СОИБ. Анализ. Инвентаризация активов

С одной стороны инвентаризация информационных активов не совсем прерогатива ИБ. Скорее это часть управления информационными активами которое является частью управления ИТ.

С другой стороны достаточно много мероприятий ИБ зависят от инвентаризации активов и очень часть приходится делать ещё в рамках проектов по ИБ. Часть таких работ я уже описывал в одной изпредыдущих заметок.

Действительно, нам нужно четко понимать что мы защищаем, как изменяется объект защиты, когда меняется объект защиты. 

Кроме того, есть несколько двигателей в виде законов, подзаконных актов и стандартов:

·        152-ФЗ.

“Статья 19.

2. Обеспечение безопасности персональных данных достигается, в частности:

5) учетом машинных носителей персональных данных;”

·        ПП 781

“12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;”

·        Приказ ФСТЭК 58

“2.1. Методами и способами защиты информации от несанкционированного доступа являются:

учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;

Приложение 1

2.1. Для информационных систем 3 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:

обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов системы защиты персональных данных, целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ;

4.1. Для информационных систем 1 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:

дублирующий учет защищаемых носителей информации;”

·        Методические рекомендации ФСБ № 149/54-144 по защите ПДн

“3.2       Методология формирования модели угроз верхнего уровня

Определение условий создания и использования персональных данных

Должны быть описаны условия создания и использования персональных данных. Для этого определяются:

-             информационные технологии, базы данных, технические средства, используемые для создания и обработки персональных данных;

-             используемые в процессе создания и использования персональных данных объекты, которые могут быть объектами угроз, создающими условия для появления угроз персональным данным. Такого рода объектами могут быть, например, технические и программные средства.”

·        Типовые требования ФСБ № 149/6/6-622 по защите ПДн

“2.3. При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных при их обработке в информационной системе оператор или уполномоченное оператором лицо осуществляет:

- поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним, носителей персональных данных;”

·        Положение ЦБ РФ N 382-П

“ 2.6.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет объектов информационной инфраструктуры, используемых для обработки, хранения и (или) передачи защищаемой информации, в том числе банкоматов и платежных терминалов.

2.10.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет и контроль состава установленного и (или) используемого на средствах вычислительной техники программного обеспечения.”

·        СТО БР ИББС 1.0

“7.8.3.  Должны быть документально определены перечни программного обеспе-чения, устанавливаемого и(или) используемого в ЭВМ и АБС и необходимого для вы-полнения конкретных банковских платежных технологических процессов. Состав уста-новленного и используемого в ЭВМ и АБС программного обеспечения должен соответ-ствовать определенному перечню. Выполнение данных требований должно контролироваться с документированием результатов.

7.9.7. Должны быть документально определены перечни программного обеспе-чения, устанавливаемого и(или) используемого в ЭВМ и АБС и необходимого для вы-полнения конкретных банковских информационных технологических процессов. Состав установленного и используемого в ЭВМ и АБС программного обеспечения должен со-ответствовать определенному перечню. Выполнение данных требований должно контролироваться с документированием результатов.”

·        ИСО 27002

Весь раздел 7.1.1 Опись активов

Плюс инвентаризация и паспорта технических средств нужны при аттестации.

Конечно, инвентаризацию и учет активов можно делать в ручную. Но это не эффективно. Поэтому для оптимизации затрат необходимо использовать автоматизированные решения по инвентаризации активов.

 Выбор таких решений широк.
Мне известны следующие решения для инвенторизации информационных активов (аппаратной составляющей, ПО, файлов + дополнительные возможности):

·        КБ: Инвентаризация 2.2  (большие возможности для ИБ - контроль USB, белые и черные списки, категории ПО, инвенторизация СЗИ, сертификат ФСТЭК)

·        Realite (есть интеграция с бухгалтерией, учет материальных ценностей)

·        Hardware Inspector (учет перемещения ТС, привязка к карте, возможность ввода визуальных серийниов, заявки)

·        Total Network Inventory 2 (современный нью стайл интерфейс)

·        Altiris (Symantec) Client Management Suite 7.1 (комплексное решение по управлению конечными узлами с поддержкой Windows, Linux, Mac)

·        Microsoft System Center Configuration Manager 2012 (комплексное решение по управлению конечными узлами для сети полностью на Windows)