/Google Sheets. Для автоматизации рассмотреть специализированные сканеры (например, Lansweeper, OCS Inventory NG) или использовать выгрузки из AD и CMDB. | Ручной сбор данных быстро становится неэффективным при росте числа активов выше нескольких сотен. |
| Не стремиться к идеальному реестру сразу | Сфокусироваться на наиболее критичных и хорошо известных активах. Принять, что первые версии реестра будут неполными. | Попытка учесть всё и сразу парализует процесс. Актуальный, но неполный реестр полезнее идеального, но устаревшего документа. |
Ключевой принцип: инвентаризация — это непрерывный процесс, а не одноразовое мероприятие. Его цель — создать и поддерживать актуальную модель защищаемой территории, на основе которой строятся все дальнейшие меры безопасности.