Что такое актив в информационной безопасности
Дисклеймер
Материал предназначен для специалистов по информационной безопасности, системных администраторов и разработчиков. Рассматривается исключительно технология — принципы работы, архитектура и технические особенности реализации. Статья носит образовательный характер и не содержит рекомендаций по обходу ограничений. Ответственность за применение описанных решений лежит на читателе в рамках действующего законодательства РФ.
«Сначала в компании был Excel, который заполнялся от случая к случаю. После инцидента с уволенным сотрудником, чья учетная запись осталась активной, поняли, что защищать можно только то, что видно. Инвентаризация, это не документ, это процесс превращения хаоса в структуру, на которой можно строить реальную безопасность.»
Что такое актив в информационной безопасности
Актив, это любой ресурс компании, имеющий ценность. Ценность определяется не стоимостью оборудования, а ущербом от его утраты, повреждения или несанкционированного использования. Сервер стоимостью миллион рублей может быть менее критичным, чем файл с паролями к платежной системе.
Классическое понимание актива как «серверы и компьютеры» неверно и опасно. Оно создает слепые зоны. Без четкого понимания всех активов невозможно оценить риски, распределить средства защиты и доказать руководству необходимость инвестиций в безопасность. Реестр активов, это карта территории, без которой нельзя планировать оборону.
Категории активов: полная картина
Реестр должен охватывать пять ключевых категорий. Пропуск одной из них означает, что часть территории остаётся неизвестной и незащищенной.
Категория Примеры Как обнаружить и фиксировать Данные Базы данных (клиенты, транзакции), конфиденциальные файлы, архивы электронной почты, резервные копии, журналы безопасности. Анализ структуры хранилищ, классификация по метаданным, опрос владельцев бизнес-процессов. Системы и ПО Физические и виртуальные серверы, рабочие станции, мобильные устройства, бизнес-приложения (CRM, ERP), системы управления. Автоматизированное сканирование сети (Nmap, специализированные сканеры), интеграция с системами управления конфигурациями (CMDB). Сетевые ресурсы IP-адреса и диапазоны, доменные имена, VLAN, маршрутизаторы, правила межсетевых экранов и VPN. Выгрузка конфигураций сетевого оборудования, регулярное сканирование топологии сети. Люди и доступы Учётные записи сотрудников (AD/LDAP), ролевые модели, права доступа к системам и данным, учётные записи внешних подрядчиков и интеграторов. Выгрузка из систем авторизации, сверка списков с HR-службой, анализ матриц доступа для критичных систем. Физические объекты Помещения (серверные, архивные), рабочие места, съёмные носители (USB, внешние диски), оборудование для печати и копирования. Физическая инвентаризация, учёт выдачи имущества, ведение журналов посещения охраняемых зон.
Что постоянно пропускают в инвентаризации
Следующие объекты редко попадают в первоначальные реестры, создавая значительные риски:
- «Теневые» учётные записи. Активные записи уволенных сотрудников, тестовые и сервисные аккаунты, созданные для разовых задач и забытые.
- Временные и тестовые среды. Демо-стенды для клиентов, среды для разработки и тестирования, которые после завершения проекта не выключаются.
- Съёмные носители и бэкапы. Флешки, внешние жесткие диски, а также резервные копии, хранящиеся вне основного защищенного периметра.
- Доступы третьих сторон. Аккаунты подрядчиков в внутренних системах, API-ключи для интеграции с внешними сервисами.
- Критичные данные в коде и конфигурациях. Пароли, токены и ключи, зашитые прямо в исходный код приложений или файлы конфигурации.
Эти активы часто находятся вне процессов централизованного управления и становятся точками входа для атак.
Методы инвентаризации: от ручного труда до автоматизации
В зависимости от масштаба и зрелости процессов используют разные методы, чаще комбинируя их.
Метод Когда применять Плюсы Минусы Ручные методы (опросы, документация) На старте, в небольших организациях (до 100 человек/активов), для специфичных активов без автоматического обнаружения. Не требует специальных инструментов, позволяет выявить контекст и бизнес-ценность активов. Высокая трудоёмкость, данные быстро теряют актуальность, субъективность оценок. Автоматизированные методы (сканирование, интеграция) Для средних и крупных инфраструктур, для регулярного поддержания актуальности реестра. Высокая скорость и масштабируемость, объективные данные, возможность регулярного обновления. Требует инвестиций в инструменты и их настройку, может пропускать нестандартные или «тихие» активы.
Переход от ручного к автоматизированному методу — признак роста зрелости процесса управления информационной безопасностью.
Как инвентаризация выглядит на практике, а не в документах
Разрыв между формальной процедурой и реальной практикой — типичная ситуация. Знание этого разрыва помогает двигаться к эффективной системе.
Формальный процесс (по документам) Реальная практика (часто встречаемая) 1. Разработка и утверждение единого шаблона реестра с обязательными полями. 1. Реестр существует в виде Excel-файла на локальном компьютере специалиста по ИБ. 2. Плановое проведение полной инвентаризации по всем категориям. 2. Актуализация проводится реактивно: после инцидента безопасности или внеплановой проверки. 3. Назначение каждому активу реального владельца (business owner), отвечающего за оценку его ценности и рисков. 3. Владелец указан формально (например, руководитель IT), но не участвует в оценке рисков и не несет ответственности. 4. Утверждение реестра как официального документа и внедрение процессов его поддержки. 4. Новые активы (серверы, учетные записи) добавляются в реестр с существенной задержкой или вообще не добавляются. 5. Регулярная плановая актуализация (например, ежеквартально). 5. Актуализация сводится к редким попыткам «пройтись по списку» и исправить явные ошибки.
Практический вывод: Не стоит пытаться сразу создать идеальный реестр. Начните с критически важных для бизнеса активов (например, платежные системы и основные базы данных). Автоматизируйте сбор данных о наиболее динамичных категорияx (системы, учетные записи). Вовлекайте владельцев активов через конкретные задачи, например, оценку ущерба от потенциального инцидента с их активом.
Чек-лист для начала работы
Действия ниже помогут запустить процесс, избегая типичных ошибок.
Действие Что сделать Почему это важно Определить границы Четко очертить периметр: только головной офис или все филиалы? Включать облачные сервисы (SaaS)? Как учитывать мобильные устройства сотрудников? Без четких границ процесс инвентаризации становится бесконечным и нецелевым. Назначить ответственных за категории Определить, кто внутри компании отвечает за данные (владельцы бизнес-процессов), за инфраструктуру (IT-служба), за доступы (системные администраторы, HR). Без ответственных реестр становится «ничейным», его актуализация тормозится. Выбрать инструмент для старта Начать можно с структурированного Excel/Google Sheets. Для автоматизации рассмотреть специализированные сканеры (например, Lansweeper, OCS Inventory NG) или использовать выгрузки из AD и CMDB. Ручной сбор данных быстро становится неэффективным при росте числа активов выше нескольких сотен. Не стремиться к идеальному реестру сразу Сфокусироваться на наиболее критичных и хорошо известных активах. Принять, что первые версии реестра будут неполными. Попытка учесть всё и сразу парализует процесс. Актуальный, но неполный реестр полезнее идеального, но устаревшего документа.
Ключевой принцип: инвентаризация, это непрерывный процесс, а не одноразовое мероприятие. Его цель — создать и поддерживать актуальную модель защищаемой территории, на основе которой строятся все дальнейшие меры безопасности.