СОИБ. Анализ. Инвентаризация активов


С одной стороны инвентаризация информационных активов не совсем прерогатива ИБ. Скорее это часть управления информационными активами которое является частью управления ИТ.
С другой стороны достаточно много мероприятий ИБ зависят от инвентаризации активов и очень часть приходится делать ещё в рамках проектов по ИБ. Часть таких работ я уже описывал в одной изпредыдущих заметок.

Действительно, нам нужно четко понимать что мы защищаем, как изменяется объект защиты, когда меняется объект защиты. 

Кроме того, есть несколько двигателей в виде законов, подзаконных актов и стандартов:
·        152-ФЗ.
“Статья 19.
2. Обеспечение безопасности персональных данных достигается, в частности:
5) учетом машинных носителей персональных данных;”
·        ПП 781
“12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;”
·        Приказ ФСТЭК 58
“2.1. Методами и способами защиты информации от несанкционированного доступа являются:
учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
Приложение 1
2.1. Для информационных систем 3 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:
обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов системы защиты персональных данных, целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ;
4.1. Для информационных систем 1 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:
дублирующий учет защищаемых носителей информации;”
·        Методические рекомендации ФСБ № 149/54-144 по защите ПДн
“3.2       Методология формирования модели угроз верхнего уровня
Определение условий создания и использования персональных данных
Должны быть описаны условия создания и использования персональных данных. Для этого определяются:
-             информационные технологии, базы данных, технические средства, используемые для создания и обработки персональных данных;
-             используемые в процессе создания и использования персональных данных объекты, которые могут быть объектами угроз, создающими условия для появления угроз персональным данным. Такого рода объектами могут быть, например, технические и программные средства.”
·        Типовые требования ФСБ № 149/6/6-622 по защите ПДн
“2.3. При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных при их обработке в информационной системе оператор или уполномоченное оператором лицо осуществляет:
- поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним, носителей персональных данных;”
·        Положение ЦБ РФ N 382-П
“ 2.6.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет объектов информационной инфраструктуры, используемых для обработки, хранения и (или) передачи защищаемой информации, в том числе банкоматов и платежных терминалов.
2.10.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет и контроль состава установленного и (или) используемого на средствах вычислительной техники программного обеспечения.”
·        СТО БР ИББС 1.0
“7.8.3.  Должны быть документально определены перечни программного обеспе-чения, устанавливаемого и(или) используемого в ЭВМ и АБС и необходимого для вы-полнения конкретных банковских платежных технологических процессов. Состав уста-новленного и используемого в ЭВМ и АБС программного обеспечения должен соответ-ствовать определенному перечню. Выполнение данных требований должно контролироваться с документированием результатов.
7.9.7. Должны быть документально определены перечни программного обеспе-чения, устанавливаемого и(или) используемого в ЭВМ и АБС и необходимого для вы-полнения конкретных банковских информационных технологических процессов. Состав установленного и используемого в ЭВМ и АБС программного обеспечения должен со-ответствовать определенному перечню. Выполнение данных требований должно контролироваться с документированием результатов.”
·        ИСО 27002
Весь раздел 7.1.1 Опись активов

Плюс инвентаризация и паспорта технических средств нужны при аттестации.

Конечно, инвентаризацию и учет активов можно делать в ручную. Но это не эффективно. Поэтому для оптимизации затрат необходимо использовать автоматизированные решения по инвентаризации активов.

 Выбор таких решений широк.
Мне известны следующие решения для инвенторизации информационных активов (аппаратной составляющей, ПО, файлов + дополнительные возможности):
·        КБ: Инвентаризация 2.2  (большие возможности для ИБ - контроль USB, белые и черные списки, категории ПО, инвенторизация СЗИ, сертификат ФСТЭК)
·        Realite (есть интеграция с бухгалтерией, учет материальных ценностей)
·        Hardware Inspector (учет перемещения ТС, привязка к карте, возможность ввода визуальных серийниов, заявки)
·        Total Network Inventory 2 (современный нью стайл интерфейс)
·        Altiris (Symantec) Client Management Suite 7.1 (комплексное решение по управлению конечными узлами с поддержкой Windows, Linux, Mac)
·        Microsoft System Center Configuration Manager 2012 (комплексное решение по управлению конечными узлами для сети полностью на Windows)

Комментарии

ser-storchak написал(а)…
Сергей, встречались ли тебе бесплатные решения для инвентаризации?
Artem Ageev написал(а)…
учёт и инвентаризация - разные вещи.

при учёте СЗИ, носителя или криптосредства, серийный номер устройства заносится в журнал установленной формы, проставляются отметки о выдаче, ответственном и т.д.

т.ч. в большинстве перечисленных тобой случаев указанный софт бесполезен.
Сергей Борисов написал(а)…
Для того чтобы учесть, сначала надо провести инвенторизацию.
Например, делаем сертификацию windows, установку антивируса и криптопро. Технически сама установка всего ПО выполняется за пару кликов через доменные политики или специальные системы распространения ПО.
Но перед установкой надо собрать данные. После установки собрать данные и потом регулярно обновлять данные.

И кстати нигде не написано что учет должен вестись в бумажном виде. Электронные журналы - тоже журналы.
Сергей Борисов написал(а)…
Сергей, бесплатные встречались, но возможности у них были куцые, поддержки никакой и предлагать такие решения заказчику мы не могли.

Поэтому всех названий не вспомню.
От того же производителя есть Total Network Monitor.
Есть вроде старые локальные ASTRA, ASTRA32, EVEREST и AIDA32.
Andrey Prozorov написал(а)…
Вообще по теме "инвентаризация активов" лучше всего (да и полезнее) смотреть процесс ITIL Управление конфигурациями (Configuration Management) или аналог в COBIT. Там заложена хорошая логика:
1) В терминах ITIL активом могут быть и железки, и ПО, и документы, и люди...
2) Для хранения и обработки информации используется база данных конфигурационных единиц (CMDB)
3)Каждый актив описывается определенным набором атрибутов (например, инвентарный номер, наименование, производитель, владелец, место хранения и пр.)
4) Важны связи между активами, в CMDB связи можно устанавливать. Связями могут быть например такие: "состоит из", "входит в", и пр. Это удобно, т.к. мы можем описывать актив рабочее место как совокупность активов ПО и железо.
5) в ITIL и COBIT есть примеры и активов, и атрибутов, и связей.
Andrey Prozorov написал(а)…
Да. кстати спасибо. Блок постов "СОИБ..." мне нравится ,сам хотел/хочу нечто подобное сделать по определенным областям ИБ, но руки пока дошли только до некоторых.

Если интересно, то я планировал описать области по таким атрибутам:

Назначение и краткое описание
-Цели и задачи
-Активности (функции) и Подсистемы
-Роли (RACI-chart)
-Документы (политики, стандарты, процедуры, инструкции, записи)
-Поддерживающие технологии:
--Средства защиты
--Средства автоматизации
-Показатели (метрики и KPI)
-Базовый набор элементов (quick wins)
-Ссылки на требования и лучшие практики
Artem Ageev написал(а)…
учитываются либо серийные номера техники (и как ты соберешь программно информацию о серийнике мышки или флешки?), либо проставленные инвентаризационные номера (краской на системнике), либо серийные номера средств защиты, указанные на спец.голографических знаках и/или в паспортах-формулярах.

В утвержденных формах журналов в РД частенько присутствует поле "роспись ответственного лица". Попробуй это реализовать в электронном виде =)
Andrey Prozorov написал(а)…
Артем, есть вот такая хорошая практика предоставления журналов учета регуляторам:

- Журнал ведется в электронгном виде (exel или БД)
- Перед приходом регуляторов он распечатывается и подписывается
- Все довольны)))

А так, вести в бумажном виде слишком неэффективная и трудозатратная задача, я бы не рекомендовал...
Artem Ageev написал(а)…
"Перед приходом регуляторов он распечатывается и подписывается"

подписывается у 20 сотрудников, которые уже уволились, у 30 сотрудников, которые уехали в командировку и у 40 сотрудников, которые говорят "ничего тебе я не подпишу, т.к. ты мне ничего не выдавал".

так?
Andrey Prozorov написал(а)…
Артем, пусть подписывает 1 (их руководитель)
Andrey Prozorov написал(а)…
Артем, вы должны для себя определить какую задачу хотите решить:

1. Вести учет
2. Удовлетворить регуляторов
3. Иметь юр.основание наказывать сотрудников

Они решаются разными методами!!!

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3