С одной стороны инвентаризация информационных активов не совсем прерогатива ИБ. Скорее это часть управления информационными активами которое является частью управления ИТ.
С другой стороны достаточно много мероприятий ИБ зависят от инвентаризации активов и очень часть приходится делать ещё в рамках проектов по ИБ. Часть таких работ я уже описывал в одной изпредыдущих заметок .
Действительно, нам нужно четко понимать что мы защищаем, как изменяется объект защиты, когда меняется объект защиты.
Кроме того, есть несколько двигателей в виде законов, подзаконных актов и стандартов:
· 152-ФЗ.
“Статья 19.
2. Обеспечение безопасности персональных данных достигается, в частности:
5) учетом машинных носителей персональных данных;”
· ПП 781
“12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;”
· Приказ ФСТЭК 58
“2.1. Методами и способами защиты информации от несанкционированного доступа являются:
учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
Приложение 1
2.1. Для информационных систем 3 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:
обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов системы защиты персональных данных, целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ;
4.1. Для информационных систем 1 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:
дублирующий учет защищаемых носителей информации;”
· Методические рекомендации ФСБ № 149/54-144 по защите ПДн
“3.2 Методология формирования модели угроз верхнего уровня
Определение условий создания и использования персональных данных
Должны быть описаны условия создания и использования персональных данных. Для этого определяются:
- информационные технологии, базы данных, технические средства, используемые для создания и обработки персональных данных;
- используемые в процессе создания и использования персональных данных объекты, которые могут быть объектами угроз, создающими условия для появления угроз персональным данным. Такого рода объектами могут быть, например, технические и программные средства.”
· Типовые требования ФСБ № 149/6/6-622 по защите ПДн
“2.3. При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных при их обработке в информационной системе оператор или уполномоченное оператором лицо осуществляет:
- поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним, носителей персональных данных;”
· Положение ЦБ РФ N 382-П
“ 2.6.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет объектов информационной инфраструктуры, используемых для обработки, хранения и (или) передачи защищаемой информации, в том числе банкоматов и платежных терминалов.
2.10.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет и контроль состава установленного и (или) используемого на средствах вычислительной техники программного обеспечения.”
· СТО БР ИББС 1.0
“7.8.3. Должны быть документально определены перечни программного обеспе-чения, устанавливаемого и(или) используемого в ЭВМ и АБС и необходимого для вы-полнения конкретных банковских платежных технологических процессов. Состав уста-новленного и используемого в ЭВМ и АБС программного обеспечения должен соответ-ствовать определенному перечню. Выполнение данных требований должно контролироваться с документированием результатов.
7.9.7. Должны быть документально определены перечни программного обеспе-чения, устанавливаемого и(или) используемого в ЭВМ и АБС и необходимого для вы-полнения конкретных банковских информационных технологических процессов. Состав установленного и используемого в ЭВМ и АБС программного обеспечения должен со-ответствовать определенному перечню. Выполнение данных требований должно контролироваться с документированием результатов.”
· ИСО 27002
Весь раздел 7.1.1 Опись активов
Плюс инвентаризация и паспорта технических средств нужны при аттестации.
Конечно, инвентаризацию и учет активов можно делать в ручную. Но это не эффективно. Поэтому для оптимизации затрат необходимо использовать автоматизированные решения по инвентаризации активов.
Выбор таких решений широк.
Мне известны следующие решения для инвенторизации информационных активов (аппаратной составляющей, ПО, файлов + дополнительные возможности):
Мне известны следующие решения для инвенторизации информационных активов (аппаратной составляющей, ПО, файлов + дополнительные возможности):
· КБ: Инвентаризация 2.2 (большие возможности для ИБ - контроль USB, белые и черные списки, категории ПО, инвенторизация СЗИ, сертификат ФСТЭК)
· Realite (есть интеграция с бухгалтерией, учет материальных ценностей)
· Hardware Inspector (учет перемещения ТС, привязка к карте, возможность ввода визуальных серийниов, заявки)
· Total Network Inventory 2 (современный нью стайл интерфейс)
· Altiris (Symantec) Client Management Suite 7.1 (комплексное решение по управлению конечными узлами с поддержкой Windows, Linux, Mac)
· Microsoft System Center Configuration Manager 2012 (комплексное решение по управлению конечными узлами для сети полностью на Windows)
